华为云用户手册

场景七：添加自定义子网 添加自定义子网对应授权项为：bms:virtualSubnets:create 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:list", "bms:virtualSubnets:create" ] } ]}

场景十：创建自定义网络ACL 创建自定义网络ACL对应授权项为：bms:firewallGroups:create 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:create" ] } ]}

场景三：查询自定义网络列表 查询自定义网络列表对应授权项为：bms:virtualNetworks:list 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list" ] } ]}

场景四：查询自定义网络详情 查询自定义网络详情对应授权项为：bms:virtualNetworks:get 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get" ] } ]}

场景一：自定义网络和自定义网络ACL依赖的授权项 自定义网络和自定义网络ACL依赖的授权项必须包含：ecs:servers:list、bms:servers:list { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list" ] } ]} 如果未添加这些授权项，用户将无法进入裸金属服务器列表页面，也就无法进行任何自定义网络和自定义网络ACL相关的操作。

场景九：删除自定义子网 删除自定义子网对应授权项为：bms:virtualSubnets:delete 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:list", "bms:virtualSubnets:delete" ] } ]}

场景十二：查询自定义网络ACL详情 查询自定义网络ACL详情对应授权项为：bms:firewallGroups:get 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:get" ] } ]}

场景五：修改自定义网络名称 修改自定义网络名称对应授权项为：bms:virtualNetworks:update 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:create", "bms:virtualNetworks:update" ] } ]}

场景十一：查询自定义网络ACL列表 查询自定义网络ACL列表对应授权项为：bms:firewallGroups:list 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list" ] } ]}

场景二：创建自定义网络 创建自定义网络对应授权项为：bms:virtualNetworks:create。 除了依赖场景一：自定义网络和自定义网络ACL依赖的授权项中的授权项外，还依赖vpc:vpcs:list，因为自定义网络创建页面会查询VPC列表。 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:create" ] } ]}

场景八：查询自定义子网列表 查询自定义子网列表对应授权项为：bms:virtualSubnets:list 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:list" ] } ]} 该授权项仅用于自定义网络ACL关联自定义子网时使用。

场景十三：修改自定义网络ACL 该场景包括如下操作：修改名称、修改描述、添加ACL规则、修改ACL规则、删除ACL规则、开启/关闭ACL规则、向前/后插入规则、关联自定义子网（依赖bms:virtualSubnets:list授权项）。 修改自定义网络ACL对应授权项为：bms:firewallGroups:update 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:get", "bms:virtualSubnets:list", "bms:firewallGroups:update" ] } ]}

场景十四：删除自定义网络ACL 删除自定义网络ACL对应授权项为：bms:firewallGroups:delete 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:get", "bms:firewallGroups:delete" ] } ]}

Ubuntu 16.04安装操作 登录裸金属服务器，执行以下命令，切换至root权限。 sudo root （可选）如果不存在依赖包gcc、g++和make，请执行以下命令进行安装。 apt-get install gcc apt-get install g++ apt-get install make （可选）将Nouveau驱动列入黑名单。 如果已经安装并加载了Nouveau的显卡驱动，请执行以下操作将Nouveau驱动列入黑名单以避免冲突。 编辑“/etc/modprobe.d/blacklist.conf”，在文件后面加入以下内容： blacklist nouveauoptions nouveau modeset=0 执行以下命令备份与重建initramfs： mv /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).img.bak sudo update-initramfs -u 重启：sudo reboot （可选）如果X服务正在运行，请执行systemctl set-default multi-user.target命令并重启裸金属服务器以进入多用户模式。 （可选）安装NVIDIA GPU驱动。 如果选择了特定版本的NVIDIA GPU驱动，而不是捆绑在CUDA工具包中的版本，则需要执行此步骤。 下载NVIDIA GPU驱动安装包NVIDIA-Linux-x86_64-xxx.yy.run（下载链接：https://www.nvidia.com/Download/index.aspx?lang=en），并将该安装包上传至裸金属服务器的“/tmp”目录下。 图2 搜索NVIDIA驱动包 执行以下命令，安装NVIDIA GPU驱动。 sh ./NVIDIA-Linux-x86_64-xxx.yy.run 执行以下命令，删除安装包。 rm -f NVIDIA-Linux-x86_64-xxx.yy.run 安装CUDA工具包。 下载CUDA Toolkit安装包cuda_a.b.cc_xxx.yy_linux.run（下载链接：https://developer.nvidia.com/cuda-downloads），并将该安装包上传至裸金属服务器的“/tmp”目录下。 执行以下命令，修改安装包的权限。 chmod +x cuda_a.b.cc_xxx.yy_linux.run 执行以下命令，安装CUDA工具包。 ./cuda_a.b.cc_xxx.yy_linux.run --toolkit --samples --silent --override --tmpdir=/tmp/ 执行以下命令，删除安装包。 rm -f cuda_a.b.cc_xxx.yy_linux.run 执行如下三条命令，验证是否安装成功。 cd /usr/local/cuda/samples/1_Utilities/deviceQueryDrv/ make ./deviceQueryDrv 回显信息中包含“Result = PASS”，表示CUDA工具包和NVIDIA GPU驱动安装成功。 执行以下命令，验证驱动是否正常使用。 nvidia-smi topo -m 回显信息中如果正常显示GPU的信息，则表示驱动可正常使用。

BMS自定义策略样例 示例1：授权用户修改裸金属服务器名称。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:put" ] } ]} 示例2：授权用户批量启动服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:start" ] } ]} 示例3：拒绝用户下电服务器。 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予BMS FullAccess的系统策略，但不希望用户拥有BMS FullAccess中定义的下电裸金属服务器权限（bms:servers:stop），您可以创建一条拒绝下电服务器的自定义策略，然后同时将BMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对BMS执行除了下电以外的所有操作。以下策略样例表示：拒绝用户下电裸金属服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:stop" ] } ]}

前提条件 已绑定弹性公网IP。 已下载对应操作系统所需驱动的安装包。 表1 NVIDIA GPU驱动和CUDA工具包下载 操作系统 需要下载的驱动 下载地址 Ubuntu 16.04、CentOS 7.4 NVIDIA GPU驱动安装包“NVIDIA-Linux-x86_64-384.81.run” http://www.nvidia.com/download/driverResults.aspx/124722/en-us CUDA工具包安装包“cuda_9.0.176_384.81_linux.run” https://developer.nvidia.com/cuda-90-download-archive?target_os=Linux&target_arch=x86_64&target_distro=CentOS&target_version=7&target_type=runfilelocal

CentOS 7.4安装操作 登录裸金属服务器，执行以下命令，切换至root权限。 su root （可选）如果不存在依赖包gcc、gcc-c++、make和kernel-devel，请执行以下命令进行安装。 yum install gcc yum install gcc-c++ yum install make yum install kernel-devel-`uname -r` （可选）将Nouveau驱动列入黑名单。 如果已经安装并加载了Nouveau的显卡驱动，请执行以下操作将Nouveau驱动列入黑名单以避免冲突。 编辑“/etc/modprobe.d/blacklist.conf”，在文件后面添加blacklist nouveau。 运行以下命令备份与重建initramfs： mv /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).img.bak dracut -v /boot/initramfs-$(uname -r).img $(uname -r) 重启：reboot。 （可选）如果X服务正在运行，请执行systemctl set-default multi-user.target命令并重启裸金属服务器以进入多用户模式。 （可选）安装NVIDIA GPU驱动。 如果选择了特定版本的NVIDIA GPU驱动，而不是捆绑在CUDA工具包中的版本，则需要执行此步骤。 下载NVIDIA GPU驱动安装包NVIDIA-Linux-x86_64-xxx.yy.run（下载链接：https://www.nvidia.com/Download/index.aspx?lang=en），并将该安装包上传至裸金属服务器的“/tmp”目录下。 图1 搜索NVIDIA驱动包（CentOS 7.4） 执行以下命令，安装NVIDIA GPU驱动。 sh ./NVIDIA-Linux-x86_64-xxx.yy.run 执行以下命令，删除安装包。 rm -f NVIDIA-Linux-x86_64-xxx.yy.run 安装CUDA工具包。 下载CUDA Toolkit安装包cuda_a.b.cc_xxx.yy_linux.run（下载链接：https://developer.nvidia.com/cuda-downloads），并将该安装包上传至裸金属服务器的“/tmp”目录下。 执行以下命令，修改安装包的权限。 chmod +x cuda_a.b.cc_xxx.yy_linux.run 执行以下命令，安装CUDA工具包。 ./cuda_a.b.cc_xxx.yy_linux.run --toolkit --samples --silent --override --tmpdir=/tmp/ 执行以下命令，删除安装包。 rm -f cuda_a.b.cc_xxx.yy_linux.run 执行如下三条命令，验证是否安装成功。 cd /usr/local/cuda/samples/1_Utilities/deviceQueryDrv/ make ./deviceQueryDrv 回显信息中包含“Result = PASS”，表示CUDA工具包和NVIDIA GPU驱动安装成功。

创建项目并授权 创建项目 进入管理控制台页面，单击右上方的用户名，在下拉列表中选择“ 统一身份认证 ”，进入统一身份认证服务页面。选择左侧导航中的“项目”，单击“创建项目”，选择区域并输入项目名称。 授权 通过为用户组授予权限（包括资源集和操作集），实现项目和用户组的关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。具体步骤如下： 在“用户组”页面，选择目标用户组，单击操作列的“权限配置”，进入“用户组权限”区域。在新创建的项目所在行，单击“设置策略”，给对应项目选择需要的云资源权限集。 在“用户”页面，选择目标用户，单击操作列的“修改”，进入修改用户页面。在“所属用户组”区域为用户添加用户组，完成授权过程。

操作场景 为安全起见，裸金属服务器登录时建议使用密钥对方式进行身份验证。因此，您需要使用已有密钥对或创建一个密钥对，用于远程登录身份验证。 创建密钥对 如果没有可用的密钥对，需要创建一个密钥对，生成公钥和私钥，并在登录裸金属服务器时提供私钥进行鉴权。创建密钥对的方法如下： （推荐）通过管理控制台创建密钥对，公钥自动保存在系统中，私钥由用户保存在本地，具体操作请参见通过管理控制台创建密钥对。 通过PuTTYgen工具创建密钥对，公钥和私钥均保存在用户本地，具体操作请参见通过PuTTYgen工具创建密钥对。创建成功的密钥对，还需要执行导入密钥对，导入系统才能正常使用密钥对。 PuTTYgen是一款公钥私钥生成工具，获取路径：https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html 使用已有密钥对 如果本地已有密钥对（例如，使用PuTTYgen工具生成的密钥对），可以在管理控制台导入密钥对公钥，由系统维护您的公钥文件。具体操作请参见导入密钥对。

操作场景 裸金属服务器的密码丢失或过期时，如果您的裸金属服务器提前安装了一键式重置密码插件“CloudResetPwdAgent”，则可以使用一键式重置密码功能，为裸金属服务器设置新密码。 该方法方便、有效，建议您成功创建、登录裸金属服务器后，安装密码重置插件，具体操作请参见本节内容。 一般情况下，使用公共镜像创建的裸金属服务器默认已安装重置密码插件。检查是否已安装该插件，请参见“Linux裸金属服务器安装方法”中的1或“Windows裸金属服务器安装方法”中的1。

安装须知 请不要使用除该插件以外的其他密码重置插件。 用户自行决定是否安装“CloudResetPwdAgent”插件，使裸金属服务器具备一键式重置密码功能。 安装完成后，请勿自行卸载插件，因为可能导致管理控制台判断失误，从而无法完成密码重置。 重装/切换裸金属服务器操作系统后，一键式重置密码功能失效。如需继续使用该功能，请重新安装“CloudResetPwdAgent”插件。 裸金属服务器需绑定弹性公网IP，才能自动更新CloudResetPwdAgent，或者需要您手动下载升级包，完成安装或升级。

前提条件 裸金属服务器的状态为“运行中”。 对于Windows裸金属服务器，需保证C盘可写入，且剩余空间大于600MB。 对于Linux裸金属服务器，需保证根目录可写入，且剩余空间大于600MB。 裸金属服务器使用的VPC网络DHCP不能禁用。 裸金属服务器网络正常通行。 裸金属服务器安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16

Windows裸金属服务器安装方法 检查裸金属服务器是否已安装密码重置插件CloudResetPwdAgent。检查方法如下： 查看任务管理器，如果找到cloudResetPwdAgent服务，如图4所示，表示裸金属服务器已安装密码重置插件。 图4 安装插件成功 是，任务结束。 否，执行下一步。 请参考获取并校验一键式重置密码插件完整性（Windows），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 下载地址：https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip 解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 安装一键式重置密码插件。 双击“CloudResetPwdAgent.Windows”文件夹下的“setup.bat”文件。 安装密码重置插件。 查看任务管理器，检查密码重置插件是否安装成功。 如果在任务管理器中查找到了cloudResetPwdAgent服务，如图5所示，表示安装成功，否则安装失败。 图5 安装插件成功 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

关于插件卸载 如果不再继续使用一键重置密码功能，您可以根据如下指导卸载插件： Linux裸金属服务器 登录裸金属服务器。 执行以下命令，进入bin目录，删除服务cloudResetPwdAgent。 cd /CloudrResetPwdAgent/bin sudo ./cloudResetPwdAgent.script remove 执行以下命令，删除插件。 sudo rm -rf /CloudrResetPwdAgent 请检查CloudResetPwdUpdateAgent是否存在，如果存在，执行以下命令删除： sudo rm -rf /CloudResetPwdUpdateAgent Windows裸金属服务器 进入C:\CloudResetPwdAgent\bin文件夹。 双击“UninstallApp-NT.bat”。 删除C:\CloudResetPwdAgent的文件。 删除C:\CloudResetPwdUpdateAgent的文件。

操作场景 将挂载至裸金属服务器中的磁盘卸载。 对于挂载在系统盘盘位（也就是“/dev/sda”挂载点）上的磁盘，仅支持离线卸载。 对于挂载在数据盘盘位（非“/dev/sda”挂载点）上的磁盘，支持离线卸载和在线卸载磁盘。 离线和在线表示裸金属服务器处于“关机”或“运行中”状态。 裸金属服务器重启后，磁盘盘符可能发生变化，控制台上磁盘的盘符与操作系统内的盘符可能会不一致。 建议您使用磁盘设备标识wwn号进行磁盘操作，请参考如何查看云硬盘盘符？获取云硬盘设备和盘符的对应关系。

约束与限制 卸载系统盘属于高危操作，卸载了系统盘，裸金属服务器会因为没有操作系统而无法启动，请谨慎执行。 对于Windows裸金属服务器，在线卸载数据盘前，请确保没有程序正在对该磁盘进行读写操作。否则，将造成数据丢失。 对于Linux裸金属服务器，在线卸载数据盘前，客户需要先登录裸金属服务器，执行umount命令，取消待卸载磁盘与文件系统之间的关联，并确保没有程序正在对该磁盘进行读写操作。否则，卸载磁盘将失败。

设置开机自动挂载磁盘 如果您需要在服务器系统启动时自动挂载磁盘，不能采用在 /etc/fstab直接指定 /dev/sdb1的方法，因为云中设备的顺序编码在关闭或者开启服务器过程中可能发生改变，例如/dev/sdb可能会变成/dev/sdc。推荐使用UUID来配置自动挂载数据盘。 磁盘的UUID（Universally Unique Identifier）是Linux系统为磁盘分区提供的唯一的标识字符串。 执行如下命令，查询磁盘分区的UUID。 blkid 磁盘分区 以查询磁盘分区“/dev/sdb1”的UUID为例： blkid /dev/sdb1 回显类似如下信息： [root@bms-b656 test]# blkid /dev/sdb1/dev/sdb1: UUID="1851e23f-1c57-40ab-86bb-5fc5fc606ffa" TYPE="ext4" 表示“/dev/sdb1”的UUID。 执行以下命令，使用vi编辑器打开“fstab”文件。 vi /etc/fstab 按“i”，进入编辑模式。 将光标移至文件末尾，按“Enter”，添加如下内容。 UUID=1851e23f-1c57-40ab-86bb-5fc5fc606ffa /mnt/sdc ext4 defaults 0 2 按“ESC”后，输入:wq，按“Enter”。 保存设置并退出编辑器。

操作场景 本文以裸金属服务器的操作系统为“CentOS 7.0 64位”为例，采用fdisk分区工具为数据盘设置分区。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 首次使用云磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。

案例5 该案例介绍如何通过实例自定义数据注入，激活Linux裸金属服务器的root用户远程登录权限。注入成功后，您可以使用SSH密钥方式，以root改户登录裸金属服务器。 实例自定义数据注入示例： #cloud-configdisable_root: falseruncmd:- sed -i 's/^PermitRootLogin.*$/PermitRootLogin without-password/' /etc/ssh/sshd_config- sed -i '/^KexAlgorithms.*$/d' /etc/ssh/sshd_config- service sshd restart

使用限制 Linux： 用于创建裸金属服务器的镜像安装了Cloud-init组件。 用户数据大小限制：小于等于32KB。 如果通过文本方式上传实例自定义数据，数据只能包含ASCII码字符；如果通过文件方式上传实例自定义数据，可以包含任意字符，同时，要求文件大小不能超过32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloud-init组件的私有镜像。 必须满足相应Linux裸金属服务器自定义脚本类型的格式要求。 使用的虚拟私有云必须开启DHCP，安全组出方向规则保证80端口开放。 选择“密码”登录方式时，不支持实例自定义数据注入功能。 Windows： 用于创建裸金属服务器的镜像安装了Cloudbase-init组件。 实例自定义数据大小限制：小于等于32KB。 如果通过文本方式上传实例自定义数据，数据只能包含ASCII码字符；如果通过文件方式上传实例自定义数据，可以包含任意字符，同时，要求文件大小不能超过32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloudbase-init组件的私有镜像。 使用的虚拟私有云必须开启DHCP，安全组出方向规则保证80端口开放。