华为云用户手册

  • 裸金属服务器 BMS-添加安全组规则:使用建议
    使用建议 为BMS实例添加安全组规则时遵循最小授权原则。例如: 选择开放具体的端口,而不是端口范围,如80端口。 谨慎授权0.0.0.0/0(全网段)源地址。 不建议使用一个安全组管理所有应用,不同的分层一定有不同的隔离诉求。 不建议为每台BMS实例单独设置一个安全组,您可以将具有相同安全保护需求的实例加入同一个安全组。 建议您设置简洁的安全组规则。例如,如果您给一台BMS实例分配了多个安全组,该实例可能会同时遵循数百条安全组规则,任何一个规则变更都可能引起网络不通的故障。
    裸金属服务器 BMS 安全组
  • 裸金属服务器 BMS-SSH密钥方式登录:本地使用Linux操作系统
    本地使用Linux操作系统 如果本地使用Linux操作系统的计算机,您可以按照以下方式登录Linux裸金属服务器。下面步骤以私钥文件是“KeyPair-ee55.pem”为例进行介绍。 在您的Linux计算机的命令行中执行如下命令,变更权限。 chmod 400 /path/KeyPair-ee55 上述命令的path为密钥文件的存放路径。 执行如下命令登录裸金属服务器。 ssh -i /path/KeyPair-ee55 root@裸金属服务器的弹性公网IP地址 path为密钥文件的存放路径。 root为裸金属服务器镜像的用户名。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-私有镜像概述
    私有镜像概述 私有镜像包含操作系统、预装的公共应用以及用户的私有应用,仅用户个人可见。您可以通过以下方式创建私有镜像: 通过裸金属服务器创建私有镜像 通过外部镜像文件创建私有镜像 当您成功创建私有镜像后,镜像的状态为“正常”。此时,您可以使用该镜像新建裸金属服务器实例,也可以将其共享给其他用户,还可以复制到您账号下的其他区域。下图总结了私有镜像常见的使用方式: 图1 私有镜像使用方式 父主题: 镜像
    裸金属服务器 BMS
  • 裸金属服务器 BMS-创建方式导航
    创建方式导航 本文介绍创建裸金属服务器的几种方式。 按照向导指引创建裸金属服务器是常见的方式,您可以灵活选择配置项,确保满足业务的需求。详细操作请参见创建裸金属服务器。 如果您想快速获取一台裸金属服务器,可以创建快速发放型裸金属服务器。详细操作请参见创建快速发放型裸金属服务器。 如果您的业务对安全合规性有较高要求,可以选择将裸金属服务器创建在专属云中。详细操作请参见创建专属裸金属服务器。 如果您有习惯使用的操作系统、应用程序等配置,可以先创建私有镜像,然后在创建裸金属服务器时选择该私有镜像,提高配置效率。详细操作请参见通过私有镜像创建裸金属服务器。 父主题: 创建服务器
    裸金属服务器 BMS
  • 裸金属服务器 BMS-通过共享VPC创建裸金属服务器:操作场景
    操作场景 创建裸金属服务器时,您可以通过共享VPC功能,使用其他账号共享的VPC和子网,以实现网络资源的共享和统一管理,提升资源管控效率、降低运维成本。 例如,为了规范管理网络资源,某企业使用账号A作为IT管理账号,用于管理基础公共资源,包括VPC、子网等。同时,账号A将多个子网共享给其他账号共同使用。 账号A:IT管理账号,作为资源所有者,创建VPC及子网,并将多个子网分别共享给其他账号使用。 账号B:业务账号,作为资源使用者,使用账号A共享的子网2创建BMS。 账号C:业务账号,作为资源使用者,使用账号A共享的子网3创建BMS。 图1 业务规划示意图 本章节介绍通过共享VPC创建BMS的操作指导。有关VPC子网共享的更多信息,请参见《虚拟私有云用户指南》的“共享VPC”相关内容。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-主机监控概述:主机监控
    主机监控 裸金属服务器不支持云服务基础监控,需要安装 CES 主机监控Agent获得操作系统行监控、进程监控和硬件指标监控。安装后可以使用CES主机监控来采集丰富的操作系统层面监控指标,也可以使用主机监控进行服务器资源使用情况监控和排查故障时的监控数据查询,满足裸金属服务器的监控运维需求。 裸金属服务器使用CES主机监控后可以支持CES Agent基础监控指标和硬件监控指标,详细列表请参见主机监控指标。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-资源位置
    资源位置 有些资源可以在所有地区(全球)使用,而有些资源则特定于其所在的区域或可用区。 资源 类型 描述 华为云账户 全球性 您可以在所有区域使用同一个华为云账户。 预定义标签 全球性 您可以在所有区域使用同一个预定义标签。 密钥对 全球性或区域性 您在管理控制台创建的密钥对与您在其中创建它们的区域相关联。 您可以创建自己的RSA密钥对并将其导入到您打算在其中使用它的区域。因此,您可以通过将密钥对上传至每个区域而使其在全球范围内使用。 有关密钥对的更多信息,请参阅使用SSH密钥对。 资源标识符 区域性 每个资源的标识符(例如,实例ID、云硬盘ID、虚拟私有云ID)都与其区域相关联,并且只能在创建资源的区域使用。 用户自定义的资源名称 区域性 每个资源名称(例如,安全组名称、密钥对名称)都与其区域相关联,并且只能在创建资源的区域使用。尽管您可以在多个区域创建名称相同的资源,但是它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联,并且只能与同一区域的实例相关联。 弹性公网IP 区域性 弹性公网IP与区域相关联,并且只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联,并且只能分配给同一区域的实例。不能通过安全组规则实现一个实例与其所在区域外的实例通信。 镜像 区域性 镜像与区域相关联,并且只能与同一区域的实例相关联。这里的镜像包括公共镜像、私有镜像、共享镜像。 实例 可用区 实例与可用区相关联,但是实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联,只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联,只能与同一可用区的实例相关联。 父主题: 资源与标签
    裸金属服务器 BMS 资源与标签
  • 裸金属服务器 BMS-标签概述:标签使用说明
    标签使用说明 支持添加标签的裸金属服务器相关服务有:BMS、E CS (弹性云服务器)、IMS( 镜像服务 )、EVS(云硬盘)等。 每个标签由一对键值对(Key-Value)组成。 每个裸金属服务器最多可以添加9个标签。 对于每个资源,每个标签键(Key)都必须是唯一的,每个标签键(Key)只能有一个值(Value)。 标签命名规则如表1所示。 表1 标签命名规则 参数 规则 样例 标签键 不能为空。 只能包含英文字母、数字、下划线(_)、中划线(-)、中文字符。 长度最大为36个字符。 Organization 标签值 不能为空。 只能包含英文字母、数字、下划线(_)、点号(.)、中划线(-)、中文字符。 长度最大为43个字符。 Apache
    裸金属服务器 BMS 标签
  • 裸金属服务器 BMS-标签概述:有关标签的基本知识
    有关标签的基本知识 标签用于标识资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境)对云资源进行分类。 图1 标签示例 图1说明了标签的工作方式。在此示例中,您为每个云资源分配了两个标签,每个标签都包含您定义的一个“键”和一个“值”,一个标签使用键为“所有者”,另一个使用键为“用途”,每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如,您可以为账户中的资源定义一组标签,以跟踪每个云资源的所有者和用途,使资源管理变得更加轻松。
    裸金属服务器 BMS 标签
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景三:查询自定义网络列表
    场景三:查询自定义网络列表 查询自定义网络列表对应授权项为:bms:virtualNetworks:list 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景四:查询自定义网络详情
    场景四:查询自定义网络详情 查询自定义网络详情对应授权项为:bms:virtualNetworks:get 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景二:创建自定义网络
    场景二:创建自定义网络 创建自定义网络对应授权项为:bms:virtualNetworks:create。 除了依赖场景一:自定义网络和自定义网络ACL依赖的授权项中的授权项外,还依赖vpc:vpcs:list,因为自定义网络创建页面会查询VPC列表。 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:create" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景八:查询自定义子网列表
    场景八:查询自定义子网列表 查询自定义子网列表对应授权项为:bms:virtualSubnets:list 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:list" ] } ] } 该授权项仅用于自定义网络ACL关联自定义子网时使用。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景十三:修改自定义网络ACL
    场景十三:修改自定义网络ACL 该场景包括如下操作:修改名称、修改描述、添加ACL规则、修改ACL规则、删除ACL规则、开启/关闭ACL规则、向前/后插入规则、关联自定义子网(依赖bms:virtualSubnets:list授权项)。 修改自定义网络ACL对应授权项为:bms:firewallGroups:update 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:get", "bms:virtualSubnets:list", "bms:firewallGroups:update" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景十四:删除自定义网络ACL
    场景十四:删除自定义网络ACL 删除自定义网络ACL对应授权项为:bms:firewallGroups:delete 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:get", "bms:firewallGroups:delete" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景一:自定义网络和自定义网络ACL依赖的授权项
    场景一:自定义网络和自定义网络ACL依赖的授权项 自定义网络和自定义网络ACL依赖的授权项必须包含:ecs:servers:list、bms:servers:list { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list" ] } ] } 如果未添加这些授权项,用户将无法进入裸金属服务器列表页面,也就无法进行任何自定义网络和自定义网络ACL相关的操作。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景九:删除自定义子网
    场景九:删除自定义子网 删除自定义子网对应授权项为:bms:virtualSubnets:delete 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:list", "bms:virtualSubnets:delete" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景十二:查询自定义网络ACL详情
    场景十二:查询自定义网络ACL详情 查询自定义网络ACL详情对应授权项为:bms:firewallGroups:get 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:get" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景五:修改自定义网络名称
    场景五:修改自定义网络名称 修改自定义网络名称对应授权项为:bms:virtualNetworks:update 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:create", "bms:virtualNetworks:update" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景十一:查询自定义网络ACL列表
    场景十一:查询自定义网络ACL列表 查询自定义网络ACL列表对应授权项为:bms:firewallGroups:list 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景六:删除自定义网络
    场景六:删除自定义网络 删除自定义网络对应授权项为:bms:virtualNetworks:delete 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualNetworks:delete" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景七:添加自定义子网
    场景七:添加自定义子网 添加自定义子网对应授权项为:bms:virtualSubnets:create 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list", "bms:virtualNetworks:get", "bms:virtualSubnets:list", "bms:virtualSubnets:create" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-自定义策略示例:自定义网络和自定义网络ACL:场景十:创建自定义网络ACL
    场景十:创建自定义网络ACL 创建自定义网络ACL对应授权项为:bms:firewallGroups:create 完整的策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:firewallGroups:list", "bms:firewallGroups:create" ] } ] }
    裸金属服务器 BMS
  • 裸金属服务器 BMS-BMS自定义策略:BMS自定义策略样例
    BMS自定义策略样例 示例1:授权用户修改裸金属服务器名称。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:put" ] } ] } 示例2:授权用户批量启动服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:start" ] } ] } 示例3:拒绝用户下电服务器。 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予BMS FullAccess的系统策略,但不希望用户拥有BMS FullAccess中定义的下电裸金属服务器权限(bms:servers:stop),您可以创建一条拒绝下电服务器的自定义策略,然后同时将BMS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对BMS执行除了下电以外的所有操作。以下策略样例表示:拒绝用户下电裸金属服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:stop" ] } ] }
    裸金属服务器 BMS 管理权限
  • 裸金属服务器 BMS-管理项目和企业项目:创建项目并授权
    创建项目并授权 创建项目 进入管理控制台页面,单击右上方的用户名,在下拉列表中选择“ 统一身份认证 ”,进入统一身份认证服务页面。选择左侧导航中的“项目”,单击“创建项目”,选择区域并输入项目名称。 授权 通过为用户组授予权限(包括资源集和操作集),实现项目和用户组的关联。将用户加入到用户组,使用户具有用户组中的权限,从而精确地控制用户所能访问的项目,以及所能操作的资源。具体步骤如下: 在“用户组”页面,选择目标用户组,单击操作列的“权限配置”,进入“用户组权限”区域。在新创建的项目所在行,单击“设置策略”,给对应项目选择需要的云资源权限集。 在“用户”页面,选择目标用户,单击操作列的“修改”,进入修改用户页面。在“所属用户组”区域为用户添加用户组,完成授权过程。
    裸金属服务器 BMS 安全
  • 裸金属服务器 BMS-初始化容量大于2TB的Linux数据盘(parted):操作场景
    操作场景 本文以裸金属服务器的操作系统为“CentOS 7.4 64位”、云硬盘容量为3 TB举例,采用Parted分区工具为容量大于2 TB的数据盘设置分区。 MBR格式分区支持的磁盘最大容量为2 TB,GPT分区表最大支持的磁盘容量为18 EB,因此当为容量大于2 TB的磁盘分区时,请采用GPT分区方式。对于Linux操作系统而言,当磁盘分区形式选用GPT时,fdisk分区工具将无法使用,需要采用parted工具。关于磁盘分区形式的更多介绍,请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同,本文仅供参考,具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 首次使用云磁盘时,如果您未参考本章节对磁盘执行初始化操作,主要包括创建分区和文件系统等操作,那么当后续扩容磁盘时,新增容量部分的磁盘可能无法正常使用。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-初始化容量大于2TB的Linux数据盘(parted):设置开机自动挂载磁盘
    设置开机自动挂载磁盘 如果您需要在裸金属服务器系统启动时自动挂载磁盘,不能采用在/etc/fstab直接指定 /dev/vdb1的方法,因为云中设备的顺序编码在关闭或者开启服务器过程中可能发生改变,例如/dev/vdb1可能会变成/dev/vdb2。推荐使用UUID来配置自动挂载数据盘。 磁盘的UUID(Universally Unique Identifier)是Linux系统为磁盘分区提供的唯一的标识字符串。 执行如下命令,查询磁盘分区的UUID。 blkid 磁盘分区 以查询磁盘分区“/dev/vdb1”的UUID为例: blkid /dev/vdb1 回显类似如下信息: [root@bms-centos74 ~]# blkid /dev/vdb1 /dev/vdb1: UUID="bdd29fe6-9cee-4d4f-a553-9faad281f89b" TYPE="ext4" PARTLABEL="opt" PARTUUID="c7122c92-ed14-430b-9ece-259920d5ee74" 表示“/dev/vdb1”的UUID。 执行以下命令,使用VI编辑器打开“fstab”文件。 vi /etc/fstab 按“i”,进入编辑模式。 将光标移至文件末尾,按“Enter”,添加如下内容。 UUID=bdd29fe6-9cee-4d4f-a553-9faad281f89b /mnt/sdc ext4 defaults 0 2 按“ESC”后,输入:wq,按“Enter”。 保存设置并退出编辑器。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-初始化容量大于2TB的Windows数据盘(Windows 2012):操作场景
    操作场景 本文以裸金属服务器的操作系统为“Windows Server 2012 R2 Standard 64bit”、云硬盘容量为3 TB举例,提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB,GPT分区表最大支持的磁盘容量为18 EB,因此当为容量大于2 TB的磁盘分区时,请采用GPT分区方式。关于磁盘分区形式的更多介绍,请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同,本文仅供参考,具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 首次使用云磁盘时,如果您未参考本章节对磁盘执行初始化操作,主要包括创建分区和文件系统等操作,那么当后续扩容磁盘时,新增容量部分的磁盘可能无法正常使用。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-初始化Linux数据盘(parted):操作场景
    操作场景 本文以裸金属服务器的操作系统为“CentOS 7.0 64位”为例,采用Parted分区工具为数据盘设置分区。 MBR格式分区支持的磁盘最大容量为2 TB,GPT分区表最大支持的磁盘容量为18 EB,因此当为容量大于2 TB的磁盘分区时,请采用GPT分区方式。对于Linux操作系统而言,当磁盘分区形式选用GPT时,fdisk分区工具将无法使用,需要采用parted工具。关于磁盘分区形式的更多介绍,请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同,本文仅供参考,具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 首次使用云磁盘时,如果您未参考本章节对磁盘执行初始化操作,主要包括创建分区和文件系统等操作,那么当后续扩容磁盘时,新增容量部分的磁盘可能无法正常使用。
    裸金属服务器 BMS
  • 裸金属服务器 BMS-初始化Linux数据盘(parted):设置开机自动挂载磁盘
    设置开机自动挂载磁盘 如果您需要在服务器系统启动时自动挂载磁盘,不能采用在 /etc/fstab直接指定 /dev/sdb1的方法,因为云中设备的顺序编码在关闭或者开启服务器过程中可能发生改变,例如/dev/sdb可能会变成/dev/sdc。推荐使用UUID来配置自动挂载数据盘。 磁盘的UUID(Universally Unique Identifier)是Linux系统为磁盘分区提供的唯一的标识字符串。 执行如下命令,查询磁盘分区的UUID。 blkid 磁盘分区 以查询磁盘分区“/dev/sdb1”的UUID为例: blkid /dev/sdb1 回显类似如下信息: [root@bms-b656 test]# blkid /dev/sdb1 /dev/sdb1: UUID="1851e23f-1c57-40ab-86bb-5fc5fc606ffa" TYPE="ext4" 表示“/dev/sdb1”的UUID。 执行以下命令,使用vi编辑器打开“fstab”文件。 vi /etc/fstab 按“i”,进入编辑模式。 将光标移至文件末尾,按“Enter”,添加如下内容。 UUID=1851e23f-1c57-40ab-86bb-5fc5fc606ffa /mnt/sdc ext4 defaults 0 2 按“ESC”后,输入:wq,按“Enter”。 保存设置并退出编辑器。
    裸金属服务器 BMS
共100000条
undefined

搜索反馈

您找到想要的内容了吗?

是的 没有

意见反馈

0/200

提交 取消

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!
推荐文章