华为云用户手册

上传镜像文件（Linux） 推荐您使用OBS Browser+工具将外部镜像文件上传至OBS个人桶，详细操作请参见“OBS Browser+最佳实践”。 OBS Browser+工具下载方式：https://support.huaweicloud.com/browsertg-obs/obs_03_1003.html 桶文件要和待注册的镜像属于同一区域。 上传到OBS桶的外部镜像文件必须是非加密状态的或者采用SSE-KMS加密方式加密的文件。 上传到OBS桶的外部ISO镜像文件仅支持非加密状态。 上传到OBS桶的外部镜像文件使用快速导入功能时仅支持非加密状态。 OBS桶和镜像文件的存储类别必须是标准存储。 如果您希望在创建系统盘镜像时携带数据盘一起创建，还需要准备数据盘所在的镜像文件，并将该文件上传至OBS桶。最终将生成一个系统盘镜像、一个或多个（1~3个）数据盘镜像。 父主题： 通过外部镜像文件创建Linux系统盘镜像

上传镜像文件（Windows） 推荐您使用OBS Browser+工具将外部镜像文件上传至OBS个人桶，详细操作请参见“OBS Browser+最佳实践”。 OBS Browser+工具下载方式：https://support.huaweicloud.com/browsertg-obs/obs_03_1003.html 桶文件要和待注册的镜像属于同一区域。 上传到OBS桶的外部镜像文件必须是非加密状态的或者采用SSE-KMS加密方式加密的文件。 上传到OBS桶的外部ISO镜像文件仅支持非加密状态。 上传到OBS桶的外部镜像文件使用快速导入功能时仅支持非加密状态。 OBS桶和镜像文件的存储类别必须是标准存储。 如果您希望在创建系统盘镜像时携带数据盘一起创建，还需要准备数据盘所在的镜像文件，并将该文件上传至OBS桶。最终将生成一个系统盘镜像、一个或多个（1~3个）数据盘镜像。 父主题： 通过外部镜像文件创建Windows系统盘镜像

操作场景 用户可以取消共享给其他用户的镜像。取消后，存在如下影响： 接受者无法通过管理控制台或API查询到该镜像。 接受者无法使用该镜像创建云服务器或云硬盘，或者为已有云服务器切换操作系统。 接受者使用共享镜像创建的云服务器无法重装操作系统，也不能创建相同配置的云服务器。 取消共享镜像时，如果同一个镜像给项目ID、账号ID和组织均有共享，且他们之间有包含关系，则必须全部取消后才能彻底取消，否则未取消的共享关系仍然生效。

共享过程 用户A作为共享镜像提供者，用户B作为共享镜像接受者时，用户A将私有镜像共享给用户B的具体流程如下： 用户B提供自己的项目ID或者账号ID或者组织URN给用户A。 项目ID和账号ID获取请参考项目ID和账号ID，组织URN获取请参考查看组织详细信息。 用户A共享指定的镜像给用户B。 用户B确认接受用户A的共享镜像。 用户B可以使用用户A共享的镜像，完成创建云服务器等操作。 如果基于账号ID或者组织共享镜像，则用户B无需接受即可使用。

约束与限制 用户只能共享自己没有发布为市场镜像的私有镜像，已经发布为市场镜像的不能共享。 镜像支持共享到同一区域内的其他租户。如果您需要共享到不同区域，请先复制镜像到目标区域后再共享。 系统盘镜像和数据盘镜像最多可以共享给128个租户或者项目或者组织，整机镜像最多可以共享给10个租户或者项目或者组织。 基于账号ID或者组织共享镜像目前仅在部分区域支持，具体请以控制台显示为准。 只有通过云备份或云服务器（未通过旧版 CS BS服务生成备份）创建的整机镜像，才支持共享。

操作步骤 请按照通过镜像创建云服务器中的操作指导创建弹性云服务器。 在配置参数时，需要注意以下几点： 区域：必须选择私有镜像所在的区域。 规格：在选择规格时，需要结合镜像的操作系统类型以及“弹性云服务器类型与支持的操作系统版本”了解支持选择的规格范围。 镜像：选择“私有镜像”，并在下拉列表中选择所创建的私有镜像。 （可选）数据盘：添加数据盘，该数据盘使用随系统盘镜像一起创建出来的数据盘镜像来创建，这样便可以将原平台虚拟机的系统盘和数据盘数据一起迁移到当前云平台。

操作步骤 请按照通过镜像创建云服务器中的操作指导创建弹性云服务器。 在配置参数时，需要注意以下几点： 区域：必须选择私有镜像所在的区域。 规格：在选择规格时，需要结合镜像的操作系统类型以及“弹性云服务器类型与支持的操作系统版本”了解支持选择的规格范围。 镜像：选择“私有镜像”，并在下拉列表中选择所创建的私有镜像。 （可选）数据盘：添加数据盘，该数据盘使用随系统盘镜像一起创建出来的数据盘镜像来创建，这样便可以将原平台虚拟机的系统盘和数据盘数据一起迁移到当前云平台。

查看Windows操作系统云服务器虚拟化类型 您可以在cmd窗口输入以下命令，查看当前云服务器的虚拟化类型。 systeminfo 查看回显信息中System Manufacturer和BIOS版本显示为XEN，说明当前云服务器为XEN虚拟化类型，如果需要同时支持KVM虚拟化，请参考本章节操作优化Windows私有镜像。 如果查出来的虚拟化类型为KVM，也建议您优化私有镜像，避免最终发放的云服务器出现一些不可预知的异常。 图1 查看Windows云服务器虚拟化类型 父主题： 优化私有镜像（Windows）

PV driver Windows私有镜像优化过程中，使用的PV driver软件包及获取路径如表1所示。 表1 PV driver软件包及获取路径 软件包 适用操作系统 获取方式 pvdriver-win2008R2-64bit.zip Windows Server 2008 R2 64bit https://ecs-instance-driver.obs.cn-north-1.myhuaweicloud.com/pvdriver-win2008R2-64bit.zip pvdriver-win2012-64bit.zip Windows Server 2012 64bit https://ecs-instance-driver.obs.cn-north-1.myhuaweicloud.com/pvdriver-win2012-64bit.zip pvdriver-win2012R2-64bit.zip Windows Server 2012 R2 64bit https://ecs-instance-driver.obs.cn-north-1.myhuaweicloud.com/pvdriver-win2012R2-64bit.zip pvdriver-win2016-64bit.zip Windows Server 2016 64bit https://ecs-instance-driver.obs.cn-north-1.myhuaweicloud.com/pvdriver-win2016-64bit.zip pvdriver-win2019-64bit.zip Windows Server 2019 64bit https://ecs-instance-driver.obs.cn-north-1.myhuaweicloud.com/pvdriver-win2019-64bit.zip

其他约束限制 暂不支持创建带有数据盘的镜像，镜像文件中必须只能包含系统盘，且系统盘大小范围为：[40GB, 1024GB] 镜像文件的初始密码至少包含以下4种字符：大写字母、小写字母、数字、特殊字符（!@$%^-_=+[{}]:,./?） 镜像启动分区和系统分区必须包含在同一个磁盘中。 外部镜像文件必须包含可用的Tenant Administrator账号和密码。 通过外部镜像文件创建的Windows系统盘镜像，在创建云服务器时，不支持密钥对登录方式，也无法通过密钥对获取密码。 支持的镜像引导方式： x86架构部分操作系统镜像支持UEFI启动方式（查看支持UEFI启动方式的操作系统）。 ARM架构操作系统镜像仅支持UEFI启动方式。 镜像文件必须为非加密，否则可能导致镜像注册后创建的云服务器无法正常使用。 VMDK格式的镜像文件必须是从VMWare Tools中导出后的虚拟机生成的文件，否则可能会因镜像解析问题导致系统无法正常启动。

镜像文件属性限制 表2 Windows操作系统的镜像文件属性限制 镜像文件属性 条件 操作系统 Windows Server 2008相关版本、Windows Server 2012相关版本、Windows Server 2016相关版本、Windows Server 2019相关版本、Windows 10 支持32位和64位 操作系统不能与特定的硬件绑定 操作系统必须支持全虚拟化 所支持的操作系统版本请参考“外部镜像文件支持的格式和操作系统类型”，在此范围内的操作系统支持后台自动化配置（详情请参阅“通过镜像文件注册私有镜像过程中，系统会对镜像做哪些修改？”），在此之外的操作系统请您自行排查及安装Guest OS driver驱动，在注册镜像页面选择Other Windows，导入后系统启动情况取决于驱动完备度。 镜像格式 VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD。 镜像大小 如果镜像大小不超过128GB，使用导入镜像功能。 如果镜像大小介于128GB和1TB之间，需要将镜像文件转换为RAW或ZVHD2格式，然后使用快速导入功能进行导入。 参考“通过qemu-img-hw工具转换镜像格式”转换镜像格式。 参考“快速导入镜像文件”了解快速导入功能。

外部镜像文件导出前的初始化配置 以下操作配置需要在虚拟机内部完成，强烈建议您在原平台的虚拟机实施修改后，再导出镜像文件。如果您在导出镜像文件前未完成以下配置，推荐您使用云服务器完成这些配置，具体操作请参见“Windows外部镜像文件在导出前未完成初始化配置，怎么办？”。 表1 外部镜像文件导出前的初始化配置 配置分类 配置项 网络能力 必选项，不设置会导致云服务器启动异常或网络能力异常，包括： 设置网卡属性为DHCP 可选项，即增值能力，主要包括： 开启网卡多队列 开启网卡多队列功能可以将网卡中断分散给不同的CPU处理，实现负载均衡，从而提升网络PPS和带宽性能。操作方法请参考“如何设置镜像的网卡多队列属性”。 配置动态获取IPv6地址 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。镜像中配置动态获取IPv6地址，发放的云服务器能够同时支持IPv4和IPv6地址。配置方法请参考“如何开启云服务器动态获取IPv6”。 工具 强烈建议安装Cloudbase-Init工具。 Cloudbase-Init是开源的云初始化工具，使用安装了Cloudbase-Init的镜像创建云服务器时可以通过“用户数据注入”功能，注入初始化自定义信息（例如为云服务器设置登录密码）；还可以通过查询、使用元数据，对正在运行的云服务器进行配置和管理。不安装Cloudbase-Init工具，将无法对云服务器进行自定义配置，只能使用镜像原有密码登录云服务器。 安装方法请参考安装并配置Cloudbase-Init工具。 在Cloudbase-Init安装完成后，请确认云服务器是否需要加入域，或是否需要保证SID唯一。如果是，请参考执行Sysprep确保在云服务器加入域后SID唯一。 插件 为了保证使用私有镜像创建的新云服务器可以实现一键式重置密码功能（参见“在控制台重置云服务器密码”了解更多），建议您在创建私有镜像前安装密码重置插件CloudResetPwdAgent。 详情请参见安装一键式重置密码插件（Windows）。 驱动 云服务器的正常运行依赖于XEN Guest OS driver（PV driver）和KVM Guest OS driver（virtio驱动），为了同时支持XEN虚拟化和KVM虚拟化，以及提升云服务器网络性能，需要确保镜像安装了PV driver和virtio驱动。 安装PV driver 安装virtio驱动 对于一些GPU类型的弹性云服务器，需要在制作私有镜像时安装特殊驱动，详情请参考安装Windows特殊驱动。

镜像文件属性限制 表2 Linux操作系统的镜像文件属性限制 镜像文件属性 条件 操作系统 SUSE、Oracle Linux、Red Hat、Ubuntu、openSUSE、CentOS、Debian、Fedora、EulerOS、中标麒麟 支持32位和64位 操作系统不能与特定的硬件绑定 操作系统必须支持全虚拟化 所支持的操作系统版本请参考“外部镜像文件支持的格式和操作系统类型”，在此范围内的操作系统支持后台自动化配置（详情请参阅“通过镜像文件注册私有镜像过程中，系统会对镜像做哪些修改？”），在此之外的操作系统请您自行排查及安装virtio驱动（详见安装原生的KVM驱动），在注册镜像页面选择Other Linux，导入后系统启动情况取决于驱动完备度。 镜像格式 VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD 镜像大小 镜像大小不超过128GB。 如果镜像大小介于128GB和1TB之间，需要将镜像文件转换为RAW或ZVHD2格式，然后使用快速导入功能进行导入。 参考“通过qemu-img-hw工具转换镜像格式”转换镜像格式。 参考“快速导入镜像文件”了解快速导入功能。

其他约束限制 暂不支持创建带有数据盘的镜像，镜像文件中必须只能包含系统盘，且系统盘大小范围为：[40GB, 1024GB] 镜像文件的初始密码至少包含以下4种字符：大写字母、小写字母、数字、特殊字符（!@$%^-_=+[{}]:,./?） 镜像启动分区和系统分区必须包含在同一个磁盘中 支持的镜像引导方式： x86架构部分操作系统镜像支持UEFI启动方式（查看支持UEFI启动方式的操作系统）。 ARM架构操作系统镜像仅支持UEFI启动方式。 镜像文件必须为非加密，否则可能导致镜像注册后创建的云服务器无法正常使用。 “/etc/fstab”文件中不能包含非系统盘的自动挂载信息，否则创建的云服务器可能无法正常登录。 如果外部镜像文件的系统盘为LVM设备，通过该镜像文件注册的私有镜像用来创建云服务器时，不支持文件注入。 外部镜像文件所在虚拟机如果经历了关机过程，则必须是优雅关机，否则使用私有镜像创建的云服务器在启动时可能会出现蓝屏。 VMDK格式的镜像文件必须是从VMWare Tools中导出后的虚拟机生成的文件，否则可能会因镜像解析问题导致系统无法正常启动。

外部镜像文件导出前的初始化配置 以下操作配置需要在虚拟机内部完成，强烈建议您在原平台的虚拟机实施修改后，再导出镜像文件。如果您在导出镜像文件前未完成以下配置，推荐您使用云服务器完成这些配置，具体操作请参见“Linux外部镜像文件在导出前未完成初始化配置，怎么办？”。 表1 外部镜像文件导出前的初始化配置 配置分类 配置项 网络能力 必选项，不设置会导致云服务器启动异常或网络能力异常，包括： 清理网络规则文件 设置网卡属性为DHCP 可选项，即增值能力，主要包括： 开启网卡多队列 开启网卡多队列功能可以将网卡中断分散给不同的CPU处理，实现负载均衡，从而提升网络PPS和带宽性能。操作方法请参考“如何设置镜像的网卡多队列属性”。 配置动态获取IPv6地址 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。镜像中配置动态获取IPv6地址，发放的云服务器能够同时支持IPv4和IPv6地址。配置方法请参考“如何开启云服务器动态获取IPv6”。 工具 强烈建议安装Cloud-Init工具。 Cloud-Init是开源的云初始化工具，使用安装了Cloud-Init的镜像创建云服务器时可以通过“用户数据注入”功能，注入初始化自定义信息（例如为云服务器设置登录密码）；还可以通过查询、使用元数据，对正在运行的云服务器进行配置和管理。不安装Cloud-Init工具，将无法对云服务器进行自定义配置，只能使用镜像原有密码登录云服务器。 安装方法请参考安装Cloud-Init工具。 插件 为了保证使用私有镜像创建的新云服务器可以实现一键式重置密码功能（参见“在控制台重置云服务器密码”了解更多），建议您在创建私有镜像前安装密码重置插件CloudResetPwdAgent。 详情请参见安装一键式重置密码插件（Linux）。 驱动 安装原生的KVM驱动 文件系统 修改grub文件磁盘标识方式为UUID 修改fstab文件磁盘标识方式为UUID 数据盘 如果创建私有镜像所使用的原云服务器挂载了多个数据盘，可能导致由私有镜像创建的新云服务器无法使用。因此在创建私有镜像前，需要卸载原云服务器中挂载的所有数据盘。 详情请参考卸载云服务器的数据盘。

执行结果 待确认：对于用户B未及时处理（接受或拒绝）的共享镜像，该共享镜像处于待确认状态。 待确认的共享镜像不会显示在共享镜像列表中。 接受：接受后，该镜像将显示在共享镜像列表中。用户B可以使用共享镜像列表中的镜像创建云服务器。 拒绝：拒绝后，该镜像不会显示在共享镜像列表中。您可以通过单击“已拒绝镜像”，查看被拒绝的共享镜像。被拒绝的镜像支持再次被接受。 如果同时存在基于项目ID和账号ID的共享，即使项目ID未被接受或者被拒绝，共享镜像列表依然可以看到该镜像，且可以继续使用。 如果同时存在基于项目ID和组织的共享，即使项目ID未被接受或者被拒绝，共享镜像列表依然可以看到该镜像，且可以继续使用。

后续操作 用户B接受用户A共享的系统盘镜像或整机镜像后，用户B可以进行以下操作： 使用共享镜像创建一台或多台云服务器，在选择镜像时，选择“共享镜像”即可。具体操作请参见“自定义购买ECS”。 使用共享镜像为已有云服务器更换操作系统。具体操作请参见“切换操作系统”。 图4 切换操作系统 用户B接受用户A共享的数据盘镜像后，用户B可以使用该镜像申请新的云硬盘，在共享镜像的操作列单击“申请数据盘”即可。

操作场景 用户可以通过区域内复制镜像功能实现加密镜像与非加密镜像的转换，或者使镜像具备一些高级特性（如快速发放）。用户复制镜像的场景如下： 将加密镜像复制为非加密镜像 目前，加密镜像不允许共享和发布为市场镜像。如果用户需要将自己的加密镜像发布为市场镜像或者共享给某个租户，则可以通过镜像复制功能将加密的私有镜像复制为非加密私有镜像，再共享或者发布该非加密私有镜像。 将加密镜像复制为加密镜像 目前，加密镜像不支持更换加密密钥。如果用户需要更换某个加密镜像的加密密钥，则可以通过镜像复制功能，选择新的加密密钥，将原来的加密镜像重新加密为新的私有镜像。 将非加密镜像复制为加密镜像 如果用户需要将原来某个非加密的镜像采用加密方式进行保存，则可以通过镜像复制功能，指定加密密钥，将原有的非加密镜像复制为新的一个加密私有镜像。 优化系统盘镜像使其支持云服务器快速发放 系统盘镜像支持快速发放特性，可有效缩短云服务器实例的下发时间。存量系统盘镜像可能不支持快速发放，需要使用区域内复制镜像功能进行优化。假设A镜像不支持快速发放，复制为copy_A镜像后，就可以使用copy_A镜像快速发放云服务器实例了。

前提条件 创建私有镜像前，请您务必执行以下操作： 请将云服务器中的敏感数据删除后再创建私有镜像，避免数据安全隐患。 确保云服务器处于运行中或关机状态。 检查云服务器的网络配置，确保网卡属性为DHCP方式，按需开启远程桌面连接功能。详情请参见设置网卡属性为DHCP（Windows）和开启远程桌面连接功能。 有些云服务器正常运行或者高级功能依赖某些驱动，例如：GPU加速型云服务器依赖Tesla驱动和GRID/vGPU驱动。因此，需要提前安装特殊驱动。详情请参见安装Windows特殊驱动。 检查云服务器中是否已安装一键式重置密码插件，保证镜像创建的新云服务器可以使用控制台的“重置密码”功能进行密码重置。详情请参见安装一键式重置密码插件（Windows）。 检查云服务器中是否已安装Cloudbase-Init工具，保证镜像创建的新云服务器可以使用控制台的“用户数据注入”功能注入初始化自定义信息（例如为云服务器设置登录密码）。详情请参见安装并配置Cloudbase-Init工具。 检查并安装virtio驱动，确保镜像创建的新云服务器支持KVM虚拟化，并且可以提升云服务器网络性能。 详细操作请参见优化过程（Windows）中的步骤2~步骤4。 执行Sysprep操作，确保镜像创建的新云服务器加入域后SID唯一。对于集群部署场景，SID需要保持唯一。详情请参见执行Sysprep。 用于创建系统盘镜像的系统盘，磁盘容量需≤1TB。 系统盘容量大于1TB时，不支持创建系统盘镜像，此时请选择创建整机镜像。 如果待创建私有镜像的云服务器使用的是公共镜像，那么默认已安装一键式重置密码插件和Cloudbase-Init工具，指导中均提供了验证是否安装的方法，您可以参考相应内容确认。

背景知识 通过云服务器创建系统盘镜像的过程如下：从现有镜像开始，创建一个云服务器实例，自定义该实例，从该实例创建新的镜像，并最终创建新的实例，如图1所示。 图1 系统盘镜像使用流程 创建系统盘镜像常见于应用扩容场景。也可用于混合云部署场景，为了实现云上及线下资源同步，可以借助镜像导入导出功能，实现过程如下： 基于云服务器制作系统盘镜像 基于如下镜像类型创建的云服务器所制作的系统盘镜像不支持导出： ISO镜像 SUSE、Red Hat、Ubuntu、Oracle Linux公共镜像所创建的私有镜像 市场镜像所创建的私有镜像 将镜像导出到OBS桶，详情可参阅导出镜像。 下载OBS桶中的镜像文件 无需关闭云服务器即可创建镜像。 创建过程中，对云服务器正在运行的业务没有影响。 创建过程中，请勿改变云服务器状态，不要关闭、开启或者重启云服务器，避免创建失败。 镜像创建时间取决于云服务器系统盘的大小，也与网络状态、并发任务数有关。 云服务器及通过云服务器创建的系统盘镜像属于同一个区域。例如，云服务器所在区域为“华北-北京四”，则通过云服务器创建的系统盘镜像也位于“华北-北京四”。如需在其他区域使用该镜像，请先复制镜像到目标区域，详情可参阅跨区域复制镜像。 如果云服务器已到期或释放，使用您提前创建的系统盘镜像创建新的云服务器，可找回原云服务器中的数据。

前提条件 创建私有镜像前，请您务必执行以下操作： 请将云服务器中的敏感数据删除后再创建私有镜像，避免数据安全隐患。 确保云服务器处于运行中或关机状态。 检查云服务器的网络配置，确保网卡属性为DHCP方式。详情请参见设置网卡属性为DHCP（Linux）。 有些云服务器正常运行或者高级功能依赖某些驱动，例如：P1型云服务器依赖NVIDIA驱动。因此，需要提前安装特殊驱动。详情请参见安装Linux特殊驱动。 检查云服务器中是否已安装一键式重置密码插件，保证镜像创建的新云服务器可以使用控制台的“重置密码”功能进行密码重置。详情请参见安装一键式重置密码插件（Linux）。 检查云服务器中是否已安装Cloud-Init工具，保证镜像创建的新云服务器可以使用控制台的“用户数据注入”功能注入初始化自定义信息（例如为云服务器设置登录密码）。详情请参见安装Cloud-Init工具和配置Cloud-Init工具。 清理网络规则文件，避免镜像创建的新云服务器发生网卡名称漂移。详情请参见清理网络规则文件。 为了确保镜像创建的新云服务器同时支持XEN虚拟化和KVM虚拟化，请优化Linux云服务器，包括修改“grub”、“fstab”文件的磁盘标识方式为UUID、安装原生的XEN和KVM驱动等操作。 详细操作请参考优化过程（Linux）中的步骤2~步骤6。 如果云服务器挂载了多个数据盘，可能导致由私有镜像创建的新云服务器无法使用。因此在创建私有镜像前，需要卸载原云服务器中挂载的所有数据盘。详情请参见卸载云服务器的数据盘。 如果云服务器挂载了数据盘，并在初始化时设置了开机自动挂载磁盘分区，在创建私有镜像前，需要删除fstab文件中的开机自动挂载磁盘分区的配置。 用于创建系统盘镜像的系统盘，磁盘容量需≤1TB。 系统盘容量大于1TB时，不支持创建系统盘镜像，此时请选择创建整机镜像。 如果待创建私有镜像的云服务器使用的是公共镜像，那么默认已安装一键式重置密码插件和Cloud-Init工具，指导中均提供了验证是否安装的方法，您可以参考相应内容确认。

示例流程 图1 给用户授予IMS权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予 镜像服务 只读权限“IMS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限（假设当前权限仅包含IMS ReadOnlyAccess）。 在“服务列表”中选择镜像服务，进入IMS主界面，执行除查询以外的其他操作，如：创建、修改、删除等。 示例：单击右上角“创建私有镜像”，若提示权限不足，表示“IMS ReadOnlyAccess”已生效。 在“服务列表”中选择除镜像服务外的任意一个服务，如“虚拟私有云”，若提示权限不足，表示“IMS ReadOnlyAccess”已生效。

操作场景 如果需要对您所拥有的IMS资源进行精细的权限管理，可以使用 统一身份认证 服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的华为账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用IMS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将IMS资源委托给更专业、高效的其他华为账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果华为账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用IMS的其它功能。 本章节以授予“IMS ReadOnlyAccess”权限为例介绍为用户授权的方法，操作流程如图1所示。

操作步骤 您可以执行以下命令，查看当前云服务器的虚拟化类型。 lscpu 如果回显信息中的Hypervisor vendor为XEN，说明当前云服务器为XEN虚拟化类型，请按照私有镜像优化过程对私有镜像进行优化。 如果回显信息中的Hypervisor vendor为KVM，说明当前云服务器为KVM虚拟化类型。请根据步骤2进一步判断是否需要优化。 图1 查看Linux云服务器虚拟化类型 确认当前系统是否包含virtio驱动。不同操作系统执行命令有所不同，请根据系统类型选择对应的命令执行。 CentOS/EulerOS系列 如果引导的虚拟文件系统是initramfs，执行以下命令。 lsinitrd /boot/initramfs-`uname -r`.img | grep virtio 如果引导的虚拟文件系统是initrd，执行如下命令。 lsinitrd /boot/initrd-`uname -r` | grep virtio Ubuntu/Debian系列 lsinitramfs /boot/initrd.img-`uname -r` |grep virtio SUSE和openSUSE系列 版本低于SUSE 12 SP1/openSUSE 13 lsinitrd /boot/initrd-`uname -r` | grep virtio 版本为SUSE 12 SP1或高于SUSE 12 SP1/openSUSE 13 如果引导的虚拟文件系统是initramfs，执行以下命令。 lsinitrd /boot/initramfs-`uname -r`.img | grep virtio 如果引导的虚拟文件系统是initrd ，执行如下命令。 lsinitrd /boot/initrd-`uname -r` | grep virtio 如果已经包含了virtio驱动，您可以直接导入私有镜像，无需优化私有镜像。更多信息，请参见通过外部镜像文件创建Linux系统盘镜像。 如果没有包含virtio驱动，请按照私有镜像优化过程对私有镜像进行优化。

操作场景 用户可以使用“镜像标签”对镜像进行分类。您可以增加、修改或删除镜像标签，也可以在镜像列表中按标签搜索需要的镜像。 镜像添加标签和使用标签搜索镜像时，查询预定义标签需要申请标签管理服务（Tag Management Service，TMS）的访问权限。 如您的组织已经设定了镜像的相关标签策略，则需按照标签策略规则为私有镜像添加标签。标签如果不符合标签策略的规则，则可能会导致私有镜像标签创建失败，请联系组织管理员了解标签策略详情。 每个标签由键值对组成，标签的key的长度不超过36个字符，value的长度不超过43个字符。key不能为空或空白字符串，value不能为空，但可以是空白字符串。 单个镜像最多添加10个标签。

操作步骤 使用VNC方式，以“root”用户登录云服务器。 执行如下命令，检查操作系统中是否安装PV driver相关的驱动。 ps -ef | grep uvp-monitor 若回显信息如下所示，表示已安装PV driver相关的驱动。 若无如下回显信息，表示未安装PV driver相关的驱动，本节操作结束。 root 4561 1 0 Jun29 ? 00:00:00 /usr/bin/uvp-monitorroot 4567 4561 0 Jun29 ? 00:00:00 /usr/bin/uvp-monitorroot 6185 6085 0 03:04 pts/2 00:00:00 grep uvp-monitor 在VNC登录窗口的云服务器操作系统界面，打开命令行终端（具体方式请查询对应操作系统的使用手册）。 进入命令行模式。 执行以下命令，卸载PV driver。 /etc/.uvp-monitor/uninstall 回显信息如下时，表示Tools卸载成功。 The PV driver is uninstalled successfully. Reboot the system for the uninstallation to take effect. 回显信息如下提示不存在“.uvp-monitor”时，请执行步骤5。 -bash: /etc/.uvp-monitor/uninstall: No such file or directory 执行如下操作，删除KVM虚拟化平台下不生效的uvp-monitor，防止日志溢出。 执行如下命令，查询操作系统是否安装了UVP用户态相关的监控程序。 rpm -qa | grep uvp 回显信息如下所示： libxenstore_uvp3_0-3.00-36.1.x86_64uvp-monitor-2.2.0.315-3.1.x86_64kmod-uvpmod-2.2.0.315-3.1.x86_64 执行如下命令，删除以下三个安装包。 rpm -e kmod-uvpmod rpm -e uvp-monitor rpm -e libxenstore_uvp

检查Cloud-Init工具相关配置是否成功 执行以下命令，无错误发生，说明Cloud-Init配置成功。 cloud-init init --local 正确安装的Cloud-Init会显示Cloud-Init的版本详细信息，并且无任何错误信息。例如，正确安装的情况下，不含有缺少文件的提示信息。 执行如下命令，可将系统用户密码有效期设置为最大。此操作可选。 chage -M 99999 $user_name 其中，user_name为系统用户，例如root账户。 密码有效期建议设置为99999。

导入镜像 IMS控制台提供了多种导入镜像的方式，您可以根据自己的镜像文件类型、格式，或者大小来选择使用何种方式。 表1 导入镜像文件 镜像文件格式 镜像文件大小 参考指导 vmdk、vhd、qcow2、vhdx、qed、vdi、qcow和zvhd 不超过128GB 通过外部镜像文件创建Windows系统盘镜像 通过外部镜像文件创建Linux系统盘镜像 通过外部镜像文件创建数据盘镜像 raw、zvhd2 不超过1TB 快速导入镜像文件 通过外部镜像文件创建数据盘镜像 iso 不超过128GB 通过ISO文件创建Windows系统盘镜像 通过ISO文件创建Linux系统盘镜像

操作场景 如果系统预置的IMS权限不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考：权限及授权项说明。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的IMS自定义策略样例。

操作场景 用户可以通过导出镜像列表信息的操作，查看镜像详情，并以CSV文件的形式将镜像列表信息导出至本地。 系统支持选择导出该区域的公共镜像信息、或用户在该区域拥有的私有镜像信息： 如果导出的是公共镜像信息，该文件记录了：镜像的名称、镜像状态、操作系统、镜像类型、创建时间、系统盘、最小内存。 如果导出的是私有镜像信息，该文件记录了：镜像的名称、镜像ID、镜像状态、操作系统、镜像类型、创建时间、磁盘容量、共享盘信息、镜像大小、是否加密等信息。