华为云用户手册

启动擎天Enclave 在父虚拟机内，使用*qt enclave start*命令创建擎天Enclave虚拟机，该命令中需要指定擎天Enclave虚拟机镜像文件。在擎天Enclave虚拟机启动后，擎天Enclave应用程序及其依赖项会被从该镜像文件中引导到擎天Enclave虚拟机中。这里以创建一个拥有2个vCPU，1G内存，CID为4的擎天Enclave虚拟机为例： [root@localhost ~]# qt enclave start --cpus 2 --mem 1024 --eif /home/docker/ubuntu.eif --cid 4Started enclave with EnclaveID : 0, EnclaveCID : 4, NumberOfCPUs : 2, MemoryMiB : 1024{ "EnclaveID": 0, "EnclaveCID": 4, "NumberOfCPUs": 2, "MemoryMiB": 1024, "LaunchMode": "debug"} 在该实例中，原镜像ubuntu中的CMD语句为/bin/bash，因此擎天Enclave启动之后将会执行该语句，执行完成后将退出并关闭。

相关角色 在这个擎天Enclave使用场景里，涉及到了以下几个角色： 安全员：拥有对机密数据和华为云KMS密钥的控制权限。作为华为云账号的所有者，他具有最高权限，例如他可以创建IAM用户并为其设置最小权限，创建加密密钥和加密敏感数据等。在本场景中，我们还假设安全员同时承担了Enclave镜像构建的工作，他获得预期的Enclave镜像度量值PCR0和PCR8，并在IAM授权策略中使用这些度量值作为条件键。 父虚拟机管理员：作为被安全员授权的运维人员，他拥有父虚拟机实例的访问权限，并能管理擎天Enclave实例的生命周期。他使用安全员构建好的擎天Enclave镜像文件来启动擎天Enclave实例。 擎天Enclave应用程序开发人员：开发在擎天Enclave中运行的应用程序。在该案例中，该应用程序需要从华为OBS服务的Bucket1获取密文对象，然后调用kms-decrypt接口对密文进行解密，进行数据处理后，最后将结果输出到Bucket2。

结合华为云KMS服务 华为云KMS服务内置了对擎天Enclave证明的支持。通过使用擎天Enclave SDK中包含的华为云KMS API，您可以在擎天Enclave实例中基于擎天Enclave证明来执行华为云KMS操作，比如解密、生成随机数和加密等操作。华为云KMS服务提取来自擎天Enclave的证明文档并根据预设的IAM授权策略对其进行访问权限控制。 比如，如下是一个IAM授权策略的举例。该授权策略允许调用KMS的解密数据或解密数据密钥功能API，但限制条件是要求请求者必须在擎天Enclave环境中运行，且Enclave的度量值PCR0和PCR8都必须和指定的PCR值相同。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:decrypt", "kms:dek:decrypt" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "kms:RecipientAttestation/PCR0": [ "c5158cb6ee9dbb0ead648c3dc80e472c85e0d67f19fb53fbd3fb94c3371aec63cdb93b80d727a7084248873b1d8e8b41" ], "kms:RecipientAttestation/PCR8": [ "705afb1012d27f4e07a25e674e6a17dec57305e29cd412184b7bcb78d9e67f16a0cc26d8706a4fab418a5da5788bc949" ] } } } ]} 父主题： 密码学证明

qt-enclave-env工具介绍 qt-enclave-env是一个service，service启动后从qt-enclave-env.conf配置文件中读取需要隔离的资源信息，并执行资源隔离操作。隔离操作需要在创建擎天Enclave虚拟机之前执行。接下来我们将介绍该服务的配置文件/etc/qingtian/enclave/qt-enclave-env.conf： #enclave虚拟机隔离大页内存类型，可配置2或1024，分别表示2M大页或1G大页 hugepage_size:1024 # 配置需要隔离的内存大小，数值需要为hugepage_size的整数倍. memory_mib:1024 # 配置需要隔离的cpu个数， 该配置项与cpu_list互斥，二者只能配置一个，否则service启动失败 cpu_count:2 # 配置需要隔离的cpu列表，可填入0以外的其他cpu id，该配置项与cpu_count互斥，二者只能配置一个，否则service启动失败 # cpu_list:2,3 需要注意的是：qt-enclave-env服务预留大页内存是否成功受父虚拟机本身内存碎片化影响，系统长时间运行或者反复重启qt-enclave-env可能导致无法预留出足够的大页内存。推荐的使用方式是在系统刚启动时，启动一次qt-enclave-env预留足够的内存即可。 父主题： 擎天CLI（qt CLI）

安装qt CLI 如果您使用其他Linux镜像，请通过华为云擎天开源仓库进行编译安装。如果您使用Huawei Cloud EulerOS系统镜像时，通过以下命令直接安装： yum install qingtian-tool 该rpm包中包含两个工具： qt-enclave-env：提供资源隔离功能，擎天Enclave虚拟机创建之前需要隔离指定内存供enclave虚拟机使用，以保证擎天Enclave虚拟机空间的绝对安全。 qt CLI：是一个擎天命令行工具。您可以使用qt CLI制作擎天Enclave虚拟机启动所需要的EIF镜像，和管理擎天Enclave虚拟机生命周期。 注意：在使用qt CLI之前，您需要预先安装python3以及几个必要的python module : docker 和knack。可以参考以下命令进行安装： pip3 install docker knack 父主题： 擎天CLI（qt CLI）

qt enclave console 在启动擎天Enclave时，指定为debug-mode时，用于在父虚拟机中查看擎天Enclave中的只读控制台输出，命令格式如下： [root@localhost ~]# qt enclave console -h Command qt enclave console : Console an enclave via the enclave-id while debugging. Arguments --enclave-id [Required] Global Arguments --debug : Increase logging verbosity to show all debug logs. --help -h : Show this help message and exit. --only-show-errors : Only show errors, suppressing warnings. --output -o : Output format. Allowed values: json, jsonc, none, table, tsv, yaml, yamlc. Default: json. --query : JMESPath query string. See http://jmespath.org/ for more information and examples. --verbose : Increase logging verbosity. Use --debug for full debug logs. Examples Given an enclave-id to console an enclave qt enclave console --enclave-id [ENCLAVE-ID] 必选项：--enclave-id，指定需要获取只读控制台输出的擎天Enclave虚拟机的enclave-id。 命令行执行成功后，会打印擎天Enclave虚拟机的只读控制台输出，如下所示： hello enclave! hello enclave! hello enclave! hello enclave! 您可以使用ctrl+c的方式退出该命令。需要注意的是，在同一时间我们只允许一个qt enclave console命令作用于一个指定的擎天Enclave实例。

qt enclave query 该命令用于在父虚拟机内查询当前已创建的擎天Enclave虚拟机信息，命令格式如下： [root@localhost ~]# qt enclave query -h​Command qt enclave query : Query an enclave via the enclave-id or query all enclaves.​Arguments --enclave-id​Global Arguments --debug : Increase logging verbosity to show all debug logs. --help -h : Show this help message and exit. --only-show-errors : Only show errors, suppressing warnings. --output -o : Output format. Allowed values: json, jsonc, none, table, tsv, yaml, yamlc. Default: json. --query : JMESPath query string. See http://jmespath.org/ for more information and examples. --verbose : Increase logging verbosity. Use --debug for full debug logs.​Examples Given an enclave-id to query an enclave qt enclave query --enclave-id [ENCLAVE-ID]​ Query all enclaves without enclave-id qt enclave query

qt enclave make-img 该命令用于将用户制作好的docker镜像转换为擎天Enclave虚拟机可用的镜像，命令格式如下： [root@localhost ~]# qt enclave make-img -hCommand qt enclave make-img : Make an eif image from a docker image.Arguments --docker-uri [Required] --eif [Required] --private-key --signing-certificateGlobal Arguments --debug : Increase logging verbosity to show all debug logs. --help -h : Show this help message and exit. --only-show-errors : Only show errors, suppressing warnings. --output -o : Output format. Allowed values: json, jsonc, none, table, tsv, yaml, yamlc. Default: json. --query : JMESPath query string. See http://jmespath.org/ for more information and examples. --verbose : Increase logging verbosity. Use --debug for full debug logs.Examples Given docker-uri and eif to make an eif image qt enclave make-img --docker-uri [DOCKER-URI] --eif [EIF] Make an eif image with private-key and signing-certificate qt enclave make-img --docker-uri [DOCKER-URI] --eif [EIF] --private-key [PRIVATE-KEY] --signing-certificate [SIGNING-CERTIFICATE]

操作场景 弹性云服务器支持性能助手功能，实时检测云服务器的CPU负载情况。当云服务器的CPU负载超过阈值时，会提示您调整配置，并提供推荐规格。 触发“调整配置”提醒的阈值为：云服务器在最近72小时内，开机时间超过36小时，且“CPU使用率”的中位数超过75%。 关于监控指标“CPU使用率”的详细描述，请参见弹性云服务器支持的基础监控指标。 本章节介绍当云服务器CPU偏高、超过阈值时，系统提示调整配置时的操作指导。

错误码 错误码 错误信息 描述 处理措施 01 Missing necessary argument. 必要参数缺失 请您对命令参数进行检查 02 Invalid argument provided. 无效参数 请您对命令参数进行检查 03 File operation failure. 文件操作错误 请您检查目标文件或目录是否存在 04 Ioctl get sandbox capacity failure. Ioctl获取sandbox capacity错误 请您联系华为云技术支撑人员帮您处理 05 Ioctl define sandbox failure. Ioctl定义sandbox错误 请您联系华为云技术支撑人员帮您处理 06 Invalid parameters provided in configuration file. 配置文件中存在无效参数 请您检查对应配置文件 07 Missing necessary parameters in configuration file. 配置文件中缺少必要参数 请您检查对应配置文件 08 Mmap memory failure. Mmap内存错误 请您联系华为云技术支撑人员帮您处理 09 Ioctl add memory failure. Ioctl增加内存错误 请您联系华为云技术支撑人员帮您处理 10 Load image failure because provided memory is too small. 加载镜像错误，可能是因为设置的内存大小不够 请您在启动擎天Enclave时，增加内存参数设置 11 Ioctl add cpu failure. Ioctl增加vcpu错误 请您联系华为云技术支撑人员帮您处理 12 Lock acquire failure. 请求锁失败 请您检查qt CLI日志信息，查看对应锁文件权限是否正常 13 Socket initialization failure. Socket初始化失败 请您联系华为云技术支撑人员帮您处理 14 Socket binding failure. Socket绑定错误 请您联系华为云技术支撑人员帮您处理 15 Socket listen failure. Socket监听错误 请您联系华为云技术支撑人员帮您处理 16 Socket accept failure. Socket执行接收错误 请您联系华为云技术支撑人员帮您处理 17 Write heartbeat to the enclave failure. 给擎天Enclave写入心跳信息出错 请您联系华为云技术支撑人员帮您处理 18 Read heartbeat from the enclave failure. 读取擎天Enclave心跳信息出错 请您联系华为云技术支撑人员帮您处理 19 Ioctl start an enclave failure. Ioctl启动擎天Enclave失败 请您联系华为云技术支撑人员帮您处理 20 Wait heartbeat timeout. 等待心跳信息超时 请您在启动擎天Enclave时，增加内存参数配置；如未能解决，请您联系华为云技术支撑人员帮您处理 21 Get json print object failure. 获取json打印对象失败 请您检查cjson库是否正常 22 Write enclave's configuration file failure. 生成擎天Enclave配置文件失败 请您查看qt CLI日志信息，排查相关文件权限；如未能解决，请您联系华为云技术支撑人员帮您处理 23 Socket connection failure Socket连接错误 请您联系华为云技术支撑人员帮您处理 24 Write cmd to the enclave server failure. 向擎天Enclave后台服务写入命令失败 请您联系华为云技术支撑人员帮您处理 25 Read message from the enclave server failure. 获取擎天Enclave后台服务信息失败 请您联系华为云技术支撑人员帮您处理 26 Create cjson object failure. 创建cjson对象失败 请您检查cjson库是否正常 27 Create cjson array failure. 创建cjson数组失败 请您检查cjson库是否正常 28 The required enclave is not running. 被请求的擎天Enclave实例并没有在运行 请您使用qt enclave query命令查看目前正在运行的擎天Enclave 29 Invalid enclave pid. 无效的Enclave PID 请您联系华为云技术支撑人员帮您处理 30 Add number into cjson object failure. 向cjson打印对象中增加数字失败 请您检查cjson库是否正常 31 Add string into cjson object failure. 向cjson打印对象中增加字符串失败 请您检查cjson库是否正常 32 The required enclave is not running in the debug mode. 被请求的擎天Enclave实例没有运行在debug模式下 请您使用qt enclave query 查询该擎天Enclave运行模式 33 Enclave console read failure. 擎天Enclave console命令读取失败 请您联系华为云技术支撑人员帮您处理 34 Write img header failure. 创建镜像时，写入镜像头文件失败 请您联系华为云技术支撑人员帮您处理 35 Write cmdline failure. 创建镜像时，写入cmdline失败 请您联系华为云技术支撑人员帮您处理 36 Write kernel failure. 创建镜像时，写入kernel失败 请您联系华为云技术支撑人员帮您处理 37 Write initrd failure. 创建镜像时，写入initrd失败 请您联系华为云技术支撑人员帮您处理 38 Write certificate failure. 创建镜像时，写入证书失败 请您联系华为云技术支撑人员帮您处理 39 Get pcr failure. 获取PCR值失败 请您联系华为云技术支撑人员帮您处理 40 Add signature failure. 创建镜像时，对镜像签名出错 请您联系华为云技术支撑人员帮您处理 41 The required enclave is in maintenance state. 被请求的擎天Enclave实例正处于维护阶段 请您联系华为云技术支撑人员帮您处理 父主题： 擎天Enclave管理

密钥对 密钥对，即SSH密钥对，是为用户提供远程登录云服务器的认证方式，是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥，公钥自动保存在KPS（Key Pair Service）中，私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云服务器，因此，可以防止由于密码被拦截、破解造成的帐户密码泄露，从而提高Linux云服务器的安全性。 您可以通过数据加密服务（Data Encryption Workshop）管理密钥对，包括创建、导入、绑定、查看、重置、替换、解绑、删除密钥对等。 本章节主要介绍如何创建和导入密钥对，其余操作，请参见“管理密钥对”。

使用场景 用户在购买弹性云服务器时，建议选择密钥对进行用户身份认证，或者通过提供的密钥对获取Windows操作系统弹性云服务器的登录密码。 登录Linux操作系统的弹性云服务器 若用户购买的是Linux操作系统的弹性云服务器，可以直接使用密钥对远程登录云服务器。 创建弹性云服务器时，选择“密钥对方式”登录，详细操作，请参见步骤三：高级配置的“设置‘登录凭证’”。 创建弹性云服务器完成后，通过“绑定密钥对”的方式为云服务器绑定密钥对。 获取Windows操作系统弹性云服务器的登录密码 若用户购买的是Windows操作系统的弹性云服务器，可以通过密钥对的私钥获取登录密码，该密码为随机密码，安全性高。 详细内容，请参见获取Windows弹性云服务器的密码

创建密钥对操作指引 您可以使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 新建密钥对 如果没有可用的密钥对，需新建一个密钥对，生成公钥和私钥，并在登录弹性云服务器时提供私钥进行鉴权。创建密钥对的方法如下： （推荐）通过管理控制台创建密钥对：公钥自动保存在系统中，私钥由用户保存在本地。 通过puttygen.exe工具创建密钥对：公钥和私钥均保存在用户本地。 创建成功的密钥对，还需要执行导入密钥对，导入系统才能正常使用密钥对。 使用已有密钥对 如果本地已有密钥对（例如，使用PuTTYgen工具生成的密钥对），可以在管理控制台导入密钥对公钥，由系统维护您的公钥文件。具体操作请参见导入密钥对。 如果已有密钥对的公钥文件是通过puttygen.exe工具的“Save public key”按钮保存的，该公钥文件不能直接导入管理控制台。 如需继续使用该密钥对作远程身份验证，请参见通过puttygen.exe工具创建的密钥对，导入管理控制台失败怎么办？

操作场景 以下两种场景，需要执行导入密钥对的操作： 通过puttygen.exe工具新建密钥对，需要将密钥对导入系统才能正常使用。 如果本地已有密钥对（例如，使用PuTTYgen工具生成的密钥对），可以在管理控制台导入密钥对公钥，由系统维护您的公钥文件。 如果已有密钥对的公钥文件是通过puttygen.exe工具的“Save public key”按钮保存的，该公钥文件不能直接导入管理控制台。 如需继续使用该密钥对作远程身份验证，请参见通过puttygen.exe工具创建的密钥对，导入管理控制台失败怎么办？

使用MSTSC方式登录Windows弹性云服务器 本地主机为Windows操作系统，那么可以使用Windows自带的远程桌面连接工具MSTSC登录Windows云服务器。 以下演示了使用MSTSC方式登录Windows 2012操作系统云服务器的操作步骤。 图1 MSTSC方式登录云服务器 详细操作步骤如下： 在本地主机单击“开始”菜单。 在“搜索程序和文件”中，输入“mstsc”，单击mstsc打开远程桌面连接工具。 在“远程桌面连接”的对话框中，单击“选项”。 图2 显示选项 输入待登录的云服务器的弹性公网IP和用户名，默认为Administrator。 如需再次登录时不再重复输入用户名和密码，可勾选“允许我保存凭据”。 图3 远程桌面链接 （可选）如需在远程会话中使用本地主机的资源，请单击“本地资源”选项卡完成如下配置。 如需从本地主机复制到云服务器中，请勾选“剪贴板”。 图4 勾选剪贴板 如需从本地主机复制文件到云服务器中，单击“详细信息”，勾选相应的磁盘。 图5 勾选驱动器 （可选）如需调整远程桌面窗口的大小，可以选择“显示”选项卡，再调整窗口大小。 图6 调整窗口大小 单击“确定”，根据提示输入密码，登录云服务器。 为安全起见，首次登录云服务器，需更改密码。 （可选）通过远程桌面连接（Remote Desktop Protocol, RDP）方式登录云服务器后，如果需要使用RDP提供的“剪切板”功能，将本地的大文件（文件大小超过2GB）复制粘贴至远端的Windows云服务器中，由于Windows系统的限制，会导致操作失败。 具体的解决方法，请参考使用远程桌面链接方式复制文件。

前提条件 弹性云服务器正常运行。 关机、故障、删除状态的弹性云服务器，无法在云监控中查看其监控指标。当弹性云服务器再次启动或恢复后，即可正常查看。 关机、故障24小时的弹性云服务器，云监控将默认该弹性云服务器不存在，并在监控列表中删除，不再对其进行监控，但告警规则需要用户手动清理。 弹性云服务器已对接云监控，即已在云监控页面设置告警规则。 对接云监控之前，用户无法查看到未对接资源的监控数据。具体操作，请参见设置告警规则。 弹性云服务器已正常运行一段时间（约10分钟）。 对于新创建的弹性云服务器，需要等待一段时间，才能查看上报的监控数据和监控视图。

前提条件 弹性云服务器状态为“运行中”。 如果弹性云服务器采用密钥方式鉴权，已获取Windows弹性云服务器的密码，获取方式请参见获取Windows弹性云服务器的密码。 弹性云服务器已经绑定弹性公网IP，绑定方式请参见绑定弹性公网IP。 使用MSTSC方式通过内网登录云服务器时可以不绑定弹性公网IP，例如VPN、云专线等内网网络连通场景。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云服务器之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 弹性云服务器开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的弹性云服务器默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。

后续处理 如果切换操作系统前后都是Linux系统，且数据盘设置了开机自动挂载分区。切换操作系统后，数据盘分区挂载信息会丢失，请更新/etc/fstab配置。 在/etc/fstab写入切换后的分区信息。 建议您先备份/etc/fstab文件。 详细操作请参考初始化Linux数据盘（fdisk），设置开机自动挂载磁盘分区。 挂载分区。挂载分区后即可开始使用数据盘。 mount 磁盘分区 挂载目录 执行以下命令，查看挂载结果。 df -TH 如果操作系统切换失败，云服务平台支持重试功能，用户可重新执行3-8，切换弹性云服务器的操作系统。 重试后，如果仍未成功，可直接联系客服，客服会在后台进行人工恢复。

前提条件 待切换操作系统的弹性云服务器挂载有系统盘。 切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区，请做好数据备份。 如果原服务器使用的是密码登录方式，切换操作系统后使用密钥登录方式，请提前创建密钥文件。 如果您使用私有镜像切换操作系统请参考《镜像服务用户指南》提前完成私有镜像的制作。 如果需要指定弹性云服务器器的镜像，请提前使用指定弹性云服务器创建私有镜像。 如果需要使用本地的镜像文件，请提前将镜像文件导入并注册为云平台的私有镜像。 如果需要使用其他区域的私有镜像，请提前复制镜像。 如果需要使用其他帐号的私有镜像，请提前完成镜像共享。

登录方式概述 请根据需要选择登录方式，登录云服务器。 表1 Linux云服务器登录方式一览 云服务器操作系统 本地主机操作系统 连接方法 条件 Linux Windows （推荐使用）使用控制台提供的CloudShell登录云服务器。 使用CloudShell登录云服务器。 云服务器绑定弹性公网IP。 （通过内网登录云服务器时可以不绑定弹性公网IP，例如VPN、云专线等内网网络连通场景。） Windows 使用PuTTY、Xshell等远程登录工具： 密码方式鉴权：SSH密码方式登录（本地使用Windows操作系统）。 密钥方式鉴权：SSH密钥方式登录（本地使用Windows操作系统）。 Linux 使用命令连接： 密码方式鉴权：SSH密码方式登录（本地使用Linux操作系统）。 密钥方式鉴权：SSH密钥方式登录（本地使用Linux操作系统）。 移动设备 使用Termius、JuiceSSH等SSH客户端工具登录云服务器： 在移动设备上登录Linux云服务器。 下载华为云APP连接云服务器： 使用华为云APP连接Linux云服务器。 Mac OS系统 使用系统自带的终端（Terminal）： Mac OS系统登录Linux弹性云服务器。 Windows 使用管理控制台远程登录方式：Linux弹性云服务器远程登录（VNC方式）。 不依赖弹性公网IP。

约束与限制 只有运行中的云服务器才允许用户登录。 Windows操作系统用户名“Administrator”。 忘记密码，请先通过“重置密码”功能设置登录密码。 重置密码：选中待重置密码的云服务器，并选择“操作”列下的“ 重置密码”。详细操作，请参见在控制台重置弹性云服务器密码。 对于密钥方式鉴权的弹性云服务器，需先通过管理控制台提供的获取密码功能，将创建弹性云服务器时使用的私钥文件解析为密码。 GPU实例中，部分G系列实例不支持云平台提供的远程登录功能，需要自行安装VNC Server进行登录。详细信息请参见GPU加速型。推荐使用MSTSC方式登录弹性云服务器。 使用MSTSC方式访问GPU加速型弹性云服务器时，使用WDDM驱动程序模型的GPU将被替换为一个非加速的远程桌面显示驱动程序，造成GPU加速能力无法实现。因此，如果需要使用GPU加速能力，您必须使用不同的远程访问工具，如VNC工具。如果使用管理控制台提供的“远程登录”功能无法满足您的访问需求，请自行在弹性云服务器上安装符合要求的远程访问工具（如Tight VNC）。 Tight VNC下载地址：https://www.tightvnc.com/download.php

登录方式概述 请根据需要选择登录方式，登录云服务器。 表1 Windows云服务器登录方式一览 云服务器操作系统 本地主机操作系统 连接方法 条件 Windows Windows （推荐使用）使用控制台提供的RDP文件登录云服务器。 使用RDP文件登录Windows云服务器。 云服务器绑定弹性公网IP （通过内网登录云服务器时可以不绑定弹性公网IP，例如VPN、云专线等内网网络连通场景。） Windows 使用mstsc方式登录云服务器。 在本地主机单击“开始”菜单，输入mstsc命令，打开远程桌面对话框。 远程桌面连接（MSTSC方式）。 Linux 安装远程连接工具，例如rdesktop，执行连接命令。 在Linux主机上登录Windows云服务器。 Mac OS系统 安装远程连接工具，例如Microsoft Remote Desktop for Mac在Mac OS系统上登录。 Mac OS系统登录Windows云服务器。 移动设备 安装远程连接工具，例如Microsoft Remote Desktop在移动设备上登录。 在移动设备上登录Windows云服务器。 Windows 使用管理控制台远程登录方式：Windows弹性云服务器管理控制台远程登录（VNC方式）。 不依赖弹性公网IP

私有镜像 私有镜像包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 表1 私有镜像类型 镜像类型 说明 系统盘镜像 包含用户运行业务所需的操作系统、应用软件的镜像。系统盘镜像可以用于创建云服务器，迁移用户业务到云。 数据盘镜像 只包含用户业务数据的镜像。数据镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 整机镜像 包含用户运行业务所需的操作系统、应用软件和业务数据的镜像。整机镜像包含系统盘和其所挂载的所有数据盘。 ISO镜像 将外部镜像的ISO文件注册到云平台的私有镜像。ISO镜像是特殊的镜像，只能发放用作临时过渡的云服务器。 如果您使用私有镜像切换操作系统请参考《镜像服务用户指南》提前完成私有镜像的制作。 如果需要指定弹性云服务器的镜像，请提前使用指定弹性云服务器创建私有镜像。 如果需要使用本地的镜像文件，请提前将镜像文件导入并注册为云平台的私有镜像。 如果需要使用其他区域的私有镜像，请提前复制镜像。 如果需要使用其他帐号的私有镜像，请提前完成镜像共享。

操作步骤 以下操作以Windows Server 2019 数据中心版操作系统，G6规格的GPU加速型实例安装Grid驱动为例进行介绍。 远程登录云服务器。 单击“启动”，打开Windows PowerShell。 图1 打开PowerShell 在PowerShell中，执行以下命令，获取驱动安装脚本并运行。 以“华北-北京四”为例介绍，更多区域请参考驱动安装脚本支持区域及获取方式。 Start-BitsTransfer -Source https://hgcs-drivers-cn-north-4.obs.cn-north-4.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 选择驱动版本与保存路径。 图2 选择驱动版本与保存路径 单击“OK”，开始安装驱动。 图3 安装驱动 图4 同意NVIDIA软件许可协议 图5 选择安装选项 驱动安装完成后，可能需要重启云服务器。 如果需要重启，单击“稍后重启”，待脚本执行完成后，手动重启云服务器。 图6 稍后重启 如果不需要重启，单击“关闭”。 图7 关闭 返回桌面，在空白处右键单击，选择“NVIDIA控制面板”，查看驱动版本，判断驱动是否安装成功。 若显示如下版本，表示驱动安装成功。 图8 驱动版本

什么是镜像 镜像是一个包含了软件及必要配置的云服务器或裸金属服务器模版，包含操作系统或业务数据，还可以包含应用软件（例如，数据库软件）和私有软件。镜像分为公共镜像、私有镜像、共享镜像、市场镜像。 镜像服务（Image Management Service）提供简单方便的镜像自助管理功能。用户可以灵活便捷的使用公共镜像、私有镜像或共享镜像申请云服务器。同时，用户还能通过已有的云服务器或使用外部镜像文件创建私有镜像。

共享镜像 用户将接受云平台其他用户共享的私有镜像，作为自己的镜像进行使用。更多关于共享镜像的使用，请参见共享镜像。 用户只能共享自己没有发布为市场镜像的私有镜像，已经发布为市场镜像的不能共享。 镜像共享的范围只能在区域内。如果您需要跨区域共享镜像，请先复制镜像到目标区域后再共享。 每个镜像最多可以共享给128个租户。 用户可以随时取消自己共享的镜像，无需通知镜像的接受方。 用户可以随时删除自己共享的镜像，无需通知镜像的接受方。 加密镜像不能共享。 只有通过云备份创建的整机镜像，才支持共享。通过其他方式创建的整机镜像，暂不支持共享。

使用须知 如果GPU加速型实例已安装GPU驱动，需要先卸载原驱动后再安装新的目标驱动。 当前仅部分GPU加速型实例的规格、部分Windows操作系统版本支持通过脚本自动安装GPU驱动。 Windows Server 2016 数据中心版 Windows Server 2019 数据中心版 如果您的规格、操作系统或驱动版本不支持通过脚本自动安装GPU驱动，请参考GPU加速型实例安装GRID驱动和GPU加速型实例安装Tesla驱动及CUDA工具包，手动安装GPU驱动。

驱动安装脚本支持区域及获取方式 您可以在PowerShell上执行以下命令，获取驱动安装脚本。 华北-北京一 Start-BitsTransfer -Source https://hgcs-drivers-cn-north-1.obs.cn-north-1.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 华北-北京二 Start-BitsTransfer -Source https://hgcs-drivers-cn-north-2.obs.cn-north-2.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 华北-北京四 Start-BitsTransfer -Source https://hgcs-drivers-cn-north-4.obs.cn-north-4.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 华北-乌兰察布一 Start-BitsTransfer -Source https://hgcs-drivers-cn-north-9.obs.cn-north-9.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 华东-上海一 Start-BitsTransfer -Source https://hgcs-drivers-cn-east-3.obs.cn-east-3.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 华东-上海二 Start-BitsTransfer -Source https://hgcs-drivers-cn-east-2.obs.cn-east-2.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 华南-广州 Start-BitsTransfer -Source https://hgcs-drivers-cn-south-1.obs.cn-south-1.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 华南-广州-友好用户环境 Start-BitsTransfer -Source https://hgcs-drivers-cn-south-4.obs.cn-south-4.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 西南-贵阳一 Start-BitsTransfer -Source https://hgcs-drivers-cn-southwest-2.obs.cn-southwest-2.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 中国-香港 Start-BitsTransfer -Source https://hgcs-drivers-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 亚太-曼谷 Start-BitsTransfer -Source https://hgcs-drivers-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 亚太-新加坡 Start-BitsTransfer -Source https://hgcs-drivers-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1 非洲-约翰内斯堡 Start-BitsTransfer -Source https://hgcs-drivers-af-south-1.obs.af-south-1.myhuaweicloud.com/release/script/auto_install.ps1 -Destination auto_install.ps1; ./auto_install.ps1

使用须知 本操作仅支持Linux操作系统。 本操作当前仅支持安装Tesla驱动。 如果GPU加速型实例已安装GPU驱动，需要先卸载原驱动后再安装新的目标驱动。 GPU驱动自动安装脚本提供卸载驱动的能力，请在执行脚本时根据交互式界面按需选择。 GPU驱动安装成功后，实例会自动重启。 仅部分Linux公共镜像支持通过脚本自动安装GPU驱动，如下所示： CentOS 7.6、CentOS 7.9、CentOS 8.2。 Ubuntu 18.04、Ubuntu 20.04。 如果在支持的Linux公共镜像中没有您需要的操作系统及版本，请参考GPU加速型实例安装Tesla驱动及CUDA工具包，手动安装GPU驱动。 如果您使用的是私有镜像，请确保镜像已安装了Cloud-init组件及安装GPU驱动所需的依赖，且需使用驱动脚本所支持的Linux操作系统及版本。 请根据表1选择需要的驱动安装包版本。 表1 支持的GPU驱动版本 CUDA软件版本 Driver软件版本 CuDNN软件版本 10.2 440.118.02 8.0.5 11.0 450.191.01 8.1.1 11.2 460.73.01 8.1.1 11.4 470.103.01 8.2.4

驱动安装脚本支持区域及获取方式 您可以通过执行以下命令，获取驱动安装脚本。 华北-北京一 wget -t 10 --timeout=10 https://hgcs-drivers-cn-north-1.obs.cn-north-1.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 华北-北京二 wget -t 10 --timeout=10 https://hgcs-drivers-cn-north-2.obs.cn-north-2.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 华北-北京四 wget -t 10 --timeout=10 https://hgcs-drivers-cn-north-4.obs.cn-north-4.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 华北-乌兰察布一 wget -t 10 --timeout=10 https://hgcs-drivers-cn-north-9.obs.cn-north-9.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 华东-上海一 wget -t 10 --timeout=10 https://hgcs-drivers-cn-east-3.obs.cn-east-3.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 华东-上海二 wget -t 10 --timeout=10 https://hgcs-drivers-cn-east-2.obs.cn-east-2.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 华南-广州 wget -t 10 --timeout=10 https://hgcs-drivers-cn-south-1.obs.cn-south-1.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 华南-广州-友好用户环境 wget -t 10 --timeout=10 https://hgcs-drivers-cn-south-4.obs.cn-south-4.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 西南-贵阳一 wget -t 10 --timeout=10 https://hgcs-drivers-cn-southwest-2.obs.cn-southwest-2.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 中国-香港 wget -t 10 --timeout=10 https://hgcs-drivers-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 亚太-曼谷 wget -t 10 --timeout=10 https://hgcs-drivers-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 亚太-新加坡 wget -t 10 --timeout=10 https://hgcs-drivers-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh 非洲-约翰内斯堡 wget -t 10 --timeout=10 https://hgcs-drivers-af-south-1.obs.af-south-1.myhuaweicloud.com/release/script/auto_install.sh && bash auto_install.sh