Blockspeicherdatenträger mit vom Kunden verwalteter Verschlüsselung erstellen

Standardmäßig werden alle Bootdatenträger und Datenträger von Block Storage for VPC mit von IBM verwalteter Verschlüsselung verschlüsselt. Sie können auch einen unterstützten Schlüsselmanagementservice verwenden, um Ihren Kundenrootschlüssel zu erstellen oder zu importieren, und diesen verwenden, um eine Hüllkurvenverschlüsselung zu erstellen.

Vorbereitende Schritte

ErschaffenBlock Storage Volumes mit vom Kunden verwalteter Verschlüsselung müssen Sie über Ihren eigenen Kunden-Root-Schlüssel verfügen. Sie können einen Schlüsselverwaltungsdienst (KMS) bereitstellen und Ihren Kundenstammschlüssel (CRK) erstellen oder importieren. Sie haben die Wahl zwischen Key Protect Und Hyper Protect Crypto Services. Dann,Erstellen Sie eine Service-zu-Service-Autorisierung zwischenBlock Storage for VPC und die KMS-Instanz, die Sie erstellt haben.

Es ist auch möglich, einen Kunden-Root-Schlüssel von einem anderen Konto zu verwenden. InIBM Cloud, der KMS kann sich entweder im selben oder in einem anderen Konto befinden wie der Dienst, der einen Verschlüsselungsschlüssel verwendet. Dieses Bereitstellungsmuster ermöglicht Unternehmen die zentrale Verwaltung von Verschlüsselungsschlüsseln für alle Unternehmenskonten. Weitere Informationen finden Sie unter Verwaltung von Verschlüsselungsschlüsseln.

Konfigurieren Sie alle erforderlichen Service-zu-Service-Autorisierungen Service-zu-Service-Autorisierungen Service-zu-Service-Autorisierungen Service-zu-Service-Autorisierungen zwischen Cloud Block Storage (Quelldienst) und die KMS-Instanz (Zieldienst), die den Stammschlüssel des Kunden enthält. Wenn Sie Volumes mit einem CRK eines anderen Kontos bereitstellen, wenden Sie sich an den Administrator dieses Kontos, um die Autorisierung einzurichten und den CRN des freigegebenen Stammschlüssels zu erhalten. Wenn Sie eine Instanz mit einem benutzerdefinierten Image bereitstellen, müssen Sie auch eine Autorisierung zwischen Image Service für VPC (Quelldienst) und IBM Cloud® Object Storage (Zieldienst).

Erstellen von Datenvolumes mit kundenverwalteter Verschlüsselung in der Konsole

Im Folgenden wird erläutert, wie die Festlegung auf die vom Kunden verwaltete Verschlüsselung beim Erstellen eines eigenständigen Blockspeicherdatenträgers erfolgt.

In der IBM Cloud Konsole, klicken Sie auf das Symbol Navigationsmenü >Infrastruktur >Speicher > Block Storage-Volumes, um eine Liste Ihrer Block Storage-Volumes anzuzeigen.
Klicken Sie auf Erstellen.
Überprüfen Sie die Standortinformationen. Die Geografie, Region und Zone werden von der VPC übernommen (z. B. Nordamerika, Dallas,Dallas-1 ). Sie können eine andere Zone an Ihrem Standort aus dem Menü auswählen, indem Sie auf das Symbol „Bearbeiten“.
Im Einzelheiten müssen Sie den Namen des Volumes und die Ressourcengruppe angeben, zu der das Volume hinzugefügt werden soll. Optional können Sie Tags zur Benutzer- und Zugriffsverwaltung hinzufügen.
1. Geben Sie einen aussagekräftigen Namen für Ihren Datenträger an. Sie können beispielsweise einen Namen angeben, der Ihre Rechenressourcens- oder Workloadfunktion beschreibt.
  
  Der Volume-Name muss mit einem Kleinbuchstaben beginnen. Der Datenträgername darf maximal 63 alphanumerische Zeichen in Kleinbuchstaben und Bindestriche (-) enthalten. Datenträgernamen müssen in der gesamten VPC-Infrastruktur eindeutig sein. Sie können den Namen später bearbeiten.
2. Geben Sie eine Ressourcengruppe an.
3. Angeben Benutzer-Tags zur Organisation Ihrer Ressourcen und zur Nutzung durch Sicherungsrichtlinien.
4. Angeben Tags zur Zugriffsverwaltung die in IAM erstellt wurden, um Ihnen bei der Verwaltung des Zugriffs auf Ihre Volumes zu helfen.
Im Optionale Konfigurationen können Sie angeben, ob Sie das Volume mit Daten aus einem Snapshot erstellen möchten. Sie können auch eine Sicherungsrichtlinie anwenden.
- Import aus Snapshot: Wählen Sie Vorhandenen Snapshot importieren, um die Liste der verfügbaren Snapshots anzuzeigen, oder Snapshot nach CRN importieren und geben Sie die CRN des Snapshots an, den Sie verwenden möchten. Sie können Datenvolumes mit nicht bootfähigen Snapshots und Bootvolumes mit bootfähigen Snapshots erstellen. Das neue Block-Speichervolumen erbt seinen Speichererzeugungswert vom Snapshot und nur Volumenprofile derselben Generation können darauf angewendet werden.
- Sicherungsrichtlinie anwenden: Klicken Sie auf Anwenden um die verfügbaren Richtlinien und Pläne anzuzeigen.
Im Profil können Sie das Leistungsprofil Ihres Volumes, seine IOPS und seine Kapazität angeben.
- Verfügbarkeit auswählen Als zugelassener Kunde können Sie dasProfil sdp auswählen. Geben Sie dann die Kapazität Ihres Volumes und die erforderliche IOPS an. Die Größe des Volumens kann zwischen 1 und 32.000 GB liegen. Sie können IOPS in einem Bereich von 100 - 64.000 angeben.
- Sie können eines der abgestuften Profile auswählen. Nachdem Sie Allzweck ausgewählt haben, 5iops-tier, oder 10iops-tier gewählt haben, müssen Sie im nächsten Schritt die Kapazität des Datenträgers angeben. Die Datenträgergrößen können 10 bis 16.000 GB betragen.
- Sie können das benutzerdefinierte Profil wählen, wenn die Leistungsanforderungen Ihrer Anwendung in keine der IOPS-Kategorien fallen. Geben Sie dann die Größe Ihres Volumes und die IOPS im entsprechenden Bereich für die Kapazität des Volumes an. Die Datenträgergrößen können 10 bis 16.000 GB betragen. Wenn Sie den IOPS-Wert eingeben, zeigt die Benutzerschnittstelle den zulässigen Bereich an. Sie können auch auf den Link Speichergröße klicken, um die Größen- und IOPS-Bereiche des benutzerdefinierten Volume-Profils anzuzeigen.
Im Verschlüsselung im Ruhezustand können Sie die Verschlüsselung beibehalten mitIBM-verwaltete Schlüssel, die standardmäßig auf allen Volumes aktiviert sind. Oder Sie können verwenden Ihren eigenen Verschlüsselungsschlüssel indem Sie Ihren Schlüsselverwaltungsdienst auswählen: Key Protect oder Hyper Protect Crypto Services. Um Ihren Verschlüsselungsschlüssel zu finden, wählen Sie eine der folgenden Optionen:
- Nach Instanz suchen:
  1. Wählen Sie die Datenverschlüsselungsinstanz aus der Liste aus. Wenn Sie noch keine Instanz haben, können Sie auf den Link klicken, um eine zu erstellen.
  2. Wählen Sie den Datenverschlüsselungsschlüssel aus, der in der KMS-Instanz gespeichert ist und zum Verschlüsseln des Volumes verwendet werden soll.
- Lokalisierung per CRN: Geben Sie den CRN des Kundenstammschlüssels ein, der zum Verschlüsseln des Volumes verwendet werden soll. Wählen Sie diese Option, wenn Sie den CRK eines anderen Kontos verwenden.
Wenn Sie Ihre Änderungen abgeschlossen haben, klicken Sie auf Blockspeicher-Volume erstellen.

Wenn Sie die Liste der Block Storage Volumes in der Konsole aktualisieren, erscheint das neue Volume am Anfang der Liste der Volumes mit dem vom Kunden verwalteten Verschlüsselungstyp. Wenn das Volume erstellt wird, zeigt es den Status " Verfügbar" an. Bei eigenständigen Volumes ist die Spalte Attachment Type leer (-). Das Menü Aktionen Aktionen am Ende einer Tabellenzeile bietet einen Link zum Anhängen eines Block Storage Volumes an eine Instanz.

Datenträger mit kundenverwalteter Verschlüsselung über die Befehlszeilenschnittstelle erstellen

Voraussetzungen

Bevor Sie die Befehlszeilenschnittstelle (CLI) verwenden können, müssen Sie die IBM Cloud-CLI und das VPC-CLI-Plug-in installieren. Weitere Informationen finden Sie unter CLI-Voraussetzungen.

Melden Sie sich bei IBM Cloud an.
```
ibmcloud login --sso -a cloud.ibm.com
```
Mit diesem Befehl wird eine URL zurückgegeben und die Eingabe eines Kenncodes angefordert. Rufen Sie diese URL im Browser auf und melden Sie sich an. Wenn dieser Vorgang erfolgreich ausgeführt werden kann, dann erhalten Sie einen Einmalkenncode. Kopieren Sie diesen Kenncode und fügen Sie ihn als Antwort auf die Eingabeaufforderung ein. Nach erfolgreicher Authentifizierung werden Sie aufgefordert, Ihren Account auszuwählen. Wenn Sie Zugang zu mehreren Konten haben, wählen Sie das Konto aus, mit dem Sie sich anmelden möchten. Antworten Sie auf alle verbleibenden Eingabeaufforderungen, um die Anmeldung abzuschließen.

Stellen Sie erforderliche Informationen wie den CRN des Rootschlüssels zusammen, den Sie zum Verschlüsseln Ihres Blockspeicherdatenträgers verwenden möchten.

Verwenden Sie den Befehl ibmcloud resource service-instances, um Ihre KMS-Instanzen zu lokalisieren.

$ ibmcloud resource service-instances
Retrieving all instances of all services in resource group Default and all locations under account Test Account as test.user@ibm.com...
OK
Name             Location   State    Type
Key Protect-17   us-south   active   service_instance
HS-Crypto-60     us-south   active   service_instance

Rufen Sie die Instanz-ID für die KMS-Instanz mit dem Befehl ibmcloud resource service-instance ab.

ibmcloud resource service-instance "Key Protect-17" --id
Retrieving service instance Key Protect-17 in resource group Default under account Test Account as test.user@ibm.com...
crn:v1:bluemix:public:kms:us-south:a/a1234567-3jkl4xxxx567::7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7

Die Instanz-ID ist die Zeichenfolge, die auf das letzte :: in der CRN folgt. In diesem Beispiel ist es 7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7.

Auflistung der verfügbaren Schlüssel und der zugehörigen CRNs für die Dienstinstanz Key Protect durch Angabe der Instanz-ID.

$ ibmcloud kp keys -c --instance-id 7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7
Retrieving keys...

SUCCESS

Key ID                                 Key Name               CRN
ef1gxxxh-ijxx-234x-56k7-xxxxlmnoxxp8   test-key               crn:v1:bluemix:public:kms:us-south:a/a1234567:key:ef1gxxxh-ijxx-234x-56k7-xxxxlmnoxxp8
cdex12ef-xxxg-3hxx-i456-7xxx8jk9xl12   vsi_encrypt_root_key   crn:v1:bluemix:public:kms:us-south:a/a1234567:key:cdex12ef-xxxg-3hxx-i456-7xxx8jk9xl12
c12xxxx3-45d6-7efg-xxx8-9xxx12345x6h   vsi_encrypt_key        crn:v1:bluemix:public:kms:us-south:a/a1234567:key:c12xxxx3-45d6-7efg-xxx8-9xxx12345x6h

Indem Sie die vorherigen Schritte befolgen, können Sie die CRN des Kundenstammschlüssels von Ihrem Konto abrufen. Wenn der Stammschlüssel des Kunden einem anderen Konto gehört, fragen Sie dessen Kontoadministrator nach dem CRN.

Gültige Datenträgernamen können eine Kombination aus alphanumerischen Zeichen in Kleinschreibung (a-z, 0-9) und dem Bindestrich (-) enthalten, die bis zu 63 Zeichen umfasst. Datenträgernamen müssen mit einem Kleinbuchstaben beginnen. Datenträgernamen müssen innerhalb der gesamten VPC-Infrastruktur eindeutig sein.

Datenträger mit kundenverwalteter Verschlüsselung über die Befehlszeilenschnittstelle erstellen

Um ein Datenvolumen mit kundenverwalteter Verschlüsselung über die CLI zu erstellen, erfassen Sie zunächst die CRN des Stammschlüssels des Kunden und verwenden Sie dann die ibmcloud is volume-create Befehl mit dem --encryption-key Möglichkeit. Die Option encryption_key muss eine gültige CRN für den Stammschlüssel im Schlüsselverwaltungsdienst angeben.

Das folgende Beispiel zeigt ein Volume, das mit kundenverwalteter Verschlüsselung erstellt wurde.

$ ibmcloud is volume-create my-customer-key-volume custom us-east-1 --capacity 300 --iops 1500 --encryption-key crn:v1:bluemix:public:kms:us-east:a/a1234567:3b05b403-8f51-4dac-9114-c777d0a760d4:key:7a8a2761-08e3-455f-a348-144ed604bba9
Creating volume my-customer-key-volume under account Test Account as user test.user@ibm.com...

ID                                     r014-3984600c-6f4d-4940-82de-519a867fa3c0   
Name                                   my-customer-key-volume   
CRN                                    crn:v1:bluemix:public:is:us-east-1:a/a1234567::volume:r014-3984600c-6f4d-4940-82de-519a867fa3c0   
Status                                 pending   
Attachment state                       unattached   
Capacity                               300   
IOPS                                   1500   
Bandwidth(Mbps)                        3145   
Profile                                custom   
Encryption key                         crn:v1:bluemix:public:kms:us-east:a/a1234567:3b05b403-8f51-4dac-9114-c777d0a760d4:key:7a8a2761-08e3-455f-a348-144ed604bba9   
Encryption                             user_managed   
Resource group                         defaults   
Created                                2024-09-24T20:10:52+00:00   
Zone                                   us-east-1   
Health State                           inapplicable   
Volume Attachment Instance Reference   -   
Active                                 false  
Adjustable Capacity States             attached
Adjustable IOPS State                  attached
Busy                                   false   
Tags                                   -
Storage Generation                     1

Sie können auch während der Instanzbereitstellung Datenträger mit vom Kunden verwalteter Verschlüsselung erstellen.

Datenträger mit kundenverwalteter Verschlüsselung über die API erstellen

Sie können Datenträger mit kundenverwalteter Verschlüsselung programmgesteuert erstellen, indem Sie die Methode /volumes in der VPC-API aufrufen, wie in der folgenden Beispielanforderung gezeigt. Verwenden Sie die Eigenschaft encryption_key, um Ihren Kundenstammschlüssel (Customer Root Key, CRK) anzugeben, im Beispiel als crn:[...key:...] dargestellt.

Das folgende Beispiel erstellt einen vielseitig einsetzbaren Datenträger mit vom Kunden verwalteter Verschlüsselung.

curl -X POST \
"$vpc_api_endpoint/v1/volumes?version=2025-02-18&generation=2" \
-H "Authorization: $iam_token" \
-d '{
      "name": "my-volume-1",
      "iops": 100,
      "capacity": 20,
      "zone": {"name": "us-south-3"},
      "profile": {"name": "general-purpose"},
      "encryption_key":{"crn":"crn:[...key:...]"},
      "resource_group": {"id": "a342dbfb-3ea7-48d1-96e8-2825ec5feab4"}
    }

Eine erfolgreiche Antwort sieht wie im folgenden Beispiel aus.

{
    "id": "8948ad59-bc0f-7510-812f-5dc64f59fab8",
    "crn": "crn:[...]",
    "name": "my-volume-1",
    "href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/8948ad59-bc0f-7510-812f-5dc64f59fab8",
    "capacity": 20,
    "iops": 100,
    "encryption_key": {"crn": "crn:[...key:...]"},
    "encryption": "user_managed",
    "status": "available",
    "zone": {
        "name": "us-south-3",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/regions/us-south/zones/
         us-south-3"
    },
    "profile": {
        "name": "general-purpose",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/volume/profiles/general-purpose"
    },
    "resource_group": {
        "id": "a342dbfb-3ea7-48d1-96e8-2825ec5feab4",
        "href": "https://resource-controller.cloud.ibm.com/v2/resource_groups/
         a342dbfb-3ea7-48d1-96e8-2825ec5feab4",
        "name": "Default"
    },
    "storage_generation": 1,
    "volume_attachments": [],
    "created_at": "2025-02-18T16:03:22.000Z"
}

Bereitstellen einer Instanz mit einem Startvolume, das mit einem vom Kunden verwalteten Schlüssel in der Konsole verschlüsselt ist

Wenn Sie eine virtuelle Serverinstanz bereitstellen, können Sie die vom Kunden verwaltete Verschlüsselung für Ihr Boot-Volume und alle Daten-Volumes, die Sie hinzufügen möchten, festlegen. Wenn Sie möchten, können Sie eine Kombination aus vom Provider verwalteter und vom Kunden verwalteter Verschlüsselung für die Datenträger verwenden, die Ihrer Instanz zugeordnet sind.

Führen Sie die folgenden Schritte aus, um eine Instanz mit einem neuen Blockspeicherdatenträger zu erstellen.

Klicken Sie im Feld IBM Cloud Konsole auf das Symbol Menü Navigation > Infrastruktur > Rechenleistung > Virtuelle Serverinstanzen.
Klicken Sie auf Neue Instanz und füllen Sie die erforderlichen Felder aus. Weitere Informationen zu diesen erforderlichen Feldern finden Sie in Tabelle 1 - Auswahlmöglichkeiten für die Instanzbereitstellung unter Erstellen virtueller Serverinstanzen.
Im Abschnitt Bootdatenträger ist der Standardverschlüsselungsmodus die Vom Provider verwaltet-Verschlüsselung. Um eine vom Kunden verwaltete Verschlüsselung anzugeben, klicken Sie in der Zeile für den Bootdatenträger auf das Symbol Symbol 'Bearbeiten' .
Aktualisieren Sie auf der Seite Bootdatenträger bearbeiten die Felder im Abschnitt Verschlüsselung. Wählen Sie Ihren Schlüsselverwaltungsdienst aus: (Key Protect oderHyper Protect Crypto Services ). Um Ihren Verschlüsselungsschlüssel zu finden, wählen Sie eine der folgenden Optionen:
- Nach Instanz suchen:
  1. Wählen Sie die Datenverschlüsselungsinstanz aus der Liste aus. Wenn Sie noch keine Instanz haben, können Sie auf den Link klicken, um eine zu erstellen.
  2. Wählen Sie den Datenverschlüsselungsschlüssel aus, der imKey Protect Instanz, die zum Verschlüsseln des Datenträgers verwendet werden soll.
- Lokalisierung per CRN: Geben Sie den CRN des Kundenstammschlüssels ein, der zum Verschlüsseln des Volumes verwendet werden soll. Wählen Sie diese Option, wenn Sie einen CRK von einem anderen Konto verwenden.
Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf Anwenden.
Im Abschnitt Angehängter Blockspeicherdatenträger können Sie auf Neuer Blockspeicherdatenträger klicken, um einen Datenträger hinzuzufügen und um anzugeben, dass die vom Kunden verwaltete Verschlüsselung zu verwenden ist. Aktualisieren Sie auf der Seite Neuer Blockspeicherdatenträger die Felder im Abschnitt Verschlüsselung. Weitere Informationen hierzu finden Sie in Tabelle 1. Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf Anhängen.

Bereitstellen einer Instanz mit einem Startvolume, das mit einem vom Kunden verwalteten Schlüssel aus der CLI verschlüsselt ist

Verwenden Sie den Befehl ibmcloud is instance-create zum Erstellen einer Instanz mit vom Kunden verwalteter Verschlüsselung für Ihre Boot- und Datendatenträger. Die folgende Syntax zeigt, wie Sie die --boot-volume Und --volume-attach Eigenschaften, um JSON-Dateien einzuschließen, die Ihre Volumes definieren.

ibmcloud is instance-create INSTANCE_NAME VPC ZONE_NAME PROFILE_NAME SUBNET --image-id IMAGE_ID [--boot-volume @BOOT_VOLUME_JSON_FILE] [--volume-attach @VOLUME_ATTACH_JSON_FILE]...

Das folgende BOOT_VOLUME_JSON_FILE-Beispiel definiert die Eigenschaften des Bootdatenträgers. Die Eigenschaft encryption key enthält die CRN des Stammschlüssels für die vom Kunden verwaltete Verschlüsselung.

{  
   "name":"volume-attachment-1",
   "volume":{  
      "name":"boot-volume-1",
      "capacity":250,
      "profile":{"name":"general-purpose"},
      "encryption_key":{"crn":"crn:[...key:...]"}
   },
   "delete_volume_on_instance_delete":true
}

Das folgende VOLUME_ATTACH_JSON_FILE Beispiel definiert ein Datenvolumen mit dem Profil 10iops-tier und kundenverwalteter Verschlüsselung.

   {  
      "name":"volume-attachment-1",
      "volume":{  
         "name":"data-volume-1",
         "capacity":2000,
         "profile":{"name":"10iops-tier"},
         "encryption_key":{"crn":"crn:[...key:...]"}
      },
      "delete_volume_on_instance_delete":true
   }

Bereitstellen einer Instanz mit einem Startvolume, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, mithilfe der API

Sie können virtuelle Serverinstanzen mit Bootdatenträgern erstellen, die die vom Kunden verwaltete Verschlüsselung über das Programm verwenden, indem Sie die Methode /instances in der VPC-API wie in der folgenden Beispielanforderung gezeigt aufrufen. Verwenden Sie die Eigenschaft encryption_key, um Ihren Kundenstammschlüssel (Customer Root Key, CRK) anzugeben, im Beispiel als crn:[...key:...] dargestellt.

Bei dem folgenden Beispiel wird eine Instanz mit einem Bootdatenträger mit vom Kunden verwalteter Verschlüsselung und zwei sekundären Datenträgern mit vom Kunden verwalteter Verschlüsselung erstellt.

curl -X POST \
 "$vpc_api_endpoint/v1/instances?version=version=2020-03-10&generation=2" \
 -H "Authorization: $iam_token" \
 -d '{
     "boot_volume_attachment":{
           "volume": {
              "name":"boot-volume-1",
              "profile": {"name": "general-purpose"},
              "encryption_key": {"crn": "crn:[...key:...]"}}},
     "volume_attachments": [
            {"volume": {
              "name": "my-volume-1",
              "capacity": 1500,
              "profile": {"name": "general-purpose"},
              "encryption_key": {"crn": "crn:[...key:...]"}}},
            {"volume": {
              "name": "my-volume-2",
              "capacity": 2000,
              "profile": {"name": "general-purpose"},
              "encryption_key": {"crn": "crn:[...key:...]"}}}],
     "image": {"id": "9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366"},
     "keys": [{"id": "cf7678a3-d4fa-458b-993d-015bd4aeac80"}],
     "name": "my-test-vm2",
     "virtual_network_interface": {"subnet": {"id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4"}},
     "profile": {"name": "cx2-2x4"},
     "vpc": {"id": "f0aae929-7047-46d1-92e1-9102b07a7f6f"},
     "zone": {"name": "us-south-3"}
    }'

Eine erfolgreiche Antwort sieht wie im folgenden Beispiel aus. Das Boot-Volumen erscheint sowohl unter boot_volume_attachment als auch unter volume_attachment.

{
    "id": "eb1b7391-2ca2-4ab5-84a8-b92157a633b0",
    "crn": "crn:[...]",
    "href": "https://us-south.iaas.cloud.ibm.com/v1/instances/eb1b7391-2ca2-4ab5-84a8-
     b92157a633b0",
    "name": "my-test-vm2",
    "bandwidth": 4000,
    "resource_group": {
        "id": "08b7af6d-41d9-435a-8b22-fd8f640863a5",
        "href": "https://resource-controller.cloud.ibm.com/v2/resource_groups/
         08b7af6d-41d9-435a-8b22-fd8f640863a5",
        "name": "Default"
    },
    "boot_volume_attachment": {
        "id": "a8a15363-a6f7-4f01-af60-715e85b28141",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/instances/eb1b7391-2ca2-4ab5-
         84a8-b92157a633b0/volume_attachments/7389-a8a15363-a6f7-4f01-af60-
         715e85b28141",
        "name": "volume-attachment",
        "volume": {
            "id": "49c5d61b-41e7-4c01-9b7a-1a97366c6916",
            "crn": "crn:[...]",
            "href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/49c5d61b-41e7-
             4c01-9b7a-1a97366c6916",
            "name": "boot-volume-1"
        }
    },
    "created_at": "2020-04-20T16:11:57Z",
    "image": {
        "id": "9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366",
        "crn": "crn:[...]",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/images/
         9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366",
        "name": "ubuntu-amd64-1"
    },
    "memory": 4,
    "network_interfaces": [
        {
            "id": "7ca88dfb-8962-469d-b1de-1dd56f4c3275",
            "href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
             4aa2-a8d7-703aac843651/network_interfaces/7ca88dfb-8962-469d-b1de-
             1dd56f4c3275",
            "name": "helpless-profanity-unmixable-fool-hazard-staging",
            "primary_ipv4_address": "",
            "subnet": {
                "id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4",
                "crn": "crn:[...]",
                "href": "https://us-south.iaas.cloud.ibm.com/v1/subnets/7389-bea6a632-
                 5e13-42a4-b4b8-31dc877abfe4",
                "name": "my-byok-vpc-subnet"
            }
        }
    ],
    "primary_network_interface": {
        "id": "7ca88dfb-8962-469d-b1de-1dd56f4c3275",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-4aa2-
         a8d7-703aac843651/network_interfaces/7ca88dfb-8962-469d-b1de-1dd56f4c3275",
        "name": "network-interface-1",
        "primary_ipv4_address": "10.0.0.32",
        "subnet": {
            "id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4",
            "crn": "crn:[...]",
            "href": "https://us-south.iaas.cloud.ibm.com/v1/subnets/bea6a632-5e13-
             42a4-b4b8-31dc877abfe4",
            "name": "my-byok-vpc-subnet"
        }
    },
    "profile": {
        "name": "cx2-2x4",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/instance/profiles/cx2-2x4"
    },
    "status": "running",
    "vcpu": {
        "architecture": "amd64",
        "count": 2
    },
    "volume_attachments": [
        {
            "id": "a8a15363-a6f7-4f01-af60-715e85b28141",
            "href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
             4aa2-a8d7-703aac843651/volume_attachments/7389-a8a15363-a6f7-4f01-af60-
             715e85b28141",
            "name": "volume-attachment",
            "volume": {
                "id": "49c5d61b-41e7-4c01-9b7a-1a97366c6916",
                "crn": "crn:[...]",
                "href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/49c5d61b-41e7-
                 4c01-9b7a-1a97366c6916",
                "name": "boot-volume-1"
            }
        },
        {
            "id": "e77125cb-4df0-4988-a878-531ae0ae0b70",
            "href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
             4aa2-a8d7-703aac843651/volume_attachments/7389-e77125cb-4df0-4988-a878-
             531ae0ae0b70",
            "name": "volume-attachment",
            "volume": {
                "id": "2cc091f5-4d46-48f3-99b7-3527ae3f4392",
                "crn": "crn:[...]",
                "href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/2cc091f5-4d46-
                 48f3-99b7-3527ae3f4392",
                "name": "my-volume-2"
            }
        },
        {
            "id": "a7641494-5724-46de-9c72-c6b16971ddf4",
            "href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
             4aa2-a8d7-703aac843651/volume_attachments/a7641494-5724-46de-9c72-
             c6b16971ddf4",
            "name": "volume-attachment",
            "volume": {
                "id": "ec419496-d79e-4fca-bce7-b4be72e77654",
                "crn": "crn:[...]",
                "href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/ec419496-d79e-
                 4fca-bce7-b4be72e77654",
                "name": "my-volume-2"
            }
        }
    ],
    "vpc": {
        "id": "f0aae929-7047-46d1-92e1-9102b07a7f6f",
        "crn": "crn:[...]",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/vpcs/f0aae929-7047-46d1-92e1-
         9102b07a7f6f",
        "name": "my-byok-vpc"
    },
    "zone": {
        "name": "us-south-3",
        "href": "https://us-south.iaas.cloud.ibm.com/v1/regions/us-south/zones/
         us-south-3"
    }
}

Erstellen von Datenvolumes mit kundenverwalteter Verschlüsselung mit Terraform

Voraussetzungen

Um Terraform zu verwenden, laden Sie die Terraform CLI herunter und konfigurieren Sie dieIBM Cloud® Anbieter-Plugin. Weitere Informationen finden Sie unter Erste Schritte mit Terraform.

VPC-Infrastrukturdienste verwenden einen spezifischen regionalen Endpunkt, der auf us-south standardmäßig. Wenn Ihr VPC in einer anderen Region erstellt wird, achten Sie darauf, dass Sie im Providerblock in der provider.tf Datei. Sehen Sie sich das folgende Beispiel für die Ausrichtung auf eine andere Region als die Standardregion an.us-south.

provider "ibm" {
  region = "eu-de"
}

Sammeln Sie die erforderlichen Informationen wie einen eindeutigen Datenträgernamen, wählen Sie einen Profil, entscheiden Sie über die Kapazitäts- und IOPS-Anforderungen.

Rufen Sie die CRN des Kundenstammschlüssels für die Verschlüsselung ab, indem Sie auf die Datenquelle ibm_kms_key verweisen. Weitere Informationen finden Sie in der Terraform-Dokumentation unter ibm_kms_key. Wenn sich der KMS in einer anderen Region befindet oder der Stammschlüssel des Kunden einem anderen Konto gehört, kann die Instanz nicht von Terraform abgerufen werden und die Terraform-Aktion schlägt fehl. Wenden Sie sich für die CRN an den Administrator des anderen Kontos.

Erstellen von eigenständigenBlock Storage for VPC Volumes mit Terraform

So erstellen Sie einenBlock Storage for VPC Lautstärke, verwenden Sie die ibm_is_volume Ressource. Das folgende Beispiel erstellt ein Volume mit einem custom Profil. Das erstellte Volume hat eine Kapazität von 200 MB und kann 1000 IOPS ausführen.

resource "ibm_is_volume" "example" {
  name           = "my-example-volume"
  profile        = "custom"
  zone           = "us-south-1"
  iops           = 1000
  capacity       = 200
  encryption_key = "crn:v1:bluemix:public:kms:us-south:a/a1234567:e4a29d1a-2ef0-42a6-8fd2-350deb1c647e:key:5437653b-c4b1-447f-9646-b2a2a4cd6179"
}

Weitere Informationen zu den Argumenten und Attributen finden Sie unter ibm_is_volume.

Nächste Schritte

Nachdem die Instanz mit den verschlüsselten Boot-und Datendatenträgern erstellt wurde, ordnen Sie der Instanz, die Sie für die Verbindung zu Ihrer Instanz verwenden können, eine variable IP-Adresse zu. Weitere Informationen finden Sie unter Verbindung zu Linux-Instanz herstellen oder Verbindung zu Windows-Instanz herstellen.
Bereiten Sie Ihre Datenträger für die Verwendung vor, indem Sie sie formatieren und entsprechend Ihren Anforderungen konfigurieren.
- Block Storage for VPC-Datenträger für die Verwendung einrichten(Linux)
- Block Storage for VPC-Datenträger für die Verwendung konfigurieren(Windows)
Anfügen Ihrer eigenständigen Datenträger zu einer virtuellen Serverinstanz.
Konfigurieren Sie die Schlüsselrotation für VPC-Ressourcen.