IBM Cloud Docs
FAQ für Block Storage for VPC

FAQ für Block Storage for VPC

Die folgenden Fragen stellen sich häufig zum Service Block Storage for VPC. Wenn Sie weitere Fragen haben, die Sie hier beantwortet sehen möchten, können Sie uns über die Links Thema öffnen oder Thema bearbeiten Feedback geben.

Fragen zur definierten Leistungsvolumenprofilfamilie

Kunden mit besonderem Zugang können Speicherplatz mit dem neuen Profil sdp bereitstellen. Das Profil sdp ist in den Regionen Dallas, Frankfurt, London, Madrid, Osaka, Sao Paulo, Sydney, Tokio, Toronto und Washington, DC im Rahmen der Select Availability Release verfügbar. Weitere Informationen zu dieser Version finden Sie unter Über Block Storage for VPC.

Was bedeutet Select Availability für die definierte Leistungsvolumenfamilie?

Kunden mit einer Sondergenehmigung für die zweite Generation des Block Storage-Angebots können Blockvolumina mit dem neuen sdp-Profil bereitstellen. Das Profil sdp ist in dieser Version in den Regionen Dallas, Frankfurt, London, Madrid, Osaka, Sao Paulo, Sydney, Tokio, Toronto und Washington, DC verfügbar. Wenn Sie an einer Vorschau auf das neue Angebot interessiert sind, wenden Sie sich bitte an den Ihnen zugewiesenen Account Team-Vertreter oder Customer Success Manager.

Unterstützt das definierte Leistungsprofil Gen 1 und Gen 2 VPCs?

Das Profil sdp ist nur als Gen 2 VPC-Ressource verfügbar.

Welche Schnittstelle kann ich verwenden, um Block Storage Volumes mit dem sdp Profil zu erstellen?

Kunden mit einer speziellen Genehmigung für die Vorschau der definierten Performance-Volume-Profilfamilie können Volumes mit dem Profil sdp in der Konsole, über die CLI, mit der API oder Terraform bereitstellen.

Bei der Bereitstellung in der Konsole wählen Sie das Profil sdp, wenn Sie eine virtuelle Serverinstanz oder ein eigenständiges Volume bereitstellen. Weitere Informationen finden Sie unter Erstellen von Block Storage for VPC Volumes in der Konsole.

Bei der Bereitstellung über die Befehlszeilenschnittstelle (CLI) müssen Sie das Volume-Profil als sdp in Ihrem Befehl volume-create angeben. Es sind keine zusätzlichen Optionen erforderlich. Weitere Informationen finden Sie unter Erstellen von Block Storage for VPC Volumes über die CLI.

Wenn Sie mit der VPC-API provozieren, müssen Sie das Volume-Profil als sdp in den Anfragen POST /instances oder POST /volumes angeben. Es sind keine zusätzlichen Optionen erforderlich. Weitere Informationen finden Sie im Abschnitt Erstellen von Block Storage for VPC Volumes mit der API.

Wenn Sie mit Terraform bereitstellen, verwenden Sie die Ressource ibm_is_volume und geben das Profil sdp an. Weitere Informationen finden Sie unter Erstellen eigenständiger Block Storage for VPC Volumes mit Terraform.

Welche Funktionen werden in dieser Version des Profils sdp unterstützt?

In diesem Release haben Sie folgende Möglichkeiten:

  • Erstellen Sie Block Storage Volumes und geben Sie zusätzlich zu Kapazität und IOPS ein benutzerdefiniertes Durchsatzlimit an.
  • Erweitern Sie die Kapazität der Block Storage Volumes nach ihrer Erstellung, wenn sie an eine virtuelle Serverinstanz angeschlossen oder nicht angeschlossen sind,
  • Passen Sie die IOPS nach der Erstellung von Block Storage Volumes an, wenn diese an eine virtuelle Serverinstanz angeschlossen oder nicht angeschlossen sind,
  • Ändern Sie die maximale Durchsatzgrenze, wenn das Volume an eine virtuelle Serverinstanz angeschlossen oder nicht angeschlossen ist.
  • Verbinden Sie Block Storage Volumes mit virtuellen Service-Instanzen,
  • Erstellen Sie benutzerdefinierte nicht verschlüsselte Bilder,
  • Löschen Sie Block Storage Volumes,
  • Liste Block Storage Bände,
  • Fügen Sie eine vom Kunden verwaltete Verschlüsselung für Datenvolumen hinzu.

Wie werden meine Daten auf dem profilbasierten Speichervolumen sdp geschützt?

Ihre Daten werden im Ruhezustand entweder durch die von IBM verwaltete Verschlüsselung oder durch die vom Kunden verwaltete Verschlüsselung geschützt. Die übertragenen Daten werden ebenfalls verschlüsselt.

Kann ein Block Storage Volume in eine andere Zone kopiert werden?

Anzahl Sie können das Speichervolumen nicht in eine andere Zone kopieren.

Kann ich Snapshots zur Datenaufbewahrung eines definierten Leistungsvolumens erstellen?

Kunden, die für die Betaphase der regionalen Snapshots zugelassen sind, können Snapshots ihrer Volumes der zweiten Generation erstellen. Während der Beta-Phase können Snapshots nicht in eine andere Region kopiert werden. Konsistenzgruppen-Snapshots von mehreren sdp Volumes und schnelle Wiederherstellungsklone werden für Snapshots der zweiten Generation noch nicht unterstützt.

Fragen zur traditionellen Volumenprofilfamilie

Wie verhindert Block Storage for VPC einen Single Point of Failure? Durch welche Mechanismen wird die Datenpermanenz sichergestellt?

Block Storage for VPC-Datenträgerdaten werden auf mehreren physischen Platten einer Verfügbarkeitszone verteilt redundant gespeichert, um Datenverlust durch Ausfall nur einer der Komponenten zu verhindern.

Wie werden Datenträger erstellt und einer Instanz zugeordnet?

Wenn Sie eine virtuelle Serverinstanz erstellen, können Sie ein Block Storage for VPC Volume erstellen, das an diese Instanz angehängt wird. Sie können auch eigenständige Datenträger erstellen und diese zu einem späteren Zeitpunkt Ihren Instanzen zuordnen.

Wie viele Instanzen können sich ein bereitgestelltes Block Storage for VPC Volume teilen?

Ein Block Storage for VPC Volume kann jeweils nur einer Instanz zugeordnet werden. Ein Datenträger kann nicht von Instanzen gemeinsam genutzt werden.

Wie viele Datenträger können an eine Instanz angeschlossen werden?

Sie können 12 Block Storage for VPC Datenvolumen pro Instanz plus Startvolumen.

Welche Gebühr wird für die Nutzung fällig?

Die Kosten für Block Storage for VPC werden auf der Grundlage der pro Monat gespeicherten Kapazität von GiB berechnet, es sei denn, die Laufzeit beträgt weniger als einen Monat. Der Datenträger ist im Konto vorhanden, bis Sie den Datenträger löschen oder das Ende eines Abrechnungszyklus erreichen, je nachdem, was zuerst eintritt.

Die Preisgestaltung wird auch beeinflusst, wenn Sie die Volume-Kapazität erweitern oder die IOPS anpassen, indem Sie ein anderes Volume-Profil angeben. Die Erweiterung der Volumenkapazität erhöht beispielsweise die Kosten, und der Wechsel eines Volumenprofils von einer 5-IOPS/GB-Stufe zu einer 3-IOPS/GB-Stufe senkt die monatliche und stündliche Rate. Die Abrechnung für einen aktualisierten Datenträger wird automatisch aktualisiert, um den anteilsmäßigen Unterschied des neuen Preises zum aktuellen Abrechnungszyklus hinzuzufügen. Der neue Betrag wird dann vollständig erst im nächsten Abrechnungszyklus in Rechnung gestellt.

Sie können den Kostenschätzer Symbol für Kostenschätzer in der IBM Cloud-Konsole verwenden, um zu sehen, wie sich Änderungen der Kapazität und der E/A-Operationen pro Sekunde auf die Kosten auswirken. Weitere Informationen finden Sie unter Kosten schätzen.

Wo kann ich Preisinformationen finden?

Gehen Sie in der Konsole auf die Seite Speichervolumen für VPC-Bereitstellung blockieren und klicken Sie auf die Registerkarte Preisgestaltung. Auf der Registerkarte Preisgestaltung können Sie die Details des Preisplans für jedes Volumenprofil auf der Grundlage der ausgewählten Geografie, Region und Währung anzeigen. Sie können auch zwischen stündlichen und monatlichen Tarifen wechseln.

Sie können die Preisinformationen programmatisch abrufen, indem Sie die globale Katalog-API aufrufen. Weitere Informationen finden Sie unter Dynamische Preisgestaltung.

Wird die Speicherkapazität in GB oder GiB?

Ein verwirrender Aspekt des Speichers sind die Einheiten, in denen Speicherkapazität und Speicherbelegung dokumentiert werden. Manchmal sind GB tatsächlich Gigabyte (base-10) und manchmal stellen GB Gibibyte (base-2) dar, die mit GiBabgekürzt werden müssen.

Menschen denken und berechnen normalerweise Zahlen im Dezimalsystem (base-10). In unserer Dokumentation beziehen wir uns auf die Speicherkapazität in der Einheit GB (Gigabyte), um der Standardterminologie der Branche zu entsprechen. In der Konsole, CLI, API und Terraform sehen Sie die verwendete und angezeigte Einheit GB, wenn Sie die Kapazität abfragen. Wenn Sie einen 4-TB-Datenträger bestellen möchten, geben Sie 4.000 GB in Ihre Bereitstellungsanforderung ein.

Computer arbeiten jedoch binär, sodass es sinnvoller ist, einige Ressourcen wie Speicheradressräume in base-2darzustellen. Seit 1984 zeigen Computerdateisysteme Größen in base-2 zusammen mit dem Speicher an. Damals waren die verfügbaren Speichereinheiten kleiner und die Größendifferenz zwischen den Binär-und Dezimaleinheiten war vernachlässigbar. Nun, da die verfügbaren Speichersysteme erheblich größer sind, führt dieser Einheitenunterschied zu Verwirrung.

Die Differenz zwischen GB und GiB liegt in ihrer numerischen Darstellung:

  • GB (Gigabyte) ist eine Dezimaleinheit, wobei 1 GB 1.000.000.000 Byte entspricht. Wenn Sie GB in TB konvertieren, verwenden Sie 1000 als Multiplikator.
  • GiB (Gibibyte) ist eine binäre Einheit, wobei 1 GiB 1.073.741.824 Byte entspricht. Wenn Sie konvertieren GiB Zu TiB, Sie verwenden 1024 als Multiplikator.

Die folgende Tabelle zeigt dieselbe Anzahl Byte, ausgedrückt in Dezimal-und Binäreinheiten.

Dezimal- und Binäreinheiten
Dezimalzahl SI (Basis 10) Binär (Basis 2)
2.000.000.000.000 B 2.000.000.000.000 B
2.000.000.000 KB 1.953.125.000 KiB
2.000.000 MB 1.907.348 MiB
2.000 GB 1.862 GiB
2 TB 1.81 TiB

Das Speichersystem verwendet base-2-Einheiten für die Datenträgerzuordnung. Wenn Ihr Datenträger also als 4.000 GB bereitgestellt wird, sind das tatsächlich 4.000 GiB oder 4.294.967.296.000 Byte Speicherplatz. Der bereitgestellte Datenträger ist größer als 4 TB. Ihr Betriebssystem zeigt die Speichergröße jedoch möglicherweise als 3.9 T, weil es base-2 Konvertierung und das T steht für TiB, keine TB.

Warum stimmt die verfügbare Kapazität, die in meinem Betriebssystem angezeigt wird, nicht mit der Kapazität überein, die ich bereitgestellt habe?

Einer der Gründe kann sein, dass Ihr Betriebssystem die base-2-Konvertierung verwendet. Wenn Sie beispielsweise einen Datenträger mit 4000 GB in der Benutzerschnittstelle bereitstellen, reserviert das Speichersystem 4.000 GiB-Datenträger oder 4.294.967.296.000 Byte Speicherplatz für Sie. Der bereitgestellte Datenträger ist größer als 4 TB. Ihr Betriebssystem zeigt die Speichergröße jedoch möglicherweise als 3.9 T, weil es base-2 Konvertierung und das T steht für TiB, keine TB.

Zweitens reduziert die Partitionierung Ihres Block Storage und die Erstellung eines Dateisystems auf diesem System den verfügbaren Speicherplatz. Der Umfang, um den die Formatierung den Speicherplatz reduziert, hängt von der Art der Formatierung und der Anzahl und Größe der verschiedenen Dateien auf dem System ab.

Nehmen Sie den Datenträger docs-block-test3 als Beispiel. Wir haben während der Bereitstellung 1200 GB angegeben und wenn Sie die Details in der CLI auflisten, können Sie sehen, dass sie die Kapazität von 1200 hat.

$ ibmcloud is volume r006-6afe1361-b592-45ab-b23b-6cca9982e371
Getting volume r006-6afe1361-b592-45ab-b23b-6cca9982e371 under account Test Account as user test.user@ibm.com...

ID                                     r006-6afe1361-b592-45ab-b23b-6cca9982e371
Name                                   docs-block-test3
CRN                                    crn:v1:bluemix:public:is:us-south-2:a/1234567::volume:r006-6afe1361-b592-45ab-b23b-6cca9982e371
Status                                 available
Attachment state                       attached
Capacity                               1200
IOPS                                   3600
Bandwidth(Mbps)                        471
Profile                                general-purpose
Encryption key                         -
Encryption                             provider_managed
Resource group                         defaults
Created                                2023-08-24T02:32:40+00:00
Zone                                   us-south-2
Health State                           ok
Volume Attachment Instance Reference   Attachment type   Instance ID                                 Instance name        Auto delete   Attachment ID                               Attachment name
                                       data              0727_e99798c7-9783-4f92-8207-96af48561454   docs-demo-instance   false         0727-bc38ec2b-a566-412f-8f76-8eefe5fc9f2c   untaken-senior-coronary-accurate

Active                                 true
Adjustable IOPS                        false
Busy                                   false
Tags                                   dev:test

Wenn Sie Ihre Speichereinheiten über die Befehlszeile Ihres Servers auflisten, können Sie denselben Datenträger wie vdc mit einer Größe von 1.2Tanzeigen. Das T steht für Tebibyte, eine base-2-Einheit, die 2 ^ 40 ^ entspricht.

[root@docs-demo-instance ~]# lsblk
NAME   MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
vda    253:0    0  100G  0 disk
├─vda1 253:1    0  200M  0 part /boot/efi
└─vda2 253:2    0 99.8G  0 part /
vdb    253:16   0 69.9G  0 disk
vdc    253:32   0  1.2T  0 disk /myvolumedir
vdd    253:48   0  370K  0 disk
vde    253:64   0   44K  0 disk

Dasselbe vdc-Laufwerk zeigt 1181679068 K verfügbare Kapazität an, wenn es mit einem ext4-Dateisystem formatiert wird. Es ist normal und erwartet.

[root@docs-demo-instance ~]# df -hk
Filesystem      1K-blocks    Used  Available Use% Mounted on
devtmpfs          3993976       0    3993976   0% /dev
tmpfs             4004356       0    4004356   0% /dev/shm
tmpfs             4004356   33316    3971040   1% /run
tmpfs             4004356       0    4004356   0% /sys/fs/cgroup
/dev/vda2       102877120 1182048   96446100   2% /
/dev/vda1          204580   11468     193112   6% /boot/efi
/dev/vdc       1238411052   72148 1181679068   1% /myvolumedir
tmpfs              800872       0     800872   0% /run/user/0

Bestehen Begrenzungen für die Anzahl von Datenträgern, die ich erstellen kann?

Sie können insgesamt bis zu 300 Block Storage for VPC Volumes (Daten und Boot) pro Konto in einer Region erstellen. Um dieses Kontingent zu erhöhen, öffnen Sie einen Supportfall und geben Sie die Zone an, in der Sie weitere Datenträger benötigen.

Kann die Kapazität eines Datenvolumens, das mit einer bestimmten Kapazität erstellt wurde, später erhöht werden?

Sie können die Kapazität von Datenvolumes, die an eine virtuelle Serverinstanz angeschlossen sind, erhöhen. Abhängig von Ihrem Datenträgerprofil können Sie die Kapazität in GB-Schritten auf bis zu 16.000 GB vergrößern. Weitere Informationen finden Sie unter Block Storage for VPC-Datenträgerkapazität erhöhen.

Kann ich die Kapazität eines Startvolumens erhöhen?

Die Kapazität des Bootdatenträgers kann während der Instanzbereitstellung oder später erhöht werden, indem der Bootdatenträger direkt geändert wird. Diese Funktion gilt für Instanzen, die aus Bestands- oder benutzerdefinierten Bildern erstellt werden. Sie können auch eine größere Boot-Volume-Kapazität angeben, wenn Sie eine Instanzvorlage erstellen. Weitere Informationen finden Sie unter Kapazität des Bootdatenträgers erhöhen.

Kann ich die Kapazität des Bootdatenträgers für eine vorhandene Instanz ändern?

Ja, die Kapazität des Bootdatenträgers kann für eine vorhandene Instanz erhöht werden. Wählen Sie beispielsweise in der Konsole ein Boot-Volume aus der Liste der Block Storage for VPC-Volumes aus und ändern Sie dann die Größe des Volumes auf der Seite mit den Volume-Details. Weitere Informationen finden Sie unter Erhöhen der Kapazität des Boot-Volumes in der Liste der Block Storage for VPC Volumes in der Konsole. Sie können auch die CLI oder die API verwenden.

Wie viele Datenträger kann ich in meinem Konto bereitstellen?

Sie können bis zu 300 Block Storage for VPC Volumes pro Konto in einer Region bereitstellen. Sie können die Erhöhung Ihres Kontingents beantragen, indem Sie einen Support-Fall eröffnen und die Region angeben, in der Sie mehr Volumen benötigen. Weitere Informationen zur Vorbereitung eines Support-Falls, wenn Sie Block Storage for VPC Volumes bestellen oder eine Erhöhung Ihrer Volume- oder Kapazitätsgrenzen beantragen, finden Sie unter Verwaltung von Volume-Anzahl und Kapazitätsgrenzen.

Kann ich gemeinsam genutzten Speicher in einem Mehrzonencluster einrichten?

Unter IBM Cloud® sind die Speichermöglichkeiten auf eine Verfügbarkeitszone beschränkt. Versuchen Sie nicht, gemeinsamen Speicher über mehrere Zonen hinweg zu verwalten.

Verwenden Sie stattdessen eine klassische IBM Cloud® Serviceoption außerhalb einer VPC wie IBM Cloud® Object Storage oder IBM® Cloudant® for IBM Cloud®, wenn Sie Ihre Daten über mehrere Zonen und Regionen hinweg gemeinsam nutzen müssen.

Ich verfüge über Datenträger in der klassischen Infrastruktur. Kann ich diese Datenträger auf Virtual Private Cloud (VPC) umstellen?

Anzahl Die VPC bietet Zugriff auf neue Verfügbarkeitszonen in Regionen mit mehreren Zonen. Die Funktionalität der Rechenressourcens-, Netz- und Speicherressourcen sind auf VPC ausgelegt.

Kann ich aus meinen vorhandenen Startvolumes benutzerdefinierte Images erstellen?

Ja, Sie können ein benutzerdefiniertes Bild direkt aus einem Block Storage for VPC Startvolume. Anschließend können Sie das benutzerdefinierte Image für die Bereitstellung anderer virtueller Serverinstanzen verwenden. Weitere Informationen finden Sie unter Informationen zum Erstellen eines Image aus einem Datenträger.

Fragen zum Datenträgermanagement

Wie wird der Bootdatenträger für eine Instanz erstellt und in welcher Beziehung steht er zu dem Image der virtuellen Maschine?

Der Bootdatenträger wird erstellt, wenn Sie eine virtuelle Serverinstanz bereitstellen. Die Bootplatte einer Instanz stellt ein geklontes Image des Images der virtuellen Maschine dar. Für Archivimages beträgt die Bootdatenträgerkapazität 100 GB. Beim Importieren eines angepassten Image kann die Kapazität des Bootdatenträgers 10 GB bis 250 GB betragen, abhängig von den Anforderungen für das Image. Images, die kleiner als 10 GB sind, werden bis auf 10 GB gerundet.

Wann kann ich ein Block Storage for VPC Volume löschen?

Sie können ein Block Storage for VPC Volume nur löschen, wenn es nicht mit einer virtuellen Serverinstanz verbunden ist.

Sie müssen das Data-Volume abhängen, bevor Sie es löschen können. Sie können die Funktion zum automatischen Löschen auch in der Konsole, über die Befehlszeilenschnittstelle oder über die API aktivieren. Wenn die automatische Löschung aktiviert ist, wird das Datenvolumen zusammen mit der Instanz gelöscht.

Standardmäßig werden die Boot-Volumes abgetrennt und gelöscht, wenn die Instanz gelöscht wird. Wenn Sie Ihr Boot-Volume beibehalten möchten, deaktivieren Sie die Funktion zum automatischen Löschen. Weitere Informationen finden Sie unter Verwalten von Block Storage for VPC volumes.

Was passiert mit meinen Daten, wenn ich ein Block Storage for VPC Datenvolumen lösche?

Wenn Sie ein Block Storage for VPC Volume löschen, wird der Zugriff auf Ihre Daten sofort unzulässig. Alle Verweise auf die Daten auf diesem Datenträger werden entfernt. Die nicht mehr zugänglichen Daten werden irgendwann überschrieben, da neue Daten auf den Datenblock geschrieben werden. IBM garantiert, dass auf gelöschte Daten kein Zugriff möglich ist und dass gelöschte Daten letztendlich überschrieben werden. Weitere Informationen finden Sie unter Block Storage for VPC-Datentilgung.

Ich habe Compliance-Anforderungen für die Datenlöschung. Was kann ich tun, um sicherzustellen, dass meine Daten unzugänglich sind?

IBM garantiert, dass Ihre Daten auf dem physischen Datenträger unzugänglich sind und schließlich gelöscht werden. Falls Sie zusätzlichen Compliance-Anforderungen unterliegen (z. B. NIST 800-88 Guidelines for Media Sanitization), müssen Sie vor dem Löschen Ihrer Datenträger Datenhygieneprozeduren durchführen. Weitere Informationen finden Sie in den NIST 800-88 Guidelines for Media Sanitation.

Welche Regeln gelten für Datenträgernamen und kann ich einen Datenträger später umbenennen?

Gültige Datenträgernamen können eine Kombination aus alphanumerischen Zeichen in Kleinschreibung (a-z, 0-9) und dem Bindestrich (-) enthalten, die bis zu 63 Zeichen umfasst. Datenträgernamen müssen mit einem Kleinbuchstaben beginnen und innerhalb der gesamten VPC-Infrastruktur eindeutig sein.

Sie können den Namen eines vorhandenen Volumes in der Konsole ändern. Weitere Informationen finden Sie unter Block Storage for VPC.

Muss das Volumen vorgewärmt werden, um den erwarteten Durchsatz zu erreichen?

Es ist keine Vorlaufphase für Datenträger erforderlich. Der angegebene Durchsatz wird sofort nach der Bereitstellung des Datenträgers angezeigt, wenn Sie den Datenträger aus einem Image erstellen. Sie können eine verminderte Leistung feststellen, wenn Sie den Datenträger durch Wiederherstellung einer Momentaufnahme bereitstellen.

Was ist ein Block Storage for VPC Snapshot?

Snapshots sind eine zeitpunktgenaue Kopie Ihres Block Storage for VPC Boot- oder Datenvolumes, die Sie manuell erstellen. Der erste Snapshot, den Sie erstellen, ist eine vollständige Sicherung des Datenträgers. Nachfolgende Snapshots desselben Volumes erfassen nur die Änderungen seit dem letzten Snapshot. Weitere Informationen finden Sie unter Informationen zu Block Storage for VPC Snapshots für VPC.

Was ist eine Sicherungsmomentaufnahme?

Sicherungsmomentaufnahmen, einfach "Sicherungen" genannt, sind Momentaufnahmen, die vom Backup for VPC-Service automatisch erstellt werden. Weitere Informationen finden Sie unter Informationen zu Backup for VPC.

Kann ich Datensicherungen für die Disaster-Recovery durchführen?

Block Storage for VPC schützt Ihre Daten über redundante Fehlerzonen in Ihrer Region. Mit dem Sicherungsservice können Sie Ihre Datenträgerdaten regelmäßig nach einem von Ihnen definierten Zeitplan sichern. Sie können Sicherungsmomentaufnahmen so oft wie 1 Stunde erstellen. Der Sicherungsservice stellt jedoch keine fortlaufende Sicherung mit automatischer Funktionsübernahme bereit und die Wiederherstellung eines Datenträgers aus einer Sicherung oder Momentaufnahme ist eine manuelle Operation, die Zeit in Anspruch nimmt. Wenn Sie ein höheres Service-Level für die automatische Notfallwiederherstellung benötigen, lesen Sie die Informationen unter IBM Cloud-Disaster-Recovery-Lösungen.

Kann ich einen Datenträger aus einem Snapshot wiederherstellen?

Bei der Wiederherstellung von einem Snapshot wird ein neues, vollständig bereitgestelltes Boot- oder Datenvolume erstellt. Sie können Speicherdatenträger während der Instanzerstellung, Instanzänderung oder bei der Bereitstellung eines neuen eigenständigen Datenträgers zurückschreiben. Bei Datenträgern können Sie auch die volumes-API verwenden, um einen Datenträger aus einer Momentaufnahme zu erstellen. Weitere Informationen finden Sie unter Datenträger aus einem Snapshot wiederherstellen.

Für eine optimale Leistung können Sie Momentaufnahmen für die Schnellzurückschreibung aktivieren. Mit der Schnellzurückschreibungsfunktion können Sie einen Datenträger aus einem Snapshot erstellen, der vollständig bereitgestellt wird, wenn der Datenträger erstellt wird. Weitere Informationen finden Sie unter Schnellzurückschreibung von Momentaufnahmen.

Kann ich Tags zu einem Datenträger hinzufügen?

Ja, Sie können Ihren Datenträgern Benutzertags und Zugriffsmanagementtags hinzufügen. Benutzertags werden vom Sicherungsservice verwendet, um automatisch Sicherungsmomentaufnahmen des Datenträgers zu erstellen. Mithilfe von Zugriffsmanagementtags können Sie den Zugriff auf Ihre Block Storage for VPC-Datenträger organisieren. Weitere Informationen finden Sie unter Tags für Block Storage for VPC-Datenträger.

Fragen zur Leistung

Was sind E/A-Operationen pro Sekunde und wie bezieht sie sich auf die Leistung meines Block Storage for VPC-Datenträgers?

Input/Output-Operationen pro Sekunde (IOPS) werden verwendet, um die Leistung Ihrer Block Storage for VPC Volumes zu messen. Eine Reihe von Variablen wirkt sich auf die IOPS-Werte aus, z. B. das Gleichgewicht in Bezug auf Lese-/Schreiboperationen, Warteschlangenlänge und Datenblockgröße. Im Allgemeinen gilt: Je höher die IOPS der Block Storage for VPC Volumes, desto besser die Leistung. Weitere Informationen zu den erwarteten IOPS für Block Storage for VPC-Profile finden Sie unter Profile. Weitere Informationen darüber, wie sich die Blockgröße auf die Leistung auswirkt, finden Sie unter Block Storage capacity and performance.

Werden die zugeordneten E/A-Operationen pro Sekunde auf Instanz- oder Datenträgerebene umgesetzt?

IOPS werden auf Datenträgerebene durchgesetzt.

Was sind Volumenprofile und wie wirken sie sich auf die Volumenleistung aus?

volume-Profile definieren die IOPS/GB-Leistung für Volumes mit unterschiedlichen Kapazitäten. Sie können aus drei vordefinierten IOPS-Tiers auswählen, die zuverlässige IOPS-Leistung für Ihre Workloadanforderungen bieten. Sie können auch benutzerdefinierte IOPS definieren und einen Bereich von IOPS für eine von Ihnen gewählte Volume-Größe angeben. Angepasste IOPS-Werte stellen eine gute Option dar, wenn Sie über klar strukturierte Leistungsanforderungen verfügen, die von den vordefinierten IOPS-Tiers nicht abgedeckt werden. Wenn Sie ein benutzerdefiniertes Volume-Profil wählen, legen Sie auch einen Mindest- und Höchstwert für die Volume-Größe fest.

Die maximale IOPS-Anzahl für Datenträger variiert entsprechend der Datenträgergröße und dem Profiltyp, die Sie auswählen.

IOPS wird auf der Grundlage eines Lastprofils von 16-KB-Blöcken mit zufälligen 50 % Lese- und 50 % Schreibzugriffen gemessen. Bei Workloads, die von diesem Profil abweichen, kann es zu einer Leistungsminderung kommen. Wenn Sie eine kleinere Blockgröße verwenden, können Sie maximale IOPS erzielen, aber der Durchsatz ist geringer. Weitere Informationen bietet der Abschnitt Auswirkung der Blockgröße auf die Leistung.

Was geschieht, wenn sich ein Datenträger in einem verminderten Zustand befindet?

Der Datenträgerstatus definiert, ob ein Datenträger aufgrund seines Status wie erwartet ausgeführt wird. Der Datenträgerzustand kann OK, vermindert, nicht anwendbar oder fehlerhaft sein, je nachdem, was geschieht. Ein verminderter Status wird beispielsweise angezeigt, wenn ein Datenträger aus einer Momentaufnahme zurückgeschrieben wird und der Datenträger noch nicht vollständig zurückgeschrieben wurde. Weitere Informationen zum Datenträgerzustandsstatus finden Sie in Block Storage for VPC Datenträgerzustandsstatus.

Fragen zu Datensicherheit und Verschlüsselung

Wie sicher sind die Daten in einem Block Storage for VPC-Datenträger?

Alle Block Storage for VPC Volumes werden im Ruhezustand mit IBM-managed encryption verschlüsselt. IBM-die verwalteten Schlüssel werden generiert und sicher in einem Block Storage for VPC Tresor gespeichert, der von Consul gesichert und von IBM Cloud® gewartet wird.

Bei höheren Sicherheitsanforderungen können Sie Ihre Daten mithilfe Ihrer eigenen Kundenrootschlüssel (Customer Root Keys, CRKs) schützen. Sie können Ihre Stammschlüssel in einen unterstützten Schlüsselverwaltungsdienst (KMS) importieren oder dort erstellen. Ihre Rootschlüssel werden sicher von dem unterstützten KMS verwaltet, entweder Key Protect (Konformität mit FIPS 140-2 Level 3) oder Hyper Protect Crypto Services. Beide KMS-Lösungen bieten die höchste Sicherheitsstufe (Konformität mit FIPS 140-2 Level 4). Ihre Schlüsselinformationen sind sowohl bei der Übertragung als auch im gespeicherten Zustand geschützt.

Weitere Informationen hierzu finden Sie unter Unterstützte Schlüsselmanagementservices für vom Kunden verwaltete Verschlüsselung. Informationen zum Konfigurieren der kundenverwalteten Verschlüsselung finden Sie unter Block Storage for VPC-Datenträger mit vom Kunden verwalteter Verschlüsselung erstellen

Sie kontrollieren den Zugriff auf Ihre Root-Schlüssel, die in KMS-Instanzen innerhalb von IBM Cloud® gespeichert sind, indem Sie IBM Cloud Identity and Access Management (IAM) verwenden. Sie gewähren dem IBM Block Storage for VPC Service Zugang zur Nutzung Ihrer Schlüssel. Mit der API können Sie ein primäres Konto, das einen Rootschlüssel enthält, mit einem sekundären Konto verknüpfen und diesen Schlüssel anschließend zum Verschlüsseln neuer Datenträger im sekundären Konto verwenden. Weitere Informationen finden Sie unter Kontenübergreifende Verschlüsselung für Multi-Tenant-Speicherressourcen.

Sie können den Zugang auch jederzeit widerrufen, wenn Sie z. B. den Verdacht haben, dass Ihre Schlüssel missbraucht werden könnten. Außerdem können Sie einen Rootschlüssel inaktivieren oder löschen oder den Zugriff auf die zugehörigen Daten des Schlüssels in der Cloud vorübergehend widerrufen. Weitere Informationen finden Sie unter Verwalten der Datenverschlüsselung.

Welche Vorteile bietet die Verwendung einer vom Kunden verwalteten Verschlüsselung gegenüber einer vom Provider verwalteten Verschlüsselung?

Die vom Kunden verwaltete Verschlüsselung erstellt eine Umschlagverschlüsselung für Ihre Block Storage for VPC Volumes mit Ihren eigenen Root-Keys. Sie haben die vollständige Kontrolle über Ihre Datensicherheit, können den Zugriff auf Ihre Schlüssel verwalten und Schlüssel nach Belieben rotieren und widerrufen. Weitere Informationen finden Sie unter Vorteile von vom Kunden verwalteter Verschlüsselung.

Welche Verschlüsselungstechnologie wird für vom Kunden verwaltete Verschlüsselung verwendet?

Virtuelle Plattenimages für VPC verwenden das Dateiformat QCOW2 (QEMU Copy On Write Version 2). Die Dateien im Format QCOW2 werden über das LUKS-Verschlüsselungsformat geschützt. IBM verwendet derzeit die Cipher Suite AES-256 und die XTS-Verschlüsselungsmodusoptionen mit LUKS. Diese Kombination bietet ein deutlich höheres Maß an Sicherheit als AES-CBC sowie eine bessere Verwaltung der Kennphrasen für die Schlüsselrotation und Schlüsselaustauschoptionen für den Fall, dass ein Schlüssel in falsche Hände gerät.

Was sind Hauptverschlüsselungsschlüssel und wie werden sie meinen Block Storage for VPC Volumes zugewiesen?

Jedem Volume wird ein eindeutiger Hauptverschlüsselungsschlüssel zugewiesen, der so genannte Datenverschlüsselungsschlüssel (DEK), der vom Host-Hypervisor der Instanz generiert wird. Der Hauptschlüssel für jedes Block Storage for VPC-Volume wird mit einer eindeutigen, vom KMS generierten LUKS-Passphrase verschlüsselt, die dann von Ihrem Kundenstammschlüssel (CRK) verschlüsselt und im KMS gespeichert wird. Passphrasen sind AES-256 Chiffrierschlüssel, was bedeutet, dass sie 32 Byte lang und nicht auf druckbare Zeichen beschränkt sind. Sie können den Cloud-Ressourcennamen (CRN) für den CRK anzeigen, der zur Verschlüsselung eines Volumes verwendet wird. Kundenrootschlüssel, LUKS-Kennphrase und Masterverschlüsselungsschlüssel eines Datenträgers werden jedoch niemals offengelegt. Weitere Informationen zu allen Schlüsseln, die IBM VPC verwendet, um Ihre Daten zu schützen, finden Sie unter IBM Verschlüsselungstechnologie - So werden Ihre Daten geschützt.

Ich nutze vom Kunden verwaltete Verschlüsselung für meine Datenträger. Was passiert, wenn ich meinen Rootschlüssel inaktiviere oder lösche?

Bei diesen Aktionen handelt es sich um zwei separate Vorgänge. Bei der Inaktivierung eines Rootschlüssels in Ihrer KMS werden die zugehörigen Verschlüsselungs- und Entschlüsselungsoperationen ausgesetzt, wodurch der Schlüssel in den Status 'Ausgesetzt' versetzt wird. Arbeitslasten werden weiterhin in virtuellen Serverinstanzen ausgeführt und Boot-Volumes bleiben verschlüsselt. Datenträger bleiben angehängt. Wenn Sie jedoch die VM herunterfahren und anschließend erneut starten, werden Instanzen mit verschlüsselten Bootdatenträgern nicht gestartet. Sie können einen Rootschlüssel, der sich im Aussetzstatus befindet, wieder aktivieren und so den normalen Betrieb wiederaufnehmen. Weitere Informationen finden Sie unter Rootschlüssel inaktivieren.

Das Löschen eines Rootschlüssels hat weiterreichende Konsequenzen. Beim Löschen eines Rootschlüssels wird die Verwendung des Schlüssels für sämtliche Ressourcen in der VPC gelöscht. Standardmäßig verhindert das KMS, dass Sie einen Rootschlüssel löschen, der eine Ressource aktiv schützt. Sie können die Löschung eines Rootschlüssels jedoch erzwingen. Innerhalb eines begrenzten Zeitraums besteht die Möglichkeit, einen gelöschten Rootschlüssel wiederherzustellen, wenn dieser in den Schlüsselmanagementservice (KMS) importiert wurde. Weitere Informationen hierzu finden Sie unter Rootschlüssel löschen.

Kann ich die IAM-Autorisierung von Cloud Block Storage for VPC zum KMS entfernen und trotzdem meine Block Storage for VPC Volumes mit kundenverwalteter Verschlüsselung löschen?

Wenn Sie die IAM-Berechtigung entfernen, bevor Sie Ihren BYOK-Datenträger (oder Image) löschen, wird die Löschoperation abgeschlossen, ohne die Registrierung der Rootschlüssel in der KMS-Instanz aufzuheben. Mit anderen Worten: Der Stammschlüssel bleibt für eine Ressource registriert, die nicht existiert. Achten Sie darauf, dass Sie eine BYOK-Ressource stets löschen, bevor Sie die IAM-Autorisierung entfernen. Weitere Informationen zum sicheren Entfernen der Serviceautorisierung finden Sie in Serviceautorisierung für einen Rootschlüssel entfernen.

Was kann ich tun, wenn mein Root-Schlüssel kompromittiert wurde?

Führen Sie wie üblich ein Backup für Ihre Daten durch. Löschen Sie dann den kompromittierten Root-Schlüssel und schalten Sie die Instanz mit Volumes, die mit diesem Schlüssel verschlüsselt sind, aus.

Ziehen Sie auch in Betracht, eine Richtlinie für die Schlüsselrotation festzulegen, durch die eine automatische Schlüsselrotation nach einem Zeitplan durchgeführt wird. Weitere Informationen finden Sie unter Schlüsselrotation für VPC-Ressourcen.

Was ist eine Schlüsselrotation?

Für IBM Cloud VPC Ressourcen wie Block Storage for VPC Volumes, die durch Ihren Kunden-Root-Schlüssel (CRK) geschützt sind, können Sie die Root-Schlüssel für zusätzliche Sicherheit rotieren. Wenn Sie einen Rootschlüssel unter Verwendung eines Zeitplans oder auf Anforderung turnusgemäß wechseln, werden die ursprünglichen Schlüsselinformationen ersetzt. Der alte Schlüssel bleibt zum Entschlüsseln vorhandener Datenträger aktiv, kann aber nicht zum Verschlüsseln neuer Datenträger verwendet werden. Weitere Informationen finden Sie unter Schlüsselrotation für VPC-Ressourcen.

Wie funktioniert eine Schlüsselrotation?

Vom Kunden verwaltete verschlüsselte Ressourcen wie Block Storage for VPC Volumes verwenden Ihren Root-Schlüssel (CRK) als Root-of-Trust-Schlüssel, der eine LUKS-Passphrase verschlüsselt, die einen Hauptschlüssel verschlüsselt, der das Volume schützt. Sie können den Rootschlüssel für den Kunden (CRK) in eine Instanz eines Schlüsselmanagementservice (Key Management Service, KMS) importieren oder den KMS anweisen, einen CRK zu generieren. Rootschlüssel werden in der KMS-Instanz turnusgemäß gewechselt.

Wenn Sie einen Rootschlüssel turnusmäßig wechseln, wird durch das Erstellen oder Importieren neuer Verschlüsselungsschlüsselinformationen eine neue Version des Schlüssels erstellt. Der alte Rootschlüssel wird außer Kraft gesetzt und bleibt zum Entschlüsseln vorhandener Datenträger verfügbar; er ist jedoch nicht zum Verschlüsseln neuer Datenträger verfügbar. Neue Ressourcen werden durch den neuesten Schlüssel geschützt. Weitere Informationen finden Sie unter Funktionsweise der Schlüsselrotation.

Wird mir die Verwendung von vom Kunden verwalteter Verschlüsselung in Rechnung gestellt?

Für das Erstellen von Datenträgern mit vom Kunden verwalteter Verschlüsselung werden keine zusätzlichen Gebühren berechnet. Das Einrichten einer Key Protect-oder Hyper Protect Crypto Services-Instanz zum Importieren, Erstellen und Verwalten Ihrer Rootschlüssel ist jedoch nicht ohne Kosten. Nähere Informationen erhalten Sie bei Ihren Ansprechpartner beim IBM Kundenservice.

Was ist der Unterschied zwischen der Verwendung von Key Protect als KMS im Vergleich zu Hyper Protect Crypto Services? In welchen Fällen ist einer dieser Services vorzuziehen?

Beide Schlüsselverwaltungssysteme bieten Ihnen die vollständige Kontrolle über Ihre Daten, die von Ihren Root-Schlüsseln verwaltet werden. Key Protect ist ein mandantenfähiges KMS, in das Sie Ihre Root-Schlüssel importieren oder erstellen und sicher verwalten können. Hyper Protect Crypto Services ist ein mandantenfähiges KMS und Hardware-Sicherheitsmodul(HSM)Eine physische Appliance, die bedarfsgesteuerte Verschlüsselung, Schlüsselverwaltung und Schlüsselspeicherung als verwalteten Service bereitstellt., das von Ihnen kontrolliert wird und das höchste Sicherheitsstufe bietet. Weitere Informationen zu diesen Schlüsselverwaltungsdiensten finden Sie unter Unterstützte Schlüsselverwaltungsdienste für die vom Kunden verwaltete Verschlüsselung.

Kann ich bei meinen Datenträgern von vom Provider verwalteter Verschlüsselung zu vom Kunden verwalteter Verschlüsselung wechseln?

Nein. Wenn Sie einen Datenträger bereitgestellt und den Verschlüsselungstyp angegeben haben, ist eine Änderung des Verschlüsselungstyps nicht mehr möglich.