Acerca de Block Storage for VPC

IBM® Cloud Block Storage for Virtual Private Cloud proporciona almacenamiento de datos de alto rendimiento para sus instancias de servidor virtual que puede aprovisionar dentro de una IBM Cloud® Virtual Private Cloud (VPC). La infraestructura de VPC permite realizar un escalado rápido entre zonas y ofrece rendimiento y seguridad adicionales.

Visión general

Block Storage for VPC proporciona volúmenes de arranque primarios y volúmenes de datos secundarios. Los volúmenes de arranque se crean y se conectan automáticamente durante el suministro de la instancia. Los volúmenes de datos pueden crearse y adjuntarse durante el aprovisionamiento de la instancia, o como volúmenes independientes que pueden adjuntarse posteriormente a una instancia. Para proteger los datos, puede utilizar sus propias claves de cifrado o elegir el cifrado gestionado por IBM.

Usted paga sólo por la capacidad que necesita. La capacidad de Block Storage for VPC oscila entre 10 GB y 16.000 GB para todos los perfiles disponibles. Para los volúmenes de datos que se adjuntan a una instancia de servidor virtual, puede aumentar la capacidad del volumen en incrementos de GB hasta 16.000 GB de capacidad, dependiendo de su perfil de volumen. También puede aumentar o disminuir IOPS para un volumen que está conectado a una instancia.

Los clientes con acceso especial para utilizar los perfiles de volumen dentro de la familia de rendimiento definida pueden aumentar el tamaño de sus volúmenes de datos y de arranque hasta 32.000 GB. La IOPS máxima que puede soportar un volumen con el perfil sdp es de 64.000. También puedes modificar el límite de caudal en el rango de 125-1024 MBps (1000-8192 Mbps). Los valores de capacidad, IOPS y rendimiento de los volúmenes creados con el perfil sdp pueden modificarse incluso cuando el volumen no está conectado a una instancia de servidor virtual.

Block Storage for VPC admite todos los perfiles de servidor virtual.

Block Storage for VPC Los datos de volumen se almacenan de forma redundante en varios discos físicos de una zona de disponibilidad para evitar la posible pérdida de datos por un fallo de cualquier componente.

Block Storage for VPC tipos de volumen

Block Storage for VPC ofrece volúmenes a nivel de bloque que se conectan a una instancia como volumen de arranque cuando se crea la instancia, o bien se conectan como volúmenes de datos secundarios. Puede configurar hasta 300 volúmenes Block Storage for VPC por cuenta en una región. Puede solicitar aumentar esta cuota mediante la apertura de un caso de soporte y especificando en qué zona necesita más volúmenes.

Sólo puede adjuntar un volumen de arranque a una instancia de servidor virtual a la vez, pero puede adjuntar hasta 12 volúmenes de datos Block Storage for VPC a una única instancia. Puede ver limitaciones consultando Límites de una conexión de volumen.

Volúmenes de arranque

Cuando se crea una instancia a partir de una imagen de stock, se crea un volumen de arranque de propósito general de 100 GB y 3.000 IOPS que se adjunta a la instancia de forma predeterminada. Al crear una instancia a partir de una imagen personalizada, puede especificar una capacidad de volumen de arranque de 10 GB a 250 GB, en función de lo que requiera la imagen. Esta capacidad puede ser de cualquier tamaño entre el tamaño mínimo soportado para la imagen seleccionada y el tamaño de imagen máximo soportado. Si el tamaño de la imagen personalizada es inferior a 10 GB, la capacidad de volumen de arranque se redondea hasta 10 GB. Después de crear el volumen de arranque, puede expandir el tamaño del volumen de arranque al tamaño máximo soportado, que es de 250 GB.

No puede crear una imagen a partir de un volumen de arranque que esté cifrado con claves gestionadas por el cliente y que no sea de 100 GB. Una operación de este tipo no está soportada.

De forma predeterminada, los volúmenes de arranque se cifran con el cifrado gestionado por IBM. Opcionalmente, puede utilizar sus propias claves raíz (CRK) eligiendo el cifrado gestionado por el cliente durante la creación de instancias (consulte Cifrado gestionado por el cliente).

De forma predeterminada, los volúmenes de arranque se suprimen al suprimir una instancia. Puedes cambiar la configuración de borrado automático en la consola, desde la CLI y con la API. Un volumen de arranque sólo se puede desconectar suprimiendo la instancia a la que está conectado. Un volumen de arranque no se puede desconectar de una instancia mientras exista la instancia. Para más información, consulte Gestión de volúmenes Block Storage for VPC.

Los volúmenes de datos

Block Storage for VPC los volúmenes de datos son volúmenes secundarios con una capacidad total de entre 10 GB y 16.000 GB. El número máximo de IOPS para volúmenes de datos varía en función del tamaño del volumen. Para obtener más información, consulte Perfiles deBlock Storage for VPC.

Los volúmenes de datos se pueden crear como volúmenes autónomos o cuando se suministra una instancia. Los volúmenes autónomos permanecen en un estado no conectado hasta que el volumen se conecta a una instancia. Cuando se crea un volumen de datos como parte del suministro de una instancia, el volumen se conecta automáticamente a la instancia.

Los volúmenes de datos se cifran de forma predeterminada con el cifrado gestionado por IBM. También puedes cifrar volúmenes de datos utilizando tus propias claves raíz.

Cuando crea una instancia de IBM Cloud Hyper Protect Virtual Servers para IBM Cloud® Virtual Private Cloud, el volumen de datos que está conectado a la instancia durante la creación de la instancia se cifra automáticamente con la semilla o frase de contraseña que proporcione.

Block Storage for VPC los volúmenes de datos pueden adjuntarse a cualquier instancia disponible en su zona, en función de su cuenta de cliente y sus permisos, y dentro de ciertos límites.

Cuando se elimina la instancia, estos volúmenes se desvinculan por defecto. La desconexión de forma predeterminada permite que los datos persistan más allá del ciclo de vida de la instancia de servidor virtual. Sólo se elimina la asociación del volumen con la instancia. Los volúmenes desconectados se pueden conectar a una instancia disponible en ejecución sin volver a suministrar el volumen o la instancia. O puedes borrar los volúmenes de datos manualmente después de desacoplarlos.

Al crear volúmenes, puede especificar si desea que los volúmenes de datos se eliminen cuando se elimine la instancia. Puedes activar y desactivar la función de borrado automático en la consola, desde la CLI o con la API.

También puedes aumentar el tamaño de un volumen adjunto en la consola, desde la CLI o con la API. Puede aumentar la capacidad en incrementos de GB hasta 16.000 GB de capacidad, en función de su perfil de volumen. Para obtener más información, consulte expansión de la capacidad de volumen de Block Storage for VPC.

Para más información, consulte Gestión de volúmenes Block Storage for VPC.

Block Storage for VPC perfiles de volumen

Los perfiles de volumen definen las características de capacidad y rendimiento de los volúmenes de almacenamiento. Así podrá elegir la mejor opción para sus necesidades específicas, tanto si el volumen está destinado a un uso general como a cargas de trabajo de alto rendimiento.

Perfiles de volumen tradicionales

Al crear un volumen Block Storage for VPC en la zona de disponibilidad, puede utilizar 3 perfiles de niveles diferentes con niveles de IOPS predefinidos. O puedes seleccionar un perfil personalizado y definir tu propio nivel de IOPS en función de la capacidad del volumen. Todos los perfiles están respaldados por unidades de estado sólido (SSD).

El perfil de rendimiento definido por la SSD

Los clientes con aprobación especial para previsualizar el perfil de rendimiento definido pueden utilizar el perfil sdp en las regiones de Dallas (us-south), Frankfurt (eu-de), Londres (eu-gb), Madrid (eu-es), Osaka (jp-osa), Sao Paulo (br-sao), Sydney (au-syd), Tokio (jp-tok), Toronto (ca-tor) y Washington (us-east) para especificar la capacidad personalizada, el límite de rendimiento personalizado y las IOPS personalizadas para sus volúmenes.

Se aplican las siguientes limitaciones a este release:

El perfil sdp sólo puede utilizarse con los recursos informáticos de las generaciones 2nd y 3rd. La infraestructura VPC de Generación 1 no es compatible.
No es compatible con la plataforma IBM Z (arquitectura s390x ) ni con Bare Metal Servers for VPC.
No se admite el arranque seguro desde el volumen de arranque SDP. Si desea aprovisionar una instancia de servidor virtual de tercera generación con un volumen de arranque basado en un perfil SDP, asegúrese de no habilitar el arranque seguro.
No es posible importar imágenes cifradas personalizadas.
No es posible crear una imagen personalizada a partir de un volumen de arranque con cifrado gestionado por el cliente.
No se admite la migración entre familias de perfiles de volumen de almacenamiento.
No se admite la migración de volúmenes entre zonas.

Para obtener más información, consulte Perfiles de Block Storage for VPC.

Protección de los datos

IBM Cloud® ofrece herramientas y funciones específicas de seguridad que le ayudarán a gestionar sus datos de forma segura cuando utilice IBM Cloud® Virtual Private Cloud. La siguiente sección proporciona información sobre el control de acceso, el cifrado de datos, la gestión de la configuración y las opciones de auditoría disponibles para los volúmenes de almacenamiento.

Funciones IAM para crear y gestionar volúmenes

Block Storage for VPC requieren permisos IAM para el control de acceso basado en roles. Dependiendo de su rol asignado, puede crear y administrar volúmenes. Para más información, ver Roles y acciones de IAM para Block Storage for VPC.

Para obtener más información, consulte las prácticas recomendadas para asignar acceso. Para ver el proceso completo de IAM, que incluye la invitación de usuarios a su cuenta y la asignación de acceso de IAM de Cloud, consulte la guía de aprendizaje de iniciación de IAM.

Autorizaciones IAM de servicio a servicio

Puede utilizar Cloud Identity and Access Management (IAM) para crear o eliminar una autorización que conceda acceso a un servicio a otro servicio. Para Block Storage for VPC, es necesario crear una autorización de servicio a servicio para configurar el cifrado gestionado por el cliente y las copias de seguridad. Para obtener más información, consulte Establecimiento de autorizaciones de servicio a servicio para Block Storage for VPC.

Restricciones basadas en contexto

Puede activar las restricciones basadas en el contexto (CBR) para las operaciones de volumen de bloques. Estas restricciones trabajan con políticas de IAM tradicionales, que se basan en la identidad, para proporcionar una capa de protección adicional. A diferencia de las políticas de IAM, las restricciones basadas en contexto no asignan el acceso. Las restricciones basadas en el contexto comprueban que una solicitud de acceso procede de un contexto permitido que usted configura, como la creación de un volumen de datos. Para más información, consulte Protección de los servicios de infraestructura de la Virtual Private Cloud(VPC)con restricciones basadas en contexto.

Cifrado en reposo y en tránsito

IBM Cloud se toma en serio la seguridad y comprende la importancia de poder cifrar los datos para mantenerlos protegidos. Por defecto, todos los volúmenes de almacenamiento en bloque se cifran en reposo con el cifrado gestionado por IBM.

También puedes optar por proteger tus volúmenes creando una encriptación con tus propias claves raíz almacenadas en uno de los sistemas de gestión de claves (KMS) aprobados. En IBM Cloud, el KMS puede estar ubicado en la misma o en otra cuenta que el servicio que está utilizando una clave de cifrado. Este patrón de implementación permite a las empresas administrar de forma centralizada las claves de cifrado para todas las cuentas corporativas.

Sus datos están protegidos en reposo y también en tránsito desde el almacenamiento hasta el hipervisor y el host. Después de configurar el tipo de cifrado para un volumen de arranque o de datos, no puedes cambiarlo.

Para obtener más información sobre el cifrado de datos, consulte Acerca del cifrado de datos para VPC.

Gestión de la seguridad y conformidad

Block Storage for VPC está integrado con Security and Compliance Center para ayudarle a gestionar la seguridad y la conformidad de su organización. Puede configurar objetivos que comprueben si los volúmenes están cifrados mediante claves gestionadas por el cliente. Si utiliza Security and Compliance Center para validar las configuraciones de Block Storage for VPC en su cuenta con respecto a un perfil, podrá identificar posibles problemas a medida que surjan.

Para obtener más información sobre la supervisión de la seguridad y la conformidad para VPC, consulte Iniciación a Security and Compliance Center. Para obtener más información sobre la creación de objetivos de seguridad y cumplimiento, consulte Definición de reglas en la documentación Seguridad y cumplimiento.

sucesos de seguimiento de actividad

Puede utilizar IBM Cloud® Activity Tracker Event Routing para configurar cómo enrutar los eventos de auditoría. Los eventos de auditoría son datos críticos para las operaciones de seguridad y un elemento clave para cumplir los requisitos de conformidad. Estos eventos se activan al crear, modificar o eliminar un volumen de bloques. Para obtener más información, consulte Eventos de seguimiento de actividad para IBM Cloud VPC.

Etiquetas para volúmenes Block Storage for VPC

Block Storage for VPC está activado para la búsqueda y etiquetado globales ( GhoST ). Puede crear y aplicar etiquetas de usuario y etiquetas de gestión de acceso a volúmenes para controlar y organizar mejor sus recursos Block Storage for VPC en toda la VPC.

También puede aplicar etiquetas a sus volúmenes de arranque y datos en cualquier momento en la consola, desde la CLI, con la API y Terraform. Cada recurso puede tener hasta 1000 etiquetas de usuario y no más de 250 etiquetas de acceso. Sin embargo, sólo se pueden adjuntar o desconectar 100 etiquetas en la misma operación.

Etiquetas de usuario

Las etiquetas de usuario se identifican unívocamente mediante un identificador de nombre de recurso en la nube (CRN). Cuando crea una etiqueta de usuario, proporciona un nombre único dentro de su cuenta de facturación. Puede definir las etiquetas de usuario en formato etiqueta o clave-valor.

Puede añadir etiquetas de usuario al crear un volumen Block Storage for VPC o al actualizar un volumen existente. También puede añadir etiquetas a un volumen de arranque o de datos durante la creación de la instancia. Para volúmenes de arranque, edite el volumen de arranque para añadir etiquetas. Para volúmenes de datos, puede añadir etiquetas al crearlas y adjuntarlas a la instancia, o añadirlas a volúmenes de datos existentes. Las políticas de copia de seguridad también utilizan las etiquetas de usuario de volumen para crear instantáneas de copia de seguridad automáticas del volumen. Cree, visualice y gestione etiquetas de usuario desde la interfaz de usuario, la CLI, la API o Terraform, y elimínelo en cualquier momento.

Etiquetas de gestión de acceso

Las etiquetas de gestión de acceso ayudan a organizar el control de acceso creando agrupaciones de recursos flexibles, permitiendo que los recursos de Block Storage for VPC crezcan sin necesidad de actualizaciones en las políticas de IAM.

Puede crear etiquetas de gestión de acceso y, a continuación, aplicarlas a volúmenes nuevos o existentes. Utilice la interfaz de usuario de IAM o la API de búsqueda y etiquetado global para crear la etiqueta de gestión de acceso. A continuación, desde la interfaz de usuario o la API de VPC, añada la gestión de acceso al crear un volumen o modificar un volumen existente. No puede añadir estas etiquetas a los volúmenes que se crean durante el suministro de instancias. Después de añadir las etiquetas de gestión de acceso, puede gestionar el acceso a ellas utilizando las políticas de IAM. Para obtener más información, consulte Aplicar etiquetas de gestión de acceso a un volumen de Block Storage for VPC.

Para obtener más información sobre la gestión de etiquetas para su cuenta, consulte Trabajar con etiquetas.

Instantáneas de almacenamiento de bloques

Las instantáneas de Block Storage para VPC son copias puntuales de sus volúmenes de datos o de arranque de Block Storage for VPC. Para proteger sus datos en el improbable caso de que se produzca un fallo en una zona o región, considere las instantáneas de Block Storage para VPC. Mediante la planificación de instantáneas a intervalos regulares, los datos se pueden replicar en otra zona de la misma región, o entre regiones, para que haya una copia disponible en otra región. Las instantáneas también se pueden almacenar en memoria caché para una restauración rápida. Con la restauración rápida, puede lograr un objetivo de tiempo de recuperación que sea más rápido que la restauración a partir de una instantánea regular. Las instantáneas pueden compartirse con otras cuentas para crear volúmenes en sus VPC. Para obtener más información sobre " Block Storage " Instantáneas para VPC, consulte " Acerca de las instantáneas ' Block Storage ' para VPC y " Instantáneas de la planificación.

Block Storage for VPC erradicación de datos

Si ya no necesitas un volumen, puedes borrarlo en cualquier momento. IBM garantiza que no se pueda acceder a los datos que has borrado, y que los datos borrados se sobrescriban y erradiquen con el tiempo.

Cuando eliminas un volumen Block Storage for VPC, esos bloques deben sobrescribirse antes de que ese Block Storage for VPC vuelva a estar disponible, ya sea para ti o para otro cliente.

Además, cuando IBM da de baja una unidad física, ésta se destruye antes de su eliminación. Las unidades retiradas del servicio son inutilizables y cualquier dato en ellas es inaccesible. Para más información, consulte Eliminación de un volumen Block Storage for VPC.

Si tiene requisitos de conformidad adicionales, como las directrices NIST 800-88 para el saneamiento de datos NIST 800-88, debe realizar los procedimientos de saneamiento de datos antes de suprimir los volúmenes. Para más información, consulta Sanear los datos antes de eliminar un volumen.

Próximos pasos

Cree los volúmenes Block Storage for VPC.

Para obtener más información sobre la creación de un volumen durante el suministro de instancias, consulte Crear y adjuntar un volumen de Block Storage for VPC al crear una instancia.
Para obtener más información sobre la creación de un Block Storage for VPC cifrado por sus propias claves de cifrado, consulte Creación de volúmenes de Block Storage for VPC con cifrado gestionado por el cliente.

Para obtener más información sobre la creación y la gestión de instancias en la VPC, consulte Acerca de las instancias de servidores virtuales para VPC.

Cuando se crea, visualiza o actualiza un volumen Block Storage for VPC, o se restaura un volumen a partir de una instantánea, se informa del estado del volumen en la consola, la CLI y la API. Para más información, consulte Block Storage for VPC estados de salud del volumen.

Block Storage for VPC proporciona funciones que son exclusivas de la VPC y no son compatibles con el almacenamiento de infraestructura clásico. Si está interesado en IBM Cloud® Block Storage for Classic en la infraestructura clásica, consulte IBM Cloud® Block Storage for Classic.