IBM Cloud Docs
Block Storage for VPC の概要

Block Storage for VPC の概要

IBM® Cloud Block Storage for Virtual Private Cloud は、 (VPC)内でプロビジョニングできる仮想サーバーインスタンス用の高性能データストレージを提供します。 IBM Cloud® Virtual Private Cloud VPC インフラストラクチャーは、ゾーンをまたぐ迅速なスケーリングと、非常に高いパフォーマンスおよびセキュリティーを提供します。

概要

Block Storage for VPC は、1 次ブート・ボリュームと 2 次データ・ボリュームを提供します。 ブート・ボリュームは、インスタンスのプロビジョニング中に自動的に作成されて接続されます。 データ・ボリュームは、インスタンスのプロビジョニング中に作成してアタッチすることも、後でインスタンスにアタッチできるスタンドアロン・ボリュームとして作成することもできます。 データを保護するために、独自の暗号鍵を使用するか、IBM 管理の暗号化を選択することができます。

お客様は必要な容量に対してのみ支払います。 Block Storage for VPC の容量の範囲は、使用可能なすべての プロファイル について 10 GB から 16,000 GB までです。 仮想サーバーインスタンスにアタッチされているデータボリュームの場合、ボリュームプロファイルに応じて、GB 単位で最大 16,000 GB の容量まで ボリューム容量を増やす ことができます。 インスタンスに接続されているボリュームの IOPS を増減 することもできます。

定義されたパフォーマンス・ファミリー内でボリューム・プロファイルを使用できる特別なアクセス権を持つお客様は、データおよびブート・ボリュームのサイズを最大32,000GBまで増やすことができます。 sdp プロファイルを持つボリュームがサポートできる最大IOPSは64,000です。 また、スループット制限を125~1024MBps(1000~8192Mbps)の範囲で変更することもできる。 sdp プロファイルで作成されたボリュームの容量、IOPS、およびスループットの値は、ボリュームが仮想サーバーインスタンスにアタッチされていない場合でも変更できます。

Block Storage for VPC は、すべての仮想サーバー・プロファイルをサポートします。

Block Storage for VPC のボリューム・データは、単一コンポーネントの障害によるデータ損失を防ぐために、アベイラビリティー・ゾーン内の複数の物理ディスクに冗長化して保管されます。

Block Storage for VPC ボリューム・タイプ

Block Storage for VPC は、インスタンスの作成時にブート・ボリュームとしてインスタンスに接続するか、または 2 次データ・ボリュームとして接続する、ブロック・レベルのボリュームを提供します。 1つのリージョンで、1アカウントあたり最大300 Block Storage for VPC ボリュームまで設定できます。 このクォータの引き上げを要求するには、サポート Case を開き、さらに多くのボリュームを必要とするゾーンを指定してください。

仮想サーバーインスタンスには、一度に1つのブートボリュームしかアタッチできませんが、1つのインスタンスには最大12個の Block Storage for VPC データボリュームをアタッチできます。 その他の制限については、『ボリューム接続の制限』を参照してください。

ブート・ボリューム

ストックイメージからインスタンスを作成すると、デフォルトで100 GB、3,000 IOPSの汎用ブートボリュームが作成され、インスタンスにアタッチされます。 カスタムイメージからインスタンスを作成する場合、イメージの要求に応じてブートボリュームの容量を10GBから250GBまで指定できます。 この容量は、選択したイメージに対してサポートされる最小サイズとサポートされる最大イメージ・サイズの間の任意のサイズにすることができます。 カスタム・イメージが 10 GB より小さい場合、ブート・ボリューム容量は 10 GB に切り上げられます。 ブート・ボリュームの作成後に、ブート・ボリューム・サイズをサポートされる最大サイズ (250 GB) に拡張できます。

お客様管理の鍵で暗号化され、100 GB ではないブート・ボリュームからイメージを作成することはできません。 このような操作はサポートされていません。

デフォルトでは、ブート・ボリュームは IBM 管理の暗号化を使用して暗号化されます。 オプションで、インスタンスの作成時にお客様管理の暗号化を選択してお客様所有のルート鍵 (CRK) を使用することもできます (お客様管理の暗号化を参照)。

デフォルトでは、インスタンスを削除すると、ブート・ボリュームは削除されます。 自動削除の設定は、コンソール、CLI、およびAPIで変更できます。 ブート・ボリュームを接続解除するには、そのボリュームが接続されているインスタンスを削除する必要があります。 インスタンスが存在している間は、そのインスタンスからブート・ボリュームを切り離すことはできません。 詳細については、 Block Storage for VPC ボリュームの管理を 参照。

データ・ボリューム

Block Storage for VPC データ・ボリュームはセカンダリ・ボリュームで、総容量は10GBから16,000GBの範囲である。 データ・ボリュームの最大 IOPS は、ボリューム・サイズによって異なります。 詳しくは、以下を参照してください Block Storage for VPC プロファイル

データ・ボリュームは、スタンドアロン・ボリュームとして作成するか、インスタンスのプロビジョン時に作成することができます。 スタンドアロン・ボリュームは、ユーザーによりインスタンスに接続されるまで未接続の状態になります。 インスタンスのプロビジョニングの一部としてデータ・ボリュームを作成する場合は、そのボリュームはインスタンスに自動的に接続されます。

デフォルトでは、データ・ボリュームは IBM 管理の暗号化を使用して暗号化されます。 また、独自のルート鍵を使用してデータ・ボリュームを暗号化することもできる。

IBM Cloud® Virtual Private Cloud インスタンス用に IBM Cloud Hyper Protect Virtual Servers を作成すると、インスタンス作成時にインスタンスに付加されるデータ・ボリュームは、暗号化されたシードまたは hrase によって自動的に暗号化されます。

Block Storage for VPC データボリュームは、顧客アカウントと権限に基づき、 一定の制限 内で、ゾーン内の利用可能なインスタンスにアタッチできます。

インスタンスが削除されると、これらのボリュームはデフォルトで切り離される。 デフォルトで切り離されることにより、仮想サーバー・インスタンスのライフサイクルを超えてデータを保持できます。 インスタンスとのボリュームの関連付けのみが削除される。 切り離されたボリュームは、実行中の使用可能なインスタンスに接続できます。ボリュームもインスタンスも再プロビジョンする必要はありません。 または、データボリュームを切り離した後に手動で削除することもできます。

ボリューム作成時に、インスタンス削除時にデータボリュームを削除するかどうかを指定できます。 自動削除機能は、コンソール、CLI、またはAPIで有効または無効にできます。

コンソール、CLI、またはAPIを使用して、アタッチされたボリュームのサイズを増やすこともできます。 ボリューム・プロファイルに応じて、GB単位で最大16,000GBまで容量を増やすことができます。 詳しくは、 Block Storage for VPC ボリューム容量の拡張 を参照してください。

詳細については、 Block Storage for VPC ボリュームの管理を 参照。

Block Storage for VPCボリューム・プロファイル

ボリューム・プロファイルは、ストレージ・ボリュームの容量と性能特性を定義する。 そのため、ボリュームが一般的な用途であれ、高性能なワークロードであれ、特定のニーズに最適なオプションを選択することができます。

従来の出来高プロファイル

アベイラビリティー・ゾーンに Block Storage for VPC ボリュームを作成するときに、IOPS レベルが事前定義された 3 つの異なる階層プロファイルを使用できます。 または、カスタムプロファイルを選択し、ボリューム容量に基づいて独自のIOPSレベルを定義することもできます。 すべてのプロファイルは、ソリッド・ステート・ドライブ (SSD) を基盤としています。

SSDで定義されたパフォーマンス・プロファイル

定義されたパフォーマンス・プロファイルをプレビューする特別な承認を得たお客様は、ダラス(us-south )、フランクフルト(eu-de )、ロンドン(eu-gb )、マドリード(eu-es )、大阪(jp-osa )、サンパウロ(br-sao )、シドニー(au-syd )、東京(jp-tok )、トロント(ca-tor )、ワシントン(us-east )リージョンで sdp プロファイルを使用して、ボリュームにカスタム容量、カスタムスループット制限、カスタムIOPSを指定できます。

このリリースには、以下の制限が適用されます。

  • sdp プロファイルは、 2nd および 3rd 世代のComputeリソースでのみ使用可能です。 ジェネレーション1のVPCインフラはサポートされていません。
  • IBM Z プラットフォーム ( s390x アーキテクチャー ) または Bare Metal Servers for VPC には対応していません。
  • SDPブートボリュームからのセキュアブートはサポートされていません。 第3世代の仮想サーバーインスタンスをSDPプロファイルベースのブートボリュームでプロビジョニングする場合は、セキュアブートを有効にしないことを確認してください。
  • カスタム暗号化画像のインポートはサポートされていません。
  • 顧客が管理する暗号化されたブートボリュームからカスタムイメージを作成することはサポートされていません。
  • ストレージ・ボリューム・プロファイル・ファミリー間の移行はサポートされていません。
  • ゾーン間でのボリュームの移行はサポートされていません。

詳しくは、Block Storage for VPC プロファイルを参照してください。

データの保護

IBM Cloud® セキュリティに特化したツールや機能を提供し、 を使用する際のデータの安全な管理を支援します。 IBM Cloud® Virtual Private Cloud 以下のセクションでは、ストレージボリュームで使用可能なアクセス制御、データ暗号化、 構成管理、および監査オプションに関する情報を提供します。

ボリュームの作成と管理のためのIAMロール

Block Storage for VPC には、ロールベースのアクセス制御のためのIAMパーミッションが必要です。 割り当てられたロールに応じて、ボリュームを作成および管理できます。 詳細については、 IAMのロールとアクションBlock Storage for VPC

詳しくは、アクセス権限を割り当てるためのベスト・プラクティスを参照してください。 アカウントへのユーザーの招待や Cloud IAM アクセス権限の割り当てを含め、IAM プロセス全体については、IAM 入門チュートリアルを参照してください。

IAMサービス間認証

Cloud Identity and Access Management (IAM)を使用して、あるサービスに別のサービスへのアクセスを許可する権限を作成または削除できます。 Block Storage for VPC では、顧客が管理する暗号化とバックアップを構成するためのサービス間認証を作成する必要がある。 詳細については、 Block Storage for VPC のサービス間認可の確立を 参照。

コンテキスト・ベースの制約事項

ブロック・ボリューム操作でコンテキスト・ベースの制限(CBR)を有効にできます。 これらの制限は、ID に基づく従来の IAM ポリシーと連携して、追加の保護レイヤーを提供します。 IAM ポリシーとは異なり、コンテキスト・ベースの制限はアクセス権限を割り当てません。 コンテキストベースの制限は、アクセス要求が、データボリュームの作成など、設定した許可されたコンテキストから来たものであることをチェックします。 詳細については、 コンテキストベースの制限による仮想プライベートクラウド(VPC)インフラストラクチャサービスの保護を 参照してください。

静止時と輸送時の暗号化

IBM Cloud はセキュリティーのニーズを真剣に受け止め、安全を維持するためにデータの暗号化機能が重要であることを理解しています。 すべてのブロック・ストレージ・ボリュームは、デフォルトで IBM-管理された暗号化で静止時に暗号化される。

承認されたキー管理システム (KMS) の 1 つに保存されている独自のルート キーを使用してエンベロープ暗号化を作成し、ボリュームを保護することもできます。 でIBM Cloud KMS は、暗号化キーを使用しているサービスと同じアカウントに配置することも、別のアカウントに配置することもできます。 この展開パターンにより、企業はすべての企業アカウントの暗号化キーを一元管理できます。

データは保存中だけでなく、ストレージからハイパーバイザーやホストへの転送中でも保護されます。 ブートボリュームまたはデータボリュームの暗号化タイプを設定した後、それを変更することはできません。

データ暗号化について詳しくは、VPC のデータ暗号化についてを参照してください。

セキュリティーとコンプライアンスの管理

Block Storage for VPC は、組織のセキュリティーとコンプライアンスの管理を支援する Security and Compliance Center と統合されています。 顧客が管理する鍵を使用してボリュームが暗号化されているかどうかをチェックするゴールを設定できる。 Security and Compliance Center を使用して、アカウント内の Block Storage for VPC 構成をプロファイルに対して検証することで、潜在的な問題が発生したときにそれを特定することができます。

VPC のセキュリティーとコンプライアンスのモニターについて詳しくは、 Security and Compliance Centerの概要 を参照してください。 セキュリティ目標とコンプライアンス目標の作成については、「セキュリティとコンプライアンス」の「 ルールの定義 」を参照してください。

アクティビティー・トラッキング・イベント

IBM Cloud® Activity Tracker Event Routing、監査イベントのルーティング方法を設定できます。 監査イベントは、セキュリティ運用にとって重要なデータであり、コンプライアンス要件を満たすための重要な要素である。 このようなイベントは、ブロック・ボリュームを作成、変更、または削除したときにトリガーされます。 詳しくは、 IBM Cloud VPC のアクティビティ追跡 イベントをご覧ください。

Block Storage for VPC ボリュームのタグ

Block Storage for VPC は、Global Searching and Tagging ( ) で有効です。 GhoST ユーザー・タグとアクセス管理タグを作成してボリュームに適用することで、VPC全体で Block Storage for VPC リソースをより適切に制御および整理できます。

また、コンソール、CLI、API、Terraformからいつでもブートボリュームとデータボリュームにタグを適用できます。 各リソースは、最大 1000 個のユーザー・タグを持つことができ、250 個以下のアクセス・タグを持つことができます。 ただし、同じ操作でアタッチまたはデタッチできるのは 100 個のタグのみです。

ユーザー・タグ

ユーザータグは、クラウド資源名(CRN)識別子によって一意に識別される。 ユーザータグを作成する際、課金アカウント内で一意の名前を指定します。 ユーザー・タグは、ラベルまたはキー・バリュー形式で定義できます。

Block Storage for VPC ボリュームを作成するとき、または既存のボリュームを更新するときに、 ユーザー・タグを追加 できます。 インスタンスの作成 時に、ブート・ボリュームまたはデータ・ボリュームにタグを追加することもできます。 ブート・ボリュームの場合は、ブート・ボリュームを編集してタグを追加します。 データ・ボリュームの場合、タグを作成してインスタンスに付加するときにタグを追加することも、既存のデータ・ボリュームにタグを追加することもできます。 ボリューム・ユーザー・タグは、ボリュームの自動バックアップ・スナップショットを作成するために バックアップ・ポリシー によっても使用されます。 UI、CLI、API、または Terraform からユーザー・タグを作成、表示、および管理し、いつでも削除できます。

アクセス管理タグ

アクセス管理タグ は、柔軟なリソース・グループを作成することでアクセス制御を編成し、IAM ポリシーを更新することなく Block Storage for VPC リソースを拡張できるようにします。

アクセス管理タグを作成し、それらを新規または既存のボリュームに適用することができます。 アクセス管理タグを作成するには、IAM UI またはグローバル検索とタグ付け API を使用します。 次に、VPC UI または API から、ボリュームの作成時または既存のボリュームの変更時にアクセス管理を追加します。 インスタンスのプロビジョニング中に作成されるボリュームにこれらのタグを追加することはできません。 アクセス管理タグを追加した後、IAM ポリシーを使用してそれらのタグへのアクセスを管理できます。 詳しくは、 Block Storage for VPC ボリュームへのアクセス管理タグの適用 を参照してください。

アカウントのタグの管理について詳しくは、タグの処理を参照してください。

ブロック・ストレージ・スナップショット

VPCのBlock Storageは、Block Storage for VPCブートボリュームまたはデータボリュームのポイントインタイムコピーです。 万が一ゾーンやリージョンに障害が発生した場合にデータを保護するには、VPC用のBlock Storageスナップショットをご検討ください。 スナップショットを定期的な間隔でスケジュールすることにより、データを同じリージョン内の別のゾーンまたはリージョン間で複製して、別のリージョンでコピーを使用できるようにすることができます。 高速リストアのためにスナップショットをキャッシュに入れることもできます。 高速リストアを使用すると、通常のスナップショットからリストアするよりも速い目標復旧時間を達成できます。 スナップショットは他のアカウントと共有し、そのVPCにボリュームを作成することができます。 Block StorageVPC用スナップショットの詳細については、「Block StorageVPC用スナップショットについて」および「プランニング・スナップショット」を参照してください。

Block Storage for VPC データ消去

ボリュームが不要になった場合は、いつでも削除することができます。 IBM、削除したデータにはアクセスできず、削除したデータは最終的に上書きされ、消去されることが保証されます。

Block Storage for VPC ボリュームを削除すると、 Block Storage for VPC をお客様または別のお客様が再び利用できるようにする前に、それらのブロックを上書きする必要があります。

さらに、 IBM、物理ドライブを廃棄する際、ドライブは廃棄前に破壊される。 廃棄されたドライブは使用不可になり、それらのドライブ上のデータはアクセス不能になります。 詳細については、 Block Storage for VPC ボリュームの削除を 参照してください。

NIST 800-88 Guidelines for Media Sanitization などの追加のコンプライアンス要件がある場合は、ボリュームを削除する前にお客様がデータ・サニタイズ手順を実行する必要があります。 詳細については、 ボリュームを削除する前にデータをサニタイズするを 参照してください。

次のステップ

Block Storage for VPC ボリュームを作成します。

VPC でのインスタンスの作成と管理について詳しくは、VPC の仮想サーバー・インスタンスについてを参照してください。

Block Storage for VPC ボリューム を作成、 表示、または更新したり、 スナップショットからボリュームを復元したりする と、ボリュームの正常性状態がコンソール、CLI、および API で報告されます。 詳細については、 Block Storage for VPC ボリューム・ヘルス・ステートを 参照。

Block Storage for VPC はVPC独自の機能を提供し、従来のインフラストラクチャー・ストレージとは互換性がない。 クラシック・インフラストラクチャー上の IBM Cloud® Block Storage for Classic に関心がある場合は、IBM Cloud® Block Storage for Classic を参照してください。