O que significa o Select Availability para a família de volumes de desempenho definido?

Os clientes com aprovação especial para visualizar a oferta Block Storage de segunda geração podem provisionar volumes de blocos com o novo perfil sdp. O perfil sdp está disponível nas regiões de Dallas, Frankfurt, Londres, Madri, Osaka, São Paulo, Sydney, Tóquio, Toronto e Washington, DC durante esta versão. Se estiver interessado em visualizar a nova oferta, entre em contato com o representante da equipe de contas ou com o gerente de sucesso do cliente.

O perfil de desempenho definido é compatível com VPCs de geração 1 e geração 2?

O perfil sdp está disponível somente como um recurso de VPC da geração 2.

Qual interface posso usar para criar volumes Block Storage com o perfil sdp ?

Os clientes com aprovação especial para visualizar a família de perfis de volume de desempenho definida podem provisionar volumes com o perfil sdp no console, na CLI, na API ou no Terraform.

Quando estiver provisionando no console, selecione o perfil sdp ao provisionar uma instância de servidor virtual ou um volume autônomo. Para obter mais informações, consulte Criação de volumes Block Storage for VPC no console.

Quando estiver provisionando a partir da CLI, você deverá especificar o perfil de volume como sdp no comando volume-create. Não são necessárias opções adicionais. Para obter mais informações, consulte a criação de volumes Block Storage for VPC na CLI.

Quando estiver provisionando com a API VPC, você deverá especificar o perfil de volume como sdp nas solicitações POST /instances ou POST /volumes. Não são necessárias opções adicionais. Para obter mais informações, consulte a seção Criação de volumes Block Storage for VPC com a API.

Quando estiver provisionando com o Terraform, use o recurso ibm_is_volume e especifique o perfil sdp. Para obter mais informações, consulte Criação de volumes autônomos Block Storage for VPC com o Terraform.

Quais funções são compatíveis com essa versão do perfil sdp ?

Nesta versão, você pode executar as seguintes ações:

• Crie volumes Block Storage e especifique um limite de taxa de transferência personalizado para ele, além da capacidade e do IOPS.
• Adicione criptografia gerenciada pelo cliente para volumes de dados.
• Expanda a capacidade dos volumes Block Storage após sua criação, quando estiverem conectados a uma instância de servidor virtual ou desconectados.
• Ajuste o IOPS após a criação do volume Block Storage quando ele estiver anexado a uma instância de servidor virtual ou não anexado.
• Altere o limite máximo de taxa de transferência quando o volume estiver conectado a uma instância de servidor virtual ou não conectado.
• Anexar volumes Block Storage a instâncias de serviços virtuais.
• Crie imagens personalizadas com criptografia gerenciada pelo provedor.
• Lista Block Storage volumes.
• Excluir volumes do site Block Storage.

Como meus dados são protegidos no volume de armazenamento baseado em perfil sdp ?

Seus dados são protegidos em repouso usando a criptografia gerenciada pelo IBM ou a criptografia gerenciada pelo cliente. Os dados em trânsito também são criptografados.

Um volume Block Storage pode ser copiado para uma zona diferente?

Nº Não é possível copiar o volume de armazenamento para uma zona diferente.

Posso criar snapshots para retenção de dados de um volume de desempenho definido?

Os clientes com acesso especial para visualizar o perfil de volume de desempenho definido podem criar instantâneos de seus volumes de segunda geração nas regiões de Dallas (us-south), Frankfurt (eu-de), Londres (eu-gb), Madri (eu-es), Osaka (js-osa), São Paulo (br-sao), Sydney (au-syd), Tóquio (jp-tok), Toronto (ca-tor) e Washington (us-east). Há suporte para cópias inter-regionais em Londres (eu-gb), Osaka (js-osa), São Paulo (br-sao) e Sydney (au-syd), com limitações. Não será possível criar uma cópia em outra região se o instantâneo estiver criptografado com uma chave gerenciada pelo cliente ou se o volume de origem do instantâneo exceder 10 TB. Não há suporte para snapshots de grupos de consistência de vários volumes sdp e clones de restauração rápida.

Como o Block Storage for VPC evita um ponto único de falha? Qual mecanismo assegura a durabilidade dos dados?

Os dados de volume do Block Storage for VPC são armazenados de maneira redundante em vários discos físicos em uma Zona de Disponibilidade para evitar perda de dados devido à falha de qualquer componente único.

Como os volumes são criados e anexados a uma instância?

Ao criar uma instância de servidor virtual, você pode criar um volume Block Storage for VPC que seja anexado a essa instância. Também é possível criar volumes independentes e, posteriormente, conectá-los às suas instâncias.

Quantas instâncias podem compartilhar um volume Block Storage for VPC provisionado?

Um volume Block Storage for VPC pode ser anexado a apenas uma instância por vez. As instâncias não podem compartilhar um volume.

Quantos volumes de dados podem ser anexados a uma instância?

Você pode anexar 12 Block Storage for VPC volumes de dados por instância, mais o volume de inicialização.

Como eu sou cobrado pelo uso?

O custo para Block Storage for VPC é calculado com base na capacidade de GiB que é armazenada por mês, a menos que a duração seja inferior a um mês. O volume existe na conta até que você exclua o volume ou atinja o término de um ciclo de faturamento, o que vier primeiro.

O preço também é afetado quando você expande a capacidade do volume ou ajusta o IOPS especificando um perfil de volume diferente. Por exemplo, a expansão da capacidade de volume aumenta os custos, e a alteração de um perfil de volume de um nível de 5 IOPS/GB para um nível de 3 IOPS/GB diminui a taxa mensal e por hora. O faturamento para um volume atualizado é automaticamente atualizado para incluir a diferença rateada do novo preço para o ciclo de faturamento atual. A nova quantia integral será faturada no próximo ciclo de faturamento.

É possível usar o estimador de custo no console do IBM Cloud para ver como as mudanças na capacidade e IOPS afetam o custo. Para obter mais informações, consulte Estimando os custos.

Onde posso encontrar informações sobre preços?

No console, vá para a página Bloquear volume de armazenamento para provisionamento de VPC e clique na guia Pricing. Na guia Pricing, você pode visualizar os detalhes do plano de preços para cada perfil de volume com base na Geografia, Região e Moeda selecionadas. Você também pode alternar entre taxas horárias e mensais.

Você pode recuperar programaticamente as informações de preços chamando a API do catálogo global. Para obter mais informações, consulte Obtenção de preços dinâmicos.

A capacidade de armazenamento é medida em GB ou GiB?

Um aspecto confuso do armazenamento são as unidades em que a capacidade de armazenamento e o uso são relatados em.. Em algum momento, os GB são realmente gigabytes (base-10) e, às vezes, os GB representam gibibytes (base-2) que devem ser abreviados como GiB.

Os humanos geralmente pensam e calculam números no sistema decimal (base-10). Em nossa documentação, nos referimos à capacidade de armazenamento usando a unidade GB (Gigabytes) para nos alinharmos à terminologia padrão do setor. No console, na CLI, na API e no Terraform, você vê a unidade GB usada e exibida quando consulta a capacidade. Quando desejar pedir um volume de 4 TB, insira 4.000 GB em sua solicitação de fornecimento.

No entanto, os computadores operam em binário, portanto, faz mais sentido representar alguns recursos como espaços de endereço de memória em base-2. Desde 1984, sistemas de arquivos de computador mostram tamanhos em base-2 para acompanhar a memória. Naquela época, os dispositivos de armazenamento disponíveis eram menores e a diferença de tamanho entre as unidades binárias e decimais era insignificante. Agora que os sistemas de armazenamento disponíveis são consideravelmente maiores esta diferença de unidade está causando confusão.

A diferença entre GB e GiB está em sua representação numérica:

• GB (Gigabyte) é uma unidade decimal, em que 1 GB equivale a 1.000.000.000 bytes. Ao converter GB em TB, você usa 1000 como o multiplicador.
• GiB (Gibibyte) é uma unidade binária, em que 1 GiB é igual a 1.073.741.824 bytes. Quando você converte GiB para TiB, você usa 1024 como multiplicador.

A tabela a seguir mostra o mesmo número de bytes expressos em unidades decimais e binários

O sistema de armazenamento usa unidades base-2 para alocação de volume. Portanto, se seu volume for provisionado como 4.000 GB, ele será realmente 4.000 GiB ou 4.294.967.296.000 bytes de espaço de armazenamento. O tamanho do volume fornecido é maior que 4 TB. No entanto, seu sistema operacional pode exibir o tamanho do armazenamento como 3.9 T porque usa base-2 conversão e o T significa TiB, não TB.

Por que a capacidade disponível que eu vejo em meu S.O. não corresponde à capacidade provisionada?

Uma das razões pode ser que o seu sistema operacional usa a conversão base-2. Por exemplo, quando você provisiona um volume de 4000 GB na IU, o sistema de armazenamento reserva um volume de 4.000 GiB ou 4.294.967.296.000 bytes de espaço de armazenamento para você O tamanho do volume fornecido é maior que 4 TB. No entanto, seu sistema operacional pode exibir o tamanho do armazenamento como 3.9 T porque usa base-2 conversão e o T significa TiB, não TB.

Segundo, particionar seu Block Storage e criar um sistema de arquivos nele reduz o espaço de armazenamento disponível. A quantidade de espaço que a formatação reduz varia de acordo com o tipo de formatação e a quantidade e o tamanho dos vários arquivos no sistema.

Tome o volume docs-block-test3 como um exemplo Especificamos 1200 GB durante o fornecimento e quando você lista os detalhes na CLI, é possível ver que ele tem a capacidade de 1200.

$ ibmcloud is volume r006-6afe1361-b592-45ab-b23b-6cca9982e371
Getting volume r006-6afe1361-b592-45ab-b23b-6cca9982e371 under account Test Account as user test.user@ibm.com...

ID                                     r006-6afe1361-b592-45ab-b23b-6cca9982e371
Name                                   docs-block-test3
CRN                                    crn:v1:bluemix:public:is:us-south-2:a/1234567::volume:r006-6afe1361-b592-45ab-b23b-6cca9982e371
Status                                 available
Attachment state                       attached
Capacity                               1200
IOPS                                   3600
Bandwidth(Mbps)                        471
Profile                                general-purpose
Encryption key                         -
Encryption                             provider_managed
Resource group                         defaults
Created                                2023-08-24T02:32:40+00:00
Zone                                   us-south-2
Health State                           ok
Volume Attachment Instance Reference   Attachment type   Instance ID                                 Instance name        Auto delete   Attachment ID                               Attachment name
                                       data              0727_e99798c7-9783-4f92-8207-96af48561454   docs-demo-instance   false         0727-bc38ec2b-a566-412f-8f76-8eefe5fc9f2c   untaken-senior-coronary-accurate

Active                                 true
Adjustable IOPS                        false
Busy                                   false
Tags                                   dev:test

Ao listar seus dispositivos de armazenamento da linha de comandos do servidor, é possível ver o mesmo volume que o vdc com um tamanho de 1.2T. O T significa tebibyte, uma unidade base-2 igual a 2 ^ 40 ^.

[root@docs-demo-instance ~]# lsblk
NAME   MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
vda    253:0    0  100G  0 disk
├─vda1 253:1    0  200M  0 part /boot/efi
└─vda2 253:2    0 99.8G  0 part /
vdb    253:16   0 69.9G  0 disk
vdc    253:32   0  1.2T  0 disk /myvolumedir
vdd    253:48   0  370K  0 disk
vde    253:64   0   44K  0 disk

A mesma unidade vdc mostra 1181679068 K de capacidade disponível quando é formatada com um sistema de arquivos ext4. É normal e esperado.

[root@docs-demo-instance ~]# df -hk
Filesystem      1K-blocks    Used  Available Use% Mounted on
devtmpfs          3993976       0    3993976   0% /dev
tmpfs             4004356       0    4004356   0% /dev/shm
tmpfs             4004356   33316    3971040   1% /run
tmpfs             4004356       0    4004356   0% /sys/fs/cgroup
/dev/vda2       102877120 1182048   96446100   2% /
/dev/vda1          204580   11468     193112   6% /boot/efi
/dev/vdc       1238411052   72148 1181679068   1% /myvolumedir
tmpfs              800872       0     800872   0% /run/user/0

Há limites no número de volumes que podem ser criados?

É possível criar um total de até 300 volumes Block Storage for VPC (dados e inicialização) por conta em uma região. Para aumentar essa cota, abra um caso de suporte e especifique a zona na qual você precisa de mais volumes

Depois que um volume de dados é criado com uma capacidade específica, a capacidade pode ser aumentada posteriormente?

Você pode aumentar a capacidade dos volumes de dados que estão anexados a uma instância de servidor virtual. É possível indicar a capacidade em incrementos de GB de até 16.000 GB de capacidade, dependendo do seu perfil de volume. Para obter mais informações, consulte Aumentando a capacidade do volume Block Storage for VPC..

Posso aumentar a capacidade de um volume de inicialização?

A capacidade de volume de inicialização pode ser aumentada durante o fornecimento da instância ou mais tarde modificando diretamente o volume de inicialização. Esse recurso se aplica a instâncias criadas a partir de imagens de estoque ou personalizadas. Você também pode especificar uma capacidade de volume de inicialização maior ao criar um modelo de instância. Para obter mais informações, consulte Aumentando a capacidade de volume de inicialização.

Posso mudar a capacidade de volume de inicialização para uma instância existente?

Sim, a capacidade de volume de inicialização pode ser aumentada para uma instância existente. Por exemplo, no console, selecione um volume de inicialização na lista de Block Storage for VPC volumes e, em seguida, redimensione o volume na página de detalhes do volume. Para obter mais informações, consulte Aumentar a capacidade do volume de inicialização na lista de volumes Block Storage for VPC no console. Também é possível usar a CLI ou a API..

Quantos volumes é possível provisionar na conta?

É possível provisionar até 300 volumes Block Storage for VPC por conta em uma região. Você pode solicitar o aumento da sua cota abrindo um caso de suporte e especificando a região em que precisa de mais volumes. Para obter mais informações sobre a preparação de um caso de suporte quando estiver fazendo um pedido de volumes Block Storage for VPC ou solicitando um aumento nos limites de volume ou capacidade, consulte Gerenciamento da contagem de volumes e dos limites de capacidade.

É possível configurar o armazenamento compartilhado em um cluster multizona?

No site IBM Cloud®, as opções de armazenamento são limitadas a uma zona de disponibilidade. Não tente gerenciar o armazenamento compartilhado em várias zonas.

Em vez disso, use uma opção de serviço clássico IBM Cloud® fora de uma VPC, como IBM Cloud® Object Storage ou IBM® Cloudant® for IBM Cloud®, se precisar compartilhar seus dados em várias zonas e regiões.

Eu tenho volumes na infraestrutura Classic. É possível portá-los para a VPC?

Nº A VPC fornece acesso a novas zonas de disponibilidade em regiões multizona. Os recursos de cálculo, rede e armazenamento foram projetados para funcionar na VPC.

Posso criar imagens personalizadas a partir dos meus volumes de inicialização existentes?

Sim, você pode criar uma imagem personalizada diretamente de um Block Storage for VPC volume de inicialização. Em seguida, você pode usar a imagem personalizada para provisionar outras instâncias de servidor virtual. Para obter mais informações, consulte Sobre como criar uma imagem por meio de um volume.

Como o disco de inicialização é criado para uma instância e como ele se relaciona com a imagem da máquina virtual?

O volume de inicialização é criado ao fornecer uma instância de servidor virtual. O disco de inicialização de uma instância é uma imagem clonada da imagem da máquina virtual. Para o banco de imagens, a capacidade de volume de inicialização é 100 GB. Se você estiver importando uma imagem customizada, a capacidade do volume de inicialização pode ser de 10 GB a 250 GB, dependendo do que a imagem requer. As imagens menores que 10 GB são arredondadas para 10 GB.

Quando posso excluir um volume do Block Storage for VPC?

Você pode excluir um volume Block Storage for VPC somente quando ele não estiver anexado a uma instância de servidor virtual.

Você deve desconectar o volume de dados antes de excluí-lo. Também é possível ativar o recurso de exclusão automática no console, na CLI ou com a API. Quando a exclusão automática está ativada, o volume de dados é excluído junto com a instância.

Por padrão, os volumes de inicialização são desconectados e excluídos quando a instância é excluída. Se quiser manter o volume de inicialização, desative o recurso de exclusão automática. Para obter mais informações, consulte Gerenciamento de volumes Block Storage for VPC.

O que acontece com meus dados quando eu excluo um volume de dados do Block Storage for VPC?

Quando você exclui um volume do Block Storage for VPC, seus dados ficam imediatamente inacessíveis. Todos os ponteiros para os dados nesse volume são removidos. Os dados inacessíveis são eventualmente sobrescritos à medida que novos dados são gravados no bloco de dados. A IBM garante que os dados excluídos não poderão ser acessados e que os dados excluídos serão sobrescritos definitivamente. Para obter mais informações, consulte Block Storage for VPC erradicação de dados.

Tenho requisitos de conformidade para exclusão de dados. O que posso fazer para garantir que meus dados fiquem inacessíveis?

IBM garante que seus dados fiquem inacessíveis no disco físico e acabem sendo erradicados. Se você tiver requisitos extras de conformidade, como o NIST 800-88 Guidelines for Media Sanitization, deverá realizar procedimentos de limpeza de dados antes de excluir seus volumes. Para obter mais informações, consulte as Diretrizes NIST 800-88 para higienização de mídia.

Quais regras se aplicam a nomes de volume e posso renomear um volume posteriormente?

Os nomes de volume válidos podem incluir uma combinação de caracteres alfanuméricos minúsculos (a-z, 0-9) e o hífen (-), com até 63 caracteres. Os nomes de volume devem começar com uma letra minúscula e serem exclusivos em toda a infraestrutura da VPC.

É possível alterar o nome de um volume existente no console. Para obter mais informações, consulte Gerenciando Block Storage for VPC..

O volume precisa ser pré-aquecido para atingir o rendimento esperado?

Você não tem que pré-aquecer um volume. É possível ver o rendimento especificado imediatamente após o fornecimento do volume ao criar o volume a partir de uma imagem.. É possível ter desempenho degradado ao provisionar o volume restaurando uma captura.

O que é um instantâneo de Block Storage for VPC?

Os instantâneos são uma cópia pontual do volume de dados ou de inicialização do site Block Storage for VPC que você cria manualmente. A primeira captura instantânea é um backup completo do volume. Os snapshots subsequentes do mesmo volume capturam apenas as alterações desde o último snapshot. Para obter mais informações, consulte Sobre Block Storage for VPC Capturas instantâneas para VPC.

O que é uma captura instantânea de backup?

Capturas instantâneas de backup, simplesmente chamadas de "backups", são capturas instantâneas que são criadas automaticamente pelo serviço Backup for VPC. Para obter mais informações, consulte Sobre o Backup for VPC.

O que pode ser feito sobre os backups de dados para a recuperação de desastres?

Block Storage for VPC protege seus dados em zonas de falha redundantes em sua região. Usando o serviço de backup, é possível fazer backup regularmente de seus dados de volume com base em um planejamento configurado. É possível criar capturas instantâneas de backup com uma freqüência de 1 hora. No entanto, o serviço de backup não fornece backup contínuo com failover automático e a restauração de um volume de um backup ou captura instantânea é uma operação manual que leva tempo. Se você precisar de um nível mais alto de serviço para a recuperação automática de desastre, consulte as Soluções de recuperação de desastre em nuvem da IBM

Posso restaurar um volume a partir de um instantâneo?

A restauração a partir de um snapshot cria um novo volume de dados ou de inicialização totalmente provisionado. É possível restaurar volumes de armazenamento durante a criação da instância, a modificação da instância ou quando você provisionar um novo volume independente Para volumes de dados, também é possível usar a API volumes para criar um volume de dados de uma captura instantânea. Para obter mais informações, consulte Restaurando um volume por meio de uma captura instantânea.

Para melhor desempenho, é possível ativar capturas instantâneas para restauração rápida. Usando o recurso de restauração rápida, é possível criar um volume por meio de uma captura instantânea totalmente provisionada quando o volume é criado. Para obter mais informações, consulte Restauração rápida de capturas instantâneas..

Posso incluir tags em um volume?

Sim, é possível incluir tags de usuário e tags de gerenciamento de acesso em seus volumes As tags de usuário são usadas pelo serviço de backup para criar automaticamente capturas instantâneas de backup do volume.. As tags de gerenciamento de acesso ajudam a organizar o acesso aos volumes do Block Storage for VPC. Para obter mais informações, consulte Tags para Block Storage for VPC volumes.

O que é o IOPS e como ele se relaciona com meu desempenho do volume Block Storage for VPC ?

As operações de entrada/saída por segundo (IOPS) são usadas para medir o desempenho de seus volumes Block Storage for VPC. Diversas variáveis impactam os valores de IOPS, como o saldo de operações de leitura/gravação, a profundidade da fila e os tamanhos de bloco de dados. Em geral, quanto maior for o IOPS de seus volumes Block Storage for VPC, melhor será o desempenho. Para obter mais informações sobre o IOPS esperado para perfis Block Storage for VPC, consulte Perfis. Para obter mais informações sobre como o tamanho do bloco afeta o desempenho, consulte Block Storage capacity and performance.

O IOPS alocado é cumprido por instância ou por volume?

O IOPS é cumprido no nível de volume.

O que são perfis de volume e como eles afetam o desempenho do volume?

os perfis de volume definem o desempenho de IOPS/GB para volumes de várias capacidades. É possível selecionar entre três camadas de IOPS predefinidas que oferecem desempenho de IOPS confiável para seus requisitos de carga de trabalho. Você também pode definir IOPS personalizados e especificar um intervalo de IOPS para um tamanho de volume que você escolher. O IOPS customizado é uma boa opção quando você tem requisitos de desempenho bem definidos que não se enquadram em uma camada de IOPS predefinida. Se você escolher um perfil de volume personalizado, defina também um intervalo mínimo e máximo para o tamanho do volume.

O IOPS máximo para volumes de dados varia com base no tamanho do volume e no tipo de perfil selecionado.

O IOPS é medido com base em um perfil de carga de blocos de 16 KB com 50% de leitura e 50% de gravações aleatórias. As cargas de trabalho que diferem desse perfil podem apresentar desempenho reduzido. Se você usar um tamanho de bloco menor, poderá obter o máximo de IOPS, mas a taxa de transferência será menor. Para obter mais informações, consulte Como o tamanho do bloco afeta o desempenho.

O que acontece quando um volume está em um estado de saúde degradado?

O estado de funcionamento do volume define se um volume está executando conforme esperado, dado seu status. O funcionamento do volume pode estar OK, degradado, inaplicável ou com falha, dependendo do que está acontecendo Por exemplo, um status degradado é exibido quando um volume está sendo restaurado a partir de uma captura instantânea e o volume ainda não está totalmente restaurado Para obter mais informações sobre estados de funcionamento do volume, consulte Block Storage for VPC estados de funcionamento do volume.

Qual o grau de segurança dos dados em um volume do Block Storage for VPC?

Todos os volumes do Block Storage for VPC são criptografados em repouso com a criptografia gerenciada pelo IBM. IBM-as chaves gerenciadas são geradas e armazenadas de forma segura em um cofre Block Storage for VPC que é apoiado pela Consul e mantido pelas operações IBM Cloud®.

Para obter mais segurança, é possível proteger seus dados usando suas próprias chaves raiz do cliente (CRKs). Você pode importar suas chaves raiz ou criá-las em um serviço de gerenciamento de chaves (KMS) compatível. Suas chaves raiz são gerenciadas com segurança pelo KMS suportado, Key Protect (conformidade FIPS 140-2 Nível 3) ou Hyper Protect Crypto Services. Ambas as soluções KMS oferecem o mais alto nível de segurança (conformidade FIPS 140-2 Nível 4). Seu material de chave é protegido em trânsito e em repouso.

Para obter mais informações, consulte Serviços de gerenciamento de chave suportados para criptografia gerenciada pelo cliente. Para saber como configurar a criptografia gerenciada pelo cliente, consulte Criando volumes do Block Storage for VPC com criptografia gerenciada pelo cliente.

Você controla o acesso às suas chaves raiz armazenadas nas instâncias do KMS em IBM Cloud® usando o IBM Cloud Identity and Access Management (IAM). Você concede acesso ao Serviço IBM Block Storage for VPC para usar suas chaves. Com a API, é possível vincular uma conta primária que retém uma chave raiz a uma conta secundária e, em seguida, usar essa chave para criptografar novos volumes na conta secundária Para obter mais informações, consulte Criptografia entre contas para recursos de armazenamento de diversos locatários.

Você também pode revogar o acesso a qualquer momento, por exemplo, se suspeitar que suas chaves possam estar comprometidas. Também é possível desativar ou excluir uma chave raiz ou revogar temporariamente o acesso aos dados associados da chave na nuvem. Para obter mais informações, consulte Gerenciamento da criptografia de dados.

Quais são as vantagens de usar a criptografia gerenciada pelo cliente em vez da criptografia gerenciada pelo provedor?

A criptografia gerenciada pelo cliente cria uma criptografia de envelope para o seu Block Storage for VPC volumes com suas próprias chaves raiz. Você tem controle total sobre a segurança dos seus dados, gerenciando o acesso às suas chaves, rotacionando e revogando chaves conforme desejar. Para obter mais informações, consulte Vantagens da criptografia gerenciada pelo cliente.

Qual tecnologia de criptografia é usada para a criptografia gerenciada pelo cliente?

As imagens de disco virtual para VPC usam o formato de arquivo QEMU Copy On Write Versão 2 (QCOW2). O formato de criptografia LUKS protege os arquivos de formato QCOW2. A IBM usa atualmente as opções AES-256 cipher suite e XTS cipher mode com LUKS. Esta combinação fornece a você um nível de segurança muito maior do que aquele do AES-CBC, além de um melhor gerenciamento de passphrases para a rotação de chave e de fornecer opções de substituição de chave para o caso de suas chaves serem comprometidas.

O que são chaves mestras de criptografia e como elas são atribuídas aos meus volumes Block Storage for VPC?

Uma chave mestra de criptografia exclusiva é atribuída a cada volume, chamada de chave de criptografia de dados ou DEK, que é gerada pelo hipervisor do host da instância. A chave mestra de cada volume Block Storage for VPC é criptografada com uma frase-senha LUKS exclusiva gerada pelo KMS, que é então criptografada pela chave raiz do cliente (CRK) e armazenada no KMS. As senhas são chaves de cifra AES-256, o que significa que elas têm 32 bytes de comprimento e não se limitam a caracteres imprimíveis. Você pode visualizar o nome do recurso de nuvem (CRN) para o CRK que é usado para criptografar um volume. No entanto, a CRK, a passphrase do LUKS e a chave mestra de criptografia do volume nunca são expostas. Para obter mais informações sobre todas as chaves que o IBM VPC usa para proteger seus dados, consulte Tecnologia de criptografia da IBM - como seus dados são protegidos.

A criptografia gerenciada pelo cliente é usada para meus volumes. O que acontece quando eu desativo ou excluo a minha chave raiz?

Essas ações são duas ações separadas. A desativação de uma chave raiz em seu KMS suspende suas operações de criptografia e decriptografia, colocando a chave em um estado suspenso. As cargas de trabalho continuam a ser executadas em instâncias de servidores virtuais e os volumes de inicialização permanecem criptografados. Os volumes de dados permanecem conectados. No entanto, se você desligar a VM e, em seguida, ligar novamente, quaisquer instâncias com volumes de inicialização criptografados não serão iniciados. É possível ativar uma chave raiz em um estado suspenso e retomar as operações normais. Para obter mais informações, consulte Desativando chaves raiz.

A exclusão de uma chave raiz tem maiores consequências. A exclusão de uma chave raiz limpa o uso da chave para todos os recursos na VPC. Por padrão, o KMS evita que você exclua uma chave raiz que está protegendo ativamente um recurso. No entanto, ainda é possível forçar a exclusão de uma chave raiz. Você tem tempo limitado para restaurar uma chave raiz excluída que importou para o KMS. Para obter mais informações, consulte Excluindo chaves raiz.

Posso remover a autorização do IAM do Cloud Block Storage for VPC para o KMS e ainda excluir meus volumes Block Storage for VPC com criptografia gerenciada pelo cliente?

Se você remover a autorização do IAM antes de excluir seu volume BYOK (ou imagem), a operação de exclusão será concluída sem cancelar o registro das chaves raiz na instância do KMS. Em outras palavras, a chave raiz permanece registrada para um recurso que não existe. Sempre exclua um recurso BYOK antes de remover a autorização do IAM. Para obter mais informações sobre como remover com segurança a autorização de serviço, consulte Removendo a autorização de serviço para uma chave raiz.

O que posso fazer se minha chave raiz for comprometida?

Faça backup independentemente de seus dados. Em seguida, exclua a chave raiz comprometida e desligue a instância com os volumes que estão criptografados com essa chave.

Além disso, considere configurar uma política de rotação de chave que gire automaticamente suas chaves com base em um planejamento. Para obter mais informações, consulte Rotação de chave para recursos da VPC.

O que é um rodízio de chaves?

Para recursos IBM Cloud VPC, como volumes Block Storage for VPC protegidos pela chave raiz do cliente (CRK), você pode girar as chaves raiz para aumentar a segurança. Ao girar uma chave raiz por um planejamento ou sob demanda, o material de chave original é substituído. A chave antiga permanece ativa para decriptografar os volumes existentes, mas não pode ser usada para criptografar novos volumes. Para obter mais informações, consulte Rotação de chave para recursos da VPC.

Como a rotação de chave funciona?

Os recursos criptografados gerenciados pelo cliente, como os volumes Block Storage for VPC, usam sua chave raiz (CRK) como a chave raiz de confiança que criptografa uma frase-senha LUKS que criptografa uma chave mestra que protege o volume. É possível importar seu CRK para uma instância de serviço de gerenciamento de chave (KMS) ou instruir o KMS a gerar uma para você. As chaves raiz são giradas em sua instância do KMS.

Ao girar uma chave raiz, uma nova versão dela é criada gerando ou importando novo material de chave criptográfica. A chave raiz antiga se torna obsoleta, o que significa que seu material de chave permanece disponível para decriptografar volumes existentes, mas não disponível para criptografar novos. Os novos recursos são protegidos pela chave mais recente. Para obter mais informações, consulte Como funciona a rotação de chave?.

Há cobrança pelo uso da criptografia gerenciada pelo cliente?

Não há cobrança adicional pela criação de volumes com a criptografia gerenciada pelo cliente. No entanto, configurar uma instância do Key Protect ou Hyper Protect Crypto Services para importar, criar e gerenciar suas chaves raiz não é sem custo. Entre em contato com o responsável pelo atendimento ao cliente IBM para obter detalhes.

Qual é a diferença entre usar o Key Protect como meu KMS em comparação com o Hyper Protect Crypto Services? Quando usar um em vez do outro?

Ambos os sistemas de gerenciamento de chaves oferecem controle total sobre seus dados, gerenciados por suas chaves-raiz. Key Protect é um KMS multilocatário em que você pode importar ou criar suas chaves-raiz e gerenciá-las com segurança. Hyper Protect Crypto Services é um KMS e um módulo de segurança de hardware(HSM)Um dispositivo físico que fornece criptografia sob demanda, gerenciamento de chave e armazenamento de chave como um serviço gerenciado. de locatário único controlado por você, que oferece o mais alto nível de segurança. Para obter mais informações sobre esses serviços de gerenciamento de chaves, consulte Serviços de gerenciamento de chaves com suporte para criptografia gerenciada pelo cliente.

É possível converter meu volume da criptografia gerenciada pelo provedor para a criptografia gerenciada pelo cliente?

Não, depois de provisionar um volume e especificar o tipo de criptografia, não é possível mudá-lo.