引导卷

根据库存映像创建实例时，缺省情况下会创建 100 GB，3,000 IOPS 通用引导卷并将其连接到该实例。 从定制映像创建实例时，可以指定 10 GB 到 250 GB 的引导卷容量，具体取决于映像需要的容量。 此容量可以是所选映像支持的最小大小与支持的最大映像大小之间的任何大小。 如果定制映像小于 10 GB，那么引导卷容量将向上舍入为 10 GB。 创建引导卷后，可以将引导卷大小扩展至最大受支持的大小，即 250 GB。

无法从使用客户管理的密钥加密且不是 100 GB 的引导卷创建映像。 不支持此类操作。

默认情况下，启动卷由 IBM 管理加密。 (可选) 您可以通过在实例创建期间选择客户管理的加密来使用自己的根密钥 (CRK) (请参阅 客户管理的加密)。

缺省情况下，删除实例时将删除引导卷。 您可以在控制台、CLI 和 API 中更改自动删除设置。 只能通过删除引导卷所连接的实例来将其取消连接。 当实例存在时，无法从实例拆离引导卷。 更多信息，请参阅 管理 Block Storage for VPC 卷。

数据卷

Block Storage for VPC 数据卷是二级卷，总容量范围为 10 GB 至 16,000 GB。 数据卷的最大 IOPS 因卷大小而异。 有关更多信息，请参阅 Block Storage for VPC 概要文件。

您可以将数据卷创建为独立卷，也可以在配置实例时创建数据卷。 独立卷始终处于未连接状态，直到将卷连接到实例为止。 在实例供应过程中创建数据卷时，卷会自动连接到实例。

缺省情况下，数据卷会使用 IBM 管理的加密进行加密。 您还可以使用自己的根密钥对数据卷进行加密。

为 IBM Cloud® Virtual Private Cloud 实例创建 IBM Cloud Hyper Protect Virtual Servers 时，在实例创建期间连接到实例的数据卷将使用您提供的种子或口令自动加密。

Block Storage for VPC 根据客户账户和权限，数据卷可附加到区域内的任何可用实例上，但有 一定限制。

删除实例时，默认情况下会分离这些卷。 缺省情况下，拆离操作允许数据的持久存储时间长于虚拟服务器实例生命周期。 只删除卷与实例的关联。 可以将已拆离的卷连接到正在运行的可用实例，而无需重新配置卷或实例。 或者，也可以在数据卷分离后手动删除它们。

创建卷时，可以指定是否要在删除实例时删除数据卷。 您可以通过 CLI 或 API 在控制台中启用或禁用自动删除功能。

您也可以在控制台、CLI 或 API 中增加所连接卷的大小。 您可以根据容量配置文件，以 GB 为单位增加容量，最高可达 16,000 GB。 有关更多信息，请参阅 展开 Block Storage for VPC 卷容量。

更多信息，请参阅 管理 Block Storage for VPC 卷。

传统的体积曲线

在可用性区域中创建 Block Storage for VPC 卷时，可以使用具有预定义 IOPS 级别的 3 不同分层概要文件。 您也可以选择自定义配置文件，并根据卷容量定义自己的 IOPS 级别。 所有概要文件都由固态驱动器 (SSD) 支持。

固态硬盘定义的性能配置文件

在达拉斯 (us-south)、法兰克福 (eu-de)、伦敦 (eu-gb)、马德里 (eu-es)、大阪 (jp-osa)、圣保罗 (br-sao)、悉尼 (au-syd)、东京 (jp-tok)、多伦多 (ca-tor) 和华盛顿 (us-east) 地区，经特别批准可预览已定义性能配置文件的客户可使用 sdp 配置文件为其卷指定自定义容量、自定义吞吐量限制和自定义 IOPS。

本版本有以下限制：

• sdp 配置文件仅适用于 2nd 和 3rd 两代计算资源。 不支持第 1 代 VPC 基础设施。
• 不支持 IBM Z 平台（ s390x 架构）或 Bare Metal Servers for VPC。
• 不支持从 SDP 启动盘安全启动。 如果要使用基于 SDP 配置文件的启动卷配置第三代虚拟服务器实例，请确保不启用安全启动。
• 不支持导入自定义加密图像。
• 不支持从客户管理加密的启动卷创建自定义映像。
• 不支持存储卷配置文件系列之间的迁移。
• 不支持跨区迁移卷。

更多信息，请参阅 Block Storage for VPC 配置文件。

创建和管理卷的 IAM 角色

Block Storage for VPC 需要 IAM 权限进行基于角色的访问控制。 根据指定的角色，您可以创建和管理卷。 有关详细信息，请参阅 Block Storage for VPC 的 IAM 角色和操作。

有关更多信息，请参阅分配访问权的最佳实践。 有关完整的 IAM 过程（包括邀请用户加入帐户和分配 Cloud IAM 访问权），请参阅 IAM 入门教程。

IAM 服务对服务授权

您可以使用 Cloud Identity and Access Management (IAM) 来创建或删除授权，允许一个服务访问另一个服务。 对于 Block Storage for VPC，您需要为配置客户管理加密和备份创建服务对服务授权。 更多信息，请参阅 为 Block Storage for VPC 建立服务对服务授权。

基于上下文的限制

您可以为块卷操作启用基于上下文的限制 (CBR)。 这些限制与基于身份的传统 IAM 策略配合使用，可提供额外的保护层。 与 IAM 策略不同，基于上下文的限制不会分配访问权限。 基于上下文的限制会检查访问请求是否来自您配置的允许上下文，例如创建数据卷。 有关详细信息，请参阅 使用基于上下文的限制保护虚拟私有云(VPC)基础设施服务。

静态和传输过程中的加密

IBM Cloud 十分重视安全需求，并认识到能够加密数据来确保数据安全的重要性。 默认情况下，所有块存储卷都通过 IBM 管理加密进行静态加密。

您还可以选择使用自己的根密钥创建信封加密来保护您的加密卷，这些根密钥存储在某个经认可的密钥管理系统（KMS）中。 在 IBM Cloud 中，KMS 可以与使用加密密钥的服务位于同一个账户或另一个账户。 这种部署模式允许企业集中管理所有企业账户的加密密钥。

您的数据在静止时以及从存储到管理程序和主机的传输过程中都会受到保护。 为启动卷或数据卷设置加密类型后，就无法更改了。

有关数据加密的更多信息，请参阅 关于 VPC 的数据加密。

管理安全性与合规性

Block Storage for VPC 与 Security and Compliance Center 集成，以帮助您管理组织的安全性和合规性。 您可以设置目标，以检查是否使用客户管理的密钥对卷进行了加密。 通过使用 Security and Compliance Center 针对概要文件验证帐户中的 Block Storage for VPC 配置，您可以在出现潜在问题时识别这些问题。

有关监视 VPC 的安全性和合规性的更多信息，请参阅 Security and Compliance Center。 有关创建安全性与合规性目标的更多信息，请参阅“安全性与合规性”文档中的 定义规则。

活动跟踪事件

您可以使用 IBM Cloud® Activity Tracker Event Routing 配置如何路由审计事件。 审计事件是安全操作的关键数据，也是满足合规要求的关键因素。 创建、修改或删除块卷时会触发此类事件。 更多信息，请参阅 IBM Cloud VPC 的活动跟踪事件。

用户标记

用户标签由云资源名称 (CRN) 标识符唯一标识。 创建用户标记时，将在计费帐户中提供唯一名称。 您可以使用标签或键值格式定义用户标记。

当您创建 Block Storage for VPC 卷或更新现有卷时，可以 添加用户标记。 您还可以在 实例创建 期间向引导卷或数据卷添加标记。 对于引导卷，您可以编辑引导卷以添加标记。 对于数据卷，您可以在创建标记并将其附加到实例时添加标记，或者将其添加到现有数据卷。 卷用户标记也由 备份策略 用于创建卷的自动备份快照。 从 UI，CLI，API 或 Terraform 创建，查看和管理用户标记，然后随时将其除去。

访问权管理标记

访问管理标记 通过创建灵活的资源分组来帮助组织访问控制，使 Block Storage for VPC 资源能够增长，而无需更新 IAM 策略。

您可以创建访问管理标记，然后将其应用于新卷或现有卷。 使用 IAM UI 或全局搜索和标记 API 来创建访问权管理标记。 然后，从 VPC UI 或 API 中，在创建卷或修改现有卷时添加访问管理。 无法将这些标记添加到在实例供应期间创建的卷。 添加访问权管理标记后，可以使用 IAM 策略来管理对这些标记的访问权。 有关更多信息，请参阅 将访问管理标记应用于 Block Storage for VPC 卷。

有关管理帐户的标记的更多信息，请参阅 使用标记。