常见问题 Block Storage for VPC
通常会出现有关 Block Storage for VPC 服务的以下问题。 如果您有其他问题希望在此得到解答,请使用“打开文档问题”或“编辑主题”链接提供反馈。
产品问题
Block Storage for VPC 如何防止单点故障? 什么机制确保数据耐久性?
Block Storage for VPC 卷数据以冗余方式存储在可用性区域中的多个物理磁盘上,以防止由于任何单个组件发生故障而导致数据丢失。
如何创建卷并将其连接到实例?
当您创建虚拟服务器实例时,您可以 创建连接到该实例的 Block Storage for VPC 卷。 您还可以创建独立卷,日后将其连接到实例。
多少个实例可以共享一个已配置的 Block Storage for VPC 卷?
Block Storage for VPC 卷一次只能连接到一个实例。 实例无法共享卷。
一个实例可以连接多少个数据卷?
每个实例可附加 12 个 Block Storage for VPC 数据卷,外加启动卷。
如何收取使用费?
Block Storage for VPC 的成本是根据每月存储的 GiB 容量计算的,除非持续时间小于 1 个月。 该卷在帐户上存在,直到您删除该卷或到达计费周期结束 (以先到者为准)。
当您通过指定不同的卷配置文件 扩展卷容量 或 调整 IOPS 时,定价也会受到影响。 例如,扩大容量会增加成本,将容量配置文件从 5-IOPS/GB 级改为 3-IOPS/GB 级会降低月费率和小时费率。 更新容量的计费会自动更新,在当前计费周期内按比例添加新价格的差额。 在下一个计费周期中将采用新的完整金额记帐。
您可以使用 IBM Cloud 控制台中的 "成本估算器" 来查看容量和 IOPS 的更改如何影响成本。 有关更多信息,请参阅估算成本。
在哪里可以找到定价信息?
在控制台中,转到 用于 VPC 配置的块存储卷 页面,然后单击定价选项卡。 在定价选项卡上,您可以根据所选地理位置、地区和货币查看每个数量配置文件的定价计划详情。 您还可以在“小时费率”和“月费率”之间进行切换。
您可以通过调用 Global Catalog API 以编程方式检索定价信息。 更多信息,请参阅 获取动态定价。
存储容量的单位是 GB 还是 GiB?
存储的一个令人困惑的方面是报告存储容量和使用情况的单元。 有时 GB 确实是千兆字节 (base-10),有时 GB 表示应缩写为 GiB的千兆字节 (base-2)。
人类通常在十进制 (base-10) 系统中思考和计算数字。 在控制台、CLI、API 和 Terraform 中,您会看到使用的单位 GB,并在查询容量时显示。 如果要订购 4 TB 的卷,请在供应请求中输入 4000 GB。
但是,计算机以二进制方式运行,因此在 base-2中表示一些资源 (例如内存地址空间) 更有意义。 自 1984 年以来,计算机文件系统以 base-2 显示大小以与内存一起使用。 当年,可用的存储设备较小,二进制和十进制单位之间的大小差异可以忽略不计。 现在,可用的存储系统大得多,此单元差异会导致混淆。
GB 与 GiB 之间的差异在于它们的数字表示:
- GB (千兆字节) 是十进制单位,其中 1 GB 等于 1,000,000,000 字节。 将 GB 转换为 TB 时,使用 1000 作为乘数。
- GiB (Gibibyte) 是一个二进制单元,其中 1 GiB 等于 1,073,741,824 字节。 将 GiB 转换为 TiB, 时,使用 1024 作为乘数。
下表显示了以十进制和二进制单位表示的相同字节数。
十进制 SI (以 10 为底) | 二进制 (基本 2) |
---|---|
2,000,000,000,000 B | 2,000,000,000,000 B |
2,000,000,000 kb | 1,953,125,000 KiB |
2,000,000 MB | 1,907,348 MiB |
2,000 GB | 1,862 GiB |
2 TB | 1.81 TiB |
存储系统使用 base-2 单元进行卷分配。 因此,如果您的卷配置为 4,000 GB,那么这实际上是 4,000 GiB 或 4,294,967,296,000 字节的存储空间。 供应的卷大小大于 4 TB。 但是,您的操作系统可能会将存储大小显示为 3.9 T,因为它使用 base-2 转换,而 T 代表 TiB, 而不是 TB。
为什么我在操作系统中看到的可用容量与供应的容量不匹配?
其中一个原因可能是您的操作系统使用 base-2 转换。 例如,在 UI 上供应 4000 GB 卷时,存储系统会为您保留 4,000 个 GiB 卷或 4,294,967,296,000 字节的存储空间。 供应的卷大小大于 4 TB。 但是,您的操作系统可能会将存储大小显示为 3.9 T,因为它使用 base-2 转换,而 T 代表 TiB, 而不是 TB。
其次,对 Block Storage 进行分区并在其上创建文件系统可减少可用存储空间。 根据所使用的格式化类型以及系统上各种文件的数量和大小,格式化减少空间的大小会有所不同。
以卷 docs-block-test3
为例。 我们在供应期间指定了 1200 GB,当您在 CLI 中列出详细信息时,可以看到它的容量为 1200。
$ ibmcloud is volume r006-6afe1361-b592-45ab-b23b-6cca9982e371
Getting volume r006-6afe1361-b592-45ab-b23b-6cca9982e371 under account Test Account as user test.user@ibm.com...
ID r006-6afe1361-b592-45ab-b23b-6cca9982e371
Name docs-block-test3
CRN crn:v1:bluemix:public:is:us-south-2:a/1234567::volume:r006-6afe1361-b592-45ab-b23b-6cca9982e371
Status available
Attachment state attached
Capacity 1200
IOPS 3600
Bandwidth(Mbps) 471
Profile general-purpose
Encryption key -
Encryption provider_managed
Resource group defaults
Created 2023-08-24T02:32:40+00:00
Zone us-south-2
Health State ok
Volume Attachment Instance Reference Attachment type Instance ID Instance name Auto delete Attachment ID Attachment name
data 0727_e99798c7-9783-4f92-8207-96af48561454 docs-demo-instance false 0727-bc38ec2b-a566-412f-8f76-8eefe5fc9f2c untaken-senior-coronary-accurate
Active true
Adjustable IOPS false
Busy false
Tags dev:test
从服务器的命令行列出存储设备时,可以看到大小为 1.2T的卷与 vdc
相同。 T 表示 tebibyte,即等于 2 ^ 40 ^ 的 base-2 单位。
[root@docs-demo-instance ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
vda 253:0 0 100G 0 disk
├─vda1 253:1 0 200M 0 part /boot/efi
└─vda2 253:2 0 99.8G 0 part /
vdb 253:16 0 69.9G 0 disk
vdc 253:32 0 1.2T 0 disk /myvolumedir
vdd 253:48 0 370K 0 disk
vde 253:64 0 44K 0 disk
同一 vdc
驱动器在使用 ext4 文件系统格式化时显示 1181679068 K 可用容量。 这是正常的,也是意料之中的。
[root@docs-demo-instance ~]# df -hk
Filesystem 1K-blocks Used Available Use% Mounted on
devtmpfs 3993976 0 3993976 0% /dev
tmpfs 4004356 0 4004356 0% /dev/shm
tmpfs 4004356 33316 3971040 1% /run
tmpfs 4004356 0 4004356 0% /sys/fs/cgroup
/dev/vda2 102877120 1182048 96446100 2% /
/dev/vda1 204580 11468 193112 6% /boot/efi
/dev/vdc 1238411052 72148 1181679068 1% /myvolumedir
tmpfs 800872 0 800872 0% /run/user/0
我可以创建的卷数是否有限制?
对于区域中的每个帐户,最多可以创建 300 个 Block Storage for VPC 卷 (数据和引导)。 要增加此 配额,请打开 支持案例 并指定需要更多卷的区域。
创建具有特定容量的数据卷后,以后还能增加容量吗?
您可以增加连接到虚拟服务器实例的数据卷的容量。 您可以指示容量 (以 GB 为增量),最大为 16,000 GB 容量,具体取决于您的卷概要文件。 有关更多信息,请参阅 增加 Block Storage for VPC 卷容量。
我能否增加引导卷的容量?
通过直接修改引导卷,可以在实例供应期间或以后增加引导卷容量。 此功能适用于从库存映像或定制映像创建的实例。 您还可以在创建实例模板时指定更大的引导卷容量。 有关更多信息,请参阅 增加引导卷容量。
能否更改现有实例的引导卷容量?
是,可以增加现有实例的引导卷容量。 例如,在控制台中,从 Block Storage for VPC 卷列表中选择一个启动卷,然后从卷详细信息页面调整卷的大小。 更多信息,请参阅 从控制台 Block Storage for VPC 卷列表中增加启动卷容量。 您还可以使用 CLI 或 API。
我可以在帐户上供应多少卷?
在一个区域内,每个账户最多可配置 300 个 Block Storage for VPC 卷。 您可以通过打开 支持案例 并指定需要更多卷的区域来请求增加配额。 有关在订购 Block Storage for VPC 卷或请求增加卷或容量限制时准备支持案例的更多信息,请参阅 管理卷计数和容量限制。
可以在多专区集群中设置共享存储器吗?
在 IBM Cloud® 中,存储选项仅限于可用区。 不要尝试跨多个区域管理共享存储。
如果必须跨多个专区和区域共享数据,请改为在 VPC 外部使用 IBM Cloud® 经典服务选项,例如 IBM Cloud® Object Storage 或 IBM® Cloudant® for IBM Cloud®。
我在经典基础架构上具有卷。 可以将这些卷移植到 VPC 吗?
编号 VPC 允许访问多区区域中的新可用区。 计算、网络和存储资源设计为在 VPC 中运行。
能否从现有启动卷创建自定义映像?
是的,您可以直接从 Block Storage for VPC 启动卷创建自定义映像。 然后,您就可以使用自定义映像来配置其他虚拟服务器实例。 有关更多信息,请参阅 关于从卷创建映像。
卷管理问题
如何为实例创建引导磁盘以及它如何与虚拟机映像相关?
引导卷是在您供应虚拟服务器实例时创建的。 实例的引导磁盘是虚拟机映像的克隆映像。 对于库存映像,引导卷容量为 100 GB。 如果要导入定制映像,那么引导卷容量可以是 10 GB 到 250 GB,具体取决于映像需要的容量。 小于 10 GB 的映像将向上舍入为 10 GB。
何时可以删除 Block Storage for VPC 数据卷?
只有当 Block Storage for VPC 数据卷未连接到虚拟服务器实例时,才能删除该数据卷。 在删除卷之前,请拆离卷。 删除实例时,会拆离并删除引导卷。
删除 Block Storage for VPC 数据卷后,我的数据会发生什么变化?
删除 Block Storage for VPC 卷时,数据立即变为不可访问。 将除去该卷上数据的所有指针。 当新数据写入数据块时,将最终覆盖不可访问的数据。 IBM 保证无法访问已删除的数据,并且已删除的数据最终会被覆盖。 有关更多信息,请参阅 Block Storage for VPC 数据消除。
我有数据删除的合规性要求。 如何确保数据不可访问?
IBM 保证您的数据在物理磁盘上不可访问,并最终 消除。 如果有额外的合规性要求,如 NIST 800-88 媒体消毒指南,则必须在删除卷之前执行数据消毒程序。 有关更多信息,请参阅 NIST 800-88 媒体卫生准则。
哪些规则适用于卷名,稍后可以重命名卷吗?
有效的卷名称可以包括小写字母数字字符(a-z,0-9)和连字符(-)的组合,最多 63 个字符。 卷名必须以小写字母开头,并且在整个 VPC 基础结构中必须唯一。
您可以在控制台中更改现有卷的名称。 有关更多信息,请参阅 管理 Block Storage for VPC。
是否需要预热容积才能达到预期的吞吐量?
您不必对卷进行预热。 从映像创建卷时,您可以在供应卷时立即看到指定的吞吐量。 通过复原快照来供应卷时,可能会迂到性能下降的情况。
什么是 Block Storage for VPC 快照?
快照是您手动创建的 Block Storage for VPC 引导或数据卷的时间点副本。 第一个快照是卷的完全备份。 同一卷的后续快照仅捕获自上次快照以来的更改。 有关更多信息,请参阅 关于 Block Storage for VPC VPC 的快照。
什么是备份快照?
备份快照 (简称 "备份") 是由 Backup for VPC 服务自动创建的快照。 有关更多信息,请参阅 关于备份 VPC。
对于用于灾难恢复的数据备份,我能做些什么?
Block Storage for VPC 可跨区域中的冗余故障区域保护数据。 通过使用 备份服务,您可以根据设置的调度定期备份卷数据。 您可以创建备份快照的频率为 1 小时。 但是,备份服务不提供具有自动故障转移的持续备份,从备份或快照复原卷是一项需要时间的手动操作。 如果需要更高级别的自动灾难恢复服务,请参阅 IBM的 云灾难恢复解决方案。
能否从快照中还原卷?
从快照复原将创建新的完全供应的引导或数据卷。 您可以在创建实例,修改实例或供应新的独立卷期间复原存储卷。 对于数据卷,您还可以使用 volumes
API 从快照创建数据卷。 有关更多信息,请参阅 从快照复原卷。
为了获得最佳性能,您可以启用快照以实现快速复原。 通过使用快速复原功能,可以从创建卷时完全供应的快照创建卷。 有关更多信息,请参阅 快照快速复原。
性能问题
什么是 IOPS 以及它如何与我的 Block Storage for VPC 卷性能相关?
每秒输入/输出操作数 (IOPS) 用于度量 Block Storage for VPC 卷的性能。 许多变量会影响 IOPS 值,例如读/写操作的平衡,队列深度和数据块大小。 通常,Block Storage for VPC 卷的 IOPS 越高,性能越高。 有关 Block Storage for VPC 概要文件的预期 IOPS 的更多信息,请参阅 概要文件。 有关块大小如何影响性能的更多信息,请参阅 Block Storage 容量和性能。
是按实例还是按卷强制执行分配的 IOPS?
IOPS 会在卷级别强制执行。
什么是容量曲线,它们如何影响容量性能?
卷配置文件定义了不同容量卷的 IOPS/GB 性能。 您可以从三个预定义的 IOPS 层 中进行选择,这些层为您的工作负载需求提供可靠的 IOPS 性能。 您还可以定义 自定义 IOPS,并为您选择的卷大小指定 IOPS 范围。 预定义的 IOPS 层不满足明确定义的性能需求时,定制 IOPS 是不错的选择。 如果选择自定义加密卷配置文件,还要定义加密卷大小的最小和最大范围。
数据卷的最大 IOPS 根据卷的大小和所选配置文件的类型而有所不同。
IOPS 是根据 16-KB 数据块的负载情况进行测量的,其中 50%为随机读取,50% 为写入。 如果工作负载与此配置文件不同,则可能会降低性能。 如果使用较小的块大小,那么可以获取最大 IOPS,但吞吐量较小。 有关更多信息,请参阅 块大小如何影响性能。
当卷处于降级运行状态时,会发生什么情况?
“卷运行状况”状态定义在给定卷状态的情况下,卷是否按预期执行。 根据发生的情况,卷运行状况可能正常,已降级,不适用或发生故障。 例如,从快照复原卷并且该卷尚未完全复原时,将显示降级状态。 有关卷运行状况的更多信息,请参阅 Block Storage for VPC 卷运行状况。
数据安全和加密问题
Block Storage for VPC 卷中的数据有多安全?
所有 Block Storage for VPC 卷在静态时都通过 IBM 管理加密。 IBM-管理密钥生成后安全地存储在 Block Storage for VPC 库中,该库由 Consul 提供支持,并由 IBM Cloud® 运行维护。
为了提高安全性,您可以使用自己的客户根密钥 (CRK) 来保护数据。 您可以将根密钥导入到受支持的密钥管理服务 (KMS) 或在其中创建根密钥。 根密钥由受支持的 KMS ( Key Protect (FIPS 140-2 级别 3 合规性) 或 Hyper Protect Crypto Services) 安全管理。 这两种 KMS 解决方案都提供了最高级别的安全性 (FIPS 140-2 Level 4 合规性)。 您的密钥材料在运输和静态时受到保护。
有关更多信息,请参阅 客户管理的加密支持的密钥管理服务。 要了解如何配置客户管理的加密,请参阅 使用客户管理的加密创建 Block Storage for VPC 卷。
您可以使用 IBM Cloud Identity and Access Management (IAM) 来控制对存储在 IBM Cloud® 中的 KMS 实例中的根密钥的访问权。 授予对 IBM Block Storage for VPC 服务的访问权以使用密钥。 通过该 API,您可以将持有根密钥的主帐户链接到辅助帐户,然后使用该密钥对辅助帐户中的新卷进行加密。 有关更多信息,请参阅 多租户存储资源的跨帐户加密。
您还可以随时撤销访问权,例如,如果您怀疑密钥可能受到损害。 您还可以禁用或删除根密钥,或暂时取消对云端密钥相关数据的访问权限。 更多信息,请参阅 管理数据加密。
与提供者管理的加密相比,使用客户管理的加密有哪些优势?
客户管理加密会使用自己的根密钥为 Block Storage for VPC 卷创建信封加密。 您可以完全控制自己的数据安全,管理对密钥的访问,根据自己的需要轮换和撤销密钥。 有关更多信息,请参阅 客户管理的加密优势。
什么加密技术用于客户管理的加密?
VPC 的虚拟盘映像使用 QEMU Copy On Write Version 2 (QCOW2) 文件格式。 LUKS 加密格式保护 QCOW2 格式文件。 IBM 当前将 AES-256 密码套件和 XTS 密码方式选项与 LUKS 配合使用。 与 AES-CBC 相比,此组合为您提供了更高级别的安全性,还为密钥轮换提供了更好的口令管理,并提供了密钥替换选项,以防密钥受损。
什么是主加密密钥以及如何将其分配给 Block Storage for VPC 卷?
每个卷都分配有一个唯一的主加密密钥,称为数据加密密钥或 DEK,由实例的主机系统管理程序生成。 每个 Block Storage for VPC 卷的主密钥都使用唯一的 KMS 生成的 LUKS 口令进行加密,然后由客户根密钥 (CRK) 进行加密并存储在 KMS 中。 口令是 AES-256 密码密钥,这意味着它们的长度为 32 字节,并且不限于可打印字符。 您可以查看用于加密卷的 CRK 的云资源名称 (CRN)。 但是,从不公开 CRK,LUKS 口令和卷的主加密密钥。 有关 IBM VPC 用于保护数据的所有密钥的更多信息,请参阅 IBM的加密技术-如何保护数据。
我将客户管理的加密用于我的卷。 当我禁用或删除根密钥时会发生什么?
这些操作是两个单独的操作。 在 KMS 中禁用根密钥会暂挂其加密和解密操作,从而使密钥处于暂挂状态。 工作负载继续在虚拟服务器实例中运行,引导卷保持加密状态。 数据卷保持连接。 但是,如果关闭 VM 电源,然后将其重新打开,那么具有加密引导卷的任何实例都不会启动。 您可以启用处于暂挂状态的根密钥并恢复正常操作。 有关更多信息,请参阅 禁用根密钥。
删除根密钥会产生更大的后果。 删除根密钥将清除 VPC 中所有资源的密钥使用情况。 缺省情况下,KMS 会阻止您删除正在主动保护资源的根密钥。 但是,您仍可以强制删除根密钥。 您的时间有限,无法 复原已导入到 KMS 的已删除根密钥。 有关更多信息,请参阅 删除根密钥。
我是否可以从云 Block Storage for VPC 中除去对 KMS 的 IAM 授权,并仍然使用客户管理的加密删除我的 Block Storage for VPC 卷?
如果在删除 BYOK 卷 (或映像) 之前除去 IAM 授权,那么删除操作将完成,而不会在 KMS 实例中注销根密钥。 换言之,对于不存在的资源,根密钥将保持已注册状态。 在除去 IAM 授权之前,请始终删除 BYOK 资源。 有关安全除去服务授权的更多信息,请参阅 除去根密钥的服务授权。
如果我的根密钥已泄露,我可以执行哪些操作?
独立备份数据 然后,删除受损的根密钥,并使用使用该密钥加密的卷来关闭实例的电源。
此外,请考虑设置密钥轮换策略,以根据调度自动轮换密钥。 有关更多信息,请参阅 VPC 资源的密钥轮换。
什么是密钥轮换?
对于受客户根密钥 (CRK) 保护的 IBM Cloud VPC 资源 (例如 Block Storage for VPC 卷),可以轮换根密钥以实现额外安全性。 当您按调度或按需轮换根密钥时,将替换原始密钥资料。 旧密钥保持活动状态以解密现有卷,但不能用于加密新卷。 有关更多信息,请参阅 VPC 资源的密钥轮换。
密钥轮换如何工作?
客户管理的加密资源 (例如 Block Storage for VPC 卷) 使用根密钥 (CRK) 作为信任根密钥,该密钥用于加密 LUKS 口令,该口令用于加密正在保护卷的主密钥。 您可以将 CRK 导入到密钥管理服务 (KMS) 实例,或者指示 KMS 为您生成一个。 根密钥在 KMS 实例中轮换。
当您轮换根密钥时,将通过生成或导入新的密钥资料来创建新版本的密钥。 旧的根密钥已作废,这意味着其密钥资料仍可用于对现有卷进行解密,但不可用于对新卷进行加密。 新资源受最新密钥保护。 有关更多信息,请参阅 密钥轮换工作方式。
我是否因使用客户管理的加密而收费?
创建具有客户管理的加密的卷时,不会向您收取额外费用。 但是,设置 Key Protect 或 Hyper Protect Crypto Services 实例以导入,创建和管理根密钥并非没有成本。 详情请联系 IBM 客户服务代表。
与 Hyper Protect Crypto Services相比,使用 Key Protect 作为我的 KMS 有何区别? 我什么时候会用一个?
这两个密钥管理系统都使您能够完全控制由根密钥管理的数据。Key Protect 是多租户 KMS,您可以在其中导入或创建根密钥并对其进行安全管理。Hyper Protect Crypto Services 是由您控制的单租户 KMS 和 硬件安全模块(HSM)一种物理设备,用于提供随需应变加密、密钥管理和密钥存储作为受管服务。,提供最高级别的安全性。 有关这些密钥管理服务的更多信息,请参阅 客户管理的加密支持的密钥管理服务。
我能否将卷从提供者管理的加密转换为客户管理的加密?
否,在供应卷并指定加密类型后,无法对其进行更改。