Résumé

  • IBM Cloud publie l'une des cartes de localisation les plus utiles du marché du cloud: régions multizones complètes, régions multizones sur un seul campus, codes de centres de données classiques, noms de zones universelles et codes PoP. Cette carte permet à un client d'associer un choix de région à des groupes physiques de centres de données plutôt que de traiter le nom de région comme un pur logiciel.
  • Les mêmes preuves ne vont pas jusqu'aux faits qui déterminent un cas de reprise difficile. La documentation publique ne divulgue pas la propriété exacte des installations, les MW par site, la charge actuelle des baies, la topologie des services publics, les routes de fibre noire, l'utilisation en temps réel du backbone, la diversité des opérateurs Direct Link ou la capacité de remplacement libre.
  • Les propres documents d'IBM réduisent certaines affirmations marketing. Les profils dépendants du matériel ne sont pas disponibles partout, les demandes de serveurs virtuels classiques peuvent rencontrer une capacité insuffisante, le stock de serveurs bare-metal est dynamique par centre de données, Direct Link n'est pas automatiquement redondant et les ressources zonales VPC ne se déplacent pas vers une autre zone en cas de défaillance complète d'une zone.
  • Les documents d'incident, de migration et de fermeture d'IBM concrétisent le point d'infrastructure. Les pannes de réseau électrique, les pannes d'alimentation de refroidissement, les incendies, les perturbations du réseau des installations et la fermeture planifiée de CHE01 montrent que la géographie du cloud n'est pas seulement un choix de conformité; c'est une dépendance à des bâtiments réels, des opérateurs, des transporteurs, des fenêtres de maintenance et des capacités de déplacement de données.

Un libellé de région est une sélection physique

L'élément le plus utile dela documentation des emplacements d'IBM Cloudest qu'elle ne laisse pas le client avec une liste de régions purement abstraite. Elle explique qu'IBM Cloud utilise des régions multizones complètes, des régions multizones sur un seul campus et des centres de données classiques. Les noms de région qui apparaissent dans les outils et les workflows de la console correspondent donc à des regroupements physiques de centres de données. Dallas, São Paulo, Toronto, Washington DC, Francfort, Londres, Madrid, Sydney et Tokyo ne sont pas seulement une géographie commerciale. Ce sont des choix de région dont les zones VPC correspondent à des noms de zones universelles, et ces noms universels identifient des codes de centres de données sous-jacents tels que DAL10, FRA05, LON06, SYD04 ou TOK05.

Cela rend IBM Cloud plus vérifiable qu'un fournisseur dont la carte publique s'arrête à une étiquette de ville. Un client peut voir qu'une ressource VPC dans une zone logique ne flotte pas dans un cloud sans nom. Elle est associée à un mappage de zone spécifique au compte et à un code d'emplacement physique. Les ressources d'infrastructure classique et de Power Virtual Server sont encore plus directes: l'emplacement est spécifié par le code du centre de données plutôt que par une abstraction de région. IBM répertorie également 42 codes de centres de données classiques en Amérique du Nord et du Sud, en Europe et en Asie-Pacifique.

Cet inventaire comprend des noms anciens tels que DAL08, AMS03, FRA05, LON02, CHE01, SNG01 et TOK05.

Les preuves doivent cependant être lues pour ce qu'elles sont. Un code de centre de données n'est pas une adresse postale, un contrat d'électricité, une divulgation de propriétaire, une carte de conduit de transporteur ou un rapport de stock. C'est un identifiant d'emplacement physique dans le modèle d'exploitation cloud d'IBM. Il peut étayer une conclusion selon laquelle le produit cloud a un lieu matériel.

Il ne peut pas à lui seul étayer une conclusion selon laquelle le lieu dispose de suffisamment de serveurs non engagés, de suffisamment de marge électrique de réserve, de deux entrées de fibre indépendantes, d'une logistique de carburant indépendante ou d'une capacité de basculement client testée.

Cette distinction est importante car les acheteurs de cloud achètent souvent une région comme s'il s'agissait d'un objet de conformité et de latence, puis découvrent lors de la conception ou de la reprise qu'il s'agit également d'un objet d'inventaire. Si le client a besoin d'un profil bare-metal particulier, d'un serveur classique équipé de GPU, d'un PoP Direct Link, d'une classe de stockage d'objet local ou d'une zone de remplacement pouvant absorber une charge de travail défaillante, la région nommée n'est que le premier filtre.

La vraie question est de savoir si le service, le profil, le circuit et la cible de reprise demandés sont disponibles dans la tranche physique d'IBM Cloud que le compte peut utiliser.

SoftLayer a laissé un patrimoine d'hébergement, pas un pool infiniment élastique

L'infrastructure actuelle d'IBM Cloud porte encore la forme d'une entreprise d'hébergement. Leformulaire 10-Q d'IBM de 2013a enregistré l'acquisition de SoftLayer pour 1,977 milliard de dollars. LaFAQ historique de l'acquisition de SoftLayerpar IBM décrivait une entreprise d'infrastructure dédiée et virtuelle basée à Dallas avec une large empreinte client. Cette origine est importante car SoftLayer n'est pas né comme une abstraction hyperscale uniquement régionale. C'était une plateforme d'hébergement construite à partir de centres de données, d'inventaire bare-metal, de VLAN, de réseaux privés, de serveurs spécifiques aux clients et de procédures opérationnelles autour d'installations nommées.

La plateforme IBM Cloud moderne a superposé VPC, les services gérés, Object Storage, Kubernetes, OpenShift et les services de plateforme mondiaux sur ce patrimoine. Pourtant, la liste des centres de données classiques existe toujours, et certains avis de migration et de cycle de vie font encore référence directement aux codes des centres de données. Le document de localisation indique que les centres de données classiques hébergent des ressources d'alimentation, de refroidissement, de calcul, de réseau et de stockage, et qu'ils utilisent une architecture POD. Un POD n'est pas un adjectif marketing.

C'est une unité de capacité composée de baies, de serveurs, de réseaux, de stockage et de générateurs de secours. Ajouter un POD modifie ce qui peut être vendu. L'épuisement d'un serveur, d'un routeur, d'un type de stockage ou d'une enveloppe électrique modifie ce qui peut être provisionné.

C'est pourquoi un historique d'expansion, comme l'annonce d'expansion de la zone de disponibilité VPC DAL14 de Dallas, ne doit pas être interprété comme une preuve de capacité illimitée. L'annonce identifie une nouvelle installation de zone de disponibilité à Dallas et explique pourquoi IBM souhaitait plus de capacité à Dallas. Elle ne divulgue pas les mégawatts installés, le nombre de serveurs, l'utilisation actuelle, les conditions de bail, les lots d'équipement ou les engagements clients. C'est une preuve utile qu'IBM ajoutait un emplacement physique de centre de données pour desservir une région.

Ce n'est pas une preuve qu'une commande client ultérieure peut supposer un stock disponible dans tous les profils de Dallas.

L'inverse est également vrai pour les installations qui vieillissent. L'avis de fermeture de CHE01d'IBM indique que les opérations à Chennai 01 cesseront le 10 juin 2027. L'avis fixe des dates pour la fin des contrôles de marché, la suppression des nouveaux déploiements, une fenêtre de perturbation de maintenance réseau, la date limite d'assistance à la migration et les fenêtres finales de migration PaaS et IaaS. Un avis de fermeture est un document cloud rare car il expose une vérité d'infrastructure généralement cachée derrière la console: les sites cloud ont des cycles de vie. Ils peuvent être ajoutés, restreints, modernisés, consolidés et fermés. Un client qui traitait CHE01 comme un emplacement durable doit maintenant transformer une décision de localisation en projet de migration.

Les MZR complètes et les MZR sur un seul campus sont des géographies de défaillance différentes

La distinction publiée par IBM entre les régions multizones et les régions multizones sur un seul campus est précieuse car elle empêche le libellé de région de devenir trop confortable. Une MZR complète utilise plusieurs zones sur des emplacements de centres de données distincts dans une zone métropolitaine. La page de localisation décrit les zones comme des domaines de défaillance et indique que le modèle MZR complet utilise trois centres de données ou plus. Elle indique également que les distances exactes varient selon la région et donne une séparation minimale pour les zones. C'est une géographie utile.

Cela signifie qu'une région de Dallas ou de Londres n'est pas simplement une pièce avec trois étiquettes logicielles.

Les MZR sur un seul campus comportent un type de vérité différent. La même documentation IBM répertorie Chennai - Airtel, Montréal, Mumbai - Airtel et Osaka comme des MZR sur un seul campus. IBM indique que leurs zones se trouvent dans différentes sections du même bâtiment ou dans plusieurs bâtiments sur un campus, et que les dépendances en matière d'alimentation, de refroidissement, de réseau et de sécurité physique peuvent se chevaucher. Ce n'est pas une mise en garde mineure. Cela modifie le modèle de défaillance.

Un client qui répartit ses ressources sur trois zones au sein d'une région à campus unique peut améliorer la disponibilité locale face à de nombreuses pannes d'équipement et de maintenance, mais la géographie n'est pas la même que trois sites métropolitains séparés.

Leguide de haute disponibilité et reprise après sinistre VPCd'IBM rend la différence plus nette. Il indique qu'une défaillance complète de zone rend les ressources zonales indisponibles dans cette zone et que les instances de serveur virtuel dans la zone affectée ne sont pas déplacées automatiquement vers une autre zone saine. Il indique également qu'un sinistre dans un centre de données d'une MZR sur un seul campus pourrait affecter l'ensemble de la région car les zones sont plus étroitement liées, de sorte que les services doivent utiliser des stratégies de sauvegarde et de reprise vers une autre MZR. Ces lignes sont importantes car elles repoussent la responsabilité de la carte à l'architecture. Un client ne peut pas acheter un nom de MZR et supposer que chaque ressource est devenue régionale.

L'effet pratique est simple. Un service régional peut distribuer son plan de données entre les zones et réacheminer les requêtes au sein de la région. Un serveur virtuel zonal, un sous-réseau, une passerelle ou un volume reste lié à une zone. Une défaillance d'un seul hôte peut être traitée différemment de la perte d'une zone entière. Un sinistre régional complet est encore différent.

Chaque couche pose une question de capacité différente: la zone restante est-elle saine, le plan de contrôle régional est-il disponible, la région cible est-elle approvisionnée, les instantanés ont-ils été copiés, le DNS et les applications peuvent-ils tolérer le basculement, et le client a-t-il testé le déplacement?

Pour les achats, cela signifie que l'acheteur doit demander le mappage de zones de son compte avant de traiter la diversité des zones comme une diversité physique. IBM indique que le mappage de zones logiques d'un compte est établi lorsque la première ressource VPC est créée dans une région. Deux équipes disant "zone 1" peuvent parler d'un identifiant logique local au compte, et non automatiquement du même code universel de centre de données. Le nom de zone universel est la preuve la plus solide. Sans lui, un diagramme de résilience peut sembler plus précis physiquement qu'il ne l'est.

La capacité est dynamique, pas implicite par un code publié

IBM Cloud documente plusieurs façons dont un emplacement publié peut encore ne pas satisfaire une demande. Lapolitique de déploiement des servicessépare les services de base des services axés sur le marché et prévient que les profils et fonctionnalités dépendants du matériel ne sont pas disponibles dans toutes les MZR. C'est la première limite de capacité. Une région peut être ouverte, les services de base peuvent être présents, et la console peut encore ne pas offrir un profil spécialisé, un accélérateur, une option de stockage ou un service géré que le client souhaite.

La deuxième limite est l'inventaire en temps réel. La page de dépannage des serveurs virtuels classiques d'IBM documente une erreur de capacité insuffisante lorsque le routeur ou le centre de données manque de ressources pour répondre à une demande. Les réponses suggérées par IBM sont révélatrices sur le plan opérationnel: essayer un routeur différent, éviter de spécifier un routeur, utiliser un centre de données différent, demander moins d'instances, choisir des tailles plus petites ou changer le type de stockage. Ce n'est pas un problème de théorie du cloud. C'est un problème de localisation des ressources.

Le serveur demandé n'est pas une quantité abstraite de calcul; il doit atterrir sur une infrastructure disponible dans un centre de données particulier et parfois derrière un routeur particulier.

La troisième limite est la localisation matérielle. La même page de dépannage limite le provisionnement des GPU aux centres de données classiques nommés. La liste exacte rappelle que le matériel spécialisé n'est pas réparti uniformément sur la carte. Un client concevant pour l'inférence IA, les charges de travail graphiques ou la reprise assistée par accélérateur ne peut pas traiter chaque région IBM Cloud comme équivalente. Le même principe apparaît dans la documentation bare-metal d'IBM.

Les serveurs bare-metal sont des machines physiques dédiées, le stock à provisionnement rapide est préconfiguré, les serveurs personnalisés dépendent de la complexité et de la quantité, et le flux de provisionnement expose l'inventaire dynamique par centre de données. IBM décrit également des tests de stress qui peuvent ajouter du temps, et certaines améliorations de serveur varient selon la configuration.

Cela rend la capacité plus lisible mais aussi plus fragile. Un affichage dynamique de l'inventaire peut aider un acheteur à éviter une planification fantaisiste, mais il change continuellement. Un serveur préconfiguré visible lors de la conception peut disparaître lorsque l'exercice de reprise commence. Une réservation VPC peut réserver une capacité de calcul zonale dédiée, mais elle ne réserve pas chaque dépendance de stockage, de réseau, de sauvegarde, de stockage d'objet, de Direct Link, de support ou de région cible. Une région avec des serveurs virtuels disponibles peut ne pas avoir le même profil bare-metal.

Une région avec un serveur utilisable peut ne pas avoir le circuit privé orienté client dans le bon PoP.

La règle d'ingénierie centrale est que la capacité installée, la capacité annoncée et la capacité utilisable sont des choses différentes. IBM publie de nombreux faits sur les emplacements et les services. Il ne publie pas le stock libre actuel par site, la puissance des baies par POD, la charge occupée, la marge réservée, la profondeur de file d'attente, les routeurs de rechange ou la capacité de reprise en condition de défaillance.

Les clients qui ont besoin d'une garantie de reprise ferme doivent créer leurs propres preuves: réservations, capacité à chaud pré-provisionnée, automatisation testée, vérifications d'inventaire en cours, accords de support et preuve que les zones cibles peuvent absorber la charge de travail sous contrainte.

L'alimentation et le refroidissement se situent en dessous du contrat cloud

La documentation sur la résilience d'IBM indique que les centres de données utilisent plusieurs alimentations électriques, liaisons fibre, générateurs dédiés et batteries de secours. La page marketing mondiale des centres de données d'IBM décrit une alimentation et un refroidissement N+1, la sécurité et l'optimisation de l'espace, de l'alimentation, du réseau et du personnel. Les divulgations environnementales de l'entreprise ajoutent des preuves globales sur le PUE des centres de données, l'approvisionnement en électricité renouvelable et le rôle des fournisseurs ou propriétaires dans l'approvisionnement en électricité.

Dans l'ensemble, le dossier public montre clairement une chose: IBM Cloud ne fait pas semblant que l'infrastructure vit au-dessus de l'électricité. L'alimentation, le refroidissement et les réseaux physiques font partie du périmètre du service.

Mais les preuves ne constituent pas une diligence au niveau du site. Elles ne disent pas quelle quantité d'énergie du réseau est allouée à FRA05, DAL14, SAO01, CHE01 ou TOK05. Elles ne divulguent pas les contrats de carburant, la durée de fonctionnement des générateurs, l'autonomie des batteries par salle, la redondance des transformateurs, la conception du système de refroidissement, l'exposition à l'eau, les obligations du propriétaire, les fenêtres de maintenance, l'âge des appareillages ou la charge supportée au moment d'une canicule ou d'un défaut du réseau.

Le PUE global de l'entreprise est utile pour les rapports environnementaux, mais il ne peut pas répondre à la question de savoir si un client peut ajouter vingt serveurs dans un centre de données ou basculer un parc lourd en rack vers un autre.

Le propre guide de haute disponibilité d'IBM inclut une mise en garde matérielle petite mais importante: certains sites matures ont des châssis de serveur 1U à socket unique qui pourraient ne pas accueillir une double alimentation. Ce détail ne doit pas être exagéré en une accusation générale contre IBM Cloud. Il est utile car il montre comment les anciens équipements et modèles d'installation peuvent percer une déclaration de redondance générale. Un centre de données peut avoir plusieurs alimentations électriques tandis qu'un châssis ou une configuration client particulière manque encore de protection à double alimentation.

La fiabilité vit au niveau pertinent le plus bas.

Les registres d'incidents concrétisent le point. Les archives des rapports d'incidents et l'historique des statuts d'IBM Cloud ont inclus des événements de localisation et de service impliquant une panne de réseau électrique, un incendie, une panne de courant à Washington, une panne d'alimentation de refroidissement de SAO01 et des perturbations du réseau des installations. Les informations de statut public ne fournissent pas toutes les causes profondes ni tous les détails de correction, elles ne doivent donc pas être transformées en modèle de risque classé pour chaque site.

Elles montrent que les chemins de défaillance qu'IBM demande aux clients de concevoir ne sont pas théoriques. L'alimentation tombe en panne. Le refroidissement peut devenir la contrainte limitante. Un réseau d'installation peut perturber les services même lorsqu'un client n'a pas modifié le code de l'application.

Pour un client sérieux, la question de l'alimentation n'est pas "le fournisseur revendique-t-il la redondance?" C'est "quelle partie de ma charge de travail est liée à quel code physique, quel équipement dispose de doubles alimentations, quels événements de site IBM a-t-il enregistrés, que me donne mon plan de support lors d'un incident d'alimentation ou de refroidissement, et où puis-je redémarrer si la zone ou le site affecté ne revient pas rapidement?" IBM est responsable des installations, du réseau physique, du stockage et des hyperviseurs dans le cadre de son modèle de responsabilité partagée.

Le client est toujours responsable du placement des applications et des données afin que ces défaillances physiques ne deviennent pas des défaillances commerciales.

Le backbone est étendu, mais l'entrée privée est distincte

Les preuves réseau d'IBM Cloud sont solides au niveau de la plateforme. IBM décrit le trafic de centre de données à centre de données comme restant sur son backbone et au sein de son ASN pour la connectivité privée. Sa documentation sur la résilience décrit des fournisseurs de fibre noire connectant les sites périphériques aux installations de calcul régionales, une connectivité backbone redondante vers d'autres régions, et du peering avec plusieurs fournisseurs directement et via des échanges locaux. Lerecord PeeringDB d'AS36351ajoute un signal de marché que SoftLayer/IBM Cloud a une empreinte d'échange internationale et une identité réseau visible publiquement.

C'est une preuve utile de l'existence d'un réseau cloud sérieux. Ce n'est pas une carte de routes fibre. PeeringDB est maintenu par les opérateurs et n'est pas audité. Les descriptions du backbone d'IBM ne publient pas les routes exactes des conduits, les fournisseurs de fibre noire, les passages de ponts partagés, les contrats de réparation, l'utilisation, la congestion, les historiques de maintenance ou l'exposition aux défaillances simultanées. Un client peut raisonnablement déduire qu'IBM Cloud exploite un gros backbone.

Le client ne peut pas déduire que deux chemins dans une conception évitent la même tranchée métropolitaine, la même salle de rencontre de bâtiment, le même fournisseur longue distance, la même panne d'échange ou la même contrainte de réparation.

La limite est encore plus claire avecIBM Cloud Direct Link. Direct Link est l'entrée privée de couche 3 du réseau du client vers IBM Cloud. Lapage des prérequisd'IBM est inhabituellement directe sur la démarcation. Le client doit organiser et payer le chemin vers le PoP, les interconnexions et le circuit du fournisseur. Un chemin de service Direct Link unique n'est pas protégé. La redondance nécessite plus d'une connexion, des routeurs séparés ou des PoP géographiquement diversifiés, et une configuration de routage client. IBM indique également qu'elle n'hébergera pas d'équipement client dans les PoP réseau d'IBM.

Cela signifie que la résilience d'une connexion cloud privée est produite conjointement. IBM contrôle la terminaison du service et le réseau cloud côté IBM. Le client et son opérateur contrôlent la route vers le PoP, la commande d'interconnexion, la boucle locale, la paire de routeurs, la politique BGP et la diversité du chemin longue distance. Le guide de diversité Direct Link et la FAQ d'IBM peuvent montrer le modèle d'architecture correct, mais un diagramme n'est pas une preuve que deux circuits suivent des routes physiques distinctes.

Des chemins à coût égal peuvent encore s'effondrer sur un routeur commun ou un réseau extérieur commun si la mise en œuvre est médiocre.

Le chemin de défaillance pratique est souvent ordinaire. Un client achète deux circuits, voit deux sessions BGP et qualifie le résultat de redondant. Puis une salle de rencontre de bâtiment, un transfert d'opérateur, une tranchée du dernier kilomètre, une politique de routage, une suspension de facturation, une maintenance de routeur ou une migration VRF erronée crée un point de défaillance unique. La documentation IBM note même que Direct Link peut être suspendu pour des raisons de facturation.

Ce n'est pas une coupure de fibre physique, mais c'est toujours une dépendance d'infrastructure: l'entrée privée peut disparaître parce que le système administratif qui la maintient en vie a échoué.

Les plans de contrôle peuvent rester opérationnels tandis que la reprise reste physique

La documentation VPC d'IBM sépare le plan de contrôle du plan de données, et cette séparation est importante. Si un plan de contrôle a des problèmes, les ressources provisionnées existantes peuvent continuer à fonctionner. Si un plan de données dans une zone tombe en panne, les contrôles régionaux ou d'autres zones peuvent encore gérer les zones saines. C'est le genre d'architecture qui peut rendre un cloud plus résilient qu'une seule installation d'hébergement.

Cela crée également un malentendu courant: si la console est accessible et que le plan de contrôle peut créer des ressources ailleurs, les clients peuvent supposer que la charge de travail peut être récupérée sans friction physique.

Le guide de reprise après sinistre VPC dit le contraire. En cas de défaillance complète d'une zone, les ressources zonales sont indisponibles et les instances de serveur virtuel dans cette zone défaillante ne sont pas déplacées automatiquement vers une zone saine. Le client doit concevoir une haute disponibilité des applications entre les zones ou restaurer vers un emplacement disponible. Pour la reprise après sinistre régionale, IBM renvoie à des scripts, Terraform, Object Storage, Schematics et des architectures déployables.

Le client doit maintenir une source de vérité externe pour la configuration VPC, conserver des copies de données et tester le plan. IBM peut travailler à la récupération des installations sous-jacentes, des équipements réseau, du stockage, des serveurs, de la mémoire et des hyperviseurs, mais si IBM ne peut pas restaurer l'instance de service, le client doit la restaurer via le chemin de reprise conçu.

C'est là que la capacité et la reprise deviennent le même problème. Un instantané qui n'existe que dans la région défaillante n'est pas un actif de reprise à distance. Un fichier de configuration qui n'a jamais été appliqué dans une autre région n'est pas un basculement testé. Un équilibreur de charge au niveau de la zone ne sauvegarde pas une charge de travail qui n'a pas été conçue pour évoluer horizontalement. Un serveur bare-metal avec des disques locaux est un problème de reprise différent d'un serveur virtuel avec des instantanés de blocs distants.

La documentation de reprise bare-metal d'IBM indique qu'IBM ne sauvegarde pas automatiquement les équipements clients. Le client doit choisir et gérer une approche de sauvegarde et de reprise.

Ladocumentation sur les instantanés de stockage par blocsd'IBM ajoute la dimension physique à la reprise. Les instantanés et les copies interrégionales sont utiles, mais les copies à distance prennent du temps et entraînent des coûts de transfert et de stockage. L'exemple d'IBM pour une copie à distance complète de 3 To atteint des heures plutôt que des secondes. Les clones à restauration rapide peuvent aider, mais ils nécessitent l'activation et le paiement d'une préparation locale de la zone. Rien de tout cela n'est une faiblesse en soi. C'est ainsi que fonctionne le déplacement de données. Le risque survient lorsque l'acheteur traite l'existence d'un instantané comme s'il s'agissait déjà d'un calcul restauré dans une autre région.

Object Storage porte une leçon similaire. La FAQ d'Object Storage d'IBM distingue la résilience interrégionale, régionale et monosite et indique que changer l'emplacement du bucket nécessite la création d'un nouveau bucket et le déplacement des données. Le guide de déplacement des buckets traite de la copie, de la vérification d'intégrité, du choix du point de terminaison, du placement de calcul et de la configuration qui doit être recréée. Un bucket peut être accessible mondialement tandis que sa classe de résilience et son emplacement physique comptent toujours.

Le déplacer lors d'un événement stressant n'est pas la même chose que d'avoir choisi la bonne classe avant l'événement.

La résidence restreint l'emplacement, pas chaque dépendance opérationnelle

Les documents sur la résidence d'IBM Cloud donnent aux clients une raison de se soucier du choix de la région au-delà de la latence. Pour les services régionaux et zonaux, IBM indique que le contenu client est stocké et traité dans la région sélectionnée, sous réserve du comportement et des conditions du service applicable. Le paramètre de compte pris en charge par l'UE offre une autre couche: le support ordinaire peut être acheminé vers des équipes de l'UE pour les services éligibles, tandis qu'un accès spécialisé limité hors UE peut encore se produire dans des cas non résolus examinés.

Le propre document explicatif d'IBM distingue la résidence des données de la souveraineté des données, ce qui signifie que l'emplacement physique et l'autorité légale sont liés mais pas identiques.

C'est utile car cela arrête un raccourci courant. Un client ne peut pas simplement demander si les données sont à Francfort, Londres, Madrid ou Toronto et déclarer le risque opérationnel clos. La région contrôle une grande partie du placement physique, mais le service peut toujours dépendre de fonctions de plateforme mondiales pour l'identité, la facturation, le catalogue, le support, la mesure d'utilisation, la gestion des adresses IP publiques, le DNS, le contrôle Direct Link, le provisionnement Object Storage ou d'autres tâches de gestion.

La documentation sur la résilience d'IBM indique que les services de plateforme mondiaux et certains services du plan de contrôle mondial peuvent créer des impacts opérationnels interrégionaux même lorsqu'une charge de travail se trouve dans une autre région.

Cela ne signifie pas que les engagements locaux en matière de données sont dénués de sens. Cela signifie que la carte des dépendances a deux couches. Les octets peuvent être stockés et traités dans une région sélectionnée pour le service choisi. La capacité de créer des ressources, d'authentifier les utilisateurs, de modifier le DNS, d'attacher un Direct Link, de voir la facturation, d'ouvrir des tickets de support, de créer des buckets ou de provisionner de nouvelles capacités peut encore impliquer des services régionaux ou mondiaux du plan de contrôle. En fonctionnement normal, la distinction peut être invisible.

Lors d'un incident, elle peut décider si la charge de travail continue de servir, si les administrateurs peuvent la modifier et si le client peut mettre en place un remplacement rapidement.

Les conditions réglementaires et commerciales ajoutent une autre conséquence d'infrastructure. Les documents sur les conditions d'IBM traitent des frais de sortie réduits de la loi sur les données de l'UE et des procédures de dérogation SREN françaises. Ce sont des mécanismes juridiques et de tarification, pas des routes fibre. Néanmoins, ils affectent l'économie de la reprise. Déplacer des données hors d'un fournisseur ou entre régions est en partie un problème de réseau et en partie un problème contractuel.

Un client qui a besoin d'opérations souveraines ou portables ne doit pas seulement vérifier où reposent les données; il doit tester comment les données se déplacent, quelle configuration doit changer, quelles identités sont nécessaires, quelles équipes de support peuvent agir et quels frais ou dérogations s'appliquent.

Pour IBM Cloud, la conclusion juste est étroite. Le dossier public soutient la localité au niveau de la région pour de nombreux services et une fonctionnalité de localité de support documentée pour les comptes éligibles dans l'UE. Il ne soutient pas une déclaration générale selon laquelle chaque dépendance opérationnelle, voie d'accès spécialisée, action du plan de contrôle, déplacement de données ou activité de support de reprise reste dans la géographie choisie. L'acheteur doit examiner les services exacts utilisés.

Les incidents transforment l'architecture en preuve

Les documents d'architecture cloud décrivent ce qui devrait se produire. Les registres d'incidents montrent quelles parties du système ont réellement été sollicitées. Les rapports d'incidents et l'historique des statuts d'IBM Cloud sont donc importants non pas parce qu'ils rendent IBM particulièrement fragile, mais parce qu'ils exposent les catégories d'infrastructure ordinaires qui comptent dans chaque cloud: l'alimentation du réseau, le feu, l'alimentation de refroidissement, le réseau des installations, l'accès aux services et les chemins de gestion multirégionaux.

La source a trouvé des incidents incluant une panne de réseau électrique à FRA05, un incendie à Séoul, une panne de courant à Washington, une panne d'alimentation de refroidissement à SAO01 et des perturbations du réseau des installations. Les listes d'incidents publiques ne fournissent pas tous les détails nécessaires pour classer chaque site. Elles peuvent être limitées par la période de conservation, la synthèse et le langage post-incident. Mais elles constituent une preuve plus solide qu'une déclaration générique de résilience.

Une panne de réseau électrique dans un code de centre de données nommé prouve que le service cloud dépend du réseau local, des appareillages, des systèmes de secours et de la séquence de récupération. Une panne d'alimentation de refroidissement prouve que la disponibilité du calcul peut devenir un problème d'évacuation de la chaleur. Un incendie ou un événement sur le réseau des installations prouve que l'accès physique, les systèmes de sécurité et le réseau local peuvent devenir des dépendances de service.

La leçon au niveau client est de mapper les incidents sur l'architecture. Si une charge de travail a été conçue sur trois zones dans une MZR complète, un événement sur une installation d'une seule zone ne devrait pas créer la même défaillance qu'une conception à serveur unique. Si elle a été construite dans une zone avec un seul Direct Link et une seule sauvegarde locale, le même événement peut devenir une interruption de service, un exercice de récupération de données et une escalade de support.

Les documents SLO et SLA d'IBM peuvent encadrer les crédits et les objectifs, mais les crédits ne déplacent pas les données, ne reconstruisent pas les serveurs et ne rouvrent pas un circuit. Ils allouent un recours commercial après coup.

Les preuves d'incident devraient également changer la façon dont les clients lisent "dans la mesure du possible" dans le langage de diversité du backbone. IBM déclare utiliser des fournisseurs diversifiés et une connectivité redondante dans son réseau. C'est utile, mais la propre documentation de l'opérateur ne prouve pas chaque chemin client ou chaque condition de bord local. La résilience réelle nécessite de faire correspondre la couche d'architecture à la couche de défaillance. Un backbone avec diversité de fournisseurs ne sauvegarde pas un client si la seule entrée privée est un Direct Link non protégé.

Trois zones ne sauvegardent pas une charge de travail si tout l'état se trouvait sur un volume zonal et qu'aucune restauration testée n'existe. Un service de plateforme mondial peut rester actif tandis qu'un profil régional spécifique est en rupture de stock.

Le but n'est pas d'exiger une certitude impossible. C'est d'éviter de substituer l'intention de conception du fournisseur au dossier de preuves du client. IBM donne suffisamment de matériel public pour un bon processus de diligence: codes d'emplacement, mappages de zones, directives de domaine de défaillance, limites de Direct Link, comportement d'erreur de capacité, étapes de migration et incidents. L'acheteur doit utiliser ces faits pour tester sa propre chaîne de dépendances.

Les avis de fermeture font de la migration un problème de capacité

L'avis de fermeture de CHE01 est un document particulièrement utile car il montre la modernisation de l'infrastructure du côté client. IBM indique que CHE01 cessera ses opérations le 10 juin 2027 et fixe un calendrier qui a commencé par une annonce de fin de marché en juin 2026. Il limite le provisionnement, supprime les nouveaux déploiements pour tous les comptes à une étape ultérieure, planifie une fenêtre de maintenance réseau en avril 2027, ferme la fenêtre de demande d'assistance à la migration, puis met fin aux fenêtres de migration PaaS et IaaS avant l'arrêt définitif.

IBM indique également qu'aucune période de prolongation n'est disponible.

Ce calendrier change la signification de la capacité à Chennai. Avant la fermeture, CHE01 était un code de centre de données dans l'inventaire IBM Cloud. Pendant le processus de fermeture, il devient une limite de service qui se réduit. Les comptes existants peuvent être autorisés pendant une période, le nouveau provisionnement est restreint ou supprimé, la maintenance réseau crée une perturbation planifiée, et les clients doivent choisir des emplacements cibles. IBM indique que les nouveaux emplacements de Chennai et Mumbai offrent une pile technologique plus complète et une connectivité améliorée pour les opérations MZR.

Cela peut être bon pour l'architecture à long terme. Cela ne rend pas la migration automatique.

Quitter un centre de données cloud est une chaîne de petites tâches physiques et logiques. Le client doit identifier les ressources, mapper l'ancienne architecture sur la nouvelle architecture, déplacer les données, créer des ressources VPC de remplacement ou des alternatives classiques, ajuster le DNS, modifier les points de terminaison d'application, planifier des fenêtres d'arrêt ou de réplication, valider les performances, retravailler les sauvegardes, et mettre à jour le support et les runbooks.

La documentation de migration classique vers VPC d'IBM décrit une reconstruction et un basculement plutôt que de changer une étiquette d'installation. Ses documents sur la migration des données montrent que le volume et le nombre de fichiers affectent le temps de transfert. Le déplacement d'Object Storage nécessite de nouveaux buckets et une nouvelle configuration. Les copies d'instantanés de blocs peuvent prendre des heures pour les gros volumes.

La question de la capacité a alors deux faces. Le site de départ a besoin de suffisamment de stabilité restante pour fonctionner jusqu'au départ du client. La région cible a besoin de suffisamment de capacité disponible, de profils correspondants, d'accès réseau, de fonctionnalités de stockage et de préparation au support pour accepter la charge de travail. Les documents publics d'IBM ne montrent pas la quantité de capacité cible réservée pour les migrations CHE01 ni comment les clients individuels sont priorisés. Cette information peut exister dans des communications spécifiques au compte, mais elle n'est pas dans les preuves publiques.

Pour l'analyse d'infrastructure, CHE01 prouve un point plus large: les fournisseurs de cloud peuvent retirer une géographie. Un client qui a choisi un site pour sa latence, sa résidence, son prix, son profil matériel ou sa connectivité privée peut devoir refaire un choix selon un calendrier non fixé par le client. L'atténuation la plus forte n'est pas la foi qu'une région restera éternellement. C'est une architecture portable, un déplacement de données testé, des vérifications d'inventaire précoces et des contrats qui rendent le support et la capacité cible visibles avant que la date limite ne devienne une panne.

Ce qu'un acheteur sérieux devrait vérifier

IBM Cloud donne à un acheteur un meilleur point de départ que de nombreux fournisseurs car les documents publics exposent les mécanismes. La diligence doit donc être concrète. Premièrement, l'acheteur doit demander à quels noms de zones universelles son compte est mappé, et pas seulement quelles étiquettes de zone logique apparaissent dans Terraform ou la console. Si une charge de travail mélange VPC, infrastructure classique et Power Virtual Server, les codes de centres de données sont importants car la colocalisation, la latence et la corrélation des défaillances dépendent du mappage physique.

Deuxièmement, l'acheteur doit séparer la disponibilité de la région de la disponibilité du produit. La politique de déploiement des services et les pages de dépannage indiquent clairement que tous les services, profils, GPU, configurations bare-metal ou fonctionnalités axées sur le marché ne sont pas présents dans toutes les régions. Si une charge de travail dépend d'un profil matériel, le client doit vérifier le stock et les alternatives dans la région principale et la région de reprise.

Si le plan de reprise suppose un nouveau provisionnement après un sinistre, il doit être testé dans des conditions réalistes de quota, d'inventaire et de support. Si la charge de travail ne peut pas attendre un stock frais, le pré-provisionnement ou la réservation n'est pas un confort facultatif; cela fait partie de la conception.

Troisièmement, l'acheteur doit traiter la connectivité privée comme son propre système. La résilience de Direct Link nécessite au moins deux connexions, des routeurs séparés côté IBM ou des PoP diversifiés, des routes d'opérateur séparées dans la mesure du possible, une politique BGP client, et la preuve que le réseau extérieur ne converge pas avant d'atteindre IBM. Deux sessions ne sont pas deux conduits. Deux fournisseurs ne sont pas automatiquement deux routes physiques. Une commande de circuit, LOA/CFA, interconnexion, routeur, politique de routage et chemin d'opérateur doivent tous être vérifiés.

Quatrièmement, l'acheteur doit placer la récupération des données à côté de la récupération du calcul. Les instantanés VPC, la réplication Object Storage, les copies de buckets, la réplication de partages de fichiers et les produits de sauvegarde bare-metal résolvent différents problèmes. Un instantané dans une autre région est plus utile après qu'il soit stable. Un clone à restauration rapide est plus utile s'il existe avant l'incident. Un bucket dans la mauvaise classe de résilience peut nécessiter une copie sous pression. Les disques locaux bare-metal nécessitent une sauvegarde gérée par le client.

Le DNS et l'état de l'application doivent être inclus, non traités comme des réflexions après coup.

Cinquièmement, l'acheteur doit relier la résidence et les opérations. Si la décision est motivée par des exigences de l'UE, françaises, financières, de santé ou du secteur public, le client doit vérifier les conditions de service sélectionnées, la localité du support, les règles d'accès spécialisé, les dépendances du plan de contrôle mondial, les obligations de sortie et les procédures d'incident. La localisation physique des données réduit le risque. Elle n'élimine pas toutes les dépendances juridictionnelles, de support ou de gestion.

Enfin, l'acheteur doit lire les registres d'incidents non comme un bruit de relations publiques mais comme une liste de tests. Panne de courant, panne d'alimentation de refroidissement, incendie, perturbation du réseau des installations, dégradation du plan de contrôle, épuisement de la capacité, date limite de migration, suspension de facturation et défaillance du circuit privé doivent chacun avoir un runbook. Si le client ne peut pas dire ce qui se passe dans chaque cas, le choix de la région n'est pas encore devenu une conception opérationnelle.

La conclusion utile est plus étroite que la carte commerciale

Les preuves publiques d'IBM Cloud soutiennent une conclusion forte mais limitée. IBM exploite un véritable patrimoine d'infrastructure cloud mondial avec des régions multizones nommées, des régions sur un seul campus, des codes de centres de données classiques, des mappages de zones publics, des services réseau privés et publics, une identité backbone visible, des fonctionnalités de reprise documentées, des rapports d'incidents et des avis de cycle de vie. Un client peut utiliser ces preuves pour prendre une décision de région avec une conscience physique plus grande qu'une simple étiquette de pays ou de ville ne le fournirait.

Les preuves ne soutiennent pas l'affirmation plus forte selon laquelle une région IBM Cloud sélectionnée fournit automatiquement la capacité nécessaire, la diversité des chemins physiques ou le résultat de reprise du client. La capacité est spécifique au profil et évolue dans le temps. Certains services sont axés sur le marché. Le matériel spécialisé est local. Le stock bare-metal est dynamique. Le provisionnement de serveurs virtuels classiques peut échouer parce qu'un routeur ou un centre de données manque de ressources. Direct Link est un chemin distinct vers le cloud et n'est pas redondant sans ingénierie duplicative délibérée.

Les ressources VPC zonales ne se déplacent pas d'elles-mêmes après une défaillance complète de zone. Les MZR sur un seul campus ont une corrélation physique plus étroite. La résidence des données ne rend pas chaque dépendance du plan de contrôle, de support ou juridique locale.

Ce n'est pas une raison pour rejeter IBM Cloud. C'est la raison pour le tarifer correctement. La documentation d'IBM donne aux acheteurs suffisamment de faits pour poser des questions spécifiques au lieu d'acheter un slogan de région cloud. Quels codes de centres de données physiques sont impliqués? Quels profils sont approvisionnés? Quelles zones sont mappées au compte? Quels incidents d'alimentation et de réseau ont affecté des sites similaires? Quels chemins Direct Link sont vraiment diversifiés? Quelles copies de données sont déjà stables ailleurs? Quelles ressources sont réservées?

Quel niveau de support répond au type de panne qui menace réellement la charge de travail? Quels sites hérités approchent de la fermeture?

La réponse à ces questions est le produit d'infrastructure que le client achète réellement. Le nom de la région n'est que la porte d'entrée.