Storage-Buckets für Projekte erstellen

Auf dieser Seite wird beschrieben, wie Sie Google Distributed Cloud-Speicher-Buckets (GDC) für Air-Gap-Umgebungen erstellen.

Hinweise

In einem Projektnamespace werden Bucket-Ressourcen auf dem Management API-Server verwaltet. Sie benötigen ein Projekt, um mit Buckets und Objekten arbeiten zu können.

Außerdem benötigen Sie die entsprechenden Bucket-Berechtigungen, um den folgenden Vorgang auszuführen. Weitere Informationen finden Sie unter Bucket-Zugriff gewähren.

Richtlinien für die Benennung von Storage-Buckets

Bucket-Namen müssen den folgenden Namenskonventionen entsprechen:

  • Sie muss innerhalb des Projekts eindeutig sein. Ein Projekt fügt dem Bucket-Namen ein eindeutiges Präfix hinzu, um Konflikte innerhalb der Organisation zu vermeiden. Im unwahrscheinlichen Fall, dass es organisationsübergreifend zu einem Konflikt zwischen Präfix und Bucket-Name kommt, schlägt die Bucket-Erstellung mit dem Fehler „Bucket-Name wird verwendet“ fehl.
  • Geben Sie keine personenidentifizierbaren Informationen an.
  • DNS-konform sein.
  • Muss mindestens 1 und darf maximal 55 Zeichen enthalten.
  • Muss mit einem Buchstaben beginnen und darf nur Buchstaben, Ziffern und Bindestriche enthalten.

Bucket erstellen

Console

  1. Klicken Sie im Navigationsmenü auf Object Storage.
  2. Klicken Sie auf Bucket erstellen.
  3. Weisen Sie dem Bucket beim Erstellen einen Namen zu, der für alle Buckets im Projekt eindeutig ist.
  4. Geben Sie eine Beschreibung ein.
  5. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche toggle_off, um eine Aufbewahrungsrichtlinie festzulegen, und geben Sie die gewünschte Anzahl von Tagen ein. Wenden Sie sich an Ihren IO, wenn Sie die Grenzwerte der Aufbewahrungsrichtlinie überschreiten müssen.
  6. Klicken Sie auf Erstellen. Eine Erfolgsmeldung wird angezeigt und Sie werden zur Seite Buckets zurückgeleitet.

Wenn Sie prüfen möchten, ob Sie einen neuen Bucket erfolgreich erstellt haben, aktualisieren Sie die Seite Buckets nach einigen Minuten und prüfen Sie, ob sich der Bucket-Status von Not ready in Ready ändert.

Befehlszeile

Um einen Bucket zu erstellen, wenden Sie eine Bucket-Spezifikation auf Ihren Projekt-Namespace an:

kubectl apply -f bucket.yaml

Hier ist ein Beispiel für eine Bucket-Spezifikation:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Im Folgenden finden Sie ein Beispiel für eine Bucket-Spezifikation mit der Verschlüsselungsversion v1:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
  labels:
    object.gdc.goog/encryption-version: v1
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Weitere Informationen finden Sie in der Bucket API-Referenz.

Das folgende Beispiel zeigt einen Bucket mit zwei Zonen in der globalen API für Organisationsadministratoren:

apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: PROJECT_NAME
spec:
  location: LOCATION_NAME
  description: Sample DZ Bucket
  storageClass: Standard

Beachten Sie, dass für Dual-Zone-Buckets nur die V2-Verschlüsselung unterstützt wird und alle Vorgänge zum Erstellen, Aktualisieren oder Löschen einer Dual-Zone-Bucket-Ressource auf dem globalen API-Server ausgeführt werden müssen.

gdcloud

gdcloud storage buckets create

Nachdem der Bucket erstellt wurde, können Sie den folgenden Befehl ausführen, um die Details des Buckets zu bestätigen und zu prüfen:

kubectl describe buckets BUCKET_NAME -n NAMESPACE_NAME

Der Abschnitt Status enthält zwei wichtige Felder: Encryption (für Verschlüsselungsdetails) und Fully Qualified Name (mit dem FULLY_QUALIFIED_BUCKET_NAME).

Verschlüsselung v1

Die Informationen beziehen sich auf den AEADKey mit dem Namen obj-FULLY_QUALIFIED_BUCKET_NAME, der als Referenz für den Verschlüsselungsschlüssel dient, der zum Verschlüsseln von Objekten verwendet wird, die im Bucket gespeichert sind. Hier ein Beispiel:

Status:
  Encryption:
    Key Ref:
      Kind: AEADKey
      Name: obj-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Verschlüsselung V2

Die Informationen beziehen sich auf das Secret mit dem Namen kek-ref-FULLY_QUALIFIED_BUCKET_NAME, das als Referenz für aktive Standard-AEADKeys dient. Aktive Standard-AEADKeys werden zufällig ausgewählt, um Objekte zu verschlüsseln, die in den Bucket hochgeladen werden, wenn kein bestimmter AEADKey angegeben ist.

Hier ein Beispiel:

Status:
  Encryption:
    Key Ref:
      Kind: Secret
      Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Sie können auch den folgenden Befehl ausführen, um zu prüfen, ob die erforderlichen AEADKeys erstellt wurden:

kubectl get aeadkeys -n NAMESPACE_NAME -l  cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME