Questa pagina è stata tradotta dall'API Cloud Translation.

Crea bucket di archiviazione per i progetti

Questa pagina mostra come creare bucket di archiviazione con air gap di Google Distributed Cloud (GDC).

Prima di iniziare

Uno spazio dei nomi del progetto gestisce le risorse bucket nel server API Management. Per utilizzare bucket e oggetti, devi disporre di un progetto.

Devi inoltre disporre delle autorizzazioni del bucket appropriate per eseguire la seguente operazione. Consulta Concedere l'accesso al bucket.

Linee guida per la denominazione dei bucket di archiviazione

I nomi dei bucket devono rispettare le seguenti convenzioni di denominazione:

Essere univoco all'interno del progetto. Un progetto aggiunge un prefisso univoco al nome del bucket, garantendo che non si verifichino conflitti all'interno dell'organizzazione. Nel raro caso di conflitto tra prefisso e nome del bucket tra le organizzazioni, la creazione del bucket non riesce e viene visualizzato l'errore "bucket name in use" (nome del bucket in uso).
Evita di includere informazioni che consentono l'identificazione personale (PII).
Essere conforme al DNS.
Deve contenere almeno 1 e non più di 55 caratteri.
Inizia con una lettera e utilizza solo lettere, numeri e trattini.

Crea un bucket

Console

Nel menu di navigazione, fai clic su Object Storage.
Fai clic su Crea bucket.
Nel flusso di creazione del bucket, assegna un nome univoco per tutti i bucket all'interno del progetto.
Inserisci una descrizione.
(Facoltativo) Fai clic sul pulsante di attivazione/disattivazione toggle_off per impostare una policy di conservazione e inserisci il numero di giorni che preferisci. Contatta il tuo IO se devi superare i limiti dei criteri di conservazione.
Fai clic su Crea. Viene visualizzato un messaggio di operazione riuscita e viene reindirizzato alla pagina Bucket.

Per verificare di aver creato correttamente un nuovo bucket, aggiorna la pagina Bucket dopo qualche minuto e controlla che lo stato del bucket venga aggiornato da Not ready a Ready.

Interfaccia a riga di comando

Per creare un bucket, applica una specifica del bucket allo spazio dei nomi del progetto:

kubectl apply -f bucket.yaml

Di seguito è riportato un esempio di specifica del bucket:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Di seguito è riportato un esempio di specifica del bucket con la versione di crittografia v1:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
  labels:
    object.gdc.goog/encryption-version: v1
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Per ulteriori dettagli, consulta il riferimento API Bucket.

Di seguito è riportato un esempio di bucket a doppia zona nell'API globale org-admin:

apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: PROJECT_NAME
spec:
  location: LOCATION_NAME
  description: Sample DZ Bucket
  storageClass: Standard

Tieni presente che solo la crittografia V2 è supportata per i bucket dual-zone e tutte le operazioni per la creazione, l'aggiornamento o l'eliminazione di una risorsa bucket dual-zone devono essere eseguite sul server API globale.

gdcloud

Per creare un bucket con gdcloud, segui gdcloud storage buckets create.

Verifica la creazione del bucket e delle risorse correlate

Una volta creato il bucket, puoi eseguire questo comando per confermare e controllare i dettagli del bucket:

kubectl describe buckets BUCKET_NAME -n NAMESPACE_NAME

La sezione Stato contiene due campi importanti: Crittografia (per i dettagli della crittografia) e Nome completo (che contiene FULLY_QUALIFIED_BUCKET_NAME).

Crittografia v1

Le informazioni riguardano la chiave AEAD denominata obj-FULLY_QUALIFIED_BUCKET_NAME, che funge da riferimento alla chiave di crittografia utilizzata per criptare gli oggetti archiviati nel bucket. Ecco un esempio:

Status:
  Encryption:
    Key Ref:
      Kind: AEADKey
      Name: obj-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Crittografia v2

Le informazioni riguardano il secret denominato kek-ref-FULLY_QUALIFIED_BUCKET_NAME, che funge da riferimento per le chiavi AEAD predefinite attive. Le chiavi AEAD predefinite attive vengono selezionate in modo casuale per criptare gli oggetti caricati nel bucket quando non viene specificata una chiave AEAD specifica.

Ecco un esempio:

Status:
  Encryption:
    Key Ref:
      Kind: Secret
      Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Puoi anche eseguire il seguente comando per verificare che siano state create le AEADKeys necessarie:

kubectl get aeadkeys -n NAMESPACE_NAME -l  cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME