Crear segmentos de almacenamiento

En esta página se explica cómo crear un segmento de almacenamiento para tus proyectos aislados de Google Distributed Cloud (GDC). Incluye los requisitos previos, los pasos para crear y verificar una cuenta, y las directrices para elegir el nombre. Esto te ayuda a establecer un almacenamiento de objetos que cumpla los requisitos y esté bien configurado para satisfacer las necesidades de tus implementaciones aisladas.

Esta página está dirigida a audiencias como administradores de TI del grupo de operadores de infraestructura o desarrolladores del grupo de operadores de aplicaciones que quieran aprovisionar y gestionar los contenedores de almacenamiento de objetos de proyectos en entornos aislados de GDC. Para obtener más información, consulta Audiencias de la documentación de GDC air-gapped.

Antes de empezar

Un espacio de nombres de proyecto gestiona los recursos de los contenedores en el servidor de la API Management. Debes tener un proyecto para trabajar con los contenedores y los objetos.

También debe tener los permisos de contenedor adecuados para realizar la siguiente operación. Consulta Conceder acceso a un contenedor.

Directrices para asignar nombres a los segmentos de almacenamiento

Los nombres de los segmentos deben cumplir las siguientes convenciones de nomenclatura:

  • Ser único en el proyecto. Un proyecto añade un prefijo único al nombre del segmento para asegurarse de que no haya conflictos en la organización. En el improbable caso de que coincidan el prefijo y el nombre de un segmento entre organizaciones, se producirá un error al crear el segmento ("nombre de segmento en uso").
  • No incluyas información personal identificable.
  • Cumplir los requisitos de DNS.
  • Tener entre 1 y 55 caracteres.
  • Empieza por una letra y usa solo letras, números y guiones.

Crear un segmento

Consola

  1. En el menú de navegación, haga clic en Object Storage (Almacenamiento de objetos).
  2. Haz clic en Crear segmento.
  3. En el flujo de creación de segmentos, asigna un nombre único a todos los segmentos del proyecto.
  4. Introduce una descripción.
  5. Opcional: Haz clic en el interruptor toggle_off para definir una política de conservación e introduce el número de días que prefieras. Ponte en contacto con tu IO si necesitas superar los límites de la política de conservación.
  6. Haz clic en Crear. Aparecerá un mensaje de éxito y se te redirigirá a la página Contenedores.

Para verificar que has creado un nuevo contenedor correctamente, actualiza la página Contenedores al cabo de unos minutos y comprueba que el estado del contenedor cambia de Not ready a Ready.

CLI

Para crear un segmento, aplica una especificación de segmento al espacio de nombres de tu proyecto:

kubectl apply -f bucket.yaml

A continuación, se muestra un ejemplo de especificación de un contenedor:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

A continuación, se muestra un ejemplo de especificación de un contenedor con la versión de cifrado v1:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
  labels:
    object.gdc.goog/encryption-version: v1
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Para obtener más información, consulta la referencia de la API Bucket.

A continuación, se muestra un ejemplo de un contenedor de doble zona en la API global de administrador de organizaciones:

apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: PROJECT_NAME
spec:
  location: LOCATION_NAME
  description: Sample DZ Bucket
  storageClass: Standard

Ten en cuenta que solo se admite el cifrado de la versión 2 en los segmentos de dos zonas y que todas las operaciones para crear, actualizar o eliminar un recurso de segmento de dos zonas deben realizarse en el servidor de la API global.

gdcloud

Para crear un segmento con gdcloud, sigue las instrucciones de gdcloud storage buckets create.

Una vez que se haya creado el contenedor, puedes ejecutar el siguiente comando para confirmar y consultar los detalles del contenedor:

kubectl describe buckets BUCKET_NAME -n NAMESPACE_NAME

La sección Estado tiene dos campos importantes: Cifrado (con los detalles del cifrado) y Nombre completo (que contiene el FULLY_QUALIFIED_BUCKET_NAME).

Cifrado v1

La información se refiere a la clave AEAD denominada obj-FULLY_QUALIFIED_BUCKET_NAME, que sirve como referencia a la clave de cifrado empleada para cifrar los objetos almacenados en el cubo. A continuación se muestra un ejemplo:

Status:
  Encryption:
    Key Ref:
      Kind: AEADKey
      Name: obj-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Cifrado v2

La información hace referencia al secreto llamado kek-ref-FULLY_QUALIFIED_BUCKET_NAME, que actúa como referencia para las AEADKeys predeterminadas activas. Las AEADKeys predeterminadas activas se seleccionan aleatoriamente para cifrar los objetos subidos al segmento cuando no se especifica ninguna AEADKey concreta.

A continuación se muestra un ejemplo:

Status:
  Encryption:
    Key Ref:
      Kind: Secret
      Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

También puedes ejecutar el siguiente comando para verificar que se han creado las AEADKeys necesarias:

kubectl get aeadkeys -n NAMESPACE_NAME -l  cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME

Después de crear un segmento, puedes gestionarlo en nombre de los operadores de aplicaciones (AOs) creando un archivo de política al conceder acceso al segmento y asignando la política a un segmento.