En esta página, se explica cómo crear un bucket de almacenamiento para tus proyectos aislados de Google Distributed Cloud (GDC). Abarca los requisitos previos, los pasos de creación y verificación, y los lineamientos de asignación de nombres. Esto te ayuda a establecer un almacenamiento de objetos compatible y bien configurado que satisfaga las necesidades de tus implementaciones aisladas.
Esta página está dirigida a públicos como los administradores de TI del grupo de operadores de infraestructura o los desarrolladores del grupo de operadores de aplicaciones que desean aprovisionar y administrar buckets de almacenamiento de objetos para proyectos en entornos aislados de GDC. Para obtener más información, consulta Audiences for GDC air-gapped documentation (Públicos para la documentación de GDC aislada del aire).
Antes de comenzar
Un espacio de nombres del proyecto administra los recursos del bucket en el servidor de la API de Management. Debes tener un proyecto para trabajar con buckets y objetos.
También debes tener los permisos de bucket adecuados para realizar la siguiente operación. Consulta Cómo otorgar acceso al bucket.
Lineamientos para asignar nombres a bucket de almacenamiento
Los nombres de los buckets deben cumplir con las siguientes convenciones de nomenclatura:
- Ser único en el proyecto Un proyecto agrega un prefijo único al nombre del bucket, lo que garantiza que no haya conflictos dentro de la organización. En el improbable caso de que haya un conflicto entre el prefijo y el nombre del bucket en diferentes organizaciones, se producirá un error de "nombre de bucket en uso" y no se podrá crear el bucket.
- Evita incluir información de identificación personal (PII).
- Ser compatible con DNS
- Debe tener al menos 1 y no más de 55 caracteres.
- Comienza con una letra y usa solo letras, números y guiones.
Crea un bucket
Console
- En el menú de navegación, haz clic en Object Storage.
- Haga clic en Crear bucket.
- En el flujo de creación del bucket, asigna un nombre único para todos los buckets del proyecto.
- Ingresa una descripción.
- Opcional: Haz clic en el botón de activación toggle_off para establecer una política de retención y, luego, ingresa la cantidad de días que prefieras. Comunícate con tu IO si necesitas superar los límites de la política de retención.
- Haz clic en Crear. Aparecerá un mensaje de confirmación y se te redireccionará a la página Buckets.
Para verificar que creaste un bucket nuevo correctamente, actualiza la página Buckets después de unos minutos y comprueba que el estado del bucket se actualice de Not ready a Ready.
CLI
Para crear un bucket, aplica una especificación de bucket al espacio de nombres de tu proyecto:
kubectl apply -f bucket.yaml
A continuación, se muestra un ejemplo de una especificación de bucket:
apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
name: BUCKET_NAME
namespace: NAMESPACE_NAME
spec:
description: DESCRIPTION
storageClass: Standard
bucketPolicy:
lockingPolicy:
defaultObjectRetentionDays: RETENTION_DAY_COUNT
A continuación, se muestra un ejemplo de una especificación de bucket con la versión de encriptación como v1:
apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
name: BUCKET_NAME
namespace: NAMESPACE_NAME
labels:
object.gdc.goog/encryption-version: v1
spec:
description: DESCRIPTION
storageClass: Standard
bucketPolicy:
lockingPolicy:
defaultObjectRetentionDays: RETENTION_DAY_COUNT
Para obtener más detalles, consulta la referencia de la API de Bucket.
A continuación, se muestra un ejemplo de un bucket de doble zona en la API global de org-admin:
apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
name: BUCKET_NAME
namespace: PROJECT_NAME
spec:
location: LOCATION_NAME
description: Sample DZ Bucket
storageClass: Standard
Ten en cuenta que solo se admite el cifrado de la versión 2 para los buckets de doble zona, y todas las operaciones para crear, actualizar o borrar un recurso de bucket de doble zona deben realizarse en el servidor de la API global.
gdcloud
Para crear un bucket con gdcloud, sigue las instrucciones de gdcloud storage buckets create.
Verifica la creación del bucket y los recursos relacionados
Una vez que se cree el bucket, puedes ejecutar el siguiente comando para confirmar y verificar los detalles del bucket:
kubectl describe buckets BUCKET_NAME -n NAMESPACE_NAME
La sección Estado tiene dos campos importantes: Encriptación (para los detalles de encriptación) y Nombre completo (que contiene el FULLY_QUALIFIED_BUCKET_NAME).
Encriptación v1
La información se refiere a la AEADKey denominada obj-FULLY_QUALIFIED_BUCKET_NAME, que sirve como referencia a la clave de encriptación empleada para encriptar los objetos almacenados en el bucket. A continuación, se muestra un ejemplo:
Status:
Encryption:
Key Ref:
Kind: AEADKey
Name: obj-FULLY_QUALIFIED_BUCKET_NAME
Namespace: NAMESPACE_NAME
Type: CMEK
Encriptación v2
La información pertenece al secreto llamado kek-ref-FULLY_QUALIFIED_BUCKET_NAME, que actúa como referencia para las claves AEAD predeterminadas activas. Las claves AEAD predeterminadas activas se seleccionan de forma aleatoria para encriptar los objetos subidos al bucket cuando no se especifica una clave AEAD en particular.
A continuación, se muestra un ejemplo:
Status:
Encryption:
Key Ref:
Kind: Secret
Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
Namespace: NAMESPACE_NAME
Type: CMEK
También puedes ejecutar el siguiente comando para verificar que se hayan creado las AEADKeys necesarias:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME
Después de crear un bucket, puedes administrarlo en nombre de los operadores de aplicaciones (AO) creando un archivo de política cuando otorgues acceso al bucket y asignes la política a un bucket.