Creare bucket di archiviazione

Questa pagina ti guida alla creazione di un bucket di archiviazione per i tuoi progetti air-gap di Google Distributed Cloud (GDC). Vengono trattati i prerequisiti, i passaggi di creazione e verifica e le linee guida per la denominazione. In questo modo, puoi stabilire uno spazio di archiviazione degli oggetti conforme e ben configurato che soddisfi le esigenze delle tue implementazioni isolate.

Questa pagina è rivolta a segmenti di pubblico come gli amministratori IT all'interno del gruppo di operatori dell'infrastruttura o gli sviluppatori all'interno del gruppo di operatori dell'applicazione che vogliono eseguire il provisioning e gestire i bucket di archiviazione degli oggetti per i progetti all'interno degli ambienti air-gap di GDC. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Prima di iniziare

Uno spazio dei nomi del progetto gestisce le risorse bucket nel server API Management. Per utilizzare bucket e oggetti, devi disporre di un progetto.

Devi inoltre disporre delle autorizzazioni del bucket appropriate per eseguire la seguente operazione. Consulta Concedere l'accesso al bucket.

Linee guida per la denominazione dei bucket di archiviazione

I nomi dei bucket devono rispettare le seguenti convenzioni di denominazione:

  • Essere univoco all'interno del progetto. Un progetto aggiunge un prefisso univoco al nome del bucket, garantendo che non si verifichino conflitti all'interno dell'organizzazione. Nel raro caso di conflitto tra prefisso e nome del bucket tra le organizzazioni, la creazione del bucket non riesce e viene visualizzato l'errore "bucket name in use" (nome del bucket in uso).
  • Evita di includere informazioni che consentono l'identificazione personale (PII).
  • Essere conforme al DNS.
  • Deve contenere almeno 1 e non più di 55 caratteri.
  • Inizia con una lettera e utilizza solo lettere, numeri e trattini.

Crea un bucket

Console

  1. Nel menu di navigazione, fai clic su Object Storage.
  2. Fai clic su Crea bucket.
  3. Nel flusso di creazione del bucket, assegna un nome univoco per tutti i bucket all'interno del progetto.
  4. Inserisci una descrizione.
  5. (Facoltativo) Fai clic sul pulsante di attivazione/disattivazione toggle_off per impostare una policy di conservazione e inserisci il numero di giorni che preferisci. Contatta il tuo IO se devi superare i limiti dei criteri di conservazione.
  6. Fai clic su Crea. Viene visualizzato un messaggio di operazione riuscita e viene reindirizzato alla pagina Bucket.

Per verificare di aver creato correttamente un nuovo bucket, aggiorna la pagina Bucket dopo qualche minuto e controlla che lo stato del bucket venga aggiornato da Not ready a Ready.

Interfaccia a riga di comando

Per creare un bucket, applica una specifica del bucket allo spazio dei nomi del progetto:

kubectl apply -f bucket.yaml

Di seguito è riportato un esempio di specifica del bucket:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Di seguito è riportato un esempio di specifica del bucket con la versione di crittografia v1:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
  labels:
    object.gdc.goog/encryption-version: v1
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Per ulteriori dettagli, consulta il riferimento API Bucket.

Di seguito è riportato un esempio di bucket a doppia zona nell'API globale org-admin:

apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: PROJECT_NAME
spec:
  location: LOCATION_NAME
  description: Sample DZ Bucket
  storageClass: Standard

Tieni presente che solo la crittografia V2 è supportata per i bucket dual-zone e tutte le operazioni per la creazione, l'aggiornamento o l'eliminazione di una risorsa bucket dual-zone devono essere eseguite sul server API globale.

gdcloud

Per creare un bucket con gdcloud, segui gdcloud storage buckets create.

Una volta creato il bucket, puoi eseguire questo comando per confermare e controllare i dettagli del bucket:

kubectl describe buckets BUCKET_NAME -n NAMESPACE_NAME

La sezione Stato contiene due campi importanti: Crittografia (per i dettagli della crittografia) e Nome completo (che contiene FULLY_QUALIFIED_BUCKET_NAME).

Crittografia v1

Le informazioni riguardano la chiave AEAD denominata obj-FULLY_QUALIFIED_BUCKET_NAME, che funge da riferimento alla chiave di crittografia utilizzata per criptare gli oggetti archiviati nel bucket. Ecco un esempio:

Status:
  Encryption:
    Key Ref:
      Kind: AEADKey
      Name: obj-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Crittografia v2

Le informazioni riguardano il secret denominato kek-ref-FULLY_QUALIFIED_BUCKET_NAME, che funge da riferimento per le chiavi AEAD predefinite attive. Le chiavi AEAD predefinite attive vengono selezionate in modo casuale per criptare gli oggetti caricati nel bucket quando non viene specificata una chiave AEAD specifica.

Ecco un esempio:

Status:
  Encryption:
    Key Ref:
      Kind: Secret
      Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Puoi anche eseguire il seguente comando per verificare che siano state create le AEADKeys necessarie:

kubectl get aeadkeys -n NAMESPACE_NAME -l  cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME

Dopo aver creato un bucket, puoi gestirlo per conto degli operatori delle applicazioni (AO) creando un file di policy quando concedi l'accesso al bucket e assegnando la policy a un bucket.