区域端点

本页面介绍如何使用区域端点来访问 Cloud Storage 中的资源。使用区域端点,您可以根据符合数据驻留和数据主权要求的方式运行工作负载,其中请求流量会直接路由到端点中指定的区域。

概览

区域端点是请求端点,只有在受影响的资源存在于端点指定的位置时,才允许请求继续。例如,当您在删除存储桶请求中使用端点 https://storage.me-central2.rep.googleapis.com 时,仅当存储桶位于 ME-CENTRAL2 中时,请求才会继续。

与全球端点不同(全球端点可在不同于资源所在位置的其他位置处理请求),区域端点可保证您的请求仅在端点指定的位置(即资源所在的位置)进行处理。对于从互联网、其他Google Cloud 资源(例如 Compute Engine 虚拟机)、使用 VPN 或 Interconnect 的本地服务以及虚拟私有云 (VPC) 收到的请求,区域端点会在端点指定的位置终止 TLS 会话。

区域端点通过确保对象的静态数据和传输中数据不会移出端点指定的位置,保证数据驻留。此保证不包括资源元数据,例如对象名称和存储桶 IAM 政策。如需了解详情,请参阅有关服务数据的说明

支持的位置

您可以使用区域端点将数据保留在以下位置

  • 所有区域

  • US 多区域

  • EU 多区域

支持的操作

区域端点只能用于执行访问或更改端点所指定位置内的资源的操作。区域端点不能用于执行访问或更改端点所指定位置以外的资源的操作。

例如,当您使用区域端点 https://storage.me-central2.rep.googleapis.com 时,您可以读取位于 ME-CENTRAL2 的存储桶中的对象,并且仅在这两个存储桶都位于 ME-CENTRAL2 时将对象从源存储桶复制到目标存储桶。如果您尝试读取或复制 ME-CENTRAL2 之外的对象,则会收到错误。

区域端点可用于执行受支持的存储桶、对象和资产清单报告操作,前提是这些操作是对存储在端点指定位置的资源执行的。

如需查看 Cloud Storage 支持的操作的完整列表,请展开支持的操作部分:

支持的操作

  • 对象操作
    • 创建对象
    • 组合对象
    • 复制对象1
    • 删除对象
    • 获取对象元数据2
    • 列出对象
    • 修补对象
    • 重写对象1
    • 正在更新对象
  • 存储桶操作
    • 创建存储桶
    • 删除存储桶
    • 获取存储桶元数据2
    • 列出存储分区
    • 锁定存储桶保留政策
    • 修补存储桶
    • 更新存储桶
  • 针对 IAM 政策的操作
    • 获取存储桶 IAM 政策2
    • 更新存储桶 IAM 政策2
    • 测试存储桶 IAM 政策2
  • 针对 ACL 的操作
    • 创建对象 ACL2
    • 为存储桶创建默认对象 ACL2
    • 删除对象 ACL2
    • 删除存储桶的默认对象 ACL2
    • 获取对象 ACL2
    • 获取存储桶的默认对象 ACL2
    • 列出对象 ACL2
    • 列出存储桶的默认对象 ACL2
    • 修补对象 ACL2
    • 修补存储桶的默认对象 ACL2
    • 更新对象 ACL2
    • 更新存储桶的默认对象 ACL2
  • 存储空间分析操作
    • 创建资产清单报告配置
    • 删除资产清单报告配置
    • 获取资产清单报告
    • 获取资产清单报告配置
    • 列出资产清单报告
    • 列出资产清单报告配置
    • 修补资产清单报告配置

1 仅当源和目标存储桶位于端点指定的位置时,此操作才会成功。

2 此操作会访问或更改元数据。无法保证此操作符合数据驻留和数据主权要求。

局限和限制

区域端点不能用于执行以下操作:

使用区域端点时,请注意以下限制:

  • 区域端点不支持双向 TLS (mTLS)

  • 区域端点仅支持 HTTPS。不支持 HTTP。

使用区域端点的工具

控制台

如需以符合数据驻留或主权要求的方式访问 Cloud Storage 资源,请使用管辖区Google Cloud 控制台网址:

资源 网址
项目的存储桶列表 https://console.JURISDICTION.cloud.google.com/storage/browser?project=PROJECT_ID
存储桶的对象列表 https://console.JURISDICTION.cloud.google.com/storage/browser/BUCKET_NAME
对象的详细信息 https://console.JURISDICTION.cloud.google.com/storage/browser/_details/BUCKET_NAME/OBJECT_NAME

JURISDICTION 替换为以下某个值:

  • eu(如果资源位于欧盟)

  • sa(如果资源位于沙特阿拉伯王国)

  • us(如果资源位于美国)

命令行

如需配置 Google Cloud CLI 以与区域端点搭配使用,请完成以下步骤:

  1. 确保您使用的是 Google Cloud CLI 402.0.0 或更高版本。

  2. api_endpoint_overrides/storage 属性设置为您要使用的区域端点:

    gcloud config set api_endpoint_overrides/storage https://storage.LOCATION.rep.googleapis.com/

    或者,您可以将 CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE 环境变量设置为端点:

    CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE=https://storage.LOCATION.rep.googleapis.com/ gcloud ls gs://my-bucket

REST API

JSON API

向区域端点发出请求时,请使用以下 URI:

  • 对于一般 JSON API 请求(不包括对象上传),请使用以下端点,注意将 LOCATION 替换为受支持的存储桶位置

    https://storage.LOCATION.rep.googleapis.com

    例如,以下端点用于在 ME-CENTRAL2 区域中创建存储桶:

    https://storage.me-central2.rep.googleapis.com

  • 对于 JSON API 对象上传,请使用以下端点:

    https://storage.LOCATION.rep.googleapis.com/upload/storage/v1/b/BUCKET_NAME/o

    您需要进行如下替换:

    • LOCATION 替换为受支持的存储桶位置

    • BUCKET_NAME 替换为对象要上传到的存储桶的名称。

    例如,以下端点用于将对象上传到 ME-CENTRAL2 区域中的存储桶:

    https://storage.me-central2.rep.googleapis.com/upload/storage/v1/b/my-example-bucket/o

  • 对于 JSON API 对象下载,请使用以下端点:

    https://storage.LOCATION.rep.googleapis.com/download/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media

    您需要进行如下替换:

    • LOCATION 替换为受支持的存储桶位置

    • BUCKET_NAME 替换为包含要下载的对象的存储桶名称。

    • OBJECT_NAME 替换为您要下载的对象的名称。

XML API

向区域端点发出请求时,请使用以下路径样式端点:

https://storage.LOCATION.rep.googleapis.com/BUCKET_NAME

您需要进行如下替换:

  • LOCATION 替换为受支持的存储桶位置

  • BUCKET_NAME 替换为存储桶的名称。

例如,以下示例可用于将对象上传到 ME-CENTRAL2 区域中的存储桶:

https://storage.me-central2.rep.googleapis.com/my-example-bucket

限制全球 API 端点的使用

如需帮助强制使用区域端点,您可以使用 constraints/gcp.restrictEndpointUsage 组织政策限制条件来阻止向全球 API 端点发出的请求。如需了解详情,请参阅限制端点用量文档。