本页面介绍如何使用区域端点来访问 Cloud Storage 中的资源。使用区域端点,您可以根据符合数据驻留和数据主权要求的方式运行工作负载,其中请求流量会直接路由到端点中指定的区域。
概览
区域端点是请求端点,只有在受影响的资源存在于端点指定的位置时,才允许请求继续。例如,当您在删除存储桶请求中使用端点 https://storage.me-central2.rep.googleapis.com
时,仅当存储桶位于 ME-CENTRAL2
中时,请求才会继续。
与全球端点不同(全球端点可在不同于资源所在位置的其他位置处理请求),区域端点可保证您的请求仅在端点指定的位置(即资源所在的位置)进行处理。对于从互联网收到的请求、其他 Google Cloud 资源(例如 Compute Engine 虚拟机)、使用 VPN 或 Interconnect 的本地服务和 Virtual Private Cloud (VPC),区域端点在端点指定的位置终止 TLS 会话。
区域端点通过确保对象的静态数据和传输中数据不会移出端点指定的位置,保证数据驻留。此保证不包括资源元数据,例如对象名称和存储桶 IAM 政策。如需了解详情,请参阅有关服务数据的说明。
支持的位置
您可以使用区域性端点将数据保留在以下位置:
欧盟
沙特阿拉伯王国
- 沙特阿拉伯达曼(
ME-CENTRAL2
区域)
- 沙特阿拉伯达曼(
美国
爱荷华(
US-CENTRAL1
区域)南卡罗来纳(
US-EAST1
区域)北弗吉尼亚(
US-EAST4
区域)哥伦布(
US-EAST5
区域)达拉斯(
US-SOUTH1
区域)俄勒冈(
US-WEST1
区域)洛杉矶(
US-WEST2
区域)盐湖城(
US-WEST3
区域)拉斯维加斯(
US-WEST4
区域)
支持的操作
区域端点只能用于执行访问或更改端点所指定位置内的资源的操作。区域端点不能用于执行访问或更改端点所指定位置以外的资源的操作。
例如,当您使用区域端点 https://storage.me-central2.rep.googleapis.com
时,您可以读取位于 ME-CENTRAL2
的存储桶中的对象,并且仅在这两个存储桶都位于 ME-CENTRAL2
时将对象从源存储桶复制到目标存储桶。如果您尝试读取或复制 ME-CENTRAL2
之外的对象,则会收到错误。
区域端点可用于执行受支持的存储桶、对象和资产清单报告操作,前提是这些操作是对存储在端点指定位置的资源执行的。
如需查看 Cloud Storage 支持的操作的完整列表,请展开支持的操作部分:
支持的操作
- 对象操作
- 创建对象
- 组合对象
- 复制对象1
- 删除对象
- 获取对象元数据2
- 列出对象
- 修补对象
- 重写对象1
- 正在更新对象
- 存储桶操作
- 创建存储桶
- 删除存储桶
- 获取存储桶元数据2
- 列出存储分区
- 锁定存储桶保留政策
- 修补存储桶
- 更新存储桶
- 针对 IAM 政策的操作
- 获取存储桶 IAM 政策2
- 更新存储桶 IAM 政策2
- 测试存储桶 IAM 政策2
- 针对 ACL 的操作
- 创建对象 ACL2
- 为存储桶创建默认对象 ACL2
- 删除对象 ACL2
- 删除存储桶的默认对象 ACL2
- 获取对象 ACL2
- 获取存储桶的默认对象 ACL2
- 列出对象 ACL2
- 列出存储桶的默认对象 ACL2
- 修补对象 ACL2
- 修补存储桶的默认对象 ACL2
- 更新对象 ACL2
- 更新存储桶的默认对象 ACL2
- 存储空间分析操作
- 创建资产清单报告配置
- 删除资产清单报告配置
- 获取资产清单报告
- 获取资产清单报告配置
- 列出资产清单报告
- 列出资产清单报告配置
- 修补资产清单报告配置
1 仅当源和目标存储桶位于端点指定的位置时,此操作才会成功。
2 此操作会访问或更改元数据。无法保证此操作符合数据驻留和数据主权要求。
局限和限制
区域端点无法用于执行以下操作:
- 对象更改通知操作
- JSON 批处理操作
使用区域端点时,请注意以下限制:
区域端点不支持双向 TLS (mTLS)。
区域端点仅支持 HTTPS。不支持 HTTP。
区域端点不支持 XML API 中的存储桶子网域。
使用区域端点的工具
控制台
如需以符合数据驻留或主权要求的方式访问 Cloud Storage 资源,请使用管辖区 Google Cloud 控制台网址:
资源 | 网址 |
---|---|
项目的存储桶列表 | https://console.JURISDICTION.cloud.google.com/storage/browser?project=PROJECT_ID |
存储桶的对象列表 | https://console.JURISDICTION.cloud.google.com/storage/browser/BUCKET_NAME |
对象的详细信息 | https://console.JURISDICTION.cloud.google.com/storage/browser/_details/BUCKET_NAME/OBJECT_NAME |
将 JURISDICTION
替换为以下某个值:
eu
(如果资源位于欧盟)sa
(如果资源位于沙特阿拉伯王国)us
(如果资源位于美国)
命令行
如需配置 Google Cloud CLI 以与区域端点搭配使用,请完成以下步骤:
确保您使用的是 Google Cloud CLI 402.0.0 或更高版本。
将
api_endpoint_overrides/storage
属性设置为您要使用的区域端点:gcloud config set api_endpoint_overrides/storage https://storage.LOCATION.rep.googleapis.com/
或者,您可以将
CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE
环境变量设置为端点:CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE=https://storage.LOCATION.rep.googleapis.com/ gcloud ls gs://my-bucket
REST API
JSON API
向区域端点发出请求时,请使用以下 URI:
对于一般 JSON API 请求(不包括对象上传),请使用以下端点,注意将 LOCATION 替换为受支持的存储桶位置:
https://storage.LOCATION.rep.googleapis.com
例如,以下端点用于在
ME-CENTRAL2
区域中创建存储桶:https://storage.me-central2.rep.googleapis.com
对于 JSON API 对象上传,请使用以下端点:
https://storage.LOCATION.rep.googleapis.com/upload/storage/v1/b/BUCKET_NAME/o
您需要进行如下替换:
将 LOCATION 替换为受支持的存储桶位置。
将 BUCKET_NAME 替换为对象要上传到的存储桶的名称。
例如,以下端点用于将对象上传到
ME-CENTRAL2
区域中的存储桶:https://storage.me-central2.rep.googleapis.com/upload/storage/v1/b/my-example-bucket/o
对于 JSON API 对象下载,请使用以下端点:
https://storage.LOCATION.rep.googleapis.com/download/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media
您需要进行如下替换:
将 LOCATION 替换为受支持的存储桶位置。
将 BUCKET_NAME 替换为包含要下载的对象的存储桶名称。
将 OBJECT_NAME 替换为您要下载的对象的名称。
XML API
向区域端点发出请求时,请使用以下路径样式端点:
https://storage.LOCATION.rep.googleapis.com/BUCKET_NAME
您需要进行如下替换:
将 LOCATION 替换为受支持的存储桶位置。
将 BUCKET_NAME 替换为存储桶的名称。
例如,以下示例可用于将对象上传到 ME-CENTRAL2
区域中的存储桶:
https://storage.me-central2.rep.googleapis.com/my-example-bucket