Mengonfigurasi project Google Cloud menggunakan aplikasi penyiapan

Dokumen ini menjelaskan cara mengonfigurasi izin dan Cloud Storage menggunakan Aplikasi Penyiapan Cloud Appliance. Google Cloud

Aplikasi Penyiapan Cloud Appliance akan meminta informasi kepada Anda, seperti ID sesi transfer, bucket Cloud Storage tujuan, dan preferensi Cloud Key Management Service (Cloud KMS). Dengan menggunakan informasi yang Anda berikan, Aplikasi Penyiapan Cloud Appliance akan mengonfigurasi izin, bucket Cloud Storage pilihan, dan kunci Cloud KMS untuk transfer Anda. Google Cloud

Sebelum memulai

Pastikan Anda memiliki hal berikut:

  • Nama project dan lokasi bisnis yang digunakan untuk memesan perangkat.

  • ID Peralatan, ID sesi, nama bucket, awalan bucket, dan kunci enkripsi yang ditentukan saat memesan peralatan. Informasi ini dapat ditemukan dalam email berjudul Google Transfer Appliance Prepare Permissions and Storage.

  • Agen layanan Storage Transfer Service yang tercantum dalam email berjudul Google Transfer Appliance Prepare Permissions and Storage. Tampilannya mirip dengan contoh berikut:

    project-TENANT_IDENTIFIER@storage-transfer-service.

    Dalam contoh ini, TENANT_IDENTIFIER adalah nomor yang dibuat khusus untuk project ini.

    Kami menggunakan Storage Transfer Service untuk mentransfer data dari appliance ke bucket Cloud Storage Anda.

Menetapkan peran IAM

Anda harus memiliki peran IAM yang benar di project dan bucket Cloud Storage.

Jika Anda adalah pemilik project, roles/owner sudah cukup. Lanjutkan ke bagian berikutnya, Mendownload Aplikasi Penyiapan Cloud Appliance.

Jika Anda tidak memiliki roles/owner, Anda harus memiliki peran berikut:

  • roles/serviceusage.serviceUsageAdmin: Untuk mengaktifkan API yang diperlukan dalam project.
  • roles/iam.serviceAccountCreator: Untuk membuat akun layanan baru.
  • roles/iam.serviceAccountKeyAdmin: Untuk membuat dan mendownload kunci akun layanan. Dapat diberikan di tingkat project, atau dapat diberikan ke akun layanan Appliance setelah dibuat oleh aplikasi izin.
  • roles/storagetransfer.admin: Untuk membuat akun layanan Storage Transfer Service.
  • roles/transferappliance.viewer: Untuk mengambil detail bucket Cloud Storage dan kunci Cloud Key Management Service.
  • roles/storage.admin: Dapat diberikan di tingkat project jika Anda belum membuat bucket Cloud Storage, atau dapat diberikan di tingkat bucket jika Anda menggunakan bucket Cloud Storage yang ada.
  • roles/cloudkms.admin: Dapat diberikan di tingkat project jika Anda belum membuat kunci Cloud KMS, atau dapat diberikan di tingkat kunci jika Anda menggunakan kunci Cloud KMS yang ada.

Melihat peran

Untuk melihat peran IAM yang dimiliki pokok Anda untuk project dan resourcenya, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka halaman IAM

  2. Halaman ini menampilkan semua akun utama yang memiliki peran IAM di project Anda.

Mendownload Aplikasi Penyiapan Cloud Appliance

Untuk mendownload Aplikasi Penyiapan Cloud Appliance:

  1. Buka halaman Selamat Datang di konsol Google Cloud .

    Buka Google Cloud halaman Selamat Datang di konsol

  2. Pastikan nama project yang digunakan untuk transfer ditampilkan di pemilih project. Pemilih project memberi tahu Anda project yang sedang Anda kerjakan.

    Memilih project Google Cloud dari pemilih project

    Jika Anda tidak melihat nama project yang Anda gunakan untuk transfer, klik pemilih project, lalu pilih project yang benar.

  3. Klik Aktifkan Cloud Shell.

    Memulai devshell dari panel menu.

  4. Di Cloud Shell, gunakan perintah wget untuk mendownload Aplikasi Penyiapan Cloud Appliance:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Menjalankan Aplikasi Penyiapan Cloud Appliance

Di Cloud Shell, jalankan perintah berikut untuk memulai Aplikasi Penyiapan Cloud Appliance:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

Aplikasi akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengonfigurasi project.

Output aplikasi

Aplikasi Penyiapan Cloud Appliance menyelesaikan tindakan berikut:

  • Memberikan izin ke akun layanan Appliance yang digunakan untuk mentransfer data ke bucket Cloud Storage Anda.
  • Jika Anda memilih untuk menggunakan kunci enkripsi yang dikelola pelanggan, berikan izin kepada akun layanan Appliance untuk mengakses data kunci Cloud KMS.

  • Menampilkan informasi berikut:

    • Google Cloud Nama resource kunci kriptografi, jika Anda memilih untuk menggunakan kunci enkripsi Cloud KMS yang dikelola pelanggan.
    • Google Cloud Nama bucket tujuan Cloud Storage.
    • Google Cloud Awalan bucket tujuan Cloud Storage, jika Anda menyediakannya.
    • Jika berlaku, nama akun layanan Transfer Online, dan nama agen layanan Storage Transfer Service.

Informasi yang ditampilkan juga disimpan dalam direktori beranda di Cloud Shell, bernama SESSION_ID-output.txt, dengan SESSION_ID adalah ID sesi untuk transfer tertentu ini.

Nama akun layanan yang diberi izin untuk transfer tertentu ini disimpan dalam direktori beranda di Cloud Shell, yang diberi nama cloudsetup.log.

Mengirimkan informasi CMEK ke Google

Jika Anda menentukan kunci enkripsi yang dikelola pelanggan, kirimkan informasi kunci kepada kami dengan mengisi formulir yang ditautkan dari email berjudul Google Transfer Appliance: Menyiapkan Izin dan Penyimpanan.

Mendownload kunci akun layanan

Download dan simpan kunci akun layanan untuk Akun Layanan Transfer Online.

gcloud iam service-accounts keys create key.json \
  --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL

Nilai APPLIANCE_SERVICE_ACCOUNT_EMAIL ditampilkan dalam output aplikasi izin:

...

Appliance Service Account Name:
example-sa@example-project.

Saat Anda menerima peralatan, upload kunci ke direktori /tmp di peralatan.

Pemecahan masalah

Error 400: Akun layanan tidak ada

Masalah:

Aplikasi Penyiapan Cloud Appliance menampilkan pesan berikut:

Service account ta-SESSION_ID@transfer-appliance-zimbru.
does not exist.

Dengan SESSION_ID adalah ID sesi yang diberikan ke Aplikasi Penyiapan Cloud Appliance.

Solusi:

Verifikasi ID sesi untuk transfer Anda. ID sesi unik untuk setiap sesi transfer dan dibagikan oleh Tim Transfer Appliance. Jika Anda belum menerima ID sesi, hubungi data-support@google.com.

Error: Mencantumkan lokasi KMS

Masalah:

Aplikasi Penyiapan Cloud Appliance menampilkan pesan berikut:

Error: listing kms locations

Solusi:

Lakukan hal berikut di Cloud Shell:

  1. Lakukan autentikasi ulang dengan menjalankan gcloud auth login.

  2. Coba lagi Aplikasi Penyiapan Cloud Appliance.

Jika error tetap berlanjut, hubungi Tim Transfer Appliance di data-support@google.com.

Error: Error saat membuat batasan kunci Cloud KMS

Masalah:

Aplikasi Penyiapan Cloud Appliance menampilkan pesan yang mirip dengan berikut ini:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Solusi:

Project Google Cloud Anda mungkin memiliki kebijakan organisasi yang tidak mengizinkan pembuatan kunci Cloud Key Management Service di lokasi tertentu. Berikut adalah kemungkinan solusinya:

  • Pilih lokasi lain untuk membuat kunci Cloud Key Management Service.
  • Perbarui kebijakan organisasi untuk mengizinkan pembuatan kunci Cloud Key Management Service di lokasi yang Anda inginkan.

Untuk mengetahui informasi selengkapnya, lihat Membatasi Lokasi Resource.