Este documento descreve a configuração das Google Cloud autorizações e do Cloud Storage através da aplicação de configuração na nuvem do dispositivo.
A aplicação de configuração na nuvem do dispositivo pede-lhe informações, como o ID da sessão de transferência, o contentor de destino do Cloud Storage e as preferências do Cloud Key Management Service (Cloud KMS). Com as informações que fornece, a aplicação de configuração do Appliance Cloud configura as suas Google Cloud autorizações, o contentor do Cloud Storage preferido e a chave do Cloud KMS para a sua transferência.
Antes de começar
Certifique-se de que tem o seguinte:
O nome do projeto e a localização da empresa usados para encomendar o dispositivo.
O ID do dispositivo, o ID da sessão, o nome do contentor, o prefixo do contentor e a chave de encriptação especificados quando encomendar o dispositivo. Pode encontrá-las no email com o assunto Google Transfer Appliance: prepare as autorizações e o armazenamento.
O agente de serviço do Serviço de transferência de armazenamento indicado no email com o título Prepare as autorizações e o armazenamento do Google Transfer Appliance. É semelhante ao seguinte exemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comNeste exemplo,
TENANT_IDENTIFIERé um número gerado específico deste projeto em particular.Usamos o Serviço de transferência de armazenamento para transferir dados do dispositivo para o seu contentor do Cloud Storage.
Atribua funções de IAM
Tem de ter as funções do IAM corretas no projeto e no contentor do Cloud Storage.
Se for o proprietário do projeto, roles/owner é suficiente. Passe para a secção seguinte, Transfira a aplicação de configuração na nuvem do dispositivo.
Se não tiver roles/owner, tem de ter as seguintes funções:
roles/serviceusage.serviceUsageAdmin: para ativar as APIs necessárias no projeto.roles/iam.serviceAccountCreator: para criar novas contas de serviço.roles/iam.serviceAccountKeyAdmin: para criar e transferir chaves da conta de serviço. Pode ser concedida ao nível do projeto ou à conta de serviço do dispositivo assim que for criada pela app de autorizações.roles/storagetransfer.admin: para criar a conta de serviço do Serviço de transferência de armazenamento.roles/transferappliance.viewer: para obter detalhes do contentor do Cloud Storage e da chave do Cloud Key Management Service.roles/storage.admin: pode ser concedida ao nível do projeto se não tiver criado um contentor do Cloud Storage ou pode ser concedida ao nível do contentor se estiver a usar um contentor do Cloud Storage existente.roles/cloudkms.admin: pode ser concedido ao nível do projeto se não tiver criado uma chave do Cloud KMS ou pode ser concedido ao nível da chave se estiver a usar uma chave do Cloud KMS existente.
Ver funções
Para ver as funções do IAM que os seus diretores têm para um projeto e os respetivos recursos, faça o seguinte:
Na Google Cloud consola, aceda à página IAM.
A página apresenta todos os responsáveis que têm funções da IAM no seu projeto.
Transfira a aplicação de configuração na nuvem do dispositivo
Para transferir a aplicação de configuração da nuvem de eletrodomésticos:
Abra a Google Cloud página de boas-vindas da consola.
Verifique se o nome do projeto usado para a transferência é apresentado no seletor de projetos. O seletor de projetos indica o projeto em que está a trabalhar atualmente.
Se não vir o nome do projeto que está a usar para a transferência, clique no seletor de projetos e, de seguida, selecione o projeto correto.
Clique em Ativar Cloud Shell.
Na Cloud Shell, use o comando
wgetpara transferir a aplicação de configuração do Appliance Cloud:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Execute a aplicação de configuração na nuvem do dispositivo
No Cloud Shell, execute o seguinte comando para iniciar a aplicação de configuração na nuvem do dispositivo:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
A app apresenta-lhe os passos necessários para configurar o seu projeto.
Resultado da aplicação
A aplicação de configuração na nuvem do dispositivo realiza as seguintes ações:
- Concede autorizações às contas de serviço do dispositivo usadas para transferir dados para o seu contentor do Cloud Storage.
- Se optou por usar uma chave de encriptação gerida pelo cliente, concede autorização às contas de serviço do dispositivo para acederem aos dados das chaves do Cloud KMS.
Apresenta as seguintes informações:
- O Google Cloud nome do recurso da chave criptográfica, se optou por usar uma chave de encriptação do Cloud KMS gerida pelo cliente.
- O Google Cloud nome do contentor de destino do Cloud Storage.
- Um Google Cloud prefixo do contentor de destino do Cloud Storage, se tiver fornecido um.
- Se aplicável, o nome da conta de serviço de transferência online e o nome do agente de serviço do serviço de transferência de armazenamento.
As informações apresentadas também são armazenadas no diretório base do Cloud Shell, com o nome SESSION_ID-output.txt, onde SESSION_ID é o ID da sessão desta transferência específica.
Os nomes das contas de serviço às quais foi concedida autorização para esta transferência específica são armazenados no diretório principal no Cloud Shell, com o nome cloudsetup.log.
Envie informações de CMEK para a Google
Se especificou uma chave de encriptação gerida pelo cliente, envie-nos as informações da chave preenchendo o formulário para o qual é fornecido um link no email com o título Google Transfer Appliance Prepare Permissions and Storage (Google Transfer Appliance: prepare as autorizações e o armazenamento).
Transfira chaves de contas de serviço
Transfira e guarde uma chave de conta de serviço para a conta de serviço de transferência online.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
O valor de APPLIANCE_SERVICE_ACCOUNT_EMAIL é apresentado no resultado da app de autorizações:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Quando receber o dispositivo, carregue a chave para o diretório /tmp no dispositivo.
Resolução de problemas
Erro 400: a conta de serviço não existe
Problema:
A aplicação de configuração na nuvem do dispositivo apresenta a seguinte mensagem:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Em que SESSION_ID é o ID da sessão fornecido à
aplicação de configuração na nuvem do dispositivo.
Solução:
Valide o ID da sessão da sua transferência. O ID da sessão é exclusivo de cada sessão de transferência e é partilhado pela equipa do Transfer Appliance. Se não tiver recebido um ID da sessão, contacte data-support@google.com.
Erro: listar localizações do KMS
Problema:
A aplicação de configuração na nuvem do dispositivo apresenta a seguinte mensagem:
Error: listing kms locations
Solução:
Faça o seguinte no Cloud Shell:
Volte a autenticar executando o comando
gcloud auth login.Tente novamente a aplicação de configuração do Appliance Cloud.
Se o erro persistir, contacte a equipa do Transfer Appliance através do endereço data-support@google.com.
Erro: erro ao criar restrição de chave do Cloud KMS
Problema:
A aplicação de configuração da nuvem de eletrodomésticos apresenta uma mensagem semelhante à seguinte:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solução:
O seu Google Cloud projeto pode ter políticas organizacionais que não permitem a criação de chaves do Cloud Key Management Service em determinadas localizações. Seguem-se as soluções possíveis:
- Escolha uma localização diferente para criar a chave do Cloud Key Management Service.
- Atualize a política da organização para permitir a criação de chaves do Cloud Key Management Service na localização pretendida.
Para mais informações, consulte o artigo Restringir localizações de recursos.