Configura il tuo progetto Google Cloud per l'esportazione dei dati da Cloud Storage all'appliance utilizzando l'applicazione di configurazione

Questo documento descrive la configurazione delle autorizzazioni Google Cloud e di Cloud Storage mediante l'applicazione di configurazione Cloud dell'appliance.

L'applicazione di configurazione cloud dell'appliance richiede informazioni quali l'ID sessione di trasferimento, il bucket Cloud Storage e le preferenze di Cloud Key Management Service (Cloud KMS). Utilizzando le informazioni che fornisci, l'applicazione di configurazione cloud di Appliance configura le tue autorizzazioni Google Cloud, il bucket Cloud Storage preferito e la chiave Cloud KMS per il trasferimento.

Prima di iniziare

Assicurati di avere quanto segue:

  • Il nome del progetto e la località dell'azienda utilizzata per ordinare l'appliance.

  • ID appliance, ID sessione, nome bucket e chiave di crittografia specificati al momento dell'ordine dell'appliance. Puoi trovarli nell'email intitolata Autorizzazioni di Google Transfer Appliance.

  • L'agente di servizio Storage Transfer Service elencato nell'email intitolata Autorizzazioni di Google Transfer Appliance. Sembra simile al seguente esempio:

    project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

    In questo esempio, TENANT_IDENTIFIER è un numero generato specifico per questo particolare progetto.

    Utilizziamo Storage Transfer Service per trasferire i dati tra il bucket Cloud Storage e l'appliance.

Assegna ruoli IAM

Devi disporre dei ruoli IAM corretti nel progetto e nel bucket Cloud Storage.

Se sei il proprietario del progetto, roles/owner è sufficiente. Passa alla sezione successiva, Scarica l'applicazione di configurazione Cloud dell'appliance.

Se non hai roles/owner, devi avere i seguenti ruoli:

  • roles/storagetransfer.admin: per creare l'account di servizio Storage Transfer Service.
  • roles/transferappliance.viewer: per recuperare i dettagli della chiave del bucket Cloud Storage e di Cloud Key Management Service.
  • roles/storage.admin: può essere concesso a livello di progetto se non hai creato un bucket Cloud Storage oppure a livello di bucket se utilizzi un bucket Cloud Storage esistente.
  • roles/cloudkms.admin: può essere concesso a livello di progetto se non hai creato una chiave Cloud KMS oppure a livello di chiave se utilizzi una chiave Cloud KMS esistente.

Visualizzazione dei ruoli

Per visualizzare i ruoli IAM delle entità per un progetto e le relative risorse:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai alla pagina IAM

  2. La pagina mostra tutte le entità con ruoli IAM nel progetto.

Scarica l'applicazione di configurazione cloud dell'appliance

Per scaricare l'applicazione di configurazione cloud dell'appliance:

  1. Apri la pagina di benvenuto della console Google Cloud.

    Apri la pagina di benvenuto della console Google Cloud

  2. Verifica che il nome del progetto utilizzato per il trasferimento sia visualizzato nel selettore di progetti. Il selettore di progetti indica il progetto in cui stai lavorando al momento.

    Selezionare un progetto Google Cloud dal selettore di progetti

    Se non vedi il nome del progetto che stai utilizzando per il trasferimento, fai clic sul selettore dei progetti e seleziona quello corretto.

  3. Fai clic su Attiva Cloud Shell.

    Avvio di devshell dalla barra dei menu.

  4. In Cloud Shell, utilizza il comando wget per scaricare l'applicazione di configurazione Cloud dell'appliance:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Esegui l'applicazione di configurazione cloud dell'appliance

In Cloud Shell, esegui questo comando per avviare l'applicazione di configurazione Cloud dell'appliance:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

L'app ti guiderà attraverso i passaggi necessari per configurare il tuo progetto.

Output applicazione

L'applicazione di configurazione cloud dell'appliance completa le seguenti azioni:

  • Concede le autorizzazioni agli account di servizio dell'appliance utilizzati per esportare i dati dal bucket Cloud Storage.
  • Per esportare i dati dal bucket Cloud Storage sono supportate solo le chiavi di crittografia gestite dal cliente. Concedi agli account di servizio dell'appliance l'autorizzazione ad accedere ai dati delle chiavi Cloud KMS.

  • Mostra le seguenti informazioni:

    • Il nome della risorsa della chiave di crittografia Google Cloud
    • Il nome del bucket di destinazione Google Cloud Storage.

Le informazioni visualizzate sono archiviate anche nella home directory di Cloud Shell, denominata SESSION_ID-output.txt, dove SESSION_ID è l'ID sessione per questo particolare trasferimento.

I nomi degli account di servizio a cui è stata concessa l'autorizzazione per questo particolare trasferimento vengono archiviati nella home directory di Cloud Shell, denominata cloudsetup.log.

Invia informazioni CMEK a Google

Inviaci le informazioni principali compilando il modulo accessibile tramite il link nell'email intitolata Autorizzazioni di Google Transfer Appliance.

Risoluzione dei problemi

Errore 400: l'account di servizio non esiste

Problema:

L'applicazione di configurazione cloud dell'appliance visualizza il seguente messaggio:

Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Dove SESSION_ID è l'ID sessione fornito all'applicazione di configurazione di Cloud Appliance.

Soluzione:

Verifica l'ID sessione per il trasferimento. L'ID sessione è univoco per ogni sessione di trasferimento e condiviso dal team di Transfer Appliance. Se non hai ricevuto un ID sessione, contatta [email protected].

Errore: elenco delle località KMS

Problema:

L'applicazione di configurazione cloud dell'appliance visualizza il seguente messaggio:

Error: listing kms locations

Soluzione:

Esegui le seguenti operazioni in Cloud Shell:

  1. Esegui nuovamente l'autenticazione eseguendo gcloud auth login.

  2. Riprova applicazione configurazione cloud dell'appliance.

Se l'errore persiste, contatta il team di Transfer Appliance all'indirizzo [email protected].

Errore: errore durante la creazione del vincolo della chiave Cloud KMS

Problema:

L'applicazione di configurazione cloud dell'appliance visualizza un messaggio simile al seguente:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Soluzione:

Il tuo progetto Google Cloud potrebbe avere criteri dell'organizzazione che non consentono la creazione di chiavi Cloud Key Management Service in determinate località. Di seguito sono riportate le possibili soluzioni:

  • Scegli una località diversa per creare la chiave Cloud Key Management Service.
  • Aggiorna il criterio dell'organizzazione per consentire la creazione di chiavi di Cloud Key Management Service nella località che preferisci.

Per maggiori informazioni, consulta la pagina relativa alla restrizione delle località delle risorse.