Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Crea bucket di archiviazione per i progetti

Questa pagina mostra come creare bucket di archiviazione air-gapped di Google Distributed Cloud (GDC).

Prima di iniziare

Uno spazio dei nomi del progetto gestisce le risorse dei bucket nel server dell'API di gestione. Devi avere un progetto per lavorare con bucket e oggetti.

Devi anche disporre delle autorizzazioni del bucket appropriate per eseguire la seguente operazione. Consulta Concedere l'accesso al bucket.

Indicazioni per la denominazione dei bucket di archiviazione

I nomi dei bucket devono rispettare le seguenti convenzioni di denominazione:

Essere univoci all'interno del progetto. Il server dell'API di gestione antepone un prefisso univoco al nome completo del bucket, assicurandosi che non ci siano conflitti all'interno dell'organizzazione. Nell'improbabile caso di un conflitto tra prefisso e nome del bucket tra le organizzazioni, la creazione del bucket non riesce e viene visualizzato l'errore "bucket name in use" (nome del bucket in uso).
Non includere informazioni che consentono l'identificazione personale (PII).
Essere conformi al DNS.
Avere almeno 1 e non più di 55 caratteri.
Iniziare con una lettera e utilizzare solo lettere, numeri e trattini.

Crea un bucket

Console

Nel menu di navigazione, fai clic su Object Storage.
Nel selettore di progetti, seleziona il progetto in cui vuoi creare il bucket.
Fai clic su Crea bucket.
Nel flusso di creazione del bucket, assegna un nome univoco a tutti i bucket all'interno del progetto.
Inserisci una descrizione.
(Facoltativo) Fai clic sul pulsante di attivazione/disattivazione toggle_off per impostare una policy di conservazione e inserisci il numero di giorni che preferisci. Contatta il tuo IO se devi superare i limiti della policy di conservazione.
Fai clic su Crea. Viene visualizzato un messaggio di operazione riuscita e viene visualizzata di nuovo la pagina Bucket.

Per verificare di aver creato correttamente un nuovo bucket, aggiorna la pagina Bucket dopo qualche minuto e controlla che lo stato del bucket passi da Not ready a Ready.

CLI

Per creare un bucket, applica una specifica del bucket allo spazio dei nomi del progetto:

kubectl apply -f bucket.yaml

Di seguito è riportato un esempio di specifica del bucket:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Di seguito è riportato un esempio di specifica del bucket con la versione di crittografia v1:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
  labels:
    object.gdc.goog/encryption-version: v1
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Per ulteriori dettagli, consulta il riferimento API Bucket.

Di seguito è riportato un esempio di bucket a doppia zona nell'API globale di amministrazione dell'organizzazione:

apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: PROJECT_NAME
spec:
  location: LOCATION_NAME
  description: Sample DZ Bucket
  storageClass: Standard

Tieni presente che per i bucket a doppia zona è supportata solo la crittografia V2 e tutte le operazioni per creare, aggiornare o eliminare una risorsa bucket a doppia zona devono essere eseguite sul server dell'API globale.

gdcloud

Per creare un bucket con gdcloud, segui la procedura descritta in Creare bucket di archiviazione gdcloud.

Verifica la creazione del bucket e delle risorse correlate

Una volta creato il bucket, puoi eseguire il seguente comando per confermare e controllare i dettagli del bucket:

kubectl describe buckets BUCKET_NAME -n PROJECT_NAMESPACE

La sezione Stato contiene due campi importanti: Crittografia (per i dettagli della crittografia) e Nome completo (che contiene FULLY_QUALIFIED_BUCKET_NAME).

Crittografia v1

Le informazioni riguardano l'AEADKey denominato obj-FULLY_QUALIFIED_BUCKET_NAME, che funge da riferimento alla chiave di crittografia utilizzata per criptare gli oggetti archiviati nel bucket. Ecco un esempio:

Status:
  Encryption:
    Key Ref:
      Kind: AEADKey
      Name: obj-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: PROJECT_NAMESPACE
    Type: CMEK

Crittografia v2

Le informazioni riguardano il secret denominato kek-ref-FULLY_QUALIFIED_BUCKET_NAME, che funge da riferimento per le AEADKey predefinite attive. Le AEADKey predefinite attive vengono selezionate in modo casuale per criptare gli oggetti caricati nel bucket quando non viene specificata un'AEADKey specifica.

Ecco un esempio:

Status:
  Encryption:
    Key Ref:
      Kind: Secret
      Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: PROJECT_NAMESPACE
    Type: CMEK

Puoi anche eseguire il seguente comando per verificare che le AEADKey necessarie siano state create:

kubectl get aeadkeys -n PROJECT_NAMESPACE -l  cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME