נקודות קצה אזוריות

בדף הזה מוסבר איך להשתמש בנקודות קצה (endpoints) אזוריות כדי לגשת למשאבים ב-Cloud Storage. שימוש בנקודות קצה אזוריות מאפשר להריץ את עומסי העבודה באופן שעומד בדרישות של מיקום הנתונים וריבונות הנתונים, כאשר תנועת הבקשות מנותבת ישירות לאזור שצוין בנקודת הקצה.

סקירה כללית

נקודות קצה אזוריות הן נקודות קצה של בקשות, שמאפשרות לשלוח בקשה רק אם המשאב המושפע נמצא במיקום שצוין בנקודת הקצה. לדוגמה, בקשת מחיקה של קטגוריה בנקודת הקצה https://storage.me-central2.rep.googleapis.com תתבצע רק אם הקטגוריה ממוקמת ב-ME-CENTRAL2.

בניגוד לנקודות קצה גלובליות, שבהן עיבוד הבקשות יכול להתבצע במיקום שונה מזה שבו נמצא המשאב, נקודות קצה אזוריות מבטיחות שהעיבוד של הבקשות יתבצע רק במיקום שצוין בנקודת הקצה שבה נמצא המשאב. נקודות קצה אזוריות מסיימות סשנים של TLS במיקום שצוין על ידי נקודת הקצה לבקשות שמתקבלות מהאינטרנט, ממשאביGoogle Cloud אחרים (כמו מכונות וירטואליות של Compute Engine), משירותים מקומיים באמצעות VPN או Interconnect ומעננים וירטואליים פרטיים (VPC).

נקודות קצה אזוריות מבטיחות את מיקום הנתונים בכך שהן מוודאות שהנתונים של האובייקט באחסון ובזמן העברה לא יוצאים מהמיקום שצוין על ידי נקודת הקצה. ההבטחה הזו לא כוללת מטא-נתונים של משאבים, כמו שמות אובייקטים ומדיניות IAM של קטגוריות. מידע נוסף זמין במאמר הערה לגבי נתוני שירות.

מיקומים נתמכים

אתם יכולים להשתמש בנקודות קצה אזוריות כדי לשמור את הנתונים שלכם במיקומים הבאים:

  • כל האזורים

  • US מספר אזורים

  • EU מספר אזורים

פעולות נתמכות

אפשר להשתמש בנקודות קצה אזוריות רק כדי לבצע פעולות שנותנות גישה למשאבים במיקום שצוין בנקודת הקצה או משנות אותם. אי אפשר להשתמש בנקודות קצה אזוריות כדי לבצע פעולות שנותנות גישה למשאבים מחוץ למיקום שצוין בנקודת הקצה או משנות אותם.

לדוגמה, כשמשתמשים בנקודת הקצה האזורית https://storage.me-central2.rep.googleapis.com, אפשר לקרוא אובייקטים בקטגוריות שנמצאות ב-ME-CENTRAL2, ולהעתיק אובייקט מקטגוריית מקור לקטגוריית יעד רק אם שתי הקטגוריות נמצאות ב-ME-CENTRAL2. אם תנסו לקרוא או להעתיק אובייקט מחוץ ל-ME-CENTRAL2, תקבלו שגיאה.

אפשר להשתמש בנקודות קצה אזוריות כדי לבצע פעולות נתמכות על קטגוריות, אובייקטים ודוחות מלאי, כל עוד הפעולות מתבצעות על משאבים שמאוחסנים במיקום שצוין בנקודת הקצה.

כדי לראות את הרשימה המלאה של הפעולות שנתמכות ב-Cloud Storage, מרחיבים את הקטע Supported operations:

פעולות נתמכות

  • פעולות על אובייקטים
    • יצירת אובייקטים
    • הרכבת אובייקטים
    • העתקת אובייקטים1
    • מחיקת אובייקטים
    • אחזור מטא-נתונים של אובייקטים2
    • הצגת רשימה של אובייקטים
    • תיקון אובייקטים
    • כתיבה מחדש של אובייקטים1
    • עדכון אובייקטים
  • פעולות בקטגוריות
    • יצירת קטגוריות
    • מחיקת קטגוריות
    • אחזור מטא-נתונים של קטגוריות2
    • הצגת רשימה של קטגוריות
    • נעילה של מדיניות שמירת נתונים בקטגוריות
    • תיקון קטגוריות
    • עדכון קטגוריות
  • פעולות במדיניות IAM
    • אחזור כללי מדיניות IAM של קטגוריה2
    • עדכון כללי מדיניות ה-IAM של קטגוריה2
    • בדיקת מדיניות IAM של קטגוריות2
  • פעולות ברשימות ACL
    • יצירת רשימות ACL של אובייקטים2
    • יצירת רשימות ACL שמשמשות כברירת מחדל של אובייקטים בקטגוריה2
    • מחיקת רשימות ACL של אובייקטים2
    • מחיקת רשימות ACL שמשמשות כברירת מחדל של אובייקטים בקטגוריה2
    • אחזור רשימות ACL של אובייקטים2
    • אחזור רשימות ACL שמשמשות כברירת מחדל של אובייקטים בקטגוריה2
    • הצגת רשימות ACL של אובייקטים2
    • הצגת רשימות ACL שמשמשות כברירת מחדל של אובייקטים בקטגוריה2
    • תיקון רשימות ACL של אובייקטים2
    • תיקון רשימות ACL שמשמשות כברירת מחדל של אובייקטים בקטגוריה2
    • עדכון רשימות ACL של אובייקטים2
    • עדכון רשימות ACL שמשמשות כברירת מחדל של אובייקטים בקטגוריה2
  • פעולות ב-Storage Insights
    • קביעת הגדרות של דוחות מלאי
    • מחיקת הגדרות של דוחות מלאי
    • אחזור דוחות מלאי
    • אחזור הגדרות של דוחות מלאי
    • הצגת רשימה של דוחות מלאי
    • הצגת רשימת הגדרות של דוחות מלאי
    • שינוי חלקי של הגדרות של דוחות מלאי

1הפעולה הזו מצליחה רק אם קטגוריית המקור וקטגוריית היעד נמצאות במיקום שצוין בנקודת הקצה.

2 הפעולה הזו ניגשת למטא-נתונים או משנה אותם. אין ערובה לתאימות לדרישות של מיקום הנתונים וריבונות הנתונים עבור הפעולה הזו.

מגבלות

אי אפשר להשתמש בנקודות קצה אזוריות כדי לבצע את הפעולות הבאות:

כשמשתמשים בנקודות קצה אזוריות, חשוב לזכור את ההגבלות הבאות:

  • נקודות קצה אזוריות לא תומכות בפרוטוקול TLS הדדי (mTLS).

  • נקודות קצה אזוריות תומכות רק ב-HTTPS. אין תמיכה ב-HTTP.

  • אפשר לבצע פעולות באמצעות נקודות קצה אזוריות רק באמצעות API בפורמט JSON ו-API בפורמט XML ב-Cloud Storage. אין תמיכה ב-gRPC.

כלים לשימוש בנקודות קצה אזוריות

המסוף

כדי לגשת למשאבי Cloud Storage באופן שעומד בדרישות של מיקום נתונים או ריבונות נתונים, צריך להשתמש בכתובות ה-URL של המסוף לפי תחום שיפוט:Google Cloud

משאב כתובת URL
רשימת קטגוריות לפרויקט https://console.JURISDICTION.cloud.google.com/storage/browser?project=PROJECT_ID
רשימת אובייקטים לקטגוריה https://console.JURISDICTION.cloud.google.com/storage/browser/BUCKET_NAME
פרטי האובייקט https://console.JURISDICTION.cloud.google.com/storage/browser/_details/BUCKET_NAME/OBJECT_NAME

מחליפים את JURISDICTION באחד מהערכים הבאים:

  • eu אם המשאב נמצא באיחוד האירופי

  • sa אם המשאב נמצא בערב הסעודית

  • us אם המשאב נמצא בארצות הברית

שורת הפקודה

כדי להגדיר את Google Cloud CLI לשימוש בנקודות קצה אזוריות, מבצעים את השלבים הבאים:

  1. מוודאים שמשתמשים בגרסה 402.0.0 ואילך של Google Cloud CLI.

  2. מגדירים את המאפיין api_endpoint_overrides/storage לנקודת הקצה האזורית שבה רוצים להשתמש:

    gcloud config set api_endpoint_overrides/storage https://storage.LOCATION.rep.googleapis.com/

    לחלופין, אפשר להגדיר את משתנה הסביבה CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE לנקודת הקצה:

    CLOUDSDK_API_ENDPOINT_OVERRIDES_STORAGE=https://storage.LOCATION.rep.googleapis.com/ gcloud ls gs://my-bucket

ממשקי API ל-REST

API ל-JSON

ביצירת בקשות לנקודות קצה אזוריות, משתמשים במזהי ה-URI הבאים:

  • בבקשות כלליות של API בפורמט JSON, פרט להעלאות של אובייקטים, משתמשים בנקודת הקצה הבאה, ומחליפים את LOCATION במיקום קטגוריה נתמך:

    https://storage.LOCATION.rep.googleapis.com

    לדוגמה, נקודת הקצה הבאה משמשת ליצירת קטגוריה באזור ME-CENTRAL2:

    https://storage.me-central2.rep.googleapis.com

  • כדי להעלות אובייקטים ב-API בפורמט JSON, משתמשים בנקודת הקצה הבאה:

    https://storage.LOCATION.rep.googleapis.com/upload/storage/v1/b/BUCKET_NAME/o

    מחליפים את:

    • LOCATION במיקום קטגוריה נתמך.

    • BUCKET_NAME בשם הקטגוריה שאליה רוצים להעלות אובייקט.

    לדוגמה, כדי להעלות אובייקט לקטגוריה באזור ME-CENTRAL2, משתמשים בנקודת הקצה הבאה:

    https://storage.me-central2.rep.googleapis.com/upload/storage/v1/b/my-example-bucket/o

  • להורדת אובייקטים ב-API בפורמט JSON משתמשים בנקודת הקצה הבאה:

    https://storage.LOCATION.rep.googleapis.com/download/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media

    מחליפים את:

    • LOCATION במיקום קטגוריה נתמך.

    • BUCKET_NAME בשם הקטגוריה שמכילה את האובייקט שרוצים להוריד.

    • OBJECT_NAME בשם האובייקט שרוצים להוריד.

‫API בפורמט XML

כששולחים בקשות לנקודות קצה אזוריות, משתמשים בנקודת קצה בפורמט של נתיב או בפורמט של מארח וירטואלי:

  • נקודת קצה בפורמט של נתיב: 

    https://storage.LOCATION.rep.googleapis.com/BUCKET_NAME/OBJECT_NAME

  • נקודת קצה בפורמט של מארח וירטואלי: 

    https://BUCKET_NAME.storage.LOCATION.rep.googleapis.com/OBJECT_NAME

    מחליפים את:

    • LOCATION במיקום קטגוריה נתמך.

    • BUCKET_NAME בשם של קטגוריה.

    • OBJECT_NAME בשם של אובייקט.

אפשר למשל להשתמש בדוגמה הבאה כדי להעלות אובייקט לקטגוריה באזור ME-CENTRAL2:

https://storage.me-central2.rep.googleapis.com/my-example-bucket/my-example-object

הגבלת השימוש בנקודת קצה גלובלית של API

כדי לאכוף את השימוש בנקודות קצה אזוריות, אפשר להשתמש באילוץ constraints/gcp.restrictEndpointUsage של מדיניות הארגון כדי לחסום בקשות לנקודת קצה ל-API גלובלית. מידע נוסף זמין במאמר הגבלת השימוש בנקודות קצה.