本页面将引导您了解如何在 Google Distributed Cloud (GDC) 气隙式设备环境中创建一次写入多次读取 (WORM) 存储分区。本文介绍了创建具有明确保留期限的 WORM 存储桶的前提条件和步骤,以及如何使用角色绑定授予访问权限。借助这些信息,您可以严格执行数据保留实践和不可变性,为记录和审核日志记录等使用情形提供强大且合规的数据存储。
本页面面向的受众群体包括基础设施运维人员组中的 IT 管理员或应用运维人员组中的开发者,他们负责管理 GDC 隔网环境中存储分区的数据保留和合规性设置。
准备工作
项目命名空间用于管理 Management API 服务器中的存储桶资源。您必须拥有一个项目才能使用存储分区和对象。
您还必须拥有相应的存储桶权限才能执行以下操作。请参阅授予存储桶访问权限。
创建 WORM 存储桶
WORM 存储桶可确保没有其他内容会覆盖对象,并确保对象至少保留一段时间。审核日志记录是 WORM 存储桶的一个用例。
请按以下步骤创建 WORM 存储桶:
在创建存储桶时设置保留期限。例如,以下示例存储桶的保留期限为 365 天。
apiVersion: object.gdc.goog/v1 kind: Bucket metadata: name: foo logging-bucket namespace: foo-service spec: description: "Audit logs for foo" storageClass: Standard bucketPolicy : lockingPolicy : defaultObjectRetentionDays: 365向需要只读访问权限的所有用户授予
project-bucket-object-viewer角色:apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-readonly-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-log-processor - kind: User name: bob@example.com apiGroup: rbac.authorization.k8s.io向需要向存储桶写入内容的用户授予
project-bucket-object-admin角色:apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-write-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-service-account