Crea buckets de almacenamiento para proyectos

En esta página, se muestra cómo crear buckets de almacenamiento aislados de Google Distributed Cloud (GDC).

Antes de comenzar

Un espacio de nombres del proyecto administra los recursos del bucket en el servidor de la API de Management. Debes tener un proyecto para trabajar con buckets y objetos.

También debes tener los permisos de bucket adecuados para realizar la siguiente operación. Consulta Cómo otorgar acceso al bucket.

Lineamientos para asignar nombres a bucket de almacenamiento

Los nombres de los buckets deben cumplir con las siguientes convenciones de nomenclatura:

  • Ser único en el proyecto Un proyecto agrega un prefijo único al nombre del bucket, lo que garantiza que no haya conflictos dentro de la organización. En el improbable caso de que haya un conflicto entre el prefijo y el nombre del bucket en diferentes organizaciones, se producirá un error de "nombre de bucket en uso" y no se podrá crear el bucket.
  • Evita incluir información de identificación personal (PII).
  • Ser compatible con DNS
  • Debe tener al menos 1 y no más de 55 caracteres.
  • Comienza con una letra y usa solo letras, números y guiones.

Crea un bucket

Console

  1. En el menú de navegación, haz clic en Object Storage.
  2. Haga clic en Crear bucket.
  3. En el flujo de creación del bucket, asigna un nombre único para todos los buckets del proyecto.
  4. Ingresa una descripción.
  5. Opcional: Haz clic en el botón de activación toggle_off para establecer una política de retención y, luego, ingresa la cantidad de días que prefieras. Comunícate con tu IO si necesitas superar los límites de la política de retención.
  6. Haz clic en Crear. Aparecerá un mensaje de confirmación y se te redireccionará a la página Buckets.

Para verificar que creaste un bucket nuevo correctamente, actualiza la página Buckets después de unos minutos y comprueba que el estado del bucket se actualice de Not ready a Ready.

CLI

Para crear un bucket, aplica una especificación de bucket al espacio de nombres de tu proyecto:

kubectl apply -f bucket.yaml

A continuación, se muestra un ejemplo de una especificación de bucket:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

A continuación, se muestra un ejemplo de una especificación de bucket con la versión de encriptación como v1:

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
  labels:
    object.gdc.goog/encryption-version: v1
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

Para obtener más detalles, consulta la referencia de la API de Bucket.

A continuación, se muestra un ejemplo de un bucket de doble zona en la API global de org-admin:

apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: PROJECT_NAME
spec:
  location: LOCATION_NAME
  description: Sample DZ Bucket
  storageClass: Standard

Ten en cuenta que solo se admite el cifrado de la versión 2 para los buckets de doble zona, y todas las operaciones para crear, actualizar o borrar un recurso de bucket de doble zona deben realizarse en el servidor de la API global.

gdcloud

Para crear un bucket con gdcloud, sigue las instrucciones de gdcloud storage buckets create.

Una vez que se cree el bucket, puedes ejecutar el siguiente comando para confirmar y verificar los detalles del bucket:

kubectl describe buckets BUCKET_NAME -n NAMESPACE_NAME

La sección Estado tiene dos campos importantes: Encriptación (para los detalles de encriptación) y Nombre completo (que contiene el FULLY_QUALIFIED_BUCKET_NAME).

Encriptación v1

La información se refiere a la AEADKey denominada obj-FULLY_QUALIFIED_BUCKET_NAME, que sirve como referencia a la clave de encriptación empleada para encriptar los objetos almacenados en el bucket. A continuación, se muestra un ejemplo:

Status:
  Encryption:
    Key Ref:
      Kind: AEADKey
      Name: obj-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

Encriptación v2

La información pertenece al secreto llamado kek-ref-FULLY_QUALIFIED_BUCKET_NAME, que actúa como referencia para las claves AEAD predeterminadas activas. Las claves AEAD predeterminadas activas se seleccionan de forma aleatoria para encriptar los objetos subidos al bucket cuando no se especifica una clave AEAD en particular.

A continuación, se muestra un ejemplo:

Status:
  Encryption:
    Key Ref:
      Kind: Secret
      Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: NAMESPACE_NAME
    Type: CMEK

También puedes ejecutar el siguiente comando para verificar que se hayan creado las AEADKeys necesarias:

kubectl get aeadkeys -n NAMESPACE_NAME -l  cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME