Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire gli agenti di trasferimento

Gli agenti di Storage Transfer Service sono applicazioni in esecuzione all'interno di un contenitore Open Container Initiative (OCI) che si coordinano con Storage Transfer Service per i trasferimenti che coinvolgono file system o spazio di archiviazione compatibile con S3.

Per impostazione predefinita, Storage Transfer Service utilizza Docker per creare ed eseguire container OCI. Storage Transfer Service supporta anche Podman per la gestione dei container. Per utilizzare Podman, devi installare gli agenti utilizzando il comando podman run.

Se il trasferimento non prevede un file system o uno spazio di archiviazione compatibile con S3, non è necessario configurare gli agenti.

Questo documento descrive come amministrare gli agenti di trasferimento sui tuoi server.

Panoramica

I processi degli agenti sono dinamici. Durante l'esecuzione di un trasferimento, puoi aggiungere agenti per migliorare il rendimento. Gli agenti appena avviati si uniscono al pool di agenti assegnato ed eseguono il lavoro dei trasferimenti esistenti. Puoi utilizzarlo per modificare il numero di agenti in esecuzione o per adattare il rendimento del trasferimento alla domanda in evoluzione.
I processi dell'agente sono un collettivo tollerante agli errori. Se un agente smette di funzionare, gli agenti rimanenti continuano a lavorare. Se tutti gli agenti si arrestano, quando li riavvii il trasferimento riprende da dove si erano interrotti. In questo modo, puoi evitare di monitorare gli agenti, di riprovare i trasferimenti o di implementare la logica di recupero. Puoi applicare patch, spostare e scalare dinamicamente i pool di agenti senza tempi di riposo durante il trasferimento tramite coordinamento degli agenti con Google Kubernetes Engine.

Ad esempio, invii due trasferimenti mentre sono in esecuzione due agenti. Se uno degli agenti si arresta a causa di un riavvio della macchina o di una patch del sistema operativo, l'agente rimanente continua a funzionare. I due trasferimenti sono ancora in esecuzione, ma sono più lenti perché un singolo agente sposta i dati. Se si arresta anche l'agente rimanente, tutti i trasferimenti non fanno più progressi, poiché non sono in esecuzione agenti. Quando riavvii i processi dell'agente, i trasferimenti riprendono da dove si erano interrotti.
I processi dell'agente appartengono a un pool. Spostano collettivamente i tuoi dati in parallelo. Per questo motivo, tutti gli agenti di un pool devono avere lo stesso accesso a tutte le origini dati che vuoi trasferire.

Ad esempio, se stai trasferendo dati da un determinato file system, devi montare il file system su ogni macchina che ospita gli agenti nel tuo pool di agenti. Se alcuni agenti del pool possono raggiungere un'origine dati e altri no, i trasferimenti da quell'origine dati non andranno a buon fine.

Prima di iniziare

Prima di configurare i trasferimenti, assicurati di aver configurato l'accesso: per gli utenti e gli account di servizio.

Se utilizzerai i comandi gcloud, installa gcloud CLI.

Installa ed esegui gli agenti di trasferimento

Ti consigliamo di installare almeno tre agenti per pool di agenti, idealmente su macchine separate. Per ulteriori informazioni su come determinare il numero di agenti da eseguire, consulta Ottimizzare il rendimento dell'agente di trasferimento.

Non includere nel prefisso dell'ID agente informazioni sensibili come quelle che consentono l'identificazione personale (PII) o dati di sicurezza. I nomi delle risorse possono essere propagati ai nomi di altre risorse Google Cloud e possono essere esposti ai sistemi interni di Google al di fuori del progetto.

Per installare ed eseguire gli agenti di trasferimento:

Console Google Cloud

Nella console Google Cloud, vai alla pagina Pool di agenti.

Vai a Pool di agenti
Seleziona il pool di agenti a cui aggiungere il nuovo agente.
Fai clic su Installa agente.
Segui le istruzioni per installare ed eseguire l'agente.

Per ulteriori informazioni sulle opzioni a riga di comando dell'agente, consulta Opzioni a riga di comando dell'agente.

Interfaccia a riga di comando gcloud

Per installare uno o più agenti utilizzando l'interfaccia a riga di comando gcloud, eseguigcloud transfer agents install:

gcloud transfer agents install --pool=POOL_NAME --count=NUM_AGENTS \
  --mount-directories=MOUNT_DIRECTORIES

Lo strumento ti guida attraverso i passaggi necessari per installare gli agenti. Questo comando installa gli agenti NUM_AGENTS sulla tua macchina, mappati al nome del pool specificato come POOL_NAME, e autentica l'agente utilizzando le tue credenziali gcloud. Il nome del pool deve esistere, altrimenti viene restituito un errore.

Il flag --mount-directories è facoltativo, ma vivamente consigliato. Il suo valore è un elenco separato da virgole di directory sul file system a cui concedere l'accesso all'agente. Se questo flag non viene specificato, l'intero file system viene montato nel contenitore dell'agente. Per ulteriori dettagli, consulta la documentazione di riferimento gcloud.

Origini compatibili con S3

Quando installi gli agenti da utilizzare con un'origine compatibile con S3, devi fornire le credenziali AWS come variabili di ambiente come valori di AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY oppure memorizzate come credenziali predefinite nei file di configurazione del sistema.

export AWS_ACCESS_KEY_ID=ID
export AWS_SECRET_ACCESS_KEY=SECRET
gcloud transfer agents install --pool=POOL_NAME \
  --creds-file=/relative/path/to/service-account-key.json

Utilizzare una chiave dell'account di servizio

Per eseguire gli agenti utilizzando una chiave dell'account di servizio, utilizza l'opzione --creds-file:

gcloud transfer agents install --pool=POOL_NAME --count=NUM_AGENTS \
   --creds-file=/relative/path/to/service-account-key.json

Scopri di più

Per un elenco completo dei flag facoltativi, esegui gcloud transfer agents install --help o consulta la documentazione di riferimento di gcloud transfer.

Docker

Prima di utilizzare Docker per installare gli agenti, segui le istruzioni per installare Docker.

Il comando docker run installa un agente. Per aumentare il numero di agenti nel pool, esegui di nuovo questo comando tutte le volte necessarie.

Quando installi gli agenti, puoi scegliere di eseguire l'autenticazione utilizzando le tue gcloud credenziali predefinite o con un account di servizio.

Credenziali predefinite

Per consentire l'autenticazione di un container Docker mediante le credenziali predefinite di gcloud, crea un volume Docker contenente un file con le credenziali predefinite dell'applicazione eseguendo il seguente comando:

sudo docker run -ti --name gcloud-config google/cloud-sdk gcloud auth application-default login

Quindi, utilizza il seguente comando per installare un agente, utilizzando il flag --volumes-from per montare il volume delle credenziali gcloud-config:

sudo docker run --ulimit memlock=64000000 -d --rm \
--volumes-from gcloud-config \
-v HOST_DIRECTORY:CONTAINER_DIRECTORY \
gcr.io/cloud-ingest/tsop-agent:latest \
--project-id=PROJECT_ID \
--hostname=$(hostname) \
--agent-pool=POOL_NAME

Autenticazione dell'account di servizio

Per installare ed eseguire gli agenti di trasferimento docker run utilizzando le credenziali dell'account di servizio, specifica il percorso della chiave dell'account di servizio in formato JSON utilizzando il flag --creds-file.

Il percorso deve essere preceduto dalla stringa /transfer_root.

Per ulteriori informazioni sulle chiavi degli account di servizio, consulta Creare e gestire le chiavi degli account di servizio.

sudo docker run --ulimit memlock=64000000 -d --rm \
-v HOST_DIRECTORY:CONTAINER_DIRECTORY \
-v PATH/TO/KEY.JSON:PATH/TO/KEY.JSON \
gcr.io/cloud-ingest/tsop-agent:latest \
--project-id=PROJECT_ID \
--creds-file=/transfer_root/PATH/TO/KEY.JSON \
--hostname=$(hostname) \
--agent-pool=POOL_NAME

Opzioni e flag

Sostituisci le variabili negli esempi precedenti con le seguenti informazioni:

HOST_DIRECTORY è la directory sulla macchina host da cui vuoi eseguire la copia. Puoi utilizzare più di un flag -v per specificare altre directory da cui copiare.
CONTAINER_DIRECTORY è la directory mappata all'interno del contenitore dell'agente. Deve essere uguale a HOST_DIRECTORY.
PROJECT_ID è l'ID progetto che ospita il trasferimento.
POOL_NAME è il nome del pool di agenti in cui installare questo agente. Se ometti questo flag, l'agente viene installato nel pool transfer_service_default del progetto.

Il comando docker run supporta flag aggiuntivi.

--enable-mount-directory monta l'intero file system nella directory /transfer_root del contenitore. Se viene specificato --enable-mount-directory, le limitazioni delle directory che utilizzano il flag -v non vengono applicate.

Attenzione: se gli agenti vengono eseguiti come root e viene concesso loro l'accesso all'intero file system, un attore malintenzionato potrebbe essere in grado di assumere il controllo dell'host. È vivamente consigliato limitare l'accesso degli agenti solo alle directory necessarie.
--creds-file=CREDENTIAL_FILE specifica il percorso di un file delle credenziali dell'account di servizio in formato JSON. A meno che non utilizzi --enable_mount_directory, devi:
1. Monta il file delle credenziali utilizzando il flag -v.
2. Anteponi il prefisso /transfer_root al percorso a --creds-file.
Ad esempio:
```
-v /tmp/key.json:/tmp/key.json \
--creds-file=/transfer_root/tmp/key.json
```
--enable-s3 specifica che questo agente è destinato ai trasferimenti da spazi di archiviazione compatibili con S3. Gli agenti installati con questa opzione non possono essere utilizzati per i trasferimenti da file system POSIX.
Se il trasferimento avviene da AWS S3 o da uno spazio di archiviazione compatibile con S3, passa l'ID chiave di accesso e la chiave segreta utilizzando le variabili di ambiente:
```
-e AWS_ACCESS_KEY_ID=AWS_ACCESS_KEY_ID \
-e AWS_SECRET_ACCESS_KEY=AWS_SECRET_ACCESS_KEY
```
--env HTTPS_PROXY=PROXY specifica un proxy in avanti sulla tua rete. Il valore di PROXY è l'URL HTTP e la porta del server proxy. Assicurati di specificare l'URL HTTP e non un URL HTTPS per evitare il doppio wrapping delle richieste nella crittografia TLS. Le richieste con doppio wrapping impediscono al server proxy di inviare richieste in uscita valide.
--agent-id-prefix=ID_PREFIX specifica un prefisso facoltativo che viene anteposto all'ID agente per aiutare a identificare l'agente o la relativa macchina nella console Google Cloud. Quando viene utilizzato un prefisso, l'ID agente viene formattato come prefix + hostname + Docker container ID.
--log-dir=LOGS_DIRECTORY modifica la directory in cui l'agente scrive i log. La directory predefinita è /tmp/.

Se non hai specificato --enable_mount_directory, devi premettere questo percorso con /transfer_root. Ad esempio, /transfer_root/logs.
--max-physical-mem=MAX_MEMORY: per impostazione predefinita gli agenti utilizzano un massimo di 8 GB di memoria di sistema. Se il valore predefinito non è adatto al tuo ambiente, puoi specificare un utilizzo massimo della memoria pertinente nei seguenti formati:

Valore max-physical-mem Impostazione della memoria massima

6g 6 gigabyte

6gb 6 gigabyte

6GiB 6 gibibyte

Valore `max-physical-mem`	Impostazione della memoria massima
`6g`	6 gigabyte
`6gb`	6 gigabyte
`6GiB`	6 gibibyte

Podman

Prima di utilizzare Podman per installare gli agenti, installa Podman:

sudo apt-get update
sudo apt-get -y install podman

Quando installi gli agenti, puoi scegliere di eseguire l'autenticazione utilizzando le tue gcloud credenziali predefinite o con un account di servizio.

Credenziali predefinite

Per consentire al contenitore dell'agente di autenticarsi con le credenziali predefinite di Google Cloud CLI, crea un volume contenente un file con le credenziali predefinite dell'applicazione eseguendo il seguente comando:

  gcloud auth print-access-token | podman login -u oauth2accesstoken --password-stdin gcr.io
  sudo podman pull gcr.io/google.com/cloudsdktool/google-cloud-cli:stable
  sudo podman run -ti --replace --name gcloud-config gcr.io/google.com/cloudsdktool/google-cloud-cli:stable gcloud auth application-default login
  ```

Then use the following command to install an agent, using the
`--volumes-from` flag to mount the `gcloud-config` credentials volume.
The command installs one agent. To increase the number of agents in your
pool, re-run this command as many times as required.

```sh
  sudo podman run \
    --ulimit memlock=64000000 \
    -d \
    --rm \
    --volumes-from gcloud-config \
    -v HOST_DIRECTORY:CONTAINER_DIRECTORY \
    gcr.io/cloud-ingest/tsop-agent:latest \
    --project-id=PROJECT_ID \
    --hostname=$(hostname) \
    --agent-pool=POOL_NAME
  ```

Autenticazione dell'account di servizio

Per installare ed eseguire gli agenti di trasferimento utilizzando le credenziali dell'account di servizio, specifica il percorso della chiave dell'account di servizio in formato JSON utilizzando il flag --creds-file.

Il percorso deve essere preceduto dalla stringa /transfer_root.

Per ulteriori informazioni sulle chiavi degli account di servizio, consulta Creare e gestire le chiavi degli account di servizio.

sudo podman run --ulimit memlock=64000000 -d --rm \
-v HOST_DIRECTORY:CONTAINER_DIRECTORY \
-v PATH/TO/KEY.JSON:PATH/TO/KEY.JSON \
gcr.io/cloud-ingest/tsop-agent:latest \
--project-id=PROJECT_ID \
--creds-file=/transfer_root/PATH/TO/KEY.JSON
--hostname=$(hostname) \
--agent-pool=POOL_NAME

Opzioni e flag

Sostituisci le variabili negli esempi precedenti con le seguenti informazioni:

HOST_DIRECTORY è la directory sulla macchina host da cui vuoi eseguire la copia. Puoi utilizzare più di un flag -v per specificare altre directory da cui copiare.
CONTAINER_DIRECTORY è la directory mappata all'interno del contenitore dell'agente. Deve essere uguale a HOST_DIRECTORY.
PROJECT_ID è l'ID progetto che ospita il trasferimento.
POOL_NAME è il nome del pool di agenti in cui installare questo agente. Se ometti questo flag, l'agente viene installato nel pool transfer_service_default del progetto.

Il comando podman run supporta flag aggiuntivi.

--enable-mount-directory monta l'intero file system nella directory /transfer_root del contenitore. Se viene specificato --enable-mount-directory, le limitazioni delle directory che utilizzano il flag -v non vengono applicate.

Attenzione: se gli agenti vengono eseguiti come root e viene concesso loro l'accesso all'intero file system, un attore malintenzionato potrebbe essere in grado di assumere il controllo dell'host. È vivamente consigliato limitare l'accesso degli agenti solo alle directory necessarie.
--creds-file=CREDENTIAL_FILE specifica il percorso di un file delle credenziali dell'account di servizio in formato JSON. A meno che non utilizzi --enable_mount_directory, devi:
1. Monta il file delle credenziali utilizzando il flag -v.
2. Anteponi il prefisso /transfer_root al percorso a --creds-file.
Ad esempio:
```
-v /tmp/key.json:/tmp/key.json \
--creds-file=/transfer_root/tmp/key.json
```
--enable-s3 specifica che questo agente è destinato ai trasferimenti da spazi di archiviazione compatibili con S3. Gli agenti installati con questa opzione non possono essere utilizzati per i trasferimenti da file system POSIX.
Se il trasferimento avviene da AWS S3 o da uno spazio di archiviazione compatibile con S3, passa l'ID chiave di accesso e la chiave segreta utilizzando le variabili di ambiente:
```
-e AWS_ACCESS_KEY_ID=AWS_ACCESS_KEY_ID \
-e AWS_SECRET_ACCESS_KEY=AWS_SECRET_ACCESS_KEY
```
--env HTTPS_PROXY=PROXY specifica un proxy in avanti sulla tua rete. Il valore di PROXY è l'URL HTTP e la porta del server proxy. Assicurati di specificare l'URL HTTP e non un URL HTTPS per evitare il doppio wrapping delle richieste nella crittografia TLS. Le richieste con doppio wrapping impediscono al server proxy di inviare richieste in uscita valide.
--agent-id-prefix=ID_PREFIX specifica un prefisso facoltativo che viene anteposto all'ID agente per aiutare a identificare l'agente o la relativa macchina nella console Google Cloud. Quando viene utilizzato un prefisso, l'ID agente viene formattato come prefix + hostname + OCI container ID.
--log-dir=LOGS_DIRECTORY modifica la directory in cui l'agente scrive i log. La directory predefinita è /tmp/.

Se non hai specificato --enable_mount_directory, devi premettere questo percorso con /transfer_root. Ad esempio, /transfer_root/logs.
--max-physical-mem=MAX_MEMORY: per impostazione predefinita gli agenti utilizzano un massimo di 8 GB di memoria di sistema. Se il valore predefinito non è adatto al tuo ambiente, puoi specificare un utilizzo massimo della memoria pertinente nei seguenti formati:

Valore max-physical-mem Impostazione della memoria massima

6g 6 gigabyte

6gb 6 gigabyte

6GiB 6 gibibyte

Valore `max-physical-mem`	Impostazione della memoria massima
`6g`	6 gigabyte
`6gb`	6 gigabyte
`6GiB`	6 gibibyte

Risoluzione dei problemi

Se la configurazione di SELinux richiede l'applicazione di etichette ai contenuti del volume montati in un contenitore, aggiungi il flag :Z al volume:

sudo podman run --ulimit memlock=64000000 -d --rm \
-v HOST_DIRECTORY:CONTAINER_DIRECTORY:Z \
-v PATH/TO/KEY.JSON:PATH/TO/KEY.JSON \
gcr.io/cloud-ingest/tsop-agent:latest \
--project-id=PROJECT_ID \
--creds-file=/transfer_root/PATH/TO/KEY.JSON
--hostname=$(hostname) \
--agent-pool=POOL_NAME

Senza un'etichetta, il sistema di sicurezza potrebbe impedire ai processi in esecuzione all'interno del contenitore di utilizzare i contenuti. Per impostazione predefinita, Podman non modifica le etichette impostate dal sistema operativo.

Conferma le connessioni degli agenti

Per verificare che gli agenti siano connessi:

Nella console Google Cloud, vai alla pagina Pool di agenti.

Vai a Pool di agenti

Vengono visualizzati i pool di agenti, con il numero di agenti connessi.
Seleziona un pool di agenti per visualizzare i dettagli degli agenti connessi.

Se un nuovo agente non viene visualizzato nella pagina del pool di agenti entro 10 minuti dalla sua creazione, consulta Agenti non connessi.

Monitorare l'attività dell'agente

Puoi utilizzare Cloud Monitoring per monitorare l'attività degli agenti.

Il monitoraggio è disponibile per le dimensioni project, agent_pool e agent_id.

Utilizzando questi dati di monitoraggio, puoi configurare avvisi per ricevere notifiche di potenziali problemi con il trasferimento. A tale scopo, crea un avviso su una delle seguenti metriche di Google Cloud:

Nome metrica	Che cosa descrive	Utilizzi suggeriti
storagetransfer.googleapis.com/agent/transferred_bytes_count	Misura la velocità con cui un agente specifico sposta i dati tra tutti i job che gestisce in un determinato momento.	Avviso per cali del rendimento.
storagetransfer.googleapis.com/agent/connected	Un valore booleano pari a True per ogni agente da cui Google Cloud ha ricevuto un messaggio di heartbeat recente.	Avviso per gli agenti in stato di errore Numero di agenti inferiore a quello che consideri necessario per un rendimento ragionevole Segnalazione di un problema con le macchine degli agenti

Interrompere un agente

Per interrompere un agente, esegui docker stop sull'ID del contenitore Docker dell'agente. Per trovare l'ID e interrompere l'agente:

Nella console Google Cloud, vai alla pagina Pool di agenti.

Vai a Pool di agenti
Seleziona il pool di agenti contenente l'agente da arrestare.
Seleziona un agente dall'elenco. Utilizza il campo Filtra per cercare prefissi, stato dell'agente, età dell'agente e altro ancora.
Fai clic su Interrompi agente. Viene visualizzato il comando docker stop con l'ID contenitore specifico.
Esegui il comando sulla macchina su cui è in esecuzione l'agente. Un comando docker stop riuscito restituisce l'ID contenitore.

Una volta interrotto, l'agente viene visualizzato nell'elenco dei pool di agenti come Disconnesso.

Eliminare un agente

Per eliminare agenti specifici, elenca gli agenti in esecuzione sulla tua macchina:

docker container list --all --filter ancestor=gcr.io/cloud-ingest/tsop-agent

Poi passa gli ID agente a transfer agents delete:

gcloud transfer agents delete --ids=id1,id2,…

Per eliminare tutti gli agenti in esecuzione sulla macchina, utilizza il flag --all o il flag --uninstall. Entrambi i flag eliminano tutti gli agenti sulla macchina. Il flag --uninstall disinstalla inoltre l'immagine Docker dell'agente.

gcloud transfer agents delete --all
gcloud transfer agents delete --uninstall

Dettagli sul trasferimento del file system

Trasferimenti incrementali

Storage Transfer Service avvia tutti i trasferimenti calcolando i dati presenti nell'origine e nella destinazione per determinare quali file di origine sono nuovi, aggiornati o eliminati dall'ultimo trasferimento. Lo facciamo per ridurre la quantità di dati che inviamo dalle tue macchine, per utilizzare la larghezza di banda in modo efficace e per ridurre i tempi di trasferimento.

Per rilevare se un file è stato modificato, controlliamo la data e l'ora dell'ultima modifica e le dimensioni del file di origine e le confrontiamo con la data e l'ora dell'ultima modifica e le dimensioni registrate l'ultima volta che il file è stato copiato. Quando rileviamo un file nuovo o modificato, lo copiamo nella sua destinazione. Per ulteriori informazioni sull'aggiornamento dei file, consulta Dettagli sulla coerenza dei dati.

Per impostazione predefinita, rileviamo i file eliminati nell'origine, ma non interveniamo. Se scelgo l'opzione di sincronizzazione Elimina i file di destinazione che non sono anche nell'origine durante la creazione o la modifica, il trasferimento eliminerà l'oggetto corrispondente nella destinazione.

Se scegli l'opzione di sincronizzazione Elimina i file di destinazione che non sono anche nell'origine, i file eliminati per errore nell'origine vengono eliminati anche nella destinazione. Per evitare la perdita di dati a causa di eliminazioni accidentali, ti consigliamo di attivare il controllo delle versioni degli oggetti nel bucket di destinazione se scegli di utilizzare questa opzione. Se elimini un file per sbaglio, puoi ripristinare gli oggetti in Cloud Storage a una versione precedente.

Dettagli sulla coerenza dei dati

Un'operazione di trasferimento riuscita trasferirà tutti i file di origine esistenti e non modificati durante l'intero tempo di esecuzione dell'operazione. Le modifiche apportate ai file di origine che sono stati creati, aggiornati o eliminati durante un trasferimento possono o meno essere applicate al set di dati di destinazione.

Storage Transfer Service utilizza la data e le dimensioni dell'ultima modifica di un file per determinare se è stato modificato. Se un file viene aggiornato senza modificare la data o le dimensioni dell'ultima modifica e attivi l'opzione delete-objects-from-source, potresti perdere i dati a causa di questa modifica.

Quando utilizzi la funzionalità delete-objects-from-source, ti consigliamo vivamente di bloccare le scritture all'origine per tutta la durata del trasferimento per proteggerti dalla perdita di dati.

Per bloccare le scritture nella sorgente, esegui una delle seguenti operazioni:

Clona la directory che intendi trasferire e utilizza la directory clonata come origine del trasferimento.
Interrompi le applicazioni che scrivono nella directory di origine.

Se è importante acquisire le modifiche apportate durante un trasferimento, puoi eseguire nuovamente il trasferimento o impostare il file system di origine come di sola lettura durante l'esecuzione dell'operazione.

Poiché Cloud Storage non ha il concetto di directory, le directory di origine vuote non vengono trasferite.