Google Cloud-Projekt mit der Einrichtungsanwendung für den Datenexport von Cloud Storage zur Appliance konfigurieren

In diesem Dokument wird die Konfiguration von Google Cloud-Berechtigungen und Cloud Storage mit der Appliance Cloud Setup Application beschrieben.

Die Appliance Cloud Setup Application fordert Sie zur Eingabe von Informationen auf, z. B. Ihrer Übertragungssitzungs-ID, Cloud Storage-Bucket und Cloud Key Management Service (Cloud KMS)-Einstellungen. Anhand der von Ihnen bereitgestellten Informationen Die Appliance-Cloud-Einrichtungsanwendung konfiguriert Ihre Google Cloud-Berechtigungen (bevorzugt) Cloud Storage-Bucket und Cloud KMS-Schlüssel für die Übertragung.

Hinweise

Die müssen Folgendes haben:

  • Der Name des Projekts und der Standort des Unternehmens, der für die Bestellung des Geräts verwendet wurde.

  • Appliance-ID, Sitzungs-ID, Bucket-Name und Verschlüsselungsschlüssel bei der Bestellung der Appliance angegeben. Sie finden sie in der E-Mail mit dem Betreff Google Transfer Appliance Permissions.

  • Den Dienst-Agenten des Storage Transfer Service, der in der E-Mail mit dem Betreff Google Transfer Appliance Permissions aufgeführt ist. Sieht aus ähnlich wie im folgenden Beispiel:

    project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

    In diesem Beispiel ist TENANT_IDENTIFIER eine für dieses Projekt spezifische Nummer.

    Wir nutzen Storage Transfer Service, um Daten zwischen Ihrem Cloud Storage-Bucket und die Appliance.

IAM-Rollen zuweisen

Sie benötigen die richtigen IAM-Rollen für das Projekt und den Cloud Storage-Bucket.

Wenn Sie der Projektinhaber sind, reicht roles/owner aus. Fahren Sie mit dem nächsten Abschnitt Appliance Cloud Setup Application herunterladen fort.

Wenn Sie roles/owner nicht haben, benötigen Sie die folgenden Rollen:

  • roles/storagetransfer.admin: Erstellen Sie das Dienstkonto für den Storage Transfer Service.
  • roles/transferappliance.viewer: Cloud Storage-Bucket- und Cloud Key Management Service-Schlüsseldetails abrufen
  • roles/storage.admin: Kann auf Projektebene gewährt werden, wenn nicht hat einen Cloud Storage-Bucket erstellt oder kann auf Bucket-Ebene gewährt werden, wenn Sie verwenden einen vorhandenen Cloud Storage-Bucket.
  • roles/cloudkms.admin: Kann auf Projektebene gewährt werden, wenn Sie noch keinen Cloud KMS-Schlüssel erstellt haben, oder auf Schlüsselebene, wenn Sie einen vorhandenen Cloud KMS-Schlüssel verwenden.

Rollen ansehen

So rufen Sie die IAM-Rollen auf, die Ihre Hauptkonten für ein Projekt und dessen Ressourcen haben:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur IAM-Seite

  2. Auf der Seite werden alle Hauptkonten angezeigt, die in Ihrem Projekt IAM-Rollen haben.

Anwendung zur Cloud-Einrichtung der Appliance herunterladen

So laden Sie die Appliance-Cloud-Einrichtungsanwendung herunter:

  1. Öffnen Sie die Begrüßungsseite der Google Cloud Console.

    Willkommensseite der Google Cloud Console öffnen

  2. Prüfen Sie, ob der Name des für die Übertragung verwendeten Projekts in der Projektauswahl angezeigt wird. In der Projektauswahl sehen Sie, in welchem Projekt Sie gerade arbeiten.

    Google Cloud-Projekt aus der Projektauswahl auswählen

    Wenn Sie den Namen des Projekts, das Sie für die Übertragung verwenden, nicht sehen, klicken Sie auf die Projektauswahl und wählen Sie dann das richtige Projekt aus.

  3. Klicken Sie auf „Cloud Shell aktivieren“.

    DevShell über die Menüleiste starten

  4. Verwenden Sie in Cloud Shell den Befehl wget, um die Cloud-Einrichtungsanwendung für die Appliance herunterzuladen:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Anwendung zur Cloud-Einrichtung der Appliance ausführen

Führen Sie in Cloud Shell den folgenden Befehl aus, um die Appliance Cloud Setup Application zu starten:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

Die App führt Sie durch die einzelnen Schritte zur Konfiguration Ihres Projekts.

Anwendungsausgabe

Die Appliance Cloud Setup Application führt die folgenden Aktionen aus:

  • Gewährt Berechtigungen für die Appliance-Dienstkonten zum Exportieren von Daten aus Ihrem Cloud Storage-Bucket verwendet.
  • Für den Export von Daten aus Ihrem Cloud Storage-Bucket werden nur vom Kunden verwaltete Verschlüsselungsschlüssel unterstützt. Gewähren Sie den Appliance-Dienstkonten die Berechtigung, auf Cloud KMS-Schlüsseldaten zuzugreifen.

  • Zeigt die folgenden Informationen an:

    • Der Ressourcenname des kryptografischen Google Cloud-Schlüssels
    • Den Namen des Google Cloud Storage-Ziel-Buckets.

Die angezeigten Informationen werden auch im Basisverzeichnis (SESSION_ID-output.txt) in Cloud Shell gespeichert, wobei SESSION_ID die Sitzungs-ID für diese konkrete Übertragung ist.

Die Namen der Dienstkonten, die die Berechtigung für diese konkrete Übertragung erhalten haben, werden in Cloud Shell im Basisverzeichnis cloudsetup.log gespeichert.

CMEK-Informationen an Google senden

Senden Sie uns die wichtigsten Informationen, indem Sie das Formular ausfüllen, das in der E-Mail mit dem Betreff Google Transfer Appliance Permissions verlinkt ist.

Fehlerbehebung

Fehler 400: Dienstkonto existiert nicht

Problem:

Die Appliance Cloud Setup Application zeigt die folgende Meldung an:

Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Dabei ist SESSION_ID die Sitzungs-ID, die für Anwendung zur Cloud-Einrichtung der Appliance

Lösung

Prüfen Sie die Sitzungs-ID der Übertragung. Die Sitzungs-ID ist für jede Übertragungssitzung eindeutig und wird vom Transfer Appliance-Team bereitgestellt. Wenn Sie keine Sitzungs-ID erhalten haben, wenden Sie sich an data-support@google.com.

Fehler: KMS-Standorte auflisten

Problem:

Appliance Cloud Setup Application zeigt die folgende Meldung an:

Error: listing kms locations

Lösung

Führen Sie in Cloud Shell folgende Schritte aus:

  1. Führen Sie eine erneute Authentifizierung durch Ausführen von gcloud auth login durch.

  2. Wiederholen Sie die Ausführung der Appliance Cloud Setup Application.

Wenn der Fehler weiterhin auftritt, wenden Sie sich an das Transfer Appliance-Team unter data-support@google.com.

Fehler: Cloud KMS-Schlüsseleinschränkung erstellen

Problem:

Die Appliance Cloud Setup-Anwendung zeigt eine Meldung ähnlich der folgenden an:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Lösung

Ihr Google Cloud-Projekt hat möglicherweise Organisationsrichtlinien, die das Erstellen von Cloud Key Management Service-Schlüsseln an bestimmten Standorten nicht zulassen. Folgende Lösungen sind möglich:

  • Wählen Sie einen anderen Standort aus, um den Cloud Key Management Service-Schlüssel zu erstellen.
  • Aktualisieren Sie die Organisationsrichtlinie, um das Erstellen des Cloud Key Management Service-Schlüssels am gewünschten Standort zuzulassen.

Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.