Google Cloud-Projekt für den Datenexport aus Cloud Storage zur Appliance mithilfe der Einrichtungsanwendung konfigurieren

In diesem Dokument wird beschrieben, wie Sie Google Cloud-Berechtigungen und Cloud Storage mithilfe der Appliance Cloud Setup Application konfigurieren.

Die Appliance Cloud Setup-Anwendung fordert Sie zur Eingabe von Informationen wie der Übertragungssitzungs-ID, dem Cloud Storage-Bucket und den Einstellungen für den Cloud Key Management Service (Cloud KMS) auf. Anhand der von Ihnen bereitgestellten Informationen konfiguriert die Appliance-Cloud-Einrichtungsanwendung Ihre Google Cloud-Berechtigungen, Ihren bevorzugten Cloud Storage-Bucket und Ihren Cloud KMS-Schlüssel für die Übertragung.

Hinweise

Die müssen Folgendes haben:

  • Der Name des Projekts und der Standort, der für die Bestellung der Appliance verwendet wurde.

  • Die Appliance-ID, die Sitzungs-ID, der Bucket-Name und der Verschlüsselungsschlüssel, die bei der Bestellung der Appliance angegeben wurden. Diese finden Sie in der E-Mail mit dem Betreff Google Transfer Appliance-Berechtigungen.

  • Der in der E-Mail mit dem Betreff Google Transfer Appliance-Berechtigungen aufgeführte Storage Transfer Service-Dienst-Agent. Es sieht in etwa so aus:

    project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

    In diesem Beispiel ist TENANT_IDENTIFIER eine für dieses Projekt spezifische Nummer.

    Wir verwenden den Storage Transfer Service, um Daten zwischen Ihrem Cloud Storage-Bucket und der Appliance zu übertragen.

IAM-Rollen zuweisen

Sie benötigen die richtigen IAM-Rollen für das Projekt und den Cloud Storage-Bucket.

Wenn Sie der Projektinhaber sind, reicht roles/owner aus. Fahren Sie mit dem nächsten Abschnitt App für Appliance-Cloud-Einrichtung herunterladen fort.

Wenn Sie roles/owner nicht haben, benötigen Sie die folgenden Rollen:

  • roles/storagetransfer.admin: zum Erstellen des Storage Transfer Service-Dienstkontos.
  • roles/transferappliance.viewer: zum Abrufen der Details des Cloud Storage-Bucket und des Cloud Key Management Service-Schlüssels.
  • roles/storage.admin: Kann auf Projektebene zugewiesen werden, wenn Sie keinen Cloud Storage-Bucket erstellt haben, oder auf Bucket-Ebene, wenn Sie einen vorhandenen Cloud Storage-Bucket verwenden.
  • roles/cloudkms.admin: Kann auf Projektebene gewährt werden, wenn Sie keinen Cloud KMS-Schlüssel erstellt haben, oder auf Schlüsselebene, wenn Sie einen vorhandenen Cloud KMS-Schlüssel verwenden.

Rollen ansehen

So rufen Sie die IAM-Rollen auf, die Ihre Hauptkonten für ein Projekt und dessen Ressourcen haben:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur IAM-Seite

  2. Auf der Seite werden alle Hauptkonten angezeigt, die in Ihrem Projekt IAM-Rollen haben.

Appliance Cloud Setup-Anwendung herunterladen

So laden Sie die Appliance Cloud Setup Application herunter:

  1. Öffnen Sie die Begrüßungsseite der Google Cloud Console.

    Willkommensseite der Google Cloud Console öffnen

  2. Prüfen Sie, ob der Name des für die Übertragung verwendeten Projekts in der Projektauswahl angezeigt wird. In der Projektauswahl sehen Sie, in welchem Projekt Sie gerade arbeiten.

    Google Cloud-Projekt aus der Projektauswahl auswählen

    Wenn Sie den Namen des Projekts, das Sie für die Übertragung verwenden, nicht sehen, klicken Sie auf die Projektauswahl und wählen Sie dann das richtige Projekt aus.

  3. Klicken Sie auf „Cloud Shell aktivieren“.

    DevShell über die Menüleiste starten

  4. Laden Sie in Cloud Shell mit dem Befehl wget die Appliance Cloud Setup-Anwendung herunter:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Appliance Cloud Setup-Anwendung ausführen

Führen Sie in Cloud Shell den folgenden Befehl aus, um die Appliance Cloud Setup-Anwendung zu starten:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

Die App führt Sie durch die erforderlichen Schritte zur Konfiguration Ihres Projekts.

Anwendungsausgabe

Die Appliance Cloud Setup-Anwendung führt die folgenden Aktionen aus:

  • Gewährt den Appliance-Dienstkonten, die zum Exportieren von Daten aus Ihrem Cloud Storage-Bucket verwendet werden, Berechtigungen.
  • Für den Export von Daten aus Ihrem Cloud Storage-Bucket werden nur vom Kunden verwaltete Verschlüsselungsschlüssel unterstützt. Gewähren Sie den Appliance-Dienstkonten die Berechtigung, auf Cloud KMS-Schlüsseldaten zuzugreifen.

  • Zeigt die folgenden Informationen an:

    • Der Ressourcenname des kryptografischen Schlüssels von Google Cloud
    • Den Namen des Google Cloud Storage-Ziel-Buckets.

Die angezeigten Informationen werden auch im Basisverzeichnis (SESSION_ID-output.txt) in Cloud Shell gespeichert, wobei SESSION_ID die Sitzungs-ID für diese konkrete Übertragung ist.

Die Namen der Dienstkonten, die die Berechtigung für diese konkrete Übertragung erhalten haben, werden in Cloud Shell im Basisverzeichnis cloudsetup.log gespeichert.

CMEK-Informationen an Google senden

Senden Sie uns die wichtigsten Informationen. Füllen Sie dazu das Formular aus, das in der E-Mail mit dem Betreff Google Transfer Appliance-Berechtigungen verlinkt ist.

Fehlerbehebung

Fehler 400: Dienstkonto existiert nicht

Problem:

Die Appliance Cloud Setup-Anwendung zeigt die folgende Meldung an:

Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Dabei ist SESSION_ID die Sitzungs-ID, die der Cloud-Einrichtungsanwendung für die Appliance bereitgestellt wird.

Lösung

Prüfen Sie die Sitzungs-ID der Übertragung. Die Sitzungs-ID ist für jede Übertragungssitzung eindeutig und wird vom Transfer Appliance-Team bereitgestellt. Wenn Sie keine Sitzungs-ID erhalten haben, wenden Sie sich an data-support@google.com.

Fehler: KMS-Standorte auflisten

Problem:

Die Appliance Cloud Setup-Anwendung zeigt die folgende Meldung an:

Error: listing kms locations

Lösung

Führen Sie in Cloud Shell folgende Schritte aus:

  1. Führen Sie eine erneute Authentifizierung durch Ausführen von gcloud auth login durch.

  2. Appliance-Cloud-Einrichtungsanwendung wiederholen.

Wenn der Fehler weiterhin auftritt, wenden Sie sich an das Transfer Appliance-Team unter data-support@google.com.

Fehler: Cloud KMS-Schlüsseleinschränkung erstellen

Problem:

Die Appliance Cloud Setup-Anwendung zeigt eine Meldung wie die folgende an:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Lösung

Ihr Google Cloud-Projekt hat möglicherweise Organisationsrichtlinien, die das Erstellen von Cloud Key Management Service-Schlüsseln an bestimmten Standorten nicht zulassen. Folgende Lösungen sind möglich:

  • Wählen Sie einen anderen Standort aus, um den Cloud Key Management Service-Schlüssel zu erstellen.
  • Aktualisieren Sie die Organisationsrichtlinie, um das Erstellen des Cloud Key Management Service-Schlüssels am gewünschten Standort zuzulassen.

Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.