In diesem Thema wird beschrieben, wie Sie Google Cloud-Berechtigungen und Cloud Storage mithilfe der Appliance Cloud Setup-Anwendung konfigurieren.
Die Appliance Cloud Setup-Anwendung fordert Sie zur Eingabe von Informationen wie der Übertragungssitzungs-ID, der Ziel-Cloud Storage-Bucket und den Einstellungen des Cloud Key Management Service (Cloud KMS) auf. Anhand der von Ihnen bereitgestellten Informationen konfiguriert die Appliance Cloud-Einrichtungsanwendung Ihre Google Cloud-Berechtigungen, Ihren bevorzugten Cloud Storage-Bucket und Ihren Cloud KMS-Schlüssel für die Übertragung.
Hinweise
Die müssen Folgendes haben:
Der Name des Projekts und der Standort, der für die Bestellung der Appliance verwendet wurde.
Appliance-ID, Sitzungs-ID, Bucket-Name, Bucket-Präfix und Verschlüsselungsschlüssel, die bei der Bestellung der Appliance angegeben wurden. Sie finden diese in der E-Mail mit dem Titel Google Transfer Appliance Prepare Berechtigungen and Storage.
Den Dienst-Agent von Storage Transfer Service, der in der E-Mail mit dem Titel Google Transfer Appliance Prepare Berechtigungen and Storage aufgeführt ist. Es sieht etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn diesem Beispiel ist
TENANT_IDENTIFIEReine für dieses Projekt spezifische Nummer.Wir verwenden Storage Transfer Service, um Daten von der Appliance in Ihren Cloud Storage-Bucket zu übertragen.
IAM-Rollen zuweisen
Sie müssen die richtigen IAM-Rollen für das Projekt und den Cloud Storage-Bucket haben.
Wenn Sie der Projektinhaber sind, ist roles/owner ausreichend. Fahren Sie mit dem nächsten Abschnitt App für Appliance Cloud Setup herunterladen fort.
Wenn Sie roles/owner nicht haben, benötigen Sie die folgenden Rollen:
roles/serviceusage.serviceUsageAdmin: Zum Aktivieren der erforderlichen APIs im Projekt.roles/iam.serviceAccountCreator: Zum Erstellen neuer Dienstkonten.roles/iam.serviceAccountKeyAdmin: Zum Erstellen und Herunterladen von Dienstkontoschlüsseln. Kann auf Projektebene oder dem Appliance-Dienstkonto gewährt werden, nachdem es von der Berechtigungs-App erstellt wurde.roles/storagetransfer.admin: Zum Erstellen des Storage Transfer Service-Dienstkontos.roles/transferappliance.viewer: Ruft die Details des Cloud Storage-Bucket und des Cloud Key Management Service-Schlüssels ab.roles/storage.admin: Kann auf Projektebene gewährt werden, wenn Sie keinen Cloud Storage-Bucket erstellt haben, oder auf Bucket-Ebene, wenn Sie einen vorhandenen Cloud Storage-Bucket verwenden.roles/cloudkms.admin: Kann auf Projektebene gewährt werden, wenn Sie keinen Cloud KMS-Schlüssel erstellt haben, oder auf Schlüsselebene, wenn Sie einen vorhandenen Cloud KMS-Schlüssel verwenden.
Rollen ansehen
So rufen Sie die IAM-Rollen auf, die Ihre Hauptkonten für ein Projekt und dessen Ressourcen haben:
Öffnen Sie in der Google Cloud Console die Seite IAM.
Auf der Seite werden alle Hauptkonten angezeigt, die in Ihrem Projekt IAM-Rollen haben.
Anwendung für die Appliance Cloud-Einrichtung herunterladen
So laden Sie die Appliance Cloud-Einrichtungsanwendung herunter:
Öffnen Sie das Dashboard der Google Cloud Console.
Prüfen Sie, ob der Name des für die Übertragung verwendeten Projekts in der Projektauswahl angezeigt wird. In der Projektauswahl sehen Sie, in welchem Projekt Sie gerade arbeiten.
Wenn Sie den Namen des Projekts, das Sie für die Übertragung verwenden, nicht sehen, klicken Sie auf die Projektauswahl und wählen Sie dann das richtige Projekt aus.
Klicken Sie auf „Cloud Shell aktivieren“.
Laden Sie in Cloud Shell mit dem Befehl
wgetdie Appliance Cloud Setup-Anwendung herunter:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Appliance Cloud Setup-Anwendung ausführen
Führen Sie in Cloud Shell den folgenden Befehl aus, um die Appliance Cloud Setup-Anwendung zu starten:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
Die App führt Sie durch die Schritte, die zum Konfigurieren Ihres Projekts erforderlich sind.
Anwendungsausgabe
Die Appliance Cloud Setup-Anwendung führt die folgenden Aktionen aus:
- Gewährt den Appliance-Dienstkonten, die zum Übertragen von Daten in Ihren Cloud Storage-Bucket verwendet werden, Berechtigungen.
- Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, wird den Appliance-Dienstkonten die Berechtigung für den Zugriff auf Cloud KMS-Schlüsseldaten gewährt.
Zeigt die folgenden Informationen an:
- Den Ressourcennamen des kryptografischen Schlüssel von Google Cloud, wenn Sie einen vom Kunden verwalteten Cloud KMS-Verschlüsselungsschlüssel verwenden möchten.
- Den Namen des Google Cloud Storage-Ziel-Buckets.
- Ein Präfix für den Google Cloud Storage-Ziel-Bucket, falls Sie eins angegeben haben.
- Gegebenenfalls die Namen des Online Transfer-Dienstkontos und des Storage Transfer Service-Dienst-Agents.
Die angezeigten Informationen werden auch im Basisverzeichnis (SESSION_ID-output.txt) in Cloud Shell gespeichert, wobei SESSION_ID die Sitzungs-ID für diese konkrete Übertragung ist.
Die Namen der Dienstkonten, die die Berechtigung für diese konkrete Übertragung erhalten haben, werden in Cloud Shell im Basisverzeichnis cloudsetup.log gespeichert.
CMEK-Informationen an Google senden
Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel angegeben haben, senden Sie uns die Schlüsselinformationen. Füllen Sie dazu das Formular aus, das in der E-Mail mit dem Betreff Google Transfer Appliance Prepare Berechtigungen and Storage verlinkt ist.
Dienstkontoschlüssel herunterladen
Laden Sie einen Dienstkontoschlüssel für das Online Transfer Service Account herunter und speichern Sie ihn.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
Der Wert von APPLIANCE_SERVICE_ACCOUNT_EMAIL wird in der Ausgabe der Berechtigungs-App angezeigt:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Wenn Sie die Appliance erhalten, laden Sie den Schlüssel in das Verzeichnis /tmp auf der Appliance hoch.
Fehlerbehebung
Fehler 400: Dienstkonto existiert nicht
Problem:
Appliance Cloud Setup Application zeigt die folgende Meldung an:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dabei ist SESSION_ID die Sitzungs-ID, die der Cloud-Einrichtungsanwendung für Appliance bereitgestellt wird.
Lösung
Prüfen Sie die Sitzungs-ID der Übertragung. Die Sitzungs-ID ist für jede Übertragungssitzung eindeutig und wird vom Transfer Appliance-Team bereitgestellt. Wenn Sie keine Sitzungs-ID erhalten haben, wenden Sie sich an data-support@google.com.
Fehler: KMS-Standorte auflisten
Problem:
Appliance Cloud Setup Application zeigt die folgende Meldung an:
Error: listing kms locations
Lösung
Führen Sie in Cloud Shell folgende Schritte aus:
Führen Sie eine erneute Authentifizierung durch Ausführen von
gcloud auth logindurch.Anwendung der Cloud-Einrichtung der Appliance wiederholen.
Wenn der Fehler weiterhin auftritt, wenden Sie sich an das Transfer Appliance-Team unter data-support@google.com.
Fehler: Cloud KMS-Schlüsseleinschränkung erstellen
Problem:
Appliance Cloud Setup Application zeigt eine Meldung wie die folgende an:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Lösung
Ihr Google Cloud-Projekt hat möglicherweise Organisationsrichtlinien, die das Erstellen von Cloud Key Management Service-Schlüsseln an bestimmten Standorten nicht zulassen. Folgende Lösungen sind möglich:
- Wählen Sie einen anderen Standort aus, um den Cloud Key Management Service-Schlüssel zu erstellen.
- Aktualisieren Sie die Organisationsrichtlinie, um das Erstellen des Cloud Key Management Service-Schlüssels am gewünschten Standort zuzulassen.
Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.