In diesem Dokument wird das Konfigurieren von Google Cloud-Berechtigungen und Cloud Storage beschrieben mit der Cloud-Einrichtungsanwendung der Appliance an.
Die Appliance Cloud Setup Application fordert Sie zur Eingabe von Informationen auf, z. B. Ihrer Übertragungssitzungs-ID, Cloud Storage-Ziel-Bucket und Cloud Key Management Service (Cloud KMS)-Einstellungen. Anhand der von Ihnen bereitgestellten Informationen konfiguriert die Appliance Cloud Setup Application Ihre Google Cloud-Berechtigungen, den bevorzugten Cloud Storage-Bucket und den Cloud KMS-Schlüssel für die Übertragung.
Hinweise
Die müssen Folgendes haben:
Der Name des Projekts und der Unternehmensstandort, an dem die Bestellung Gerät.
Appliance-ID, Sitzungs-ID, Bucket-Name, Bucket-Präfix und Verschlüsselungsschlüssel bei der Bestellung der Appliance angegeben. Sie finden sie in der E-Mail mit dem Betreff Google Transfer Appliance Prepare Permissions and Storage.
Der Storage Transfer Service-Dienst-Agent, der in der E-Mail aufgeführt ist Google Transfer Appliance – Berechtigungen und Speicher vorbereiten Das sieht in etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn diesem Beispiel ist
TENANT_IDENTIFIEReine für dieses Projekt spezifische Nummer.Wir verwenden den Storage Transfer Service, um Daten von der Appliance in Ihren Cloud Storage-Bucket zu übertragen.
IAM-Rollen zuweisen
Sie benötigen die richtigen IAM-Rollen für das Projekt und den Cloud Storage-Bucket.
Wenn Sie der Projektinhaber sind, reicht roles/owner aus. Fahren Sie mit dem nächsten Abschnitt Appliance Cloud Setup Application herunterladen fort.
Wenn Sie roles/owner nicht haben, benötigen Sie die folgenden Rollen:
roles/serviceusage.serviceUsageAdmin: Aktivieren Sie die erforderlichen APIs im Projekt.roles/iam.serviceAccountCreator: Zum Erstellen neuer Dienstkonten.roles/iam.serviceAccountKeyAdmin: Dienstkontoschlüssel erstellen und herunterladen. Kann auf Projektebene oder dem Appliance-Dienstkonto gewährt werden, sobald es von der Berechtigungs-App erstellt wurde.roles/storagetransfer.admin: Erstellen Sie das Dienstkonto für den Storage Transfer Service.roles/transferappliance.viewer: Zum Abrufen des Cloud Storage-Bucket und Details zum Cloud Key Management Service-Schlüsselroles/storage.admin: Kann auf Projektebene gewährt werden, wenn Sie noch keinen Cloud Storage-Bucket erstellt haben, oder auf Bucketebene, wenn Sie einen vorhandenen Cloud Storage-Bucket verwenden.roles/cloudkms.admin: Kann auf Projektebene gewährt werden, wenn Sie noch keinen Cloud KMS-Schlüssel erstellt haben, oder auf Schlüsselebene, wenn Sie einen vorhandenen Cloud KMS-Schlüssel verwenden.
Rollen ansehen
So rufen Sie die IAM-Rollen auf, die Ihre Hauptkonten für ein Projekt und dessen Ressourcen haben:
Öffnen Sie in der Google Cloud Console die Seite IAM.
Auf der Seite werden alle Hauptkonten angezeigt, die in Ihrem Projekt IAM-Rollen haben.
Anwendung zur Cloud-Einrichtung der Appliance herunterladen
So laden Sie die Appliance Cloud Setup Application herunter:
Öffnen Sie die Begrüßungsseite der Google Cloud Console.
Prüfen Sie, ob der Name des für die Übertragung verwendeten Projekts in der Projektauswahl angezeigt wird. In der Projektauswahl sehen Sie, in welchem Projekt Sie gerade arbeiten.
Wenn Sie den Namen des Projekts, das Sie für die Übertragung verwenden, nicht sehen, klicken Sie auf die Projektauswahl und wählen Sie dann das richtige Projekt aus.
Klicken Sie auf „Cloud Shell aktivieren“.
Verwenden Sie in Cloud Shell den Befehl
wget, um die Cloud-Einrichtungsanwendung für die Appliance herunterzuladen:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Appliance Cloud Setup Application ausführen
Führen Sie in Cloud Shell den folgenden Befehl aus, um die Appliance Cloud Setup Application zu starten:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
Die App führt Sie durch die erforderlichen Schritte zur Konfiguration Ihres Projekts.
Anwendungsausgabe
Die Appliance Cloud Setup Application führt die folgenden Aktionen aus:
- Gewährt Berechtigungen für die Appliance-Dienstkonten, mit denen Daten in Ihren Cloud Storage-Bucket übertragen werden.
- Wenn Sie sich für einen vom Kunden verwalteten Verschlüsselungsschlüssel entschieden haben, wird den Appliance-Dienstkonten die Berechtigung zum Zugriff auf Cloud KMS-Schlüsseldaten gewährt.
Zeigt die folgenden Informationen an:
- Den Ressourcennamen des kryptografischen Schlüssel von Google Cloud, wenn Sie einen vom Kunden verwalteten Cloud KMS-Verschlüsselungsschlüssel verwenden möchten.
- Den Namen des Google Cloud Storage-Ziel-Buckets.
- Ein Präfix für den Google Cloud Storage-Ziel-Bucket, falls Sie eins angegeben haben.
- Gegebenenfalls der Name des Online Transfer-Dienstkontos und der Name des Storage Transfer Service-Dienst-Agents.
Die angezeigten Informationen werden auch im Basisverzeichnis (SESSION_ID-output.txt) in Cloud Shell gespeichert, wobei SESSION_ID die Sitzungs-ID für diese konkrete Übertragung ist.
Die Namen der Dienstkonten, die die Berechtigung für diese konkrete Übertragung erhalten haben, werden in Cloud Shell im Basisverzeichnis cloudsetup.log gespeichert.
CMEK-Informationen an Google senden
Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel angegeben haben, senden Sie uns die Schlüsselinformationen. indem Sie das Formular ausfüllen, das in der E-Mail mit dem Betreff Google Transfer Appliance verlinkt ist. Berechtigungen und Speicher vorbereiten.
Dienstkontoschlüssel herunterladen
Laden Sie einen Dienstkontoschlüssel für das Online Transfer Service-Konto herunter und speichern Sie ihn.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
Der Wert von APPLIANCE_SERVICE_ACCOUNT_EMAIL wird im Feld Ausgabe der Berechtigungs-App:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Wenn Sie die Appliance erhalten, laden Sie den Schlüssel in das Verzeichnis /tmp auf der
Gerät.
Fehlerbehebung
Fehler 400: Dienstkonto existiert nicht
Problem:
Appliance Cloud Setup Application zeigt die folgende Meldung an:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dabei ist SESSION_ID die Sitzungs-ID, die für die Appliance Cloud Setup Application bereitgestellt wird.
Lösung
Prüfen Sie die Sitzungs-ID der Übertragung. Die Sitzungs-ID ist für jede Übertragungssitzung eindeutig und wird vom Transfer Appliance-Team bereitgestellt. Wenn Sie keine Sitzungs-ID erhalten haben, wenden Sie sich an data-support@google.com.
Fehler: KMS-Standorte auflisten
Problem:
Appliance Cloud Setup Application zeigt die folgende Meldung an:
Error: listing kms locations
Lösung
Führen Sie in Cloud Shell folgende Schritte aus:
Führen Sie eine erneute Authentifizierung durch Ausführen von
gcloud auth logindurch.Wiederholen Sie die Ausführung der Appliance Cloud Setup Application.
Wenn der Fehler weiterhin auftritt, wenden Sie sich an das Transfer Appliance-Team unter data-support@google.com.
Fehler: Cloud KMS-Schlüsseleinschränkung erstellen
Problem:
Die Appliance Cloud Setup-Anwendung zeigt eine Meldung ähnlich der folgenden an:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Lösung
Ihr Google Cloud-Projekt hat möglicherweise Organisationsrichtlinien, die das Erstellen von Cloud Key Management Service-Schlüsseln an bestimmten Standorten nicht zulassen. Folgende Lösungen sind möglich:
- Wählen Sie einen anderen Standort aus, um den Cloud Key Management Service-Schlüssel zu erstellen.
- Aktualisieren Sie die Organisationsrichtlinie, um das Erstellen des Cloud Key Management Service-Schlüssels am gewünschten Standort zuzulassen.
Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.