Transfer Appliance Cloud Setup Application verwenden

In diesem Thema wird die Konfiguration von Google Cloud-Berechtigungen und Cloud Storage mit der Transfer Appliance Cloud Setup Application beschrieben.

Sie werden von der Transfer Appliance Cloud Setup Application nach Informationen wie der Übertragungssitzungs-ID, dem Cloud Storage-Ziel-Bucket und den Cloud Key Management Service (Cloud KMS) gefragt. Anhand der von Ihnen bereitgestellten Informationen konfiguriert die Transfer Appliance Cloud Setup Application Ihre Google Cloud-Berechtigungen, den bevorzugten Cloud Storage-Bucket und den Cloud KMS-Schlüssel für die Übertragung.

Hinweis

Die müssen Folgendes haben:

  • Den Namen des Projekts, das für die Übertragung verwendet werden soll.

  • Die Sitzungs-ID aus der E-Mail des Transfer Appliance-Teams mit dem Betreff Google Transfer Appliance Access Credentials. Füllen Sie das Formular in dieser E-Mail aus, mit dem das Transfer Appliance-Team Ihre Übertragung konfiguriert.

  • Die richtigen IAM-Rollen.

    Wenn Sie der Projektinhaber sind, reicht roles/owner aus.

    Wenn Sie roles/owner nicht haben und einen Cloud Storage-Bucket und einen Cloud KMS-Schlüssel über die Transfer Appliance Cloud Setup Application erstellen, sollten Sie die Rollen roles/storage.admin und roles/cloudkms.admin für das Google Cloud-Projekt haben.

    Wenn Sie roles/owner nicht haben und einen vorhandenen Cloud Storage-Bucket und einen vorhandenen Cloud KMS-Schlüssel verwenden, sollten Sie roles/storage.admin für den Cloud Storage-Bucket und roles/cloudkms.admin für den Cloud KMS-Schlüssel haben, den Sie für die Übertragung verwenden.

    So rufen Sie die IAM-Rollen auf, die Ihre Hauptkonten für ein Projekt und dessen Ressourcen haben:

    1. Rufen Sie in der Cloud Console die Seite IAM auf.

      Zur IAM-Seite

    2. Auf der Seite werden alle Hauptkonten angezeigt, die in Ihrem Projekt IAM-Rollen haben.

  • Den Dienst-Agent, der an den Transfer Service for On Premises Data-Dienst gebunden ist. Dieser Dienst-Agent ist in einer E-Mail mit dem Betreff Google Transfer Appliance Prepare Destination Bucket aufgeführt und sieht etwa so aus:

    project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

    In diesem Beispiel ist IDENTIFIER eine für dieses Projekt spezifische Nummer.

    Wir verwenden den Transfer Service for On Premises Data-Dienst, um Daten von der Appliance in Ihren Cloud Storage-Bucket zu übertragen.

Berechtigungen für den Dienst-Agent erteilen

So gewähren Sie Berechtigungen für den Dienst-Agent:

Google Cloud Console

  1. Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.

    Browser aufrufen

  2. Klicken Sie auf das Dreipunkt-Menü () des Buckets, für den Sie einem Hauptkonto eine Rolle zuweisen.

  3. Wählen Sie Bucket-Berechtigungen bearbeiten.

  4. Klicken Sie auf die Schaltfläche Mitglieder hinzufügen.

  5. Geben Sie im Feld Neue Mitglieder den Dienst-Agent ein. Das sieht in etwa so aus:

    project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

    In diesem Beispiel ist IDENTIFIER eine für dieses Projekt spezifische Nummer.

  6. Wählen Sie im Drop-down-Menü Rolle auswählen die Rolle Storage-Administrator aus.

    Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.

  7. Klicken Sie auf Speichern.

Befehlszeile

Führen Sie den Befehl gsutil iam ch aus:

gsutil iam ch \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.com:storageAdmin \
gs://BUCKET_NAME

In diesem Beispiel:

  • IDENTIFIER: Eine generierte Nummer, die für dieses Projekt spezifisch ist.
  • BUCKET_NAME: Der Name des verwendeten Buckets.

Transfer Appliance Cloud Setup Application herunterladen

So laden Sie die Transfer Appliance Cloud Setup Application herunter:

  1. Öffnen Sie das Cloud Console-Dashboard.

    Cloud Console-Dashboard öffnen

  2. Prüfen Sie, ob der Name des für die Übertragung verwendeten Projekts in der Projektauswahl angezeigt wird. In der Projektauswahl sehen Sie, in welchem Projekt Sie gerade arbeiten.

    Google Cloud-Projekt aus der Projektauswahl auswählen

    Wenn Sie den Namen des Projekts, das Sie für die Übertragung verwenden, nicht sehen, klicken Sie auf die Projektauswahl und wählen Sie dann das richtige Projekt aus.

  3. Klicken Sie auf „Cloud Shell aktivieren“.

    DevShell über die Menüleiste starten

  4. Verwenden Sie in Cloud Shell den Befehl wget, um die Transfer Appliance Cloud Setup Application herunterzuladen:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux
    

Transfer Appliance Cloud Setup Application ausführen

  1. Führen Sie in Cloud Shell den folgenden Befehl aus, um die Transfer Appliance Cloud Setup Application zu starten:

    chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
    
  2. Sie werden von der Transfer Appliance Cloud Setup Application nach Folgendem gefragt:

    • Dem Dienst-Agent, der an den Transfer Service for On Premises Data-Dienst gebunden ist. Das sieht in etwa so aus:

      project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

      In diesem Beispiel ist IDENTIFIER eine für dieses Projekt spezifische Nummer.

    • Der Sitzungs-ID aus der E-Mail des Transfer Appliance-Teams mit dem Betreff Google Transfer Appliance Access Credentials.

    • Ob Sie einen vorhandenen Bucket verwenden möchten:

      • Wenn Sie Ja auswählen, wird eine Liste mit Buckets angezeigt, aus denen Sie auswählen können.

      • Wenn Sie Nein auswählen, werden Sie aufgefordert, einen Bucket-Namen anzugeben. Es wird eine Liste mit Bucket-Standorten zur Auswahl angezeigt.

    • [Optional] Ein Objektpräfix. Ohne Objektpräfix werden Objekte mit dem Pfad der Quelle in Cloud Storage übertragen, ohne dass der Stammpfad vor dem Dateinamen im Dateisystem enthalten ist. Angenommen, Sie haben die folgenden Dateien:

      • /source_root_path/file1.txt
      • /source_root_path/dirA/file2.txt
      • /source_root_path/dirA/dirB/file3.txt
      Dann sind die Objektnamen in Cloud Storage Folgende:
      • file1.txt
      • dirA/file2.txt
      • dirA/dirB/file3.txt
      Das Objektpräfix wird dem Zielnamen des Objekts in Cloud Storage nach dem Zeichen / des Ziel-Bucket-Namens und vor den Namen von Pfaden hinzugefügt, aus denen das Objekt übertragen wurde. Bei diesen Pfaden handelt es sich nicht um den Stammpfad der Quelle. Hiermit können Sie besser zwischen Objekten unterscheiden, die von anderen Übertragungsjobs übertragen wurden.

      In der folgenden Tabelle werden mehrere Beispiele für Objektpräfixe und ihre resultierenden Objektnamen in Cloud Storage dargestellt, wenn der Pfad des Quellobjekts /source_root_path/sub_folder_name/object_name ist:
      Präfix Name des Zielobjekts
      /destination_bucket/sub_folder_name/object_name
      prefix/ /destination_bucket/prefix/sub_folder_name/object_name

    • Ob Sie einen von Google verwalteten oder vom Kunden verwalteten Cloud KMS-Schlüssel verwenden möchten:

      Wenn Sie einen vom Kunden verwalteten Cloud KMS-Schlüssel auswählen, werden Sie von der Transfer Appliance Cloud Setup Application gefragt, ob Sie einen vorhandenen Cloud KMS-Schlüssel verwenden möchten:

      • Wenn Sie Ja auswählen, werden Sie nach dem Cloud KMS-Schlüsselbund-Standort, dem Cloud KMS-Schlüsselbund und dem Cloud KMS-Schlüssel für diese Sitzung gefragt.
      • Wenn Sie Nein auswählen, werden Sie zur Eingabe des Standorts des Cloud KMS-Schlüsselbunds aufgefordert. Die Transfer Appliance Cloud Setup Application erstellt den Cloud KMS-Schlüssel an dem von Ihnen ausgewählten Standort.

    Beispielsitzung

    Im Folgenden finden Sie eine Beispielsitzung:

    Please enter the session ID (The session ID is shared separately by the
    Transfer Appliance support team)
    CUS-1120-TEST
    
    [Optional] Please enter the Google-managed service account if it was
    shared by the Transfer Appliance support team:
    project-12345@storage-transfer-service.gserviceaccount.com
    
    Would you like to use an existing storage bucket where your data will
    arrive?
    
    Choose Yes or No:
        Yes
       ▸No
    
    Name your bucket. Pick a globally unique, permanent name. Naming guidelines:
    https://cloud.google.com/storage/docs/naming-buckets
    
    2021-05-transfer-set
    
    Please wait. Fetching the list of available locations, this can take a few
    seconds..
    
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Cloud Storage Location:
      ▸ asia-east1
        asia-east2
        asia-northeast1
        asia-northeast2
    ↓   asia-northeast3
    
    [Optional] Enter an object prefix or press enter to skip:
    
    test
    
    Please select the encryption key type
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Key Type:
        Google-managed encryption key
      ▸ Customer-managed encryption key
    
    Would you like to use an existing Cloud KMS key?
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Yes or No:
        Yes
       ▸No
    
    Please wait. Fetching the list of available KMS locations, this can take a few seconds..
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose key ring location:
      ▸ asia
        asia-east1
        asia-east2
        asia-northeast1
    ↓   asia-northeast2
    
    Cloud Setup is complete.
    
    Next Steps..
    
    Please complete the form received in the email titled Google Transfer
    Appliance Access Credentials sent by the Transfer Appliance Team with the
    following information:
    
    Session ID:
    CUS-1120-TEST
    
    Google Cloud Platform Project ID:
    customer-test
    
    Encryption:
    Customer-managed encryption key
    
    Google Cloud Storage Destination Bucket Name:
    2021-05-tranfsfer-set
    
    Google Cloud Storage Destination Object Bucket Prefix (optional):
    
    Online Enabled:
    No
    

    Die Transfer Appliance Cloud Setup Application führt folgende Aufgaben aus:

    • Gewährt Berechtigungen für die Transfer Appliance-Dienstkonten, mit denen Daten in Ihren Cloud Storage-Bucket übertragen werden.
    • Gewährt den Transfer Appliance-Dienstkonten die Berechtigung, auf erforderliche Cloud KMS-Schlüsseldaten zuzugreifen, wenn Sie Vom Kunden verwalteter Schlüssel ausgewählt haben.
    • Zeigt die folgenden Informationen an:

      • Den Ressourcennamen des kryptografischen Schlüssel von Google Cloud, wenn Sie einen vom Kunden verwalteten Cloud KMS-Verschlüsselungsschlüssel verwenden möchten.
      • Den Namen des Google Cloud Storage-Ziel-Buckets.
      • Ein Präfix für den Google Cloud Storage-Ziel-Bucket, falls Sie eins angegeben haben.

      Die angezeigten Informationen werden auch im Basisverzeichnis (SESSION_ID-output.txt) in Cloud Shell gespeichert, wobei SESSION_ID die Sitzungs-ID für diese konkrete Übertragung ist.

      Die Namen der Dienstkonten, die die Berechtigung für diese konkrete Übertragung erhalten haben, werden in Cloud Shell im Basisverzeichnis cloudsetup.log gespeichert.

  3. Sie erhalten eine E-Mail vom Transfer Appliance-Team mit dem Betreff Transfer Appliance Prepare Permissions and Storage. Geben Sie in das in dieser E-Mail verknüpfte Formular die folgenden Informationen ein:

    • Die Google Cloud Platform-Projekt-ID.
    • Treffen Sie eine Auswahl für Verschlüsselung:
      • Von Google verwalteter Verschlüsselungsschlüssel, wenn Sie Ihren Verschlüsselungsschlüssel von Google verwalten lassen.
      • Vom Kunden verwalteter Verschlüsselungsschlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel verwalten. Wählen Sie den gewünschten Verschlüsselungsschlüssel aus dem Drop-down-Menü Vom Kunden verwalteten Verschlüsselungsschlüssel auswählen aus.
    • Den Google Cloud Storage-Ziel-Bucket-Namen, der für diese Übertragung verwendet wird.
    • Optional: Ein Präfix für einen Google Cloud Storage-Ziel-Bucket.

Fehlerbehebung

Fehler 400: Dienstkonto existiert nicht

Problem:

Transfer Appliance Cloud Setup Application zeigt die folgende Meldung an:

Service account SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Dabei ist SESSION_ID die Sitzungs-ID, die für die Transfer Appliance Cloud Setup Application bereitgestellt wird.

Lösung

Prüfen Sie die Sitzungs-ID der Übertragung. Die Sitzungs-ID ist für jede Übertragungssitzung eindeutig und wird vom Transfer Appliance-Team bereitgestellt. Wenn Sie keine Sitzungs-ID erhalten haben, wenden Sie sich an data-support@google.com.

Fehler: KMS-Standorte auflisten

Problem:

Transfer Appliance Cloud Setup Application zeigt die folgende Meldung an:

Error: listing kms locations

Lösung

Führen Sie in Cloud Shell folgende Schritte aus:

  1. Führen Sie eine erneute Authentifizierung durch Ausführen von gcloud auth login durch.

  2. Führen Sie die Transfer Appliance Cloud Setup Application noch einmal aus..

Wenn der Fehler weiterhin auftritt, wenden Sie sich an das Transfer Appliance-Team unter data-support@google.com.

Fehler: Cloud KMS-Schlüsseleinschränkung erstellen

Problem:

In der Transfer Appliance Cloud Setup Application wird eine Meldung wie die folgende angezeigt:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Lösung

Ihr Google Cloud-Projekt hat möglicherweise Organisationsrichtlinien, die das Erstellen von Cloud Key Management Service-Schlüsseln an bestimmten Standorten nicht zulassen. Folgende Lösungen sind möglich:

  • Wählen Sie einen anderen Standort aus, um den Cloud Key Management Service-Schlüssel zu erstellen.
  • Aktualisieren Sie die Organisationsrichtlinie, um das Erstellen des Cloud Key Management Service-Schlüssels am gewünschten Standort zuzulassen.

Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.