Como usar o aplicativo de configuração de nuvem do Transfer Appliance

Neste tópico, descrevemos como configurar permissões do Google Cloud e o Cloud Storage usando o aplicativo de configuração de nuvem do Transfer Appliance.

O aplicativo de configuração de nuvem do Transfer Appliance solicita informações, como o ID da sessão de transferência, o bucket de destino do Cloud Storage e as preferências do Cloud Key Management Service (Cloud KMS). Com base nas informações fornecidas, o aplicativo de configuração de nuvem do Appliance do Transfer configura suas permissões do Google Cloud, o bucket preferido do Cloud Storage e a chave do Cloud KMS para sua transferência.

Antes de começar

Verifique se você tem o seguinte:

  • O nome do projeto usado para a transferência.

  • O ID da sessão do e-mail da equipe do Transfer Appliance chamado Credenciais de acesso do Google Transfer Appliance. Você preencherá o formulário neste e-mail, que a equipe do Transfer Appliance usa para configurar a transferência.

  • Os papéis do IAM corretos.

    Se você é o proprietário do projeto, basta roles/owner.

    Se você não tiver roles/owner e estiver criando um bucket do Cloud Storage e uma chave do Cloud KMS por meio do aplicativo de configuração de nuvem do Transfer Appliance, precisará ter os papéis roles/storage.admin e roles/cloudkms.admin do projeto do Google Cloud.

    Se você não tiver roles/owner e estiver usando um bucket do Cloud Storage e uma chave do Cloud KMS, será necessário ter o papel roles/storage.admin no bucket do Cloud Storage e roles/cloudkms.admin na chave do Cloud KMS que você está usando para a transferência.

    Para ver os papéis do IAM que os principais têm em um projeto e nos recursos dele, faça o seguinte:

    1. No Console do Cloud, acesse a página IAM.

      Acessar a página IAM

    2. A página exibe todos os principais que têm papéis do IAM no projeto.

  • O agente de serviços que está vinculado ao serviço de transferência de dados locais. Esse agente de serviço está listado em um e-mail intitulado Bucket de destino de preparação do Google Transfer Appliance e é semelhante ao seguinte exemplo:

    project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

    Neste exemplo, IDENTIFIER é um número gerado específico para este projeto específico.

    Usamos o serviço de transferência de dados locais para transferir dados do dispositivo para o bucket do Cloud Storage.

Conceder permissões ao agente de serviço

Para conceder permissões ao agente de serviço, faça o seguinte:

Console do Google Cloud

  1. No Console do Cloud, acesse a página Navegador do Cloud Storage.

    Acessar o navegador

  2. Clique no menu flutuante do bucket () associado ao bucket ao qual você está concedendo ao principal um papel.

  3. Selecione Editar permissões do bucket.

  4. Clique no botão + Adicionar membros.

  5. No campo Novos assinantes, digite o agente de serviço. O exemplo é semelhante a este:

    project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

    Neste exemplo, IDENTIFIER é um número gerado específico para este projeto.

  6. No menu suspenso Selecionar um papel, selecione o papel Administrador do Storage.

    Os papéis selecionados são exibidos no painel com uma breve descrição das permissões que eles concedem.

  7. Clique em Save.

Linha de comando

Use o comando gsutil iam ch:

gsutil iam ch \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.com:storageAdmin \
gs://BUCKET_NAME

Neste exemplo:

  • IDENTIFIER: um número gerado específico para este projeto.
  • BUCKET_NAME: o nome do bucket que você está usando.

Fazer o download do aplicativo de configuração de nuvem do Transfer Appliance

Para fazer o download do aplicativo de configuração de nuvem do Transfer Appliance:

  1. Abra o painel do Console do Cloud.

    Abrir o painel do Console do Cloud

  2. Verifique se o nome do projeto usado para a transferência é exibido no seletor de projetos. O seletor de projetos informa em qual projeto você está trabalhando atualmente.

    Como selecionar um projeto do Google Cloud no seletor de projetos

    Se você não vir o nome do projeto que está usando para a transferência, clique no seletor do projeto e selecione o projeto correto.

  3. Clique em Ativar o Cloud Shell.

    Iniciando o devshell na barra de menus.

  4. No Cloud Shell, use o comando wget para fazer o download do aplicativo de configuração de nuvem do Transfer Appliance:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux
    

Executar o aplicativo de configuração de nuvem do Transfer Appliance

  1. No Cloud Shell, execute o seguinte comando para iniciar o aplicativo de configuração de nuvem do Transfer Appliance:

    chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
    
  2. O aplicativo de configuração de nuvem do Transfer Appliance solicita os seguintes itens:

    • O agente de serviço vinculado ao serviço de transferência de dados locais. O resultado será semelhante a este:

      project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

      Neste exemplo, IDENTIFIER é um número gerado específico para este projeto específico.

    • O ID da sessão, do e-mail da equipe do Transfer Appliance intitulado Credenciais de acesso do Google Transfer Appliance.

    • Se você quer usar um bucket atual:

      • Se você selecionar Sim, uma lista de buckets será exibida para escolher.

      • Se você selecionar Não, será necessário fornecer um nome para o bucket. Uma lista de locais de bucket é exibida para você escolher.

    • [Opcional] Um prefixo de objeto. Sem essa informação, os objetos são transferidos para o Cloud Storage com o caminho de origem, sem incluir o caminho raiz, antes do nome do arquivo no sistema. Por exemplo, se você tiver os seguintes arquivos:

      • /source_root_path/file1.txt
      • /source_root_path/dirA/file2.txt
      • /source_root_path/dirA/dirB/file3.txt
      Os nomes de objeto no Cloud Storage serão:
      • file1.txt
      • dirA/file2.txt
      • dirA/dirB/file3.txt
      O prefixo do objeto é adicionado ao nome de destino do objeto no Cloud Storage, depois do caractere / do nome do bucket de destino e antes dos nomes de caminhos de onde o objeto foi transferido, sem incluir o caminho raiz da origem. Isso pode ajudar você a distinguir entre objetos transferidos de outros jobs de transferência.

      A tabela a seguir demonstra vários exemplos de prefixos de objetos e os nomes de objetos resultantes no Cloud Storage, se o caminho do objeto de origem for /source_root_path/sub_folder_name/object_name:
      Prefixo Nome do objeto de destino
      Nenhum /destination_bucket/sub_folder_name/object_name
      prefix/ /destination_bucket/prefix/sub_folder_name/object_name

    • Se você quer usar uma chave do Cloud KMS gerenciada pelo Google ou pelo cliente:

      Se você selecionar uma chave do Cloud KMS gerenciada pelo cliente, o aplicativo de configuração de nuvem do Transfer Appliance perguntará se você prefere usar uma chave atual do Cloud KMS:

      • Se você selecionar Sim, serão solicitados o local do keyring do Cloud KMS, o keyring do Cloud KMS e a chave do Cloud KMS usada nessa sessão.
      • Se você selecionar Não, o local do keyring do Cloud KMS será solicitado. O aplicativo de configuração de nuvem para o Transfer Appliance cria a chave do Cloud KMS no local selecionado.

    Sessão de exemplo

    Veja a seguir uma sessão de exemplo:

    Please enter the session ID (The session ID is shared separately by the
    Transfer Appliance support team)
    CUS-1120-TEST
    
    [Optional] Please enter the Google-managed service account if it was
    shared by the Transfer Appliance support team:
    project-12345@storage-transfer-service.gserviceaccount.com
    
    Would you like to use an existing storage bucket where your data will
    arrive?
    
    Choose Yes or No:
        Yes
       ▸No
    
    Name your bucket. Pick a globally unique, permanent name. Naming guidelines:
    https://cloud.google.com/storage/docs/naming-buckets
    
    2021-05-transfer-set
    
    Please wait. Fetching the list of available locations, this can take a few
    seconds..
    
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Cloud Storage Location:
      ▸ asia-east1
        asia-east2
        asia-northeast1
        asia-northeast2
    ↓   asia-northeast3
    
    [Optional] Enter an object prefix or press enter to skip:
    
    test
    
    Please select the encryption key type
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Key Type:
        Google-managed encryption key
      ▸ Customer-managed encryption key
    
    Would you like to use an existing Cloud KMS key?
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Yes or No:
        Yes
       ▸No
    
    Please wait. Fetching the list of available KMS locations, this can take a few seconds..
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose key ring location:
      ▸ asia
        asia-east1
        asia-east2
        asia-northeast1
    ↓   asia-northeast2
    
    Cloud Setup is complete.
    
    Next Steps..
    
    Please complete the form received in the email titled Google Transfer
    Appliance Access Credentials sent by the Transfer Appliance Team with the
    following information:
    
    Session ID:
    CUS-1120-TEST
    
    Google Cloud Platform Project ID:
    customer-test
    
    Encryption:
    Customer-managed encryption key
    
    Google Cloud Storage Destination Bucket Name:
    2021-05-tranfsfer-set
    
    Google Cloud Storage Destination Object Bucket Prefix (optional):
    
    Online Enabled:
    No
    

    O aplicativo de configuração de nuvem do Transfer Appliance faz o seguinte ao ser concluído:

    • Concede permissões às contas de serviço do Transfer Appliance usadas para transferir dados para o bucket do Cloud Storage.
    • Concede permissão às contas de serviço do Transfer Appliance para acessar os dados de chave do Cloud KMS necessários se você tiver escolhido Chave gerenciada pelo cliente.
    • Exibe as seguintes informações:

      • O nome do recurso de chave criptográfica do Google Cloud, se você escolheu usar uma chave de criptografia do Cloud KMS gerenciada pelo cliente.
      • O nome do bucket de destino do Google Cloud Storage.
      • Um prefixo de bucket de destino do Google Cloud Storage, se você tiver fornecido um.

      As informações exibidas também são armazenadas no diretório inicial do Cloud Shell, denominado SESSION_ID-output.txt, em que SESSION_ID é o ID da sessão dessa transferência específica.

      Os nomes das contas de serviço que receberam permissão para essa transferência específica são armazenados no diretório inicial no Cloud Shell, chamado cloudsetup.log.

  3. Você receberá um e-mail da equipe do Transfer Appliance, com o nome Permissões e armazenamento de preparação do Google Transfer Appliance. Preencha o formulário vinculado a esse e-mail com as seguintes informações:

    • O ID do projeto do Google Cloud Platform.
    • Escolha sua opção para Criptografia:
      • Chave de criptografia gerenciada pelo Google, se você optou por deixar o Google gerenciar sua chave.
      • Chave de criptografia gerenciada pelo cliente, se você escolheu gerenciar sua própria chave de criptografia. Selecione a chave de criptografia no menu suspenso Selecionar uma chave de criptografia gerenciada pelo cliente.
    • O nome do bucket de destino do Google Cloud Storage usado para essa transferência.
    • Opcional: um prefixo do bucket de destino do Google Cloud Storage

Solução de problemas

Erro 400: a conta de serviço não existe.

Problema:

O aplicativo de configuração de nuvem do Transfer Appliance exibe a seguinte mensagem:

Service account SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Em que SESSION_ID é o ID da sessão fornecido para o aplicativo de configuração de nuvem do Transfer Appliance.

Solução:

Verifique o ID da sessão para a transferência. Ele é exclusivo para cada sessão de transferência e compartilhado pela equipe do Transfer Appliance. Se você não recebeu um ID de sessão, entre em contato pelo e-mail data-support@google.com.

Erro: listagem de locais do KMS

Problema:

O aplicativo de configuração de nuvem do Transfer Appliance exibe a seguinte mensagem:

Error: listing kms locations

Solução:

Faça o seguinte no Cloud Shell:

  1. Execute gcloud auth login para autenticar novamente.

  2. Tente novamente o aplicativo de configuração de nuvem do Transfer Appliance.

Se o erro persistir, entre em contato com a equipe do Transfer Appliance pelo e-mail data-support@google.com.

Erro: criação do erro de restrição de chave do Cloud KMS

Problema:

O aplicativo de configuração de nuvem do Transfer Appliance exibe uma mensagem semelhante a esta:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Solução:

O projeto do Google Cloud pode ter políticas da organização que não permitem a criação de chaves do Cloud Key Management Service em determinados locais. Veja as possíveis soluções a seguir:

  • Escolha outro local para criar a chave do Cloud Key Management Service.
  • Atualize a política da organização para permitir a criação de chaves do Cloud Key Management Service no local desejado.

Para mais informações, consulte Como restringir locais de recursos.