Guide d'installation

Cette page explique comment préparer, installer et configurer votre serveur Transfer Appliance.

Préparer les autorisations et le stockage IAM

La personne qui prépare Transfer Appliance doit préparer un bucket Cloud Storage et configurer deux comptes de service et créer une paire de clés Cloud Key Management Service (Cloud KMS).

La personne qui prépare Transfer Appliance doit préparer les éléments suivants:

  • Un bucket Cloud Storage, qui est un conteneur de base utilisé pour stocker des données dans Cloud Storage
  • L'accès à deux comptes de service, qui permettent de déplacer vos données depuis Transfer Appliance vers le bucket Cloud Storage de destination.
  • Une clé Cloud Key Management Service (Cloud KMS) publique. La clé publique sert à chiffrer vos données sur Transfer Appliance et la clé privée permet de déchiffrer vos données dans votre bucket Cloud Storage.
  • Une clé de compte de service.

Pour préparer les autorisations et le stockage Google Cloud, effectuez l'une des opérations suivantes:

  • Application de configuration cloud de Transfer Appliance Dans Google Cloud Console, vous activez Google Cloud Shell et téléchargez une petite application. L'application vous invite à saisir des valeurs, et configure les autorisations et le stockage Google Cloud. Vous envoyez ensuite les données pertinentes à l'équipe Transfer Appliance.

  • Configuration détaillée des autorisations. Utilisez Google Cloud Console ou une invite de ligne de commande pour configurer les autorisations et le stockage Google Cloud. Vous appliquez toutes les modifications nécessaires et envoyez les données pertinentes à l'équipe Transfer Appliance.

Préparer une clé de compte de service

Pour préparer une clé de compte de service, procédez comme suit:

  1. Créez une clé de compte de service pour le compte de service géré par l'utilisateur. La clé est téléchargée lors de sa création, et vous ne pouvez plus la télécharger à nouveau.

  2. Enregistrez la clé à un emplacement sécurisé et renommez-la en key.json.

Configurer les ports réseau IP

Demandez à votre administrateur réseau de configurer vos ports IP pour Transfer Appliance.

Transfer Appliance nécessite que les ports IP suivants soient ouverts pour les connexions sortantes de votre WAN:

  • Port TCP 80 (HTTP)
  • Port TCP 443 (HTTPS)

Consultez la section Configurer les ports réseau IP pour les ports réseau IP requis par Transfer Appliance pour les transferts à partir de postes de travail de votre réseau local.

Vérifier le contenu du package

Avant de connecter Transfer Appliance, nous vous recommandons vivement de vérifier que le colis est arrivé intact, avec tous les câbles et l'équipement requis. Nous mettons tout en œuvre pour que le transfert de données aboutisse.

Après avoir reçu Transfer Appliance, vérifiez que le contenu du package est intact en procédant comme suit:

  1. Assurez-vous que la malette d'expédition et les étiquettes de sécurité sont intactes.

    Anneaux en D sécurisés par un câble de scellé de sécurité

    .
  2. Contactez l'équipe Transfer Appliance s'il manque l'un des éléments suivants:

    Élément Description
    Photo représentant un câble d'alimentation NEMA 5-15 P vers C13 Câble d'alimentation NCAA 5-15 P vers C13
    Photo représentant un câble d'alimentation C14 vers C13 Câble d'alimentation C14 vers C13 pour les connexions à l'unité de distribution d'alimentation
    Photo représentant un câble réseau de catégorie 6 Câble réseau de catégorie 6 (Cat6)
    Photo représentant un câble réseau en cuivre QSFP+ Twinax Câble réseau en cuivre QSFP+ Twinax
    Photo représentant un câble réseau QSFP+ vers 4xSFP+ Câble réseau QSFP+ vers 4xSFP+
    Photo représentant un câble d'adaptateur USB vers série Câble adaptateur USB vers série (à utiliser uniquement si l'équipe Transfer Appliance vous le demande)
    Photo représentant un adaptateur série broche à prise Adaptateur série broche à prise
    Photo représentant un tag inviolable Scellé de sécurité avec câble métallique
    Exemple de tag à nœud Étiquette volante
    Exemple de pochette d'étiquette de livraison Pochette pour étiquette d'expédition
    Photo d'un serveur Transfer Appliance dans un étui de transport ouvert Transfer Appliance

Valider le serveur

Avant de connecter le serveur à votre réseau, vous devez exécuter une petite application sur votre ordinateur portable afin de vérifier qu'il n'a pas été altéré au cours de la livraison.

L'application Transfer Appliance Attestation est compatible avec les systèmes d'exploitation 64 bits suivants :

  • Linux Kernel 2.6.23 ou une version ultérieure
  • Microsoft Windows Server 2012 ou version ultérieure
  • Microsoft Windows 10
  • Apple macOS 10.11 ou version ultérieure

Pour valider le système, procédez comme suit:

  1. Trouvez un emplacement pour le système. Les emplacements acceptés sont les suivants :

    • Sur le sol
    • Sur un bureau
  2. Branchez un câble Cat6 raccordé au port réseau de gauche et à votre ordinateur portable.

  3. Branchez le câble d'alimentation fourni à la prise électrique du système, puis à une prise électrique ouverte sur un bloc d'alimentation.

    Branchement des câble du serveur Transfer Appliance

  4. Allumez le serveur Transfer Appliance.

  5. Exécutez une commande ping pour vérifier que vous pouvez contacter le serveur via son port de gestion :

    ping 169.254.20.1

    L'exemple de réponse suivant ressemble au résultat renvoyé :

    PING 169.254.20.1 (169.254.20.1) 56(84) bytes of data.
    64 bytes from 169.254.20.1: icmp_seq=1 ttl=64 time=0.060 ms
    64 bytes from 169.254.20.1: icmp_seq=2 ttl=64 time=0.039 ms
    64 bytes from 169.254.20.1: icmp_seq=3 ttl=64 time=0.039 ms
    ^C
    --- 169.254.20.1 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2045ms
    rtt min/avg/max/mdev = 0.039/0.046/0.060/0.009 ms
    
  6. Pour télécharger l'application d'attestation de Transfer Appliance sur votre ordinateur portable, procédez comme suit:

    Microsoft Windows

    1. Téléchargez l'application d'attestation Transfer Appliance sur votre ordinateur portable.

    2. Ouvrez une invite de commande et accédez à l'emplacement où vous avez téléchargé l'application d'attestation Transfer Appliance.

    3. Pour valider le système, exécutez la commande suivante sur votre ordinateur portable:

      taattestator_x86_64-windows.exe
      

    Linux

    1. Sur votre ordinateur portable, ouvrez une application de terminal.

    2. Pour télécharger l'application d'attestation Transfer Appliance, exécutez la commande suivante sur votre ordinateur:

      wget https://storage.googleapis.com/transferappliance/attestator/taattestator_x86_64-linux
      
    3. Exécutez les commandes suivantes sur votre ordinateur portable pour vérifier le serveur :

      chmod 0777 taattestator_x86_64-linux
      ./taattestator_x86_64-linux
      

    Apple macOS

    1. Ouvrez l'application de terminal.

    2. Exécutez la commande suivante sur votre ordinateur portable pour télécharger l'application d'attestation Transfer Appliance :

      curl -O https://storage.googleapis.com/transferappliance/attestator/taattestator_x86_64-darwin
      
    3. Exécutez les commandes suivantes sur votre ordinateur portable pour vérifier le serveur :

      chmod 0777 taattestator_x86_64-darwin
      ./taattestator_x86_64-darwin
      
  7. Remplissez le formulaire fourni dans l'e-mail intitulé Réception du serveur Google Transfer Appliance et procédure de validation. Dans le formulaire, saisissez le code secret d'attestation Transfer Appliance renvoyé par le serveur.

    Dans le cas contraire, l'équipe Transfer Appliance fournira les identifiants de connexion au serveur.

    Si l'appareil a fait l'objet d'une falsification lors de l'expédition, l'équipe Transfer Appliance vous fournit des instructions de retour et organise la livraison d'un autre appareil.

Se connecter à Transfer Appliance

Pour vous connecter au serveur, vous avez besoin des informations de connexion. L'équipe Transfer Appliance fournit les informations de connexion au serveur en échange d'un code secret Transfer Appliance Attestation, indiquant que le serveur n'a pas subi d'altération pendant la livraison.

Une fois que vous disposez des informations de connexion, procédez comme suit pour connecter le serveur à votre réseau :

  1. Gardez le câble Cat6 connecté entre le port réseau de gauche et votre ordinateur portable.

  2. Connectez un câble Cat6 au port réseau approprié et à un port RJ45 ouvert connecté à votre réseau.

    Port réseau mis en évidence sur le serveur

  3. Connectez-vous au serveur :

    Windows

    1. Ouvrez Putty.
    2. Dans le champ Connection type (Type de connexion), sélectionnez SSH.
    3. Dans le champ Host Name (Nom d'hébergeur), saisissez :

      169.254.20.1
                  

    4. Pour le champ Type de connexion, vérifiez que l'option SSH est sélectionnée.
    5. Cliquez sur Ouvrir.
    6. Saisissez le nom d'utilisateur fourni par l'équipe Transfer Appliance lorsque vous y êtes invité.
    7. Saisissez le mot de passe fourni par l'équipe Transfer Appliance lorsque vous y êtes invité.

    Linux

    1. Exécutez la commande suivante :

      ssh USERNAME@169.254.20.1
                  

      Remplacer USERNAME par le nom d'utilisateur fourni par l'équipe Transfer Appliance

    2. Saisissez le mot de passe Transfer Appliance lorsque vous y êtes invité.

    Mac

    1. Exécutez la commande suivante :

      ssh USERNAME@169.254.20.1
                  

      Remplacer USERNAME par le nom d'utilisateur fourni par l'équipe Transfer Appliance

    2. Saisissez le mot de passe Transfer Appliance lorsque vous y êtes invité.

Configurer le logiciel du serveur

Avant de transférer des données vers le serveur Transfer Appliance, vous devez vérifier son état et configurer le logiciel pour que le serveur fonctionne sur votre réseau.

Pour configurer le logiciel du système, procédez comme suit:

  1. Vérifiez l'état du serveur en exécutant la commande suivante sur votre ordinateur portable ou votre poste de travail connecté au serveur :

    ta status 

    L'exemple de réponse suivant ressemble au résultat renvoyé :

    You are ready to configure the appliance.
    
    Next steps:
    » Configure the appliance using one of the following commands:
      > ta config --data_port=RJ45 --ip=dhcp
      > ta config --data_port=QSFP --ip=dhcp
    » To set a static IP address and netmask, use the '--ip' flag. For example:
      > ta config --data_port=RJ45 --ip=192.168.0.100/24
      > ta config --data_port=QSFP --ip=192.168.0.100/24
    » To set a static IP address and gateway, use the '--ip' and '--gw' flags. For example:
      > ta config --data_port=RJ45 --ip=192.168.0.100/24 --gw=192.168.0.1
      > ta config --data_port=QSFP --ip=192.168.0.100/24 --gw=192.168.0.1
      
  2. Configurez le serveur. Vous pouvez configurer le serveur pour qu'il utilise DHCP pour obtenir automatiquement une adresse IP, ou le configurer pour qu'il utilise une adresse IP statique.

    Pour configurer le système, exécutez la commande suivante:

    DHCP

    ta config --data_port=PORT --ip=dhcp
    

    Remplacez PORT par le port de données que vous utilisez sur le serveur, à savoir RJ45 ou QSFP.

    Adresse IP statique

    ta config --data_port=PORT --ip=IP_ADDRESS/NETMASK --gw=GATEWAY_ADDRESS

    Remplacez l'élément suivant :

    • PORT : port de données que vous utilisez sur le serveur, à savoir RJ45 ou QSFP.
    • IP_ADDRESS: adresse IP du système, ou dhcp pour la configuration automatique des adresses IP.
    • NETMASK : masque de réseau en notation CIDR. Ce champ n'est pas obligatoire si vous utilisez DHCP.
    • GATEWAY_ADDRESS: adresse IP de la passerelle. Ce champ n'est pas obligatoire si vous utilisez DHCP.

    L'exemple de réponse suivant ressemble au résultat renvoyé :

    Configuring, encrypting, and mounting data partition...
    Verified partition settings for "/mnt/ta_metadata".
    Partition key generated and encrypted.
    Verifying partition settings and mounting data partition.
    This may take several minutes to finish...
    Mounted partition "/mnt/ta_data".
    Verified partition settings for "/mnt/ta_data".
    Data partition is mounted.
    Network is configured.
    Configured NFS share "/mnt/ta_data".
    NFS share "/mnt/ta_data" is configured.
    
    Appliance has been successfully configured. You can begin copying data.
    
    Use these commands to mount the NFS share from your client:
    > sudo mkdir /mnt/data
    > sudo mount 192.168.0.100:/mnt/ta_data /mnt/data
    

Copier les données

Pour copier des données, vous devez installer le serveur dans votre source de données et utiliser votre utilitaire de copie pour transférer des données depuis votre source de données vers Transfer Appliance.

Transfer Appliance accepte les méthodes suivantes pour copier des données vers le système:

Utiliser CSS ou SFTP pour copier des données

Pour copier des données vers le système à l'aide de SCP ou SFTP, procédez comme suit:

Microsoft Windows

  1. Téléchargez un client SCP ou SFTP compatible avec les noms de fichiers UTF-8, tels que WinSCP.

  2. À l'aide de l'outil SCP, connectez-vous au dispositif à l'aide des paramètres suivants:

    • File protocol (Protocole de fichier) : SFTP
    • Nom d'hôte: adresse IP du système
    • Numéro de port: 22
    • Nom d'utilisateur: nom d'utilisateur du système fourni par l'équipe Transfer Appliance.
    • Password (Mot de passe) : mot de passe du système fourni par l'équipe Transfer Appliance

Linux

  1. Exécutez la commande suivante :

    scp PATH_TO_FILES USERNAME@IP_ADDRESS:/mnt/ta_data
    

    Remplacez les éléments suivants :

    • PATH_TO_FILES: chemin d'accès aux fichiers que vous copiez.
    • USERNAME: nom d'utilisateur du serveur fourni par l'équipe Transfer Appliance
    • IP_ADDRESS: adresse IP du système
  2. Lorsque vous y êtes invité, saisissez le mot de passe du système fourni par l'équipe Transfer Appliance.

Apple macOS

  1. Exécutez la commande suivante :

    scp PATH_TO_FILES USERNAME@IP_ADDRESS:/mnt/ta_data
    

    Remplacez les éléments suivants :

    • PATH_TO_FILES: chemin d'accès aux fichiers que vous copiez.
    • USERNAME: nom d'utilisateur du serveur fourni par l'équipe Transfer Appliance
    • IP_ADDRESS: adresse IP du système
  2. Lorsque vous y êtes invité, saisissez le mot de passe du système fourni par l'équipe Transfer Appliance.

Utiliser les données NFS partagées

Pour copier des données vers le système à l'aide du partage NFS, procédez comme suit:

  1. Pour installer Transfer Appliance, exécutez les commandes suivantes sur votre source de données:

    Linux

    1. sudo mkdir /mnt/data
      
    2. sudo mount -o vers=4 IP_ADDRESS:/mnt/ta_data /mnt/data
      

      Remplacez IP_ADDRESS par l'adresse IP du serveur.

    Apple macOS

    1. cd ~
      
    2. mkdir ta_data
      
    3. sudo mount -t nfs -o vers=4,resvport IP_ADDRESS:/mnt/ta_data ~/ta_data
      

      Remplacez IP_ADDRESS par l'adresse IP du serveur.

  2. Pour copier des données sur le système, utilisez l'utilitaire de copie de votre choix.

    La copie de données est une opération de longue durée. Sous Apple macOS ou Linux, nous vous recommandons d'utiliser tmux ou screen pour vous assurer que le processus de copie survit à la déconnexion ou au déconnexion du réseau.

Activer/Désactiver le transfert en ligne

À ce stade, le serveur Transfer Appliance est configuré pour le transfert hors connexion. Dans le transfert hors connexion, vous pouvez copier des données sur le système jusqu'à ce qu'il soit complet, puis nous renvoyer le serveur afin de déplacer les données copiées vers votre bucket Cloud Storage.

Vous pouvez activer le transfert en ligne afin que les données copiées sur le système soient transmises vers votre bucket Cloud Storage. Une fois les données importées dans votre bucket Cloud Storage, elles sont supprimées du système. Vous pourrez ultérieurement choisir de désactiver le transfert en ligne et d'utiliser Transfer Appliance en mode de transfert hors connexion.

Le transfert en ligne nécessite un accès Internet sortant afin que nous puissions diffuser des données depuis le système vers le bucket Cloud Storage.

Pour activer le transfert en ligne, procédez comme suit:

  1. Vérifiez votre connectivité sortante depuis le système en exécutant la commande suivante:

    ping google.com
    

    Si la commande échoue, cela peut indiquer que le DNS est mal configuré sur le dispositif. Si le système a été configuré pour utiliser une adresse IP statique, procédez comme suit:

    1. Vérifiez que les paramètres réseau sont corrects, y compris les paramètres du serveur DNS.
    2. Essayez de configurer l'appareil pour qu'il utilise DHCP.
    3. Réinitialisez la configuration du système en exécutant les commandes suivantes:

      ta reset
      
      ta config --data_port=PORT --ip=dhcp
      

      Remplacez PORT par le port de données que vous utilisez sur le serveur, à savoir RJ45 ou QSFP.

  2. Copiez la clé de service téléchargée de la page Préparer les autorisations et le stockage IAM dans le dossier tmp du système en procédant comme suit:

    Windows

    1. À l'aide de l'outil SCP, connectez-vous au dispositif à l'aide des paramètres suivants:

      • File protocol (Protocole de fichier) : SFTP
      • Nom d'hôte: adresse IP du système
      • Numéro de port: 22
      • Nom d'utilisateur: nom d'utilisateur du système fourni par l'équipe Transfer Appliance.
      • Mot de passe: mot de passe du système fourni par l'équipe Transfer Appliance.
    2. Copier le fichier dans le dossier /tmp

    Linux

    1. Exécutez la commande suivante :

      scp PATH_TO_KEY_FILE/key.json USERNAME@IP_ADDRESS:/tmp
      

      Remplacez les éléments suivants :

      • PATH_TO_KEY_FILE: chemin d'accès au fichier de clé que vous copiez.
      • USERNAME: nom d'utilisateur du serveur fourni par l'équipe Transfer Appliance
      • IP_ADDRESS: adresse IP du système
    2. Lorsque vous y êtes invité, saisissez le mot de passe du système fourni par l'équipe Transfer Appliance.

    Apple macOS

    1. Exécutez la commande suivante :

      scp PATH_TO_KEY_FILE/key.json USERNAME@IP_ADDRESS:/tmp
      

      Remplacez les éléments suivants :

      • PATH_TO_KEY_FILE: chemin d'accès au fichier de clé que vous copiez.
      • USERNAME: nom d'utilisateur du serveur fourni par l'équipe Transfer Appliance
      • IP_ADDRESS: adresse IP du système
    2. Lorsque vous y êtes invité, saisissez le mot de passe du système fourni par l'équipe Transfer Appliance.

  3. Pour mettre le système en mode en ligne, exécutez la commande suivante:

    ta online
    

    L'exemple de réponse suivant ressemble au résultat renvoyé :

    
    Starting containers for online transfer...
    Copied new credentials.
    Running binary to enable online transfer.
    This may take several minutes to finish...
    
    Containers have been successfully started. You can transfer data in
    online mode.
    

Pour désactiver le transfert en ligne, exécutez la commande suivante:

ta offline

L'exemple de réponse suivant ressemble au résultat renvoyé :


Putting the appliance in offline mode...
Appliance is successfully put into the offline mode.

Pour résoudre les problèmes liés au mode en ligne, consultez la section Résoudre les problèmes liés au mode en ligne.

Surveiller l'état de la copie

La manière dont vous surveillez l'état de la copie dépend du mode que vous utilisez pour votre serveur.

  • Si vous avez activé la copie en ligne pour que le système transfère directement les données vers Cloud Storage, consultez la section Surveiller l'état de la copie en ligne.

    Vous pouvez surveiller la progression des transferts en ligne depuis Transfer Appliance vers votre bucket Cloud Storage dans Google Cloud Console.

    Pour en savoir plus, consultez la section Tâches de surveillance.

  • Si vous n'avez pas activé la copie en ligne et que le système ne transfère donc pas directement les données vers Cloud Storage, consultez la section Surveiller l'état de la copie hors connexion.

Surveiller l'état de la copie hors connexion

Pendant le transfert des données, vous pouvez surveiller la progression du transfert.

Pour surveiller la progression du serveur Transfer Appliance, procédez comme suit:

  1. Connectez-vous au système et exécutez la commande suivante:

     ta status --verbose
     

    L'exemple de réponse suivant ressemble au résultat renvoyé :

    Checking the state of the appliance:
    » The encrypted partition key is present.
    » The data partition is mounted and shared.
    
    You are ready to copy data to the appliance.
    
    Data partition:
    » Mount path: /mnt/ta_data
    » Used space: 2.6M
    » Available space: 919M
    » Used inodes: 11
    » Available inodes (required to create new files): 64k
    
    Next steps:
    » Use these commands to mount the NFS share from your client:
      > sudo mkdir /mnt/data
      > sudo mount 192.168.0.100:/mnt/ta_data /mnt/data
    » When done copying, finalize the appliance with this command:
      > ta finalize
    

Mettre à jour le logiciel du serveur

Vous pouvez mettre à jour le logiciel Transfer Appliance sur votre système en activant le transfert en ligne. La mise à jour du logiciel redémarre également le transfert en ligne.

Pour mettre à jour le logiciel Transfer Appliance, exécutez ta update.

L'exemple de réponse suivant ressemble au résultat renvoyé :


Updating containers on the appliance...
This may take several minutes to finish...

Appliance has been updated successfully.

Si le transfert en ligne n'est pas activé, l'exemple de réponse suivant est renvoyé:


Appliance is not running online transfer, thus not updating online containers.

Finaliser les données copiées

L'opération de finalisation prépare le serveur avant son expédition à Google en supprimant la clé de déchiffrement, ce qui rend les données inaccessibles jusqu'à sa réception par Google. Lorsque la clé de déchiffrement est supprimée, vous ne pouvez pas copier de données supplémentaires sur le système sans supprimer toutes les données précédemment copiées.

Pour finaliser la copie des données, procédez comme suit :

  1. Connectez-vous au serveur.

  2. Exécutez la commande ta finalize et notez le code secret renvoyé dans le résultat.

    L'exemple de réponse suivant ressemble au résultat renvoyé :

    Finalizing prepares the appliance for shipping by removing the decryption key,
    making the data inaccessible until it reaches Google. Once finalized, there is
    no way to access your data or add more data without deleting everything on the
    drive.
    
    Are you ready to finalize the appliance and ship it back to Google? (y/n) y
    Umounted data partition and disabled automount.
    Finalize step is complete.
    
    This passcode must be used to get a return shipping label: NNNN
    If you forget your passcode, run 'ta status' to display it again.
    TA:~$ ta status
    
    You are ready to ship the appliance back to Google.
    
    Next steps:
    » Use this passcode when requesting a shipping label: NNNN
    » Contact the appliance team at data-support@google.com.
    
  3. Saisissez le code secret renvoyé par la commande ta finalize dans le formulaire inclus dans l'e-mail intitulé Instructions de retour du serveur Google Transfer Appliance envoyé par l'équipe Transfer Appliance.

    Pour afficher à nouveau le code secret, exécutez la commande ta status.

    L'équipe Transfer Appliance envoie l'étiquette d'expédition du serveur Transfer Appliance en échange du code secret donné.

  4. Une fois l'étiquette d'expédition reçue, éteignez le serveur et débranchez tous les câbles.

Emballez et retournez le serveur

Une fois vos données transférées et finalisées sur le serveur Transfer Appliance, vous devez le préparer en vue de son expédition. Cette étape comprend l'impression et l'application d'une étiquette de livraison, la collecte des câbles du dispositif, l'emballage de l'appareil et la communication au transporteur pour retourner l'appareil.

Vous utilisez la même boîte d'expédition que le serveur de Transfer Appliance.

Pour renvoyer le serveur, procédez comme suit:

  1. Imprimez l'étiquette d'expédition.

  2. Rangez les éléments suivants dans le compartiment des câbles de la mallette d'expédition :

    Élément Description
    Photo représentant un câble d'alimentation NEMA 5-15 P vers C13 Câble d'alimentation NCAA 5-15 P vers C13
    Photo représentant un câble d'alimentation C14 vers C13 Câble d'alimentation C14 vers C13 pour les connexions à l'unité de distribution d'alimentation
    Photo représentant un câble réseau de catégorie 6 Câble réseau de catégorie 6 (Cat6)
    Photo représentant un câble réseau en cuivre QSFP+ Twinax Câble réseau en cuivre QSFP+ Twinax
    Photo représentant un câble réseau QSFP+ vers 4xSFP+ Câble réseau QSFP+ vers 4xSFP+
    Photo représentant un câble d'adaptateur USB vers série Câble adaptateur USB vers série (à utiliser uniquement si l'équipe Transfer Appliance vous le demande)
    Photo représentant un adaptateur série broche à prise Adaptateur série broche à prise
  3. Placez le serveur Transfer Appliance dans la mallette d'expédition.

  4. Refermez le couvercle de la mallette d'expédition et engagez les loquets de fermeture.

    Étui de transport fermé

  5. Sécurisez la mallette d'expédition à l'aide d'un scellé de sécurité métallique. Pour ce faire, procédez comme suit :

    1. Insérez le câble du scellé de sécurité métallique dans les anneaux en D de la mallette d'expédition.

      Insertion du câble du scellé de sécurité dans les anneaux en D de la mallette d'expédition

    2. Insérez l'extrémité du câble dans le verrou.

      Insertion de l'extrémité du câble dans le verrou

    3. Tirez le câble du scellé de sécurité à travers le verrou jusqu'à ce que les anneaux en D soient sécurisés.

      Anneaux en D sécurisés par un câble de scellé de sécurité

  6. Attachez une étiquette volante à la poignée de la mallette d'expédition.

  7. Apposez une pochette pour étiquette d'expédition sur l'étiquette volante.

  8. Insérez l'étiquette de retour dans la pochette. Vérifiez que l'adresse de retour et les codes-barres sont visibles.

  9. Si nécessaire, contactez votre transporteur pour planifier un retrait.

Valider les données dans le bucket Cloud Storage de destination

Une fois que nous avons reçu votre serveur, nous transférons les données du système vers votre bucket de destination Cloud Storage. Une fois vos données copiées dans votre bucket Cloud Storage de destination, nous vous envoyons un e-mail intitulé Transfert de données Google Transfer Appliance effectué. Une fois que vous avez reçu notre e-mail, nous vous recommandons de valider les données que vous avez transférées du système vers votre bucket Cloud Storage.

Pour valider vos données, procédez comme suit:

  1. Répertoriez les objets d'un bucket. Si vous avez spécifiez un préfixe d'objet lorsque vous nous avez fourni les informations de configuration du bucket, les objets s'affichent après celui-ci.

  2. Vérifiez que les données que vous avez transférées sur le serveur sont répertoriées dans votre bucket.

Si vous avez des questions, contactez-nous à l'adresse data-support@google.com.

Nettoyer l'accès

Une fois que nous avons copié vos données de tous les systèmes, nous vous recommandons de supprimer les droits d'accès précédemment accordés à nos comptes de service. Cette approche applique le principe du moindre privilège à vos données et garantit leur sécurité.

Cette section décrit:

  • Révoquer nos comptes de service de l'accès à vos buckets Cloud Storage
  • Révoquer nos comptes de service de l'accès à vos rôles Cloud KMS
  • La destruction de la clé Cloud KMS utilisée pour chiffrer les données sur Transfer Appliance

Attendez que nous copiions toutes vos données dans Cloud Storage avant de suivre la procédure ci-dessous.

Une fois la clé Cloud KMS détruite, toutes les données chiffrées sur Transfer Appliance ne peuvent pas être récupérées. De même, une fois que vous avez révoqué les comptes de service des buckets Cloud Storage et de la clé Cloud KMS, plus aucune donnée ne peut être copiée depuis le système vers vos buckets Cloud Storage.

Révoquer l'accès aux clés Cloud KMS pour le compte de service

Le fait de révoquer l'accès aux clés Cloud KMS pour le compte de service Transfer Appliance permet de nous assurer que nous ne pouvons plus déchiffrer les données Transfer Appliance en votre nom.

Pour révoquer les rôles "Déchiffreur de clé de chiffrement Cloud KMS" et "Lecteur de clé publique Cloud KMS" du compte de service, procédez comme suit:

Google Cloud Console

  1. Accédez à la page Clés de chiffrement dans Cloud Console.

    Accéder à la page Clés de chiffrement

  2. Cliquez sur le nom du trousseau de clés contenant la clé utilisée dans la section Préparer la clé Cloud KMS.

  3. Cochez la case correspondant à la clé dont vous révoquez l'accès à partir du compte de service.

  4. Cliquez sur Afficher le panneau d'informations.

    Le panneau d'informations s'affiche.

  5. Pour révoquer le rôle Déchiffreur de CryptoKey Cloud KMS du compte de service, procédez comme suit:

    1. Dans l'onglet Autorisations, développez Déchiffreur de clé de chiffrement Cloud KMS.

    2. Recherchez le compte de service de session. Voici un exemple:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      Dans cet exemple, SESSION_ID correspond à l'ID de session de ce transfert particulier.

    3. Cliquez sur (Supprimer).

    4. Dans la fenêtre de suppression, sélectionnez le compte de service et cliquez sur Supprimer.

  6. Pour révoquer le rôle Lecteur de clé publique de clé de chiffrement Cloud KMS du compte de service, procédez comme suit:

    1. Dans l'onglet Autorisations, développez le rôle Lecteur de clé publique de clé de chiffrement Cloud KMS.

    2. Recherchez le compte de service de session. Voici un exemple:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      Dans cet exemple, SESSION_ID correspond à l'ID de session de ce transfert particulier.

    3. Cliquez sur (Supprimer).

    4. Dans la fenêtre de suppression, cochez la case en regard du compte de service et cliquez sur Supprimer.

Command line

  1. Exécutez la commande suivante pour révoquer le rôle roles/cloudkms.cryptoKeyDecrypter à partir du compte de service de session:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:SESSION_ID@transfer-appliance-zimbru-iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyDecrypter
    

    Dans cet exemple :

    • KEY : nom de la clé Cloud Key Management Service Exemple :ta-key
    • KEY_RING : nom du trousseau de clés
    • LOCATION : emplacement Cloud Key Management Service du trousseau de clés Exemple :global
    • PROJECT_ID : ID du projet Google Cloud dans lequel se trouve votre bucket de stockage
    • SESSION_ID : ID de session pour ce transfert particulier.
  2. Exécutez la commande suivante pour révoquer le rôle roles/cloudkms.publicKeyViewer du compte de service de session:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:SESSION_ID@transfer-appliance-zimbru-iam.gserviceaccount.com \
      --role roles/cloudkms.publicKeyViewer
    

    Dans cet exemple :

    • KEY : nom de la clé Cloud Key Management Service Exemple :ta-key
    • KEY_RING : nom du trousseau de clés
    • LOCATION : emplacement Cloud Key Management Service du trousseau de clés Exemple :global
    • PROJECT_ID : ID du projet Google Cloud dans lequel se trouve votre bucket de stockage
    • SESSION_ID : ID de session pour ce transfert particulier.

Révoquer l'accès au bucket Cloud Storage pour les comptes de service

Le fait de révoquer l'accès au bucket Cloud Storage pour les comptes de service Transfer Appliance nous empêche d'utiliser les ressources Cloud Storage en votre nom.

Pour révoquer l'accès au bucket Cloud Storage pour les comptes de service Transfer Appliance, procédez comme suit:

Google Cloud Console

  1. Dans Google Cloud Console, accédez à la page du Navigateur Cloud Storage.

    Accéder à la page du navigateur

  2. Recherchez le bucket Cloud Storage dans lequel vos données ont été copiées, puis cochez la case située à côté du nom du bucket.

  3. Cliquez sur Afficher le panneau d'informations.

    Le panneau d'informations s'affiche.

  4. Dans l'onglet Autorisations, développez Rôle d'administrateur de l'espace de stockage.

  5. Pour révoquer l'accès du bucket Cloud Storage au compte de service de session, procédez comme suit:

    1. Recherchez le compte de service de session. Voici un exemple:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      Dans cet exemple, SESSION_ID correspond à l'ID de session de ce transfert particulier.

    2. Cliquez sur (Supprimer).

      Une boîte de dialogue s'affiche pour confirmer la révocation du compte.

    3. Dans la boîte de dialogue, cochez la case située à côté du compte de service de session, puis cliquez sur Supprimer.

  6. Pour révoquer l'accès du bucket Cloud Storage au compte de service statique, procédez comme suit:

    1. Recherchez le compte de service statique. Voici un exemple:

      cloud-ingest-dcp@cloud-ingest-prod.iam.gserviceaccount.com

    2. Cliquez sur (Supprimer).

      Une boîte de dialogue s'affiche pour confirmer la révocation du compte.

    3. Dans la boîte de dialogue, cochez la case à côté du compte de service statique, puis cliquez sur Supprimer.

Command line

Exécutez la commande gsutil iam ch :

gsutil iam ch -d \
serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \
serviceAccount:cloud-ingest-dcp@cloud-ingest-prod.iam.gserviceaccount.com:roles/storage.admin \
gs://BUCKET_NAME

Dans cet exemple :

  • SESSION_ID : ID de session pour ce transfert particulier.
  • BUCKET_NAME: nom du bucket Cloud Storage.

Détruire la clé Cloud KMS

La destruction de la clé Cloud KMS garantit que toutes les données précédemment chiffrées par la clé ne peuvent plus être déchiffrées.

Pour en savoir plus sur la destruction de clés, consultez la page Détruire et restaurer des versions de clé.

Pour détruire la clé Cloud KMS, procédez comme suit:

Google Cloud Console

  1. Accédez à la page Clés de chiffrement dans Cloud Console.

    Accéder à la page Clés de chiffrement

  2. Cliquez sur le nom du trousseau de clés utilisé pour préparer la clé Cloud KMS.

  3. Recherchez la ligne contenant la clé que vous détruisez.

  4. Sélectionnez Plus> Détruire.

    Une boîte de dialogue de confirmation s'affiche.

  5. Dans la boîte de dialogue de confirmation, cliquez sur Programmer la destruction.

Command line

Exécutez la commande gcloud kms keys version destroy :

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

Dans cet exemple :

  • VERSION_NUMBER : numéro de version de la clé
  • KEY_RING : nom de votre trousseau de clés.
  • KEY : nom de votre clé asymétrique.
  • LOCATION : emplacement Google Cloud du trousseau.
  • PROJECT_ID: ID du projet Google Cloud sous lequel votre clé se trouve.