Descripción general

Cloud Storage es un recurso fundamental de Google Cloud que ofrece una gran variedad de funciones avanzadas. En este lab, aplicará muchas funciones de Cloud Storage que podrían ser útiles en sus diseños. Explorará Cloud Storage mediante Console y la herramienta gsutil.

Objetivos

Aprenderá a realizar las siguientes tareas:

• Crear y usar depósitos

• Establecer listas de control de acceso para restringir el acceso

• Usar sus propias claves de encriptación

• Implementar controles de versiones

• Usar la sincronización de directorios

• Compartir un bucket entre proyectos mediante IAM

Configuración de Qwiklabs

En cada lab, recibirá un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Accede a Qwiklabs desde una ventana de incógnito.

2. Ten en cuenta el tiempo de acceso del lab (por ejemplo, 1:15:00) y asegúrate de finalizarlo en el plazo asignado.
   No existe una función de pausa. Si lo necesita, puede reiniciar el lab, pero deberá hacerlo desde el comienzo.

3. Cuando esté listo, haga clic en Comenzar lab.

4. Anote las credenciales del lab (el nombre de usuario y la contraseña). Las usarás para acceder a la consola de Google Cloud.

5. Haga clic en Abrir Google Console.

6. Haga clic en Usar otra cuenta, copie las credenciales para este lab y péguelas en el mensaje emergente que aparece.
   Si usa otras credenciales, se generarán errores o incurrirá en cargos.

7. Acepta las condiciones y omite la página de recursos de recuperación.

Tarea 1: Preparación

Cree un bucket de Cloud Storage

1. En el Menú de navegación (), haga clic en Cloud Storage > Navegador.

2. Haga clic en Crear bucket.
3. Especifique lo siguiente y deje las configuraciones restantes con sus valores predeterminados:

Propiedad	Valor (escriba el valor o seleccione la opción como se especifica)
Nombre	Ingrese un nombre global único
Tipo de ubicación	Multirregión
Aplicar la prevención de acceso público a este bucket	desmarcada
Control de acceso	Detallado (permisos a nivel de objeto, además de permisos a nivel del bucket)

4. Tome nota del nombre del bucket. Se usará más adelante en este lab y se lo llamará [BUCKET_NAME_1].
5. Haga clic en Crear.

Haga clic en Revisar mi progreso para verificar el objetivo. Crear un depósito de Cloud Storage

Descargue un archivo de muestra mediante CURL y haga dos copias

1. En Cloud Console, haga clic en Activar Cloud Shell ().

2. Si se le solicita, haga clic en Continuar.

3. Almacene [BUCKET_NAME_1] en una variable de entorno:

export BUCKET_NAME_1=<enter bucket name 1 here>

4. Verifíquelo con echo:

echo $BUCKET_NAME_1

5. Ejecute el siguiente comando para descargar un archivo de muestra (es un archivo HTML de la documentación de Hadoop que está disponible públicamente):

curl \ https://hadoop.apache.org/docs/current/\ hadoop-project-dist/hadoop-common/\ ClusterSetup.html > setup.html

6. Para hacer copias del archivo, ejecute los siguientes comandos:

cp setup.html setup2.html cp setup.html setup3.html

Tarea 2: Listas de control de acceso (LCA)

Copie el archivo en el bucket y configure la lista de control de acceso

1. Ejecute el siguiente comando para copiar el primer archivo en el bucket:

gsutil cp setup.html gs://$BUCKET_NAME_1/

2. Para obtener la lista de acceso predeterminada asignada a setup.html, ejecute el siguiente comando:

gsutil acl get gs://$BUCKET_NAME_1/setup.html > acl.txt cat acl.txt

3. Para establecer la lista de acceso como privada y verificar los resultados, ejecute los siguientes comandos:

gsutil acl set private gs://$BUCKET_NAME_1/setup.html gsutil acl get gs://$BUCKET_NAME_1/setup.html > acl2.txt cat acl2.txt

4. Para actualizar la lista de acceso y hacer que el archivo sea legible de forma pública, ejecute los siguientes comandos:

gsutil acl ch -u AllUsers:R gs://$BUCKET_NAME_1/setup.html gsutil acl get gs://$BUCKET_NAME_1/setup.html > acl3.txt cat acl3.txt

Haga clic en Revisar mi progreso para verificar el objetivo. Hacer que el archivo sea legible de forma pública

Examine el archivo en Cloud Console

1. En el Menú de navegación () de Cloud Console, haga clic en Cloud Storage > Navegador.

2. Haga clic en [BUCKET_NAME_1].

3. Verifique que, para el archivo setup.html, la opción Acceso público tenga un Vínculo público disponible.

Borre el archivo local y cópielo de nuevo desde Cloud Storage

1. Regrese a Cloud Shell. Si es necesario, haga clic en Activar Cloud Shell ().

2. Ejecute el siguiente comando para borrar el archivo de configuración:

rm setup.html

3. Para verificar si se borró el archivo, ejecute el siguiente comando:

ls

4. Para copiar el archivo desde el bucket nuevamente, ejecute el siguiente comando:

gsutil cp gs://$BUCKET_NAME_1/setup.html setup.html

Tarea 3: Claves de encriptación proporcionadas por el cliente (CSEK)

Genere una CSEK

Para el siguiente paso, necesita una clave AES-256 base64.

1. Ejecute el siguiente comando para crear una clave:

python3 -c 'import base64; import os; print(base64.encodebytes(os.urandom(32)))'

Resultado (no lo copie; este es un resultado de ejemplo):

b'tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=\n'

2. Copie el valor de la clave generada (sin b' ni \n') del resultado del comando: La clave debe tener el siguiente formato tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=.

Modifique el archivo .boto

Los controles de encriptación están ubicados en un archivo de configuración de gsutil llamado .boto.

1. Para ver y abrir el archivo .boto, ejecute los siguientes comandos:

ls -al nano .boto

2. Busque la línea que contenga "#encryption_key=".

En la parte inferior del editor nano, encontrará diferentes combinaciones de teclas para navegar rápidamente por los archivos. Utilice aquella correspondiente a la función de búsqueda para encontrar al instante la línea que contiene #encryption_key=.

3. Quite el carácter de comentario # de la línea y pegue la clave que generó anteriormente al final.

Ejemplo (no lo copie; es un ejemplo):

Before: # encryption_key= After: encryption_key=tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=

4. Presione Ctrl + O > Intro para guardar el archivo .boto y luego Ctrl + X a fin de salir de nano.

Suba los archivos de configuración restantes (encriptados) y verifíquelos en Cloud Console

1. Para subir los archivos setup.html restantes, ejecute los siguientes comandos:

gsutil cp setup2.html gs://$BUCKET_NAME_1/ gsutil cp setup3.html gs://$BUCKET_NAME_1/

2. Regrese a Cloud Console.
3. Haga clic en [BUCKET_NAME_1]. Los archivos setup2.html y setup3.html muestran que están encriptados por el cliente.

Haga clic en Revisar mi progreso para verificar el objetivo. Claves de encriptación proporcionadas por el cliente (CSEK)

Borre archivos locales, copie archivos nuevos y verifique la encriptación

1. Para borrar sus archivos locales, ejecute el siguiente comando en Cloud Shell:

rm setup*

2. Para copiar los archivos desde el bucket nuevamente, ejecute el siguiente comando:

gsutil cp gs://$BUCKET_NAME_1/setup* ./

3. A fin de leer los archivos encriptados para confirmar si las operaciones se realizaron correctamente, ejecute los siguientes comandos:

cat setup.html cat setup2.html cat setup3.html

Tarea 4: Rote las CSEK

Mueva la clave de encriptación CSEK actual para desencriptarla

1. Ejecute el siguiente comando para abrir el archivo .boto:

nano .boto

2. Marque como comentario la línea encryption_key actual agregando el carácter # al principio de la línea.

En la parte inferior del editor nano, encontrará diferentes combinaciones de teclas para navegar rápidamente por los archivos. Utilice aquella correspondiente a la función de búsqueda para encontrar al instante la línea que contiene #encryption_key=.

3. Quite el carácter de comentario # de decryption_key1 y copie la clave actual de la línea encryption_key en la línea decryption_key1.

Resultado (no lo copie; este es un resultado de ejemplo):

Before: encryption_key=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= # decryption_key1= After: # encryption_key=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= decryption_key1=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg=

4. Presione Ctrl + O > Intro para guardar el archivo .boto y luego Ctrl + X a fin de salir de nano.

Genere otra CSEK y agréguela al archivo .boto

1. Ejecute el siguiente comando para generar una clave nueva:

python3 -c 'import base64; import os; print(base64.encodebytes(os.urandom(32)))'

2. Copie el valor de la clave generada (sin b' ni \n') del resultado del comando: La clave debe tener el siguiente formato tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=.

3. Para abrir el archivo .boto, ejecute el siguiente comando:

nano .boto

4. Quite el carácter de comentario de la encriptación y pegue el valor de la nueva clave de encryption_key=.

Resultado (no lo copie; este es un resultado de ejemplo):

Before: # encryption_key=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= After: encryption_key=HbFK4I8CaStcvKKIx6aNpdTse0kTsfZNUjFpM+YUEjY=

5. Presione Ctrl + O > Intro para guardar el archivo .boto y luego Ctrl + X a fin de salir de nano.

Reescriba la clave del archivo 1 y marque como comentario la clave de desencriptación anterior

Cuando un archivo está encriptado, si se reescribe, se desencripta mediante la clave "decryption_key1" que configuró previamente y se encripta con la nueva clave "encryption_key".

Está reescribiendo la clave para setup2.html, pero no para setup3.html, de modo que pueda ver lo que sucede si no rota las claves correctamente.

1. Ejecute el siguiente comando:

gsutil rewrite -k gs://$BUCKET_NAME_1/setup2.html

2. Para abrir el archivo .boto, ejecute el siguiente comando:

nano .boto

3. Marque como comentario la línea decryption_key1 actual agregando nuevamente el carácter #.

Resultado (no lo copie; este es un resultado de ejemplo):

Before: decryption_key1=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= After: # decryption_key1=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg=

4. Presione Ctrl + O > Intro para guardar el archivo .boto y luego Ctrl + X a fin de salir de nano.

Descargue setup2 y setup3

1. Para descargar setup2.html, ejecute el siguiente comando:

gsutil cp gs://$BUCKET_NAME_1/setup2.html recover2.html

2. Para descargar setup3.html, ejecute el siguiente comando:

gsutil cp gs://$BUCKET_NAME_1/setup3.html recover3.html

Tarea 5: Habilite la administración del ciclo de vida

Consulte la política actual del ciclo de vida del bucket

1. Ejecute el siguiente comando para consultar la política actual del ciclo de vida:

gsutil lifecycle get gs://$BUCKET_NAME_1

Cree un archivo de política del ciclo de vida JSON

1. Para crear un archivo llamado life.json, ejecute el siguiente comando:

nano life.json

2. Pegue el siguiente valor en el archivo life.json:

{ "rule": [ { "action": {"type": "Delete"}, "condition": {"age": 31} } ] }

3. Presione Ctrl + O, Intro para guardar el archivo y, luego, Ctrl + X para salir de nano.

Configure y verifique la política

1. Para configurar la política, ejecute el siguiente comando:

gsutil lifecycle set life.json gs://$BUCKET_NAME_1

2. Para verificar la política, ejecute el siguiente comando:

gsutil lifecycle get gs://$BUCKET_NAME_1

Haga clic en Revisar mi progreso para verificar el objetivo. Habilitar la administración del ciclo de vida

Tarea 6: Habilite el control de versiones

Consulte el estado del control de versiones del bucket y habilítelo

1. Ejecute el siguiente comando a fin de ver el estado actual del control de versiones del bucket:

gsutil versioning get gs://$BUCKET_NAME_1

2. Para habilitar el control de versiones, ejecute el siguiente comando:

gsutil versioning set on gs://$BUCKET_NAME_1

3. Para verificar que el control de versiones esté habilitado, ejecute el siguiente comando:

gsutil versioning get gs://$BUCKET_NAME_1

Haga clic en Revisar mi progreso para verificar el objetivo. Habilitar el control de versiones

Cree varias versiones del archivo de muestra en el bucket

1. Verifique el tamaño del archivo de muestra:

ls -al setup.html

2. Abra el archivo setup.html:

nano setup.html

3. Borre 5 líneas de setup.html para cambiar el tamaño del archivo.

4. Presione Ctrl + O, Intro para guardar el archivo y, luego, Ctrl + X a fin de salir de nano.

5. Copie el archivo en el bucket con la opción de control de versiones -v:

gsutil cp -v setup.html gs://$BUCKET_NAME_1

6. Abra el archivo setup.html:

nano setup.html

7. Borre otras 5 líneas de setup.html para cambiar el tamaño del archivo.

8. Presione Ctrl + O, Intro para guardar el archivo y, luego, Ctrl + X a fin de salir de nano.

9. Copie el archivo en el bucket con la opción de control de versiones -v:

gsutil cp -v setup.html gs://$BUCKET_NAME_1

Obtenga una lista de todas las versiones del archivo

1. Para obtener una lista de todas las versiones del archivo, ejecute el siguiente comando:

gsutil ls -a gs://$BUCKET_NAME_1/setup.html

2. Destaque y copie el nombre de la versión más antigua del archivo (la primera en la lista), que mencionamos como [VERSION_NAME] en el siguiente paso.

Asegúrese de copiar la ruta completa del archivo, que comienza con gs://.

3. Almacene el valor de la versión en la variable de entorno [VERSION_NAME].

export VERSION_NAME=<Enter VERSION name here>

4. Verifíquelo con echo:

echo $VERSION_NAME

Resultado (no lo copie; este es un resultado de ejemplo):

gs://BUCKET_NAME_1/setup.html#1584457872853517

Descargue la versión original más antigua del archivo y verifique la recuperación

1. Descargue la versión original del archivo:

gsutil cp $VERSION_NAME recovered.txt

2. Para verificar la recuperación, ejecute los siguientes comandos:

ls -al setup.html ls -al recovered.txt

Tarea 7: Sincronice un directorio en un bucket

Cree un directorio anidado y sincronícelo con un bucket

Cree una estructura de directorios anidados de modo que pueda examinar qué sucede cuando se copia de manera recursiva en un depósito.

1. Ejecute los siguientes comandos:

mkdir firstlevel mkdir ./firstlevel/secondlevel cp setup.html firstlevel cp setup.html firstlevel/secondlevel

2. Para sincronizar el directorio firstlevel en la VM con su bucket, ejecute el siguiente comando:

gsutil rsync -r ./firstlevel gs://$BUCKET_NAME_1/firstlevel

Examine los resultados

1. En el Menú de navegación () de Cloud Console, haga clic en Cloud Storage > Navegador.

2. Haga clic en [BUCKET_NAME_1]. Observe las subcarpetas en el depósito.

3. Haga clic en /firstlevel y luego en /secondlevel.

4. Compare lo que ve en Cloud Console con los resultados del siguiente comando:

gsutil ls -r gs://$BUCKET_NAME_1/firstlevel

5. Salga de Cloud Shell:

exit

Tarea 8: Uso compartido entre proyectos

Cambie al segundo proyecto

1. Abra una nueva pestaña de incógnito.

2. Navegue a console.cloud.google.com.

3. Haga clic en el menú desplegable del selector de proyectos en la barra de título.

4. Haga clic en Todo y, luego, en el segundo proyecto que se le proporcionó en el diálogo Detalles de conexión de Qwiklabs. Recuerde que el ID del proyecto es un nombre único en todos los proyectos de Google Cloud. El segundo ID de proyecto se denominará [PROJECT_ID_2].

Prepare el bucket

1. En el Menú de navegación () de Cloud Console, haga clic en Cloud Storage > Navegador.
2. Haga clic en Crear bucket.
3. Especifique lo siguiente y deje las configuraciones restantes con sus valores predeterminados:

Propiedad	Valor (escriba el valor o seleccione la opción como se especifica)
Nombre	Ingrese un nombre global único
Tipo de ubicación	Multirregión
Control de acceso	Detallado (permisos a nivel de objeto, además de permisos a nivel del bucket)

4. Tome nota del nombre del bucket. Se lo llamará [BUCKET_NAME_2] en los siguientes pasos.

5. Haga clic en Crear.

Suba un archivo de texto al bucket

1. Suba un archivo a [BUCKET_NAME_2]. Cualquier archivo de ejemplo o archivo de texto pequeño servirá.

2. Recuerde el nombre del archivo (denominado [FILE_NAME]); lo usará más tarde.

Cree una cuenta de servicio de IAM

1. En Cloud Console, vaya a Menú de navegación () y haga clic en IAM y administración > Cuentas de servicio.
2. Haga clic en Crear cuenta de servicio.
3. En la página Detalles de la cuenta de servicio, especifique la opción Nombre de la cuenta de servicio como cross-project-storage.
4. Haga clic en Crear y continuar.
5. En la página Permisos de cuenta de servicio, especifique la función como Cloud Storage > Visualizador de objetos de Storage.
6. Haga clic en Continuar y luego en Listo.
7. Haga clic en la cuenta de servicio cross-project-storage para agregar la clave JSON.
8. En la pestaña Claves, haga clic en el menú desplegable Agregar clave y seleccione Crear clave nueva.
9. Seleccione JSON como el tipo de clave y haga clic en Crear. Se descargará un archivo de claves JSON. Tendrá que buscar este archivo de claves y subirlo a la VM en un paso posterior.
10. Haga clic en Cerrar.
11. En su disco duro, cambie el nombre del archivo de claves JSON a credentials.json.
12. En el panel superior, vuelva a [PROJECT_ID_1].

Haga clic en Revisar mi progreso para verificar el objetivo. Crear los recursos en el segundo proyecto

Cree una VM

1. En Menú de navegación (), haga clic en Compute Engine > Instancias de VM.
2. Haga clic en Crear instancia.
3. Especifique lo siguiente y deje las configuraciones restantes con sus valores predeterminados:

Propiedad	Valor (escriba el valor o seleccione la opción como se especifica)
Nombre	crossproject
Región	europe-west1
Zona	europe-west1-d
Serie	N1
Tipo de máquina	n1-standard-1
Disco de arranque	Debian GNU/Linux 11 (bullseye)

4. Haga clic en Crear.

Conéctese a la VM mediante SSH

1. En crossproject, haga clic en SSH para iniciar una terminal y conectarse.

2. Almacene [BUCKET_NAME_2] en una variable de entorno:

export BUCKET_NAME_2=<enter bucket name 2 here>

3. Verifíquelo con echo:

echo $BUCKET_NAME_2

4. Almacene [FILE_NAME] en una variable de entorno:

export FILE_NAME=<enter FILE_NAME here>

5. Verifíquelo con echo:

echo $FILE_NAME

6. Enumere los archivos en [PROJECT_ID_2]:

gsutil ls gs://$BUCKET_NAME_2/

Resultado (no lo copie; este es un resultado de ejemplo):

AccessDeniedException: 403 404513585876-compute@developer.gserviceaccount.com does not have storage.objects.list access to the Google Cloud Storage bucket.

Autorice la VM

1. Para subir credentials.json a través de la terminal SSH de la VM, haga clic en el ícono de ajustes () ubicado en la esquina superior derecha y, luego, en Subir archivo.

2. Seleccione credentials.json y súbalo.

3. En la ventana Transferencia de archivos, haga clic en Cerrar.

4. Verifique si se subió el archivo JSON a la VM:

ls

Resultado (no lo copie; este es un resultado de ejemplo):

credentials.json

5. Ingrese el siguiente comando en la terminal para autorizar a la VM a usar la API de Google Cloud:

gcloud auth activate-service-account --key-file credentials.json

Verifique el acceso

1. Vuelva a intentar este comando:

gsutil ls gs://$BUCKET_NAME_2/

2. Vuelva a intentar este comando:

gsutil cat gs://$BUCKET_NAME_2/$FILE_NAME

3. Intente copiar el archivo de credenciales al bucket:

gsutil cp credentials.json gs://$BUCKET_NAME_2/

Resultado (no lo copie; este es un resultado de ejemplo):

Copying file://credentials.json [Content-Type=application/json]... AccessDeniedException: 403 cross-project-storage@qwiklabs-gcp-02-c638e3daa975.iam.gserviceaccount.com does not have storage.objects.create access to the Google Cloud Storage object.

Modifique la función

1. En el panel superior, vuelva a cambiar a [PROJECT_ID_2].
2. En Cloud Console, vaya a Menú de navegación () y haga clic en IAM y administración > IAM.
3. Haga clic en el ícono de lápiz de la cuenta de servicio cross-project-storage (es posible que deba desplazarse hacia la derecha para verlo).
4. Haga clic en la función Visualizador de objetos de Storage y luego en Cloud Storage > Administrador de objetos de Storage.
5. Haga clic en Guardar. Si no hace clic en Guardar, no se realizará el cambio.

Haga clic en Revisar mi progreso para verificar el objetivo. Crear y verificar los recursos en el primer proyecto

Verifique el acceso modificado

1. Regrese a la terminal SSH del proyecto crossproject.

2. Copie el archivo de credenciales en el bucket:

gsutil cp credentials.json gs://$BUCKET_NAME_2/

Resultado (no lo copie; este es un resultado de ejemplo):

Copying file://credentials.json [Content-Type=application/json]... - [1 files][ 2.3 KiB/ 2.3 KiB] Operation completed over 1 objects/2.3 KiB.

Tarea 9: Repaso

En este lab, aprendió a crear y trabajar con depósitos y objetos, y aprendió sobre las siguientes funciones de Cloud Storage:

• CSEK: Clave de encriptación proporcionada por el cliente
• Usar sus propias claves de encriptación
• Rotar claves
• LCA: Lista de control de acceso
• Configurar una LCA para acceso privado y modificarla para acceso público
• Administrar el ciclo de vida
• Configurar la política para borrar objetos después de 31 días
• Realizar un control de versiones
• Crear una versión y restablecer una versión anterior
• Sincronizar un directorio
• Sincronizar de forma recurrente un directorio de VM con un bucket
• Uso compartido de recursos entre proyectos con la IAM
• Usar la IAM para habilitar el acceso a los recursos en todos los proyectos

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2020 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.