Panoramica

Cloud Storage è una risorsa fondamentale in Google Cloud, con numerose funzionalità avanzate. In questo lab proverai molte funzionalità di Cloud Storage che potrebbero esserti utili nelle tue progettazioni. Puoi esplorare Cloud Storage utilizzando sia la console che lo strumento gsutil.

Obiettivi

In questo lab imparerai a:

• Creare e utilizzare bucket

• Impostare elenchi di controllo di accesso per limitare l'accesso

• Usare le tue chiavi di crittografia

• Implementare controlli delle versioni

• Usare la sincronizzazione directory

• Condividere un bucket tra progetti con IAM

Configurazione di Qwiklabs

Per ciascun lab, riceverai un nuovo progetto Google Cloud e un insieme di risorse per un periodo di tempo limitato senza alcun costo aggiuntivo.

1. Accedi a Qwiklabs utilizzando una finestra di navigazione in incognito.

2. Tieni presente la durata dell'accesso al lab (ad esempio, 1:15:00) e assicurati di finire entro quell'intervallo di tempo.
   Non è disponibile una funzionalità di pausa. Se necessario, puoi riavviare il lab ma dovrai ricominciare dall'inizio.

3. Quando è tutto pronto, fai clic su Inizia lab.

4. Annota le tue credenziali del lab (Nome utente e Password). Le userai per accedere a Google Cloud Console.

5. Fai clic su Apri console Google.

6. Fai clic su Utilizza un altro account e copia/incolla le credenziali per questo lab nei prompt.
   Se utilizzi altre credenziali, compariranno errori oppure ti verranno addebitati dei costi.

7. Accetta i termini e salta la pagina di ripristino delle risorse.

Attività 1 – Preparazione

Crea un bucket Cloud Storage

1. Nel menu di navigazione (), fai clic su Cloud Storage > Browser.

2. Fai clic su Crea bucket.
3. Specifica quanto segue e non modificare le altre impostazioni predefinite:

Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
Nome	Inserisci un nome globalmente univoco
Tipo di località	Più aree geografiche
Applica la prevenzione dell'accesso pubblico in questo bucket	deselezionata
Controllo dell'accesso	Granulare (autorizzazione a livello di oggetto in aggiunta alle autorizzazioni a livello di bucket)

4. Prendi nota del nome del bucket. Verrà utilizzato più tardi in questo lab e indicato come [BUCKET_NAME_1].
5. Fai clic su Crea.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea un bucket Cloud Storage

Scarica un file di esempio utilizzando CURL e crea due copie

1. In Cloud Console, fai clic su Attiva Cloud Shell ().

2. Se richiesto, fai clic su Continua.

3. Archivia [BUCKET_NAME_1] in una variabile di ambiente:

export BUCKET_NAME_1=<inserisci qui il nome del bucket 1>

4. Verificalo con il comando echo:

echo $BUCKET_NAME_1

5. Esegui questo comando per scaricare un file di esempio (il file di esempio è un file HTML della documentazione di Hadoop disponibile pubblicamente):

curl \ https://hadoop.apache.org/docs/current/\ hadoop-project-dist/hadoop-common/\ ClusterSetup.html > setup.html

6. Per creare copie del file, esegui questi comandi:

cp setup.html setup2.html cp setup.html setup3.html

Attività 2 – Elenchi di controllo di accesso (ACL)

Copia il file nel bucket e configura l'elenco di controllo di accesso

1. Esegui questo comando per copiare il primo file nel bucket:

gsutil cp setup.html gs://$BUCKET_NAME_1/

2. Per ottenere l'elenco di accesso predefinito che è stato assegnato a setup.html, esegui questo comando:

gsutil acl get gs://$BUCKET_NAME_1/setup.html > acl.txt cat acl.txt

3. Per impostare l'elenco di accesso come privato e verificare i risultati, esegui questi comandi:

gsutil acl set private gs://$BUCKET_NAME_1/setup.html gsutil acl get gs://$BUCKET_NAME_1/setup.html > acl2.txt cat acl2.txt

4. Per aggiornare l'elenco di accesso e rendere il file leggibile pubblicamente, esegui questi comandi:

gsutil acl ch -u AllUsers:R gs://$BUCKET_NAME_1/setup.html gsutil acl get gs://$BUCKET_NAME_1/setup.html > acl3.txt cat acl3.txt

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Rendi il file leggibile pubblicamente

Esamina il file in Cloud Console

1. In Cloud Console, nel menu di navigazione (), fai clic su Cloud Storage > Browser.

2. Fai clic su [BUCKET_NAME_1].

3. Verifica che per il file setup.html, per Accesso pubblico sia disponibile un Link pubblico.

Elimina il file locale e copialo da Cloud Storage

1. Torna a Cloud Shell. Se necessario, fai clic su Attiva Cloud Shell ().

2. Esegui questo comando per eliminare il file di configurazione:

rm setup.html

3. Per verificare che il file sia stato eliminato, esegui questo comando:

ls

4. Per copiare nuovamente il file dal bucket, esegui questo comando:

gsutil cp gs://$BUCKET_NAME_1/setup.html setup.html

Attività 3 – Chiavi di crittografia fornite dal cliente (CSEK)

Genera una chiave CSEK

Per il passaggio successivo, è necessaria una chiave AES-256 base-64.

1. Esegui questo comando per creare una chiave:

python3 -c 'import base64; import os; print(base64.encodebytes(os.urandom(32)))'

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

b'tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=\n'

2. Copia il valore della chiave generata escludendo b' e \n' dall'output comando. La chiave deve essere nel formato tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=.

Modifica il file boto

I controlli di crittografia sono contenuti in un file di configurazione gsutil denominato .boto.

1. Per visualizzare e aprire il file boto, esegui questi comandi:

ls -al nano .boto

2. Individua la riga con "#encryption_key="

Nella parte inferiore dell'editor nano sono disponibili scorciatoie per navigare rapidamente tra i file. Utilizza la scorciatoia Where Is per individuare rapidamente la riga con #encryption_key=.

3. Rimuovi il commento dalla riga rimuovendo il carattere # e incolla la chiave generata in precedenza alla fine.

Esempio (non copiare, questo è un esempio):

Prima: # encryption_key= Dopo: encryption_key=tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=

4. Premi Ctrl+O e Invio per salvare il file boto, quindi premi Ctrl+X per uscire da nano.

Carica i file di configurazione rimanenti (criptati) e verifica in Cloud Console

1. Per caricare i restanti file setup.html, esegui questi comandi:

gsutil cp setup2.html gs://$BUCKET_NAME_1/ gsutil cp setup3.html gs://$BUCKET_NAME_1/

2. Torna a Cloud Console.
3. Fai clic su [BUCKET_NAME_1]. I file setup2.html e setup3.html mostrano che sono criptati dal cliente.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Chiavi di crittografia fornite dal cliente (CSEK)

Elimina i file locali, copia i nuovi file e verifica la crittografia

1. Per eliminare i file locali, esegui questo comando in Cloud Shell:

rm setup*

2. Per copiare nuovamente i file dal bucket, esegui questo comando:

gsutil cp gs://$BUCKET_NAME_1/setup* ./

3. Per scrivere i contenuti dei file criptati nell'output standard allo scopo di verificare se sono stati ripristinati, esegui questi comandi:

cat setup.html cat setup2.html cat setup3.html

Attività 4 – Ruota le chiavi CSEK

Sposta la chiave di crittografia CSEK attuale per decriptare la chiave

1. Esegui questo comando per aprire il file .boto:

nano .boto

2. Commenta la riga encryption_key attuale aggiungendo il carattere # all'inizio.

Nella parte inferiore dell'editor nano sono disponibili scorciatoie per navigare rapidamente tra i file. Utilizza la scorciatoia Where Is per individuare rapidamente la riga con #encryption_key=.

3. Rimuovi il commento da decryption_key1 rimuovendo il carattere # e copia la chiave attuale dalla riga encryption_key alla riga decryption_key1.

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

Prima: encryption_key=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= # decryption_key1= Dopo: # encryption_key=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= decryption_key1=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg=

4. Premi Ctrl+O e Invio per salvare il file boto, quindi premi Ctrl+X per uscire da nano.

Genera un'altra chiave CSEK e aggiungila al file boto

1. Esegui questo comando per generare una nuova chiave:

python3 -c 'import base64; import os; print(base64.encodebytes(os.urandom(32)))'

2. Copia il valore della chiave generata escludendo b' e \n' dall'output comando. La chiave deve essere nel formato tmxElCaabWvJqR7uXEWQF39DhWTcDvChzuCmpHe6sb0=.

3. Per aprire il file boto, esegui questo comando:

nano .boto

4. Rimuovi il commento dalla riga encryption_key e incolla il nuovo valore della chiave per encryption_key=.

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

Prima: # encryption_key=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= Dopo: encryption_key=HbFK4I8CaStcvKKIx6aNpdTse0kTsfZNUjFpM+YUEjY=

5. Premi Ctrl+O e Invio per salvare il file boto, quindi premi Ctrl+X per uscire da nano.

Riscrivi la chiave per il file 1 e commenta la vecchia chiave di decriptazione

Quando un file è criptato, la riscrittura del file lo decripta utilizzando la chiave decryption_key1 che avevi impostato in precedenza e lo cripta con la nuova chiave encryption_key.

Stai riscrivendo la chiave per setup2.html, ma non per setup3.html, in modo da poter vedere cosa succede se la rotazione delle chiavi non viene eseguita correttamente.

1. Esegui questo comando:

gsutil rewrite -k gs://$BUCKET_NAME_1/setup2.html

2. Per aprire il file boto, esegui questo comando:

nano .boto

3. Commenta la riga decryption_key1 attuale aggiungendo di nuovo il carattere #.

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

Prima: decryption_key1=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg= Dopo: # decryption_key1=2dFWQGnKhjOcz4h0CudPdVHLG2g+OoxP8FQOIKKTzsg=

4. Premi Ctrl+O e Invio per salvare il file boto, quindi premi Ctrl+X per uscire da nano.

Scarica setup2 e setup3

1. Per scaricare setup2.html, esegui questo comando:

gsutil cp gs://$BUCKET_NAME_1/setup2.html recover2.html

2. Per scaricare setup3.html, esegui questo comando:

gsutil cp gs://$BUCKET_NAME_1/setup3.html recover3.html

Attività 5 – Abilita la gestione del ciclo di vita

Visualizza l'attuale criterio del ciclo di vita per il bucket

1. Esegui questo comando per visualizzare l'attuale criterio del ciclo di vita:

gsutil lifecycle get gs://$BUCKET_NAME_1

Crea un file JSON dei criteri del ciclo di vita

1. Per creare un file denominato life.json, esegui questo comando:

nano life.json

2. Incolla il valore seguente nel file life.json:

{ "rule": [ { "action": {"type": "Delete"}, "condition": {"age": 31} } ] }

3. Premi Ctrl+O e Invio per salvare il file, quindi premi Ctrl+X per uscire da nano.

Imposta il criterio e verificalo

1. Per impostare il criterio, esegui questo comando:

gsutil lifecycle set life.json gs://$BUCKET_NAME_1

2. Per verificare il criterio, esegui questo comando:

gsutil lifecycle get gs://$BUCKET_NAME_1

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Abilita la gestione del ciclo di vita

Attività 6 – Abilita il controllo delle versioni

Visualizza lo stato di controllo delle versioni per il bucket e abilita il controllo delle versioni

1. Esegui questo comando per visualizzare lo stato attuale del controllo delle versioni per il bucket:

gsutil versioning get gs://$BUCKET_NAME_1

2. Per abilitare il controllo delle versioni, esegui questo comando:

gsutil versioning set on gs://$BUCKET_NAME_1

3. Per verificare che il controllo delle versioni sia stato abilitato, esegui questo comando:

gsutil versioning get gs://$BUCKET_NAME_1

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Abilita il controllo delle versioni

Crea più versioni del file di esempio nel bucket

1. Verifica le dimensioni del file di esempio:

ls -al setup.html

2. Apri il file setup.html:

nano setup.html

3. Elimina 5 righe qualsiasi da setup.html per modificare le dimensioni del file.

4. Premi Ctrl+O e Invio per salvare il file, quindi premi Ctrl+X per uscire da nano.

5. Copia il file nel bucket con l'opzione di controllo delle versioni -v:

gsutil cp -v setup.html gs://$BUCKET_NAME_1

6. Apri il file setup.html:

nano setup.html

7. Elimina altre 5 righe da setup.html per modificare le dimensioni del file.

8. Premi Ctrl+O e Invio per salvare il file, quindi premi Ctrl+X per uscire da nano.

9. Copia il file nel bucket con l'opzione di controllo delle versioni -v:

gsutil cp -v setup.html gs://$BUCKET_NAME_1

Elenca tutte le versioni del file

1. Per visualizzare l'elenco di tutte le versioni del file, esegui questo comando:

gsutil ls -a gs://$BUCKET_NAME_1/setup.html

2. Evidenzia e copia il nome della versione meno recente del file (la prima elencata), che sarà indicata come [VERSION_NAME] nel passaggio successivo.

Assicurati di copiare il percorso completo del file, iniziando con gs://

3. Archivia il valore della versione nella variabile di ambiente [VERSION_NAME].

export VERSION_NAME=<Inserisci qui il nome della VERSIONE>

4. Verificalo con il comando echo:

echo $VERSION_NAME

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

gs://BUCKET_NAME_1/setup.html#1584457872853517

Scarica la versione originale del file, la meno recente, e verifica il ripristino

1. Scarica la versione originale del file:

gsutil cp $VERSION_NAME recovered.txt

2. Per verificare il ripristino, esegui questi comandi:

ls -al setup.html ls -al recovered.txt

Attività 7 – Sincronizza una directory con un bucket

Crea una directory nidificata ed esegui la sincronizzazione con un bucket

Crea una struttura di directory nidificata in modo da poter osservare cosa succede quando viene copiata in modo ricorsivo in un bucket.

1. Esegui questi comandi:

mkdir firstlevel mkdir ./firstlevel/secondlevel cp setup.html firstlevel cp setup.html firstlevel/secondlevel

2. Per sincronizzare la directory firstlevel sulla VM con il tuo bucket, esegui questo comando:

gsutil rsync -r ./firstlevel gs://$BUCKET_NAME_1/firstlevel

Esamina i risultati

1. In Cloud Console, nel menu di navigazione (), fai clic su Cloud Storage > Browser.

2. Fai clic su [BUCKET_NAME_1]. Osserva le sottocartelle nel bucket.

3. Fai clic su /firstlevel e quindi su /secondlevel.

4. Confronta i dati visualizzati in Cloud Console con i risultati del seguente comando:

gsutil ls -r gs://$BUCKET_NAME_1/firstlevel

5. Esci da Cloud Shell:

exit

Attività 8 – Condivisione tra progetti

Passa al secondo progetto

1. Apri una nuova scheda di navigazione in incognito.

2. Vai alla pagina console.cloud.google.com.

3. Fai clic sul menu a discesa del selettore progetti nella barra del titolo.

4. Fai clic su Tutti, quindi sul secondo progetto fornito nella finestra di dialogo Dettagli connessione di Qwiklabs. Ricorda che l'ID progetto è un nome univoco tra tutti i progetti Google Cloud. Il secondo ID progetto sarà indicato come [PROJECT_ID_2].

Prepara il bucket

1. In Cloud Console, nel menu di navigazione (), fai clic su Cloud Storage > Browser.
2. Fai clic su Crea bucket.
3. Specifica quanto segue e non modificare le altre impostazioni predefinite:

Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
Nome	Inserisci un nome globalmente univoco
Tipo di località	Più aree geografiche
Controllo dell'accesso	Granulare (autorizzazione a livello di oggetto in aggiunta alle autorizzazioni a livello di bucket)

4. Annota il nome del bucket. Nei passaggi seguenti verrà indicato come [BUCKET_NAME_2].

5. Fai clic su Crea.

Carica un file di testo nel bucket

1. Carica un file in [BUCKET_NAME_2]. Puoi usare qualsiasi file di testo o file di esempio di dimensioni ridotte.

2. Prendi nota del nome del file (indicato come [FILE_NAME]); lo userai in un secondo momento.

Crea un account di servizio IAM

1. In Cloud Console, nel menu di navigazione (), fai clic su IAM e amministrazione > Account di servizio.
2. Fai clic su Crea account di servizio.
3. Nella pagina dei dettagli dell'account di servizio, in Nome account di servizio inserisci cross-project-storage.
4. Fai clic su Crea e continua.
5. Nella pagina Autorizzazioni account di servizio, seleziona il ruolo Cloud Storage > Visualizzatore oggetti Storage.
6. Fai clic su Continua, quindi su Fine.
7. Fai clic sull'account di servizio cross-project-storage per aggiungere la chiave JSON.
8. Nella scheda Chiavi, fai clic sul menu a discesa Aggiungi chiave e seleziona Crea nuova chiave.
9. Seleziona JSON come tipo di chiave e fai clic su Crea. Verrà scaricato un file della chiave JSON. Dovrai trovare questo file della chiave e caricarlo nella VM in un passaggio successivo.
10. Fai clic su Chiudi.
11. Sul disco rigido, rinomina il file della chiave JSON in credentials.json.
12. Nel riquadro superiore, torna a [PROJECT_ID_1].

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea le risorse nel secondo progetto

Crea una VM

1. Nel menu di navigazione (), fai clic su Compute Engine > Istanze VM.
2. Fai clic su Crea istanza.
3. Specifica quanto segue e non modificare le altre impostazioni predefinite:

Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
Nome	crossproject
Area geografica	europe-west1
Zona	europe-west1-d
Serie	N1
Tipo di macchina	n1-standard-1
Disco di avvio	Debian GNU/Linux 11 (bullseye)

4. Fai clic su Crea.

Accedi tramite SSH alla VM

1. Fai clic su SSH in corrispondenza di crossproject per avviare un terminale e stabilire una connessione.

2. Archivia [BUCKET_NAME_2] in una variabile di ambiente:

export BUCKET_NAME_2=<inserisci qui il nome del bucket 2>

3. Verificalo con il comando echo:

echo $BUCKET_NAME_2

4. Archivia [FILE_NAME] in una variabile di ambiente:

export FILE_NAME=<inserisci qui FILE_NAME>

5. Verificalo con il comando echo:

echo $FILE_NAME

6. Elenca i file in [PROJECT_ID_2]:

gsutil ls gs://$BUCKET_NAME_2/

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

AccessDeniedException: 403 404513585876-compute@developer.gserviceaccount.com does not have storage.objects.list access to the Google Cloud Storage bucket.

Autorizza la VM

1. Per caricare credentials.json tramite il terminale SSH per VM, fai clic sull'icona a forma di ingranaggio () nell'angolo in alto a destra, quindi fai clic su Carica file.

2. Seleziona credentials.json e caricalo.

3. Fai clic su Chiudi nella finestra Trasferimento file.

4. Verifica che il file JSON sia stato caricato sulla VM:

ls

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

credentials.json

5. Inserisci il comando seguente nel terminale per autorizzare la VM a utilizzare l'API Google Cloud:

gcloud auth activate-service-account --key-file credentials.json

Verifica l'accesso

1. Riprova a eseguire questo comando:

gsutil ls gs://$BUCKET_NAME_2/

2. Riprova a eseguire questo comando:

gsutil cat gs://$BUCKET_NAME_2/$FILE_NAME

3. Prova a copiare il file delle credenziali nel bucket:

gsutil cp credentials.json gs://$BUCKET_NAME_2/

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

Copying file://credentials.json [Content-Type=application/json]... AccessDeniedException: 403 cross-project-storage@qwiklabs-gcp-02-c638e3daa975.iam.gserviceaccount.com does not have storage.objects.create access to the Google Cloud Storage object.

Modifica il ruolo

1. Nel riquadro superiore, torna a [PROJECT_ID_2].
2. In Cloud Console, nel menu di navigazione (), fai clic su IAM e amministrazione > IAM.
3. Fai clic sull'icona a forma di matita in corrispondenza dell'account di servizio cross-project-storage. Potresti dover scorrere verso destra per visualizzare l'icona.
4. Fai clic sul ruolo Visualizzatore oggetti Storage e quindi su Cloud Storage > Amministratore oggetti Storage.
5. Fai clic su Salva. Se non fai clic su Salva, la modifica non verrà apportata.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea e verifica le risorse nel primo progetto

Verifica l'accesso modificato

1. Torna al terminale SSH per crossproject.

2. Copia il file delle credenziali nel bucket:

gsutil cp credentials.json gs://$BUCKET_NAME_2/

Il risultato dovrebbe avere il seguente aspetto (non copiarlo: si tratta di un output di esempio):

Copying file://credentials.json [Content-Type=application/json]... - [1 files][ 2.3 KiB/ 2.3 KiB] Operation completed over 1 objects/2.3 KiB.

Attività 9 – Riepilogo

In questo lab hai imparato a creare e a lavorare con bucket e oggetti, oltre a conoscere le seguenti funzionalità di Cloud Storage:

• CSEK: chiave di crittografia fornita dal cliente
• Usa le tue chiavi di crittografia
• Ruota le chiavi
• ACL: elenco di controllo di accesso
• Imposta un ACL per l'accesso privato, quindi cambialo in pubblico
• Gestione del ciclo di vita
• Imposta il criterio per eliminare gli oggetti dopo 31 giorni
• Controllo delle versioni
• Crea una versione e ripristina una versione precedente
• Sincronizzazione directory
• Sincronizza in modo ricorsivo una directory di una VM con un bucket
• Condivisione delle risorse tra progetti utilizzando IAM
• Usa IAM per abilitare l'accesso alle risorse tra progetti

Termina il lab

Una volta completato il lab, fai clic su Termina lab. Google Cloud Skills Boost rimuove le risorse che hai utilizzato ed esegue la pulizia dell'account.

Avrai la possibilità di inserire una valutazione in merito alla tua esperienza. Seleziona il numero di stelle applicabile, inserisci un commento, quindi fai clic su Invia.

Il numero di stelle corrisponde alle seguenti valutazioni:

• 1 stella = molto insoddisfatto
• 2 stelle = insoddisfatto
• 3 stelle = esperienza neutra
• 4 stelle = soddisfatto
• 5 stelle = molto soddisfatto

Se non vuoi lasciare un feedback, chiudi la finestra di dialogo.

Per feedback, suggerimenti o correzioni, utilizza la scheda Assistenza.

Copyright 2020 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.