Objektspeicher für Roving Edge Infrastructure

Der von Oracle Cloud Infrastructure bereitgestellte Object Storage-Service und Amazon S3 verwenden ähnliche Konzepte und Begriffe. In beiden Fällen werden Daten als Objekte in Buckets gespeichert. Die Unterschiede bestehen in der Implementierung von Features und Tools für die Arbeit mit Objekten.

Im Folgenden werden die Unterschiede zwischen den beiden Speichertechnologien behandelt:

• Fächer

  Amazon S3 verwendet keine Compartments. Standardmäßig werden Buckets, die mit der Amazon S3-Kompatibilität-API oder der Swift-API erstellt werden, im Root-Compartment des Oracle Cloud Infrastructure-Mandanten erstellt. Stattdessen können Sie ein anderes Compartment für die Amazon S3-Kompatibilitäts-API oder die Swift-API zum Erstellen von Buckets festlegen.

• Globaler Bucket-Namespace

  Object Storage verwendet keinen globalen Bucket-Namespace. Stattdessen dient der Namespace als Container der obersten Ebene für alle Bucket und Objekte. Beim Erstellen des Accounts wird jedem Mandanten ein eindeutiger, vom System generierter und unveränderbarer Namespace zugewiesen. Der Namespace gilt für alle Compartments in einer Region. Sie kontrollieren die Bucket-Namen, diese müssen jedoch innerhalb eines Namespace eindeutig sein. Während der Namespace regionsspezifisch ist, ist der Namespace-Name selbst in allen Regionen identisch. Sie können einen Bucket mit dem Namen MyBucket in US West (Phoenix) und einen Bucket mit dem Namen MyBucket in Germany Central (Frankfurt) verwenden.

• Verschlüsselung

  Object Storage Service verschlüsselt standardmäßig alle Daten im Ruhezustand. Die Verschlüsselung kann mit der API nicht aktiviert oder deaktiviert werden.

• Access Control-Listen (ACLs) auf Objektebene

  Oracle Cloud Infrastructure verwendet keine ACLs für Objekte. Stattdessen muss ein Administrator Gruppen , Compartments und Policys einrichten, die den Zugriffstyp sowie den Zugriff der Benutzer auf Services und Ressourcen steuern. Beispiel: Die Policys steuern, wer Benutzer und Gruppen erstellen, Buckets erstellen, Objekte herunterladen und Object Storage-bezogene Policys und Regeln verwalten kann.

Weitere Informationen finden Sie unter Überblick über Object Storage.

Um den Zugriff einer Amazon S3-Anwendung auf Object Storage zu aktivieren, müssen Sie den Zugriff auf Oracle Cloud Infrastructure einrichten und Ihre Anwendung ändern.

1. Registrieren Sie sich für Oracle Cloud Infrastructure, und rufen Sie einen eindeutigen Namespace ab.

2. Jeder Benutzer der Amazon S3-Kompatibilität-API mit Object Storage muss berechtigt sein, mit dem Service zu arbeiten. Wenn Sie nicht sicher sind, ob Sie über die Berechtigung verfügen, wenden Sie sich an den Administrator. Grundlegende Informationen zu Policys finden Sie unter Funktionsweise von Policys. Policys, die die Verwendung von Object Storage aktivieren, finden Sie unter Allgemeine Policys und in der Policy-Referenz.

3. Verwenden Sie einen vorhandenen Schlüssel, oder erstellen Sie einen Customer Secret Key. Ein Kunden-Secret-Key besteht aus einem Zugriffsschlüssel-/Secret-Key-Paar. Das Erstellen und Verwenden dieser Schlüssel wird im folgenden Abschnitt zum Einrichten der Konfigurationsdatei S3 beschrieben.

Object Storage auf Roving Edge Infrastructure unterstützt das Amazon-Tool S3cmd zusätzlich zur Unterstützung der Oracle Cloud Infrastructure-Befehlszeilenschnittstelle. Für die Unterstützung des Amazon-S3cmd-Tools müssen Sie die Konfigurationsdatei S3 einrichten, unterstützen aber auch S3cmd.

Sie können s3cmd von der folgenden Site herunterladen:

https://s3tools.org/download

Unter Macintosh und Linux heißt die Konfigurationsdatei s3cmd .s3cfg und befindet sich im Home-Verzeichnis. Beispiel:

/home/username/($HOME)

Unter Windows erhält die Konfigurationsdatei s3cmd den Namen s3cmd.ini und befindet sich in %USERPROFILE% -> Application Data. Dies ist in der Regel der Fall:

c:\users\username\AppData\Roaming\s3cmd.ini

Weitere Details finden Sie unter: https://s3tools.org/kb/item14.htm

Das folgende Beispiel zeigt den Inhalt der Konfigurationsdatei S3cmd:

[default]
access_key = 9aa40ec9-bec3-4fab-9e5a-3584a5979d48
access_token =
add_encoding_exts =
add_headers =
bucket_location = US
cache_file =
ca_certs_file = <Full path to the bundle.pem file>
check_ssl_hostname = False
default_mime_type = binary/octet-stream
delay_updates = False
delete_after = False
delete_after_fetch = False
delete_removed = False
dry_run = False
enable_multipart = True
encoding = UTF-8
encrypt = False
expiry_date =
expiry_days =
expiry_prefix =
follow_symlinks = False
force = False
get_continue = False
gpg_command = /usr/bin/gpg
gpg_decrypt = %(gpg_command)s -d --verbose --no-use-agent --batch --yes --passphrase-fd %(passphrase_fd)s -o %(output_file)s %(input_file)s
gpg_encrypt = %(gpg_command)s -c --verbose --no-use-agent --batch --yes --passphrase-fd %(passphrase_fd)s -o %(output_file)s %(input_file)s
gpg_passphrase =
guess_mime_type = True
host_base = <rover_node_ip>:8019
host_bucket = <rover_node_ip>:8019
human_readable_sizes = False
ignore_failed_copy = False
invalidate_default_index_on_cf = False
invalidate_default_index_root_on_cf = True
invalidate_on_cf = False
list_md5 = False
log_target_prefix =
max_delete = -1
mime_type =
multipart_chunk_size_mb = 15
preserve_attrs = True
progress_meter = True
proxy_host =
proxy_port = 0
put_continue = False
recursive = False
recv_chunk = 4096
reduced_redundancy = False
restore_days = 1
secret_key = <Your secret key, see below>
send_chunk = 4096
server_side_encryption = False
skip_existing = False
socket_timeout = 300
urlencoding_mode = normal
use_https = True
use_mime_magic = True
verbosity = WARNING
website_endpoint = https://<rover_node_ip>:8015
website_error =

So richten Sie die Konfigurationsdatei S3cmd für die Verwendung mit Roving Edge Infrastructure ein:

1. Aktualisieren Sie das Feld access_key:

   1. Melden Sie sich bei der Roving Edge Infrastructure Device-Konsole des entsprechenden Geräts an.

   2. Öffnen Sie das Navigationsmenü, und wählen Sie Identity Management > Benutzer aus. Die Seite Benutzer wird angezeigt. Alle Benutzer werden tabellarisch aufgelistet.

   3. Wählen Sie den Benutzer aus, dessen Zugriffsschlüssel Sie in der Konfigurationsdatei S3cmd verwenden möchten. Die Seite Details des Benutzers wird angezeigt.

   4. Wählen Sie unter Ressourcen die Option Kunden-Secret-Keys. Die Seite Kunden-Secret-Keys wird angezeigt. Alle Kunden-Secret-Keys werden tabellarisch aufgelistet.

   5. Kopieren Sie den Zugriffsschlüssel, und fügen Sie ihn in den Wert im Feld access_key in der Konfigurationsdatei s3cmd ein.

2. Aktualisieren Sie das Feld ca_certs_file: Geben Sie den vollständigen Pfad der Datei bundle.pem ein. Beispiel:

   /Users/user_name/.oci/bundle.pem

   Wenn Sie die ca certs-Datei nicht haben, laden Sie sie mit dem folgenden Befehl herunter:

   echo -n | openssl s_client -showcerts -connect rover_node_IP:8015 | 
   sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > bundle.pem

3. Legen Sie im Feld check_ssl_hostname den Wert false fest.

4. Aktualisieren Sie das Feld host_base: Geben Sie die rover_node_IP:8019 ein.

5. Aktualisieren Sie das Feld host_bucket: Geben Sie die rover_node_IP:8019 ein.

6. Aktualisieren Sie das Feld secret_key:

   1. Melden Sie sich bei der Roving Edge Infrastructure Device-Konsole des entsprechenden Geräts an.

   2. Öffnen Sie das Navigationsmenü, und wählen Sie Identity Management > Benutzer aus. Die Seite Benutzer wird angezeigt. Alle Benutzer werden tabellarisch aufgelistet.

   3. Wählen Sie den Benutzer aus, dessen Secret Key Sie in der Konfigurationsdatei S3cmd verwenden möchten. Die Seite Details des Benutzers wird angezeigt.

   4. Wählen Sie unter Ressourcen die Option Kunden-Secret-Keys. Die Seite Kunden-Secret-Keys wird angezeigt. Alle Kunden-Secret-Keys werden tabellarisch aufgelistet.

   5. Wählen Sie Secret Key generieren aus. Der generierte Secret Key wird im Dialogfeld Secret Key generieren angezeigt. Gleichzeitig generiert Oracle den Zugriffsschlüssel, der mit dem Secret Key kombiniert wird. Der neu generierte Kunden-Secret-Key wird der Liste der Kunden-Secret-Keys hinzugefügt.

   6. Kopieren Sie den Schlüssel, und fügen Sie ihn in den Feldwert secret_key in der Konfigurationsdatei s3cmd ein.

7. Speichern und schließen Sie die Konfigurationsdatei s3cmd.

Unterstützung für die Amazon S3-Kompatibilitäts-API wird auf Bucket- und Objektebene bereitgestellt.

Bucket-APIs

Folgende Bucket-APIs werden unterstützt:

• DeleteBucket
• HeadBucket
• GetService (alle eigenen Buckets auflisten)
• ListObjects
• PutBucket

Objekt-APIs

Folgende Objekte werden unterstützt:

• BulkDelete
• DeleteObject
• GetObject
• HeadObject
• PutObject

APIs für Multipart-Uploads

Folgende APIs für Multipart-Uploads werden unterstützt:

• AbortMultipartUpload
• CompleteMultipartUpload
• InitiateMultipartUpload
• ListParts
• ListUploads
• UploadPart

Über optionale API-Header können Sie einen eigenen 256-Bit-AES-Verschlüsselungsschlüssel angeben, mit dem Objekte verschlüsselt und entschlüsselt werden, die in Object Storage hochgeladen und daraus heruntergeladen werden.

Wenn Sie Ihre eigenen Schlüssel für serverseitige Verschlüsselung verwenden möchten, geben Sie die folgenden drei Anforderungsheader mit den Verschlüsselungsschlüsselinformationen an:

Object Storage verfügt über eindeutige APIs zum Kopieren von Objekten und Teilen. Amazon S3 verwendet die folgenden Header in PutObject und UploadPart, um Kopiervorgänge zu bestimmen. Um ein Quelobjekt zu kopieren, das mit einem SSE-C-Schlüssel verschlüsselt ist, müssen Sie diese drei Header angeben, damit Object Storage das Objekt verschlüsseln kann.

Über optionale API-Header können Sie einen eigenen Verschlüsselungsschlüssel in Vault angeben, mit dem Objekte verschlüsselt werden, die in Object Storage hochgeladen werden.

Wenn Sie Ihre eigenen Schlüssel in Vault für serverseitige Verschlüsselung verwenden möchten, geben Sie den folgenden Anforderungsheader mit der OCID des Schlüssels in Vault an:

Sie können verschiedene Clientanwendungen für die Kommunikation mit den Amazon S3-fähigen Endpunkten von Object Storage konfigurieren. Dieses Thema enthält einige Konfigurationsbeispiele für unterstützte Amazon S3-Clients. Prüfen Sie die Voraussetzungen unter Zugriff auf Oracle Cloud Infrastructure einrichten.

Das Repository des AWS-SDK für Java, der Dateidownload und Dokumentationslinks sind auf GitHub verfügbar: https://github.com/AWS/AWS-SDK-java.

Im folgenden Beispiel wird das AWS-SDK für Java für die Verwendung von Object Storage konfiguriert:

                // Put the Access Key and Secret Key here
                
AWSCredentialsProvider credentials = new AWSStaticCredentialsProvider(new BasicAWSCredentials(
 "gQ4+YC530sBa8qZI6WcbUbtH8oar0exampleuniqueID",
 "7fa22331ebe62bf4605dc9a42aaeexampleuniqueID"))));

// Your namespace
String namespace = "rover-namespace";

// The region to connect to
String region = "us-ashburn-1";

// Create an S3 client pointing at the region
String endpoint = String.format("%s.compat.objectstorage.%s.oraclecloud.com",namespace,region);
AwsClientBuilder.EndpointConfiguration endpointConfiguration = new AwsClientBuilder.EndpointConfiguration(endpoint, region);
AmazonS3 client = AmazonS3Client.builder()
 .standard()
 .withCredentials(credentials)
 .withEndpointConfiguration(endpointConfiguration)
 .disableChunkedEncoding()
 .enablePathStyleAccess()
 .build();

s3 = new AWS.S3({
  region: 'us-ashburn-1',
  endpoint: 'https://' + rover-namespace + '.compat.objectstorage.us-ashburn-1.oraclecloud.com',
  accessKeyId: 'gQ4+YC530sBa8qZI6WcbUbtH8oar0exampleuniqueID',
  secretAccessKey: '7fa22331ebe62bf4605dc9a42aaeexampleuniqueID',
  s3ForcePathStyle: true,
  signatureVersion: 'v4',
});

import boto3
  
s3 = boto3.resource(
    's3',
    aws_access_key_id="gQ4+YC530sBa8qZI6WcbUbtH8oar0exampleuniqueID",
    aws_secret_access_key="7fa22331ebe62bf4605dc9a42aaeexampleuniqueID",
    region_name="us-phoenix-1", # Region name here that matches the endpoint
    endpoint_url="https://rover-namespace.compat.objectstorage.us-phoenix-1.oraclecloud.com" # Include your rover-namespace in the URL
)
  
# Print out the bucket names
for bucket in s3.buckets.all():
    print bucket.name

umount /path/to/local_directory_name