Note di rilascio
Implementa Cloud Volumes ONTAP nelle aree principali del cloud segreto e del cloud computing AWS
Suggerisci modifiche
PDF
Simile a una regione AWS standard, puoi utilizzare BlueXP in "Cloud segreto AWS" e in "Cloud AWS top secret" Per implementare Cloud Volumes ONTAP, che offre funzionalità Enterprise per il tuo cloud storage. AWS Secret Cloud e Top Secret Cloud sono regioni chiuse specifiche degli Stati Uniti Intelligence Community; le istruzioni in questa pagina si applicano solo agli utenti delle regioni Cloud segreto e Cloud segreto.
Prima di iniziare, esamina le versioni supportate in AWS Secret Cloud e Top Secret Cloud e scopri la modalità privata di BlueXP.
-
Consulta le seguenti versioni supportate in AWS Secret Cloud e Top Secret Cloud:
-
Cloud Volumes ONTAP 9.12.1 P2
-
Versione 3.9.32 del connettore
Il connettore è un software necessario per implementare e gestire Cloud Volumes ONTAP in AWS. Potrai accedere a BlueXP dal software installato sull'istanza del connettore. Il sito web SaaS per BlueXP non è supportato da AWS Secret Cloud e Top Secret Cloud.
-
-
Informazioni sulla modalità privata
In AWS Secret Cloud e Top Secret Cloud, BlueXP opera in modalità privata. In modalità privata, non è disponibile alcuna connettività al livello SaaS di BlueXP. Gli utenti accedono a BlueXP localmente dalla console basata su web disponibile da Connector, non dal layer SaaS.
Per ulteriori informazioni sul funzionamento della modalità privata, fare riferimento a. "Modalità di implementazione privata di BlueXP".
Fase 1: Configurare il collegamento in rete
Configurare la rete AWS in modo che Cloud Volumes ONTAP possa funzionare correttamente.
-
Scegliere il VPC e le subnet in cui si desidera avviare l'istanza di Connector e le istanze di Cloud Volumes ONTAP.
-
Assicurarsi che il VPC e le subnet supportino la connettività tra il connettore e Cloud Volumes ONTAP.
-
Impostare un endpoint VPC sul servizio S3.
È necessario un endpoint VPC se si desidera eseguire il tiering dei dati cold da Cloud Volumes ONTAP a uno storage a oggetti a basso costo.
Passaggio 2: Impostare le autorizzazioni
Impostare policy e ruoli IAM che forniscono a Connector e Cloud Volumes ONTAP le autorizzazioni necessarie per eseguire le azioni nel cloud segreto AWS o nel cloud segreto principale.
È necessario disporre di una policy IAM e di un ruolo IAM per ciascuno dei seguenti elementi:
-
L'istanza del connettore
-
Istanze di Cloud Volumes ONTAP
-
Per coppie ha, l'istanza Cloud Volumes ONTAP ha mediator (se si desidera implementare coppie ha)
-
Accedere alla console AWS IAM e fare clic su Policies (Criteri).
-
Creare un criterio per l'istanza del connettore.
Crei queste policy per supportare i bucket S3 nel tuo ambiente AWS. Durante la creazione dei bucket in un secondo momento, assicurarsi che i nomi dei bucket siano preceduti da fabric-pool-. Questo requisito si applica a entrambe le regioni: Cloud segreto e cloud top secret.Regioni segrete{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso-b:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso-b:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso-b:ec2:*:*:volume/*" ] } ] }Regioni più segrete{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso:ec2:*:*:volume/*" ] } ] } -
Creare un criterio per Cloud Volumes ONTAP.
Regioni segrete{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso-b:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }] }Regioni più segrete{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }] }Per le coppie ha, se intendi implementare una coppia ha Cloud Volumes ONTAP, crea una policy per il mediatore ha.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses" ], "Resource": "*" } ] } -
Creare ruoli IAM con il tipo di ruolo Amazon EC2 e allegare i criteri creati nei passaggi precedenti.
Creare il ruolo:Analogamente ai criteri, è necessario avere un ruolo IAM per il connettore e uno per i nodi Cloud Volumes ONTAP.
Per coppie ha: Simili alle policy, occorre un ruolo IAM per il connettore, uno per i nodi Cloud Volumes ONTAP e uno per il mediatore ha (se si desidera implementare coppie ha).Selezionare il ruolo:Quando si avvia l'istanza di Connector, è necessario selezionare il ruolo di Connector IAM. Puoi selezionare i ruoli IAM per Cloud Volumes ONTAP quando crei un ambiente di lavoro Cloud Volumes ONTAP da BlueXP.
Per le coppie ha, puoi selezionare i ruoli IAM per Cloud Volumes ONTAP e ha mediator quando crei un ambiente di lavoro Cloud Volumes ONTAP da BlueXP.
Fase 3: Configurare il KMS AWS
Se desideri utilizzare la crittografia Amazon con Cloud Volumes ONTAP, assicurati che i requisiti del servizio di gestione delle chiavi (KMS) di AWS siano soddisfatti.
-
Assicurarsi che nel proprio account o in un altro account AWS sia presente una chiave Customer Master Key (CMK) attiva.
Il CMK può essere un CMK gestito da AWS o un CMK gestito dal cliente.
-
Se il CMK si trova in un account AWS separato dall'account in cui si intende implementare Cloud Volumes ONTAP, è necessario ottenere l'ARN di tale chiave.
Quando si crea il sistema Cloud Volumes ONTAP, è necessario fornire l'ARN a BlueXP.
-
Aggiungere il ruolo IAM per l'istanza del connettore all'elenco degli utenti chiave per una CMK.
In questo modo, vengono assegnate autorizzazioni BlueXP per utilizzare CMK con Cloud Volumes ONTAP.
Fase 4: Installare il connettore e configurare BlueXP
Prima di iniziare a usare BlueXP per implementare Cloud Volumes ONTAP in AWS, devi installare e configurare BlueXP Connector. Il connettore consente a BlueXP di gestire risorse e processi all'interno dell'ambiente di cloud pubblico (incluso Cloud Volumes ONTAP).
-
Ottenere un certificato root firmato da un'autorità di certificazione (CA) nel formato X.509 codificato con Privacy Enhanced Mail (PEM) base-64. Per ottenere il certificato, consultare le policy e le procedure della propria organizzazione.
Per le aree di AWS Secret Cloud, è necessario caricare NSS Root CA 2E per il Cloud Top Secret, ilAmazon Root CA 4certificate (certificato). Assicurarsi di caricare solo questi certificati e non l'intera catena. Il file per la catena di certificati è di grandi dimensioni e il caricamento potrebbe non riuscire. Se si dispone di certificati aggiuntivi, è possibile caricarli in un secondo momento, come descritto nel passaggio successivo.Durante il processo di configurazione, è necessario caricare il certificato. BlueXP utilizza il certificato attendibile per inviare richieste ad AWS su HTTPS.
-
Avviare l'istanza di Connector:
-
Consulta la pagina del marketplace della community dell'intelligenza AWS per BlueXP.
-
Nella scheda Custom Launch (Avvio personalizzato), scegliere l'opzione per avviare l'istanza dalla console EC2.
-
Seguire le istruzioni per configurare l'istanza.
Durante la configurazione dell'istanza, tenere presente quanto segue:
-
Si consiglia di utilizzare t3.xlarge.
-
È necessario scegliere il ruolo IAM creato quando si impostano le autorizzazioni.
-
È necessario mantenere le opzioni di storage predefinite.
-
I metodi di connessione richiesti per il connettore sono i seguenti: SSH, HTTP e HTTPS.
-
-
-
Configurare BlueXP da un host che ha una connessione all'istanza del connettore:
-
Aprire un browser Web e immettere https://ipaddress Dove ipaddress è l'indirizzo IP dell'host Linux in cui è stato installato il connettore.
-
Specificare un server proxy per la connettività ai servizi AWS.
-
Caricare il certificato ottenuto al punto 1.
-
Selezionare Set Up New BlueXP (Configura nuovo BlueXP*) e seguire le istruzioni per configurare il sistema.
-
Dettagli sistema: Inserire un nome per il connettore e il nome della società.
-
Create Admin User (Crea utente amministratore): Consente di creare l'utente amministratore per il sistema.
Questo account utente viene eseguito localmente sul sistema. Non esiste alcuna connessione al servizio auth0 disponibile tramite BlueXP.
-
Revisione: Esaminare i dettagli, accettare il contratto di licenza, quindi selezionare Configurazione.
-
-
Per completare l'installazione del certificato firmato dalla CA, riavviare l'istanza del connettore dalla console EC2.
-
-
Una volta riavviato il connettore, accedere utilizzando l'account utente amministratore creato nell'installazione guidata.
Passaggio 5: (Facoltativo) installare un certificato in modalità privata
Questo passaggio è opzionale per le regioni Cloud segreto AWS e Cloud segreto superiore ed è necessario solo se si dispone di certificati aggiuntivi oltre ai certificati di origine installati nel passaggio precedente.
-
Elencare i certificati installati esistenti.
-
Per raccogliere l'id occm Container docker (nome identificato "ds-occm-1"), eseguire il seguente comando:
docker ps -
Per entrare nel contenitore occm, eseguire il comando seguente:
docker exec -it <docker-id> /bin/sh -
Per raccogliere la password dalla variabile di ambiente "TRUST_STORE_PASSWORD", eseguire il seguente comando:
env -
Per elencare tutti i certificati installati in truststore, eseguire il comando seguente e utilizzare la password raccolta nel passaggio precedente:
keytool -list -v -keystore occm.truststore
-
-
Aggiunta di un certificato.
-
Per raccogliere l'id occm Container docker (nome identificato "ds-occm-1"), eseguire il seguente comando:
docker ps -
Per entrare nel contenitore occm, eseguire il comando seguente:
docker exec -it <docker-id> /bin/shSalvare il nuovo file di certificato.
-
Per raccogliere la password dalla variabile di ambiente "TRUST_STORE_PASSWORD", eseguire il seguente comando:
env -
Per aggiungere il certificato al truststore, eseguire il comando seguente e utilizzare la password del passaggio precedente:
keytool -import -alias <alias-name> -file <certificate-file-name> -keystore occm.truststore -
Per verificare che il certificato sia installato, eseguire il comando seguente:
keytool -list -v -keystore occm.truststore -alias <alias-name> -
Per uscire dal contenitore occm, eseguire il comando seguente:
exit -
Per ripristinare occm container, eseguire il comando seguente:
docker restart <docker-id>
-
Fase 6: Aggiunta di una licenza al Digital Wallet di BlueXP
Se hai acquistato una licenza da NetApp, devi aggiungerla al Digital Wallet di BlueXP in modo da poterla selezionare quando crei un nuovo sistema Cloud Volumes ONTAP. Il portafoglio digitale identifica le licenze come non assegnate.
-
Dal menu di navigazione di BlueXP, selezionare Governance > Digital wallet.
-
Nella scheda Cloud Volumes ONTAP, selezionare licenze basate su nodo dall'elenco a discesa.
-
Fare clic su non assegnato.
-
Fare clic su Aggiungi licenze non assegnate.
-
Inserire il numero di serie della licenza o caricare il file di licenza.
-
Se non si dispone ancora del file di licenza, è necessario caricare manualmente il file di licenza da netapp.com.
-
Accedere alla "NetApp License file Generator" Ed effettua l'accesso utilizzando le credenziali del sito di supporto NetApp.
-
Inserire la password, scegliere il prodotto, inserire il numero di serie, confermare di aver letto e accettato l'informativa sulla privacy, quindi fare clic su Invia.
-
Scegliere se si desidera ricevere il file serialnumber.NLF JSON tramite e-mail o download diretto.
-
-
Fare clic su Aggiungi licenza.
BlueXP aggiunge la licenza al portafoglio digitale. La licenza viene identificata come non assegnata fino a quando non viene associata a un nuovo sistema Cloud Volumes ONTAP. Quindi, la licenza passa alla scheda BYOL del portafoglio digitale.
Fase 7: Avviare Cloud Volumes ONTAP da BlueXP
È possibile avviare le istanze Cloud Volumes ONTAP nel cloud segreto e nel cloud segreto principale di AWS creando nuovi ambienti di lavoro in BlueXP.
Per le coppie ha, è necessaria una coppia di chiavi per abilitare l'autenticazione SSH basata su chiave al mediatore ha.
-
Nella pagina ambienti di lavoro, fare clic su Aggiungi ambiente di lavoro.
-
In Crea, selezionare Cloud Volumes ONTAP.
Per ha: In Crea, selezionare Cloud Volumes ONTAP o Cloud Volumes ONTAP ha.
-
Completare la procedura guidata per avviare il sistema Cloud Volumes ONTAP.
Durante le selezioni effettuate mediante la procedura guidata, non selezionare Data Sense & Compliance e Backup su cloud in servizi. In pacchetti preconfigurati, seleziona Cambia solo configurazione e assicurati di non aver selezionato altre opzioni. I pacchetti preconfigurati non sono supportati nelle regioni Cloud Secret e Cloud Top Secret e, se selezionati, l'implementazione non avrà esito positivo.
Segui quanto segue al termine della procedura guidata per le coppie ha.
-
È necessario configurare un gateway di transito quando si implementa Cloud Volumes ONTAP ha in più zone di disponibilità (AZS). Vedere "Configurare un gateway di transito AWS".
-
Implementa la configurazione come segue, perché al momento della pubblicazione erano disponibili solo due zone di disponibilità nell'AWS Top Secret Cloud:
-
Nodo 1: Zona di disponibilità A.
-
Nodo 2: Zona di disponibilità B
-
Mediatore: Zona di disponibilità A o B.
-
Al termine della procedura guidata, tenere presente quanto segue:
-
Lasciare l'opzione predefinita per utilizzare un gruppo di protezione generato.
Il gruppo di protezione predefinito include le regole necessarie per il corretto funzionamento di Cloud Volumes ONTAP. Se hai un requisito per utilizzare il tuo, puoi fare riferimento alla sezione relativa al gruppo di sicurezza riportata di seguito.
-
È necessario scegliere il ruolo IAM creato durante la preparazione dell'ambiente AWS.
-
Il tipo di disco AWS sottostante è per il volume Cloud Volumes ONTAP iniziale.
È possibile scegliere un tipo di disco diverso per i volumi successivi.
-
Le prestazioni dei dischi AWS sono legate alle dimensioni dei dischi.
È necessario scegliere le dimensioni del disco in grado di garantire le prestazioni costanti necessarie. Fare riferimento alla documentazione AWS per ulteriori dettagli sulle prestazioni EBS.
-
La dimensione del disco è la dimensione predefinita per tutti i dischi del sistema.
Se in un secondo momento è necessaria una dimensione diversa, è possibile utilizzare l'opzione Advanced allocation (allocazione avanzata) per creare un aggregato che utilizza dischi di una dimensione specifica.
BlueXP avvia l'istanza di Cloud Volumes ONTAP. Puoi tenere traccia dei progressi nella timeline.
Passaggio 8: Installazione dei certificati di protezione per il tiering dei dati
Devi installare manualmente i certificati di sicurezza per abilitare il tiering dei dati nelle regioni di AWS Secret Cloud e Top Secret Cloud.
-
Creare bucket S3.
Assicurarsi che i nomi dei bucket siano preceduti da fabric-pool-.Ad esempiofabric-pool-testbucket. -
Conservare i certificati di origine installati in
step 4comodo.
-
Copiare il testo dai certificati di origine installati in
step 4. -
Connettersi in modo sicuro al sistema Cloud Volumes ONTAP utilizzando la CLI.
-
Installare i certificati di origine. Potrebbe essere necessario premere il
ENTERtasti più volte:security certificate install -type server-ca -cert-name <certificate-name>
-
Quando richiesto, immettere l'intero testo copiato, inclusi e da
----- BEGIN CERTIFICATE -----a.----- END CERTIFICATE -----. -
Conservare una copia del certificato digitale firmato dalla CA per riferimenti futuri.
-
Conservare il nome della CA e il numero di serie del certificato.
-
Configurare l'archivio di oggetti per il cloud segreto AWS e le aree del cloud top secret:
set -privilege advanced -confirmations off -
Eseguire questo comando per configurare l'archivio oggetti.
Tutti i nomi delle risorse Amazon (Arns) devono essere contrassegnati con il suffisso -iso-b, ad esempioarn:aws-iso-b. Ad esempio, se una risorsa richiede un ARN con una regione, per Top Secret Cloud, utilizzare la convenzione di denominazione comeus-iso-bper-serverallarme. Per AWS Secret Cloud, utilizzaus-iso-b-1.storage aggregate object-store config create -object-store-name <S3Bucket> -provider-type AWS_S3 -auth-type EC2-IAM -server <s3.us-iso-b-1.server_name> -container-name <fabric-pool-testbucket> -is-ssl-enabled true -port 443
-
Verificare che l'archivio oggetti sia stato creato correttamente:
storage aggregate object-store show -instance -
Collegare l'archivio di oggetti all'aggregato. Questo deve essere ripetuto per ogni nuovo aggregato:
storage aggregate object-store attach -aggregate <aggr1> -object-store-name <S3Bucket>