VPC Service Controls 可让组织围绕 Google Cloud 资源定义边界,从而降低数据渗漏风险。借助 VPC Service Controls,您可以创建边界来保护明确指定的服务的资源和数据。
捆绑的 Cloud Firestore 服务
以下 API 在 VPC Service Controls 中捆绑在一起:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
当您限制边界中的 firestore.googleapis.com 服务时,边界也会限制 datastore.googleapis.com 和 firestorekeyvisualizer.googleapis.com 服务。
限制 datastore.googleapis.com 服务
datastore.googleapis.com 服务捆绑在 firestore.googleapis.com 服务下。如需限制 datastore.googleapis.com 服务,您必须按如下所示限制 firestore.googleapis.com 服务:
- 使用 Google Cloud 控制台创建服务边界时,请添加 Cloud Firestore 作为受限服务。
使用 Google Cloud CLI 创建服务边界时,请使用
firestore.googleapis.com而不是datastore.googleapis.com。--perimeter-restricted-services=firestore.googleapis.com
适用于 Datastore 的 App Engine 旧版捆绑服务
适用于 Datastore 的 App Engine 旧版捆绑服务不支持服务边界。使用服务边界保护 Datastore 服务会阻止来自 App Engine 旧版捆绑服务的流量。旧版捆绑服务包括:
- 具有 App Engine API 的 Java 8 Datastore
- 适用于 Datastore 的 Python 2 NDB 客户端库
- 具有 App Engine API 的 Go 1.11 Datastore
导入和导出操作的出站流量保护
与 MongoDB 兼容的 Cloud Firestore 支持 VPC Service Controls,但需要额外配置才能获得对导入和导出操作的全面出站流量保护。您必须使用 Cloud Firestore 服务代理来授权导入和导出操作,而不是使用默认的 App Engine 服务账号。按照以下说明查看和配置授权账号以用于导入和导出操作。