تتيح عناصر التحكّم في خدمة سحابة VPC للمؤسسات تحديد حدود حول موارد Google Cloud للحدّ من مخاطر استخراج البيانات. باستخدام VPC Service Controls، يمكنك إنشاء حدود تحمي الموارد والبيانات الخاصة بالخدمات التي تحدّدها بشكل صريح.
خدمات Cloud Firestore مجمّعة
يتم تجميع واجهات برمجة التطبيقات التالية معًا في "عناصر التحكّم في خدمة سحابة VPC":
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
عند حظر خدمة firestore.googleapis.com في محيط جغرافي، يؤدي ذلك أيضًا إلى حظر خدمتي datastore.googleapis.com وfirestorekeyvisualizer.googleapis.com في المحيط الجغرافي نفسه.
حظر خدمة datastore.googleapis.com
يتم تجميع خدمة datastore.googleapis.com ضمن خدمة firestore.googleapis.com. لتقييد خدمة
datastore.googleapis.com، يجب تقييد خدمة firestore.googleapis.com
على النحو التالي:
- عند إنشاء محيط خدمة باستخدام Google Cloud Console، أضِف Cloud Firestore كخدمة محظورة.
عند إنشاء حيّز خدمة باستخدام Google Cloud CLI، استخدِم
firestore.googleapis.comبدلاً منdatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine الخدمات المجمّعة القديمة مقابل Datastore
لا تتوافق خدمات App Engine القديمة المجمّعة مع Datastore حدود الخدمة. تؤدي حماية خدمة Datastore باستخدام محيط خدمة إلى حظر حركة البيانات من الخدمات المجمّعة القديمة App Engine. تشمل الخدمات المجمّعة القديمة ما يلي:
- Java 8 Datastore مع واجهات برمجة التطبيقات App Engine
- مكتبة برامج NDB للغة Python 2 في Datastore
- إصدار Go 1.11 Datastore مع واجهات برمجة التطبيقات App Engine
حماية الخروج في عمليات الاستيراد والتصدير
تتوافق خدمة Cloud Firestore مع MongoDB مع عناصر التحكّم في خدمة سحابة VPC، ولكنها تتطلّب إعدادات إضافية للحصول على حماية كاملة من نقل البيانات إلى خارج المؤسسة في عمليات الاستيراد والتصدير. يجب استخدام وكيل خدمة Cloud Firestore لتفويض عمليات الاستيراد والتصدير بدلاً من حساب خدمة App Engine التلقائي. اتّبِع التعليمات التالية لعرض حساب التفويض وضبطه لعمليات الاستيراد والتصدير.