הפרויקטים ב-Data Connect מורכבים משני רכיבי תשתית עיקריים:
- מכונה אחת או יותר של שירות Data Connect
- מכונה אחת או יותר של Cloud SQL ל-PostgreSQL
במדריך הזה נסביר איך להגדיר ולנהל את מכונות השירות של Data Connect, ואיך לנהל את מכונות Cloud SQL המשויכות.
הגדרת אזורים עבור Firebase Data Connect
בפרויקטים שמשתמשים ב-Data Connect צריך להגדיר מיקום.
כשיוצרים מכונה חדשה של שירות Data Connect, מתבקשים לבחור את המיקום של השירות.
מיקומים זמינים
אפשר ליצור שירותי Data Connect באזורים הבאים.
- asia-east1
- asia-east2
- asia-northeast1
- asia-northeast2
- asia-northeast3
- asia-south1
- asia-southeast1
- asia-southeast2
- australia-southeast1
- australia-southeast2
- europe-central2
- europe-north1
- europe-southwest1
- europe-west1
- europe-west2
- europe-west3
- europe-west4
- europe-west6
- europe-west8
- europe-west9
- me-west1
- northamerica-northeast1
- northamerica-northeast2
- southamerica-east1
- southamerica-west1
- us-central1
- us-east1
- us-east4
- us-south1
- us-west1
- us-west2
- us-west3
- us-west4
ניהול מכונות של שירות Data Connect
יצירת שירותים
כדי ליצור שירות חדש, משתמשים במסוף Firebase או מריצים את האינטראקציה הראשונית של הפרויקט המקומי באמצעות ה-CLI של Firebase. תהליכי העבודה האלה יוצרים שירות Data Connect חדש.
התהליכים האלה כוללים גם הנחיות לגבי:
- הקצאת מכונה חדשה של Cloud SQL (ברמה ללא עלות)
- קישור של מכונה קיימת של Cloud SQL ל-Data Connect (תוכנית Blaze)
ניהול משתמשים
Data Connect מספק כלים לניהול הגישה של המשתמשים בהתאם לעיקרון של הרשאות מינימליות (מתן ההרשאות המינימליות הנדרשות לכל משתמש או חשבון שירות כדי לתמוך בפונקציונליות הנדרשת) ולבקרת גישה מבוססת-תפקידים (RBAC) (עם תפקידים מוגדרים מראש לניהול הרשאות של מסדי נתונים, שמפשטים את ניהול האבטחה).
כדי להוסיף חברי פרויקט כמשתמשים שיכולים לשנות מכונות Data Connect בפרויקט, בוחרים במסוף Firebase את תפקידי המשתמש המוגדרים מראש המתאימים.
התפקידים האלה מקצים הרשאות באמצעות ניהול זהויות והרשאות גישה (IAM). תפקיד הוא אוסף של הרשאות. כשמקצים תפקיד לחבר צוות בפרויקט, מעניקים לו את כל ההרשאות שהתפקיד מכיל. מידע נוסף זמין במאמרים הבאים:
- סקירה כללית על תפקידי IAM ב-Firebase
- הרשימה המפורטת של תפקידים ב-Data Connect
בחירת תפקידים להפעלת תהליכי עבודה ספציפיים
תפקידי IAM מאפשרים להשתמש בתהליכי עבודה של CLI ב-Firebase כדי לנהל את הפרויקטים ב-Data Connect.
פקודה ב-CLI, תהליך עבודה אחר | התפקידים הנדרשים |
---|---|
firebase init dataconnect
|
|
firebase deploy -–only dataconnect
|
|
firebase dataconnect:sql:diff
|
|
firebase dataconnect:sql:migrate |
|
firebase dataconnect:sql:grant
|
|
מעקב אחרי ביצועי השירות Data Connect
הסבר על ביצועי השירות
הביצועים של שירות Data Connect ושל שירות Cloud SQL for PostgreSQL יכולים להשפיע על חוויית השימוש בתקופת הבטא.
- בשירות Data Connect יש מגבלה של 1, 200 בקשות GraphQL ומחבר בדקה, שמשפיעה על הקצב שבו אפשר לבצע קריאות לשאילתות ולמוטציות ולבצע אותן.
- לגבי השירות Cloud SQL ל-PostgreSQL, אפשר לעיין בהנחיות הכלליות במאמר מסמכי העזרה בנושא מכסות ומגבלות.
מעקב אחר ביצועי השירות, השימוש והחיוב
במסוף Firebase אפשר לעקוב אחרי בקשות, שגיאות ושיעורי פעולות, גם ברמת המערכת וגם לכל פעולה.
ניהול מכונות של Cloud SQL
מגבלות של תקופת ניסיון בחינם
התכונות הבאות של Cloud SQL ל-PostgreSQL לא נתמכות בגרסת הניסיון בחינם:
- גרסאות PostgreSQL שאינן 15.x
- שימוש במכונות קיימות של Cloud SQL ל-PostgreSQL
- רמת מכונה שונה מ-db-f1-micro
- שינוי המשאבים של המכונה, כמו אחסון, זיכרון, מעבד (CPU)
- קריאת רפליקות
- כתובת ה-IP של המכונה הפרטית
- זמינות גבוהה (במספר תחומים); יש תמיכה רק במכונות בתחום יחיד
- מהדורת Enterprise Plus
- גיבויים אוטומטיים
- הגדלה אוטומטית של נפח האחסון.
ניהול מכונות של Cloud SQL
באופן כללי, אפשר לנהל את המכונות של Cloud SQL באמצעות מסוף Google Cloud כדי לבצע את תהליכי העבודה הבאים.
- השבתה והפעלה מחדש של מכונות Cloud SQL
- יצירה ומחיקה של מסדי נתונים ב-Cloud SQL (בתוך מכונות)
- הפעלת מכונות של מסדי נתונים של PostgreSQL באמצעות דגלים ושימוש במגוון תוספים
- מעקב אחר הביצועים באמצעות תכונות התובנות של Cloud SQL במסוף Google Cloud
- ניהול הגישה והאבטחה ב-Cloud SQL באמצעות תכונות כמו IAM, Secret Manager, הצפנת נתונים ושרת proxy לאימות
- הוספה, מחיקה וניהול של משתמשים ב-Cloud SQL.
תוכלו לקרוא על תהליכי העבודה האלה ועל תהליכים אחרים במסמכי העזרה של Cloud SQL ל-PostgreSQL.
הקצאת תפקידים של משתמשי PostgreSQL באמצעות ה-CLI של Firebase וכלים של Google Cloud
Data Connect מספק כלים לניהול הגישה של המשתמשים בהתאם לעיקרון של הרשאות מינימליות (מתן ההרשאות המינימליות הנדרשות לכל משתמש או חשבון שירות כדי לתמוך בפונקציונליות הנדרשת) ולבקרת גישה מבוססת-תפקידים (RBAC) (עם תפקידים מוגדרים מראש לניהול הרשאות של מסדי נתונים, שמפשטים את ניהול האבטחה).
במקרים מסוימים, יכול להיות שתרצו להתחבר ישירות למסד הנתונים של Cloud SQL בניהול Data Connect דרך לקוח SQL לבחירתכם, באמצעות Cloud Run, Cloud Functions או GKE, למשל.
כדי להפעיל חיבורים כאלה, צריך להעניק הרשאות SQL באופן הבא:
- הקצאת התפקיד
roles/cloudsql.client
ב-IAM למשתמש או לחשבון השירות שצריך להתחבר למכונה, דרך מסוף Google Cloud או באמצעות ה-CLI gcloud CLI - הקצאת התפקיד הנדרש ב-PostgreSQL באמצעות CLI של Firebase
הקצאת תפקיד IAM ב-Cloud SQL
למידע נוסף על עבודה עם Cloud SQL ל-PostgreSQL כדי להקצות את התפקיד roles/cloudsql.client
ב-IAM, ראו תפקידים והרשאות.
הקצאת תפקידים ב-PostgreSQL
באמצעות ה-CLI של Firebase, אפשר להקצות תפקידים מוגדרים מראש ב-PostgreSQL למשתמשים או לחשבונות שירות שמשויכים לפרויקט באמצעות הפקודה firebase dataconnect:sql:grant
.
לדוגמה, כדי להקצות את תפקיד הכתיבה, מריצים את הפקודה הבאה ב-CLI:
firebase dataconnect:sql:grant --role writer
פרטים נוספים זמינים במדריך העזר של CLI.