Data Connect 專案包含兩項主要基礎架構元素:
- 一或多個 Data Connect 服務執行個體
- 一或多個 PostgreSQL 適用的 Cloud SQL 執行個體
本指南將探討如何設定和管理 Data Connect 服務執行個體,並介紹如何管理相關聯的 Cloud SQL 執行個體。
設定 Firebase Data Connect 的區域
使用 Data Connect 的專案需要設定位置資訊。
建立新的 Data Connect 服務執行個體時,系統會提示您選取服務的位置。
服務地區
您可以在下列區域建立 Data Connect 項服務。
- asia-east1
- asia-east2
- asia-northeast1
- asia-northeast2
- asia-northeast3
- asia-south1
- asia-southeast1
- asia-southeast2
- australia-southeast1
- australia-southeast2
- europe-central2
- europe-north1
- europe-southwest1
- europe-west1
- europe-west2
- europe-west3
- europe-west4
- europe-west6
- europe-west8
- europe-west9
- me-west1
- northamerica-northeast1
- northamerica-northeast2
- southamerica-east1
- southamerica-west1
- us-central1
- us-east1
- us-east4
- us-south1
- us-west1
- us-west2
- us-west3
- us-west4
管理 Data Connect 個服務執行個體
建立服務
如要建立新服務,請使用 Firebase 主控台,或使用 Firebase CLI 執行本機專案初始化作業。這些工作流程會建立新的 Data Connect 服務。
這些流程也會引導您完成下列操作:
- 佈建新的 Cloud SQL 執行個體 (免費層級)
- 將現有的 Cloud SQL 執行個體連結至 Data Connect (Blaze 方案)
管理使用者
Data Connect 提供的工具可以管理使用者存取權,遵循最低權限原則 (授予每個使用者或服務帳戶支援所需功能的最低必要權限) 和角色型存取權控管 (RBAC) 的概念 (具備預先定義的角色,方便管理資料庫權限,簡化安全性管理作業)。
如要將專案成員新增為可以修改專案中 Data Connect 執行個體的使用者,請使用 Firebase 主控台選取適當的預先定義使用者角色。
這些角色會使用 Identity and Access Management (IAM) 授予權限。角色是一組權限。指派角色給專案成員時,即授予該專案成員該角色具備的所有權限。詳情請參閱:
選擇角色來啟用特定工作流程
IAM 角色可啟用 Firebase CLI 工作流程,讓您管理 Data Connect 專案。
| CLI 指令、其他工作流程 | 必要角色 |
|---|---|
firebase init dataconnect
|
|
firebase deploy -–only dataconnect
|
|
firebase dataconnect:sql:diff
|
|
firebase dataconnect:sql:migrate |
|
firebase dataconnect:sql:grant
|
|
監控 Data Connect 服務效能
瞭解服務效能
Data Connect 服務和 PostgreSQL 適用的 Cloud SQL 服務效能,可能會影響您在預先發布版期間的使用體驗。
- Data Connect 服務每分鐘的 GraphQL 和連接器要求數量上限為 1200 個,這會影響您呼叫及執行查詢和異動的頻率。
- 如需 PostgreSQL 適用的 Cloud SQL 服務的一般指引,請參閱配額和限制說明文件。
監控服務效能、用量和帳單
您可以在 Firebase 控制台中監控要求、錯誤和作業率,包括全局和個別作業。
管理 Cloud SQL 執行個體
免費試用限制
免費試用期間不支援下列 PostgreSQL 適用的 Cloud SQL 功能:
- 15.x 以外的 PostgreSQL 版本
- 使用現有的 PostgreSQL 適用 Cloud SQL 執行個體
- 與 db-f1-micro 不同的機器層級
- 變更執行個體的資源,例如儲存空間、記憶體和 CPU
- 唯讀備用資源
- 私人執行個體 IP 位址
- 高可用性 (多可用區);僅支援單一可用區執行個體
- Enterprise Plus 版
- 自動備份
- 自動增加儲存空間。
管理 Cloud SQL 執行個體
一般來說,您可以使用 Google Cloud 控制台管理 Cloud SQL 執行個體,執行下列工作流程。
- 停止及重新啟動 Cloud SQL 執行個體
- 建立及刪除 Cloud SQL 資料庫 (在執行個體內)
- 使用旗標啟動 PostgreSQL 資料庫執行個體,並使用各種擴充功能
- 使用 Google Cloud 控制台中的 Cloud SQL 觀測功能監控效能
- 透過 IAM、密鑰管理工具、資料加密和授權 Proxy 等功能,管理 Cloud SQL 的存取權和安全性
- 新增、刪除及管理 Cloud SQL 使用者。
如需瞭解這些工作流程和其他工作流程,請參閱 PostgreSQL 適用的 Cloud SQL 說明文件。
使用 Firebase CLI 和 Google Cloud 工具授予 PostgreSQL 使用者角色
Data Connect 提供工具,可依據最小權限原則 (授予每位使用者或服務帳戶所需的最低權限,以支援所需功能) 和角色式存取權控管 (RBAC) 概念 (使用預先定義的角色管理資料庫權限,簡化安全性管理) 管理使用者存取權。
在某些情況下,您可能會想要透過所選的 SQL 用戶端 (例如 Cloud Run、Cloud Functions 或 GKE) 直接連線至 Data Connect 管理的 Cloud SQL 資料庫。
如要啟用這類連線,您必須授予 SQL 權限,方法如下:
- 將
roles/cloudsql.clientIAM 角色指派給需要連線至執行個體的使用者或服務帳戶,方法是透過 Google Cloud 控制台或使用 gcloud CLI - 使用 Firebase CLI 授予必要的 PostgreSQL 角色
指派 Cloud SQL 身分與存取權管理角色
如要瞭解如何使用 PostgreSQL 適用的 Cloud SQL 來指派 IAM 角色 roles/cloudsql.client,請參閱角色和權限一文。
授予 PostgreSQL 角色
您可以使用 Firebase CLI,透過 firebase dataconnect:sql:grant 指令,將預先定義的 PostgreSQL 角色授予與專案相關聯的使用者或服務帳戶。
舉例來說,如要授予寫入者角色,請在 CLI 中執行下列指令:
firebase dataconnect:sql:grant --role writer詳情請參閱 CLI 參考指南。