Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ضبط Private Google Access في Firestore مع إمكانية التوافق مع MongoDB

توضّح هذه الصفحة كيفية تفعيل "الوصول الخاص إلى Google" وضبطه في Cloud Firestore.

لمحة عن "الوصول الخاص إلى Google" في Cloud Firestore

تلقائيًا، لا يمكن لجهاز Compute Engine VM إرسال حِزم البيانات إلا إلى عناوين IP داخلية أخرى إذا لم يكن لديه عنوان IP خارجي تم تعيينه لواجهة الشبكة. يمكنك السماح لأجهزة VM هذه بالاتصال بخدمة Cloud Firestore من خلال تفعيل "الوصول الخاص إلى Google" على الشبكة الفرعية التي تستخدمها واجهة الشبكة لجهاز VM.

الخدمات والبروتوكولات السارية

لا تنطبق التعليمات الواردة في هذا الدليل إلا على Cloud Firestore.
لا تتوافق النطاقات التلقائية ونطاقات VIP التي تستخدمها Cloud Firestore ونطاقات عناوين IP الخاصة بها إلا مع بروتوكول MongoDB على المنفذ 443. ولا تتوافق مع جميع البروتوكولات الأخرى.

متطلبات الشبكة

يمكن لواجهة جهاز VM الوصول إلى Google APIs والخدمات من خلال شبكة Google الداخلية باستخدام "الوصول الخاص إلى Google" إذا استوفت جميع الشروط التالية:

تكون واجهة جهاز VM متصلة بشبكة فرعية تم تفعيل "الوصول الخاص إلى Google" فيها.
لا يكون لدى واجهة جهاز VM عنوان IP خارجي تم تعيينه.
يتطابق عنوان IP المصدر للحِزم المرسَلة من جهاز VM مع أحد عناوين IP التالية:
- عنوان IPv4 الداخلي الأساسي لواجهة جهاز VM
- عنوان IPv4 داخلي من نطاق عناوين IP المستعارة

لا يحتاج جهاز VM الذي تم تعيين عنوان IPv4 خارجي لواجهة الشبكة إلى "الوصول الخاص إلى Google" للاتصال بـ Google APIs والخدمات. ومع ذلك، يجب أن تستوفي شبكة VPC متطلبات الوصول إلى Google APIs والخدمات.

أذونات "إدارة الهوية وإمكانية الوصول"

يمكن لمالكي المشاريع والمحرّرين والمستخدمين الأساسيين في "إدارة الهوية وإمكانية الوصول" الذين لديهم دور مشرف الشبكة إنشاء شبكات فرعية أو تعديلها وتعيين عناوين IP.

لمزيد من المعلومات عن الأدوار، يُرجى قراءة مستند أدوار "إدارة الهوية وإمكانية الوصول".

التسجيل

Cloud Logging تسجِّل جميع طلبات واجهة برمجة التطبيقات التي يتم إجراؤها من مثيلات VM في الشبكات الفرعية التي تم تفعيل "الوصول الخاص إلى Google" فيها. تحدِّد إدخالات السجلّ عنوان IP الداخلي للمثيل الذي أجرى الطلب كمصدر لطلب بيانات من واجهة برمجة التطبيقات.

يمكنك ضبط تقارير الاستخدام اليومي والتقارير المجمّعة الشهرية ليتم تسليمها إلى حاوية Cloud Storage لمعرفة التفاصيل، يُرجى الاطّلاع على صفحة عرض تقارير الاستخدام.

ملخّص الإعدادات

يلخّص الجدول التالي الطرق المختلفة التي يمكنك من خلالها ضبط "الوصول الخاص إلى Google" في Cloud Firestore. لمزيد من المعلومات التفصيلية، يُرجى الاطّلاع على مقالة إعدادات الشبكة.

خيار النطاق نطاقات عناوين IP إعدادات نظام أسماء النطاقات إعدادات التوجيه إعدادات جدار الحماية

خيار النطاق	نطاقات عناوين IP	إعدادات نظام أسماء النطاقات	إعدادات التوجيه	إعدادات جدار الحماية
النطاق التلقائي (`firestore.goog`) يتم استخدام النطاقات التلقائية عندما لا تضبط سجلّات نظام أسماء النطاقات لـ `restricted.firestore.goog`.	`136.124.0.0/23`	يمكنك الوصول إلى خدمة Cloud Firestore من خلال عناوين IP العلنية الخاصة بها، لذا لا يلزم إجراء أي إعدادات خاصة لنظام أسماء النطاقات.	تأكَّد من أنّ شبكة VPC يمكنها توجيه حركة البيانات إلى نطاقات عناوين IP التي تستخدمها Cloud Firestore الخدمة. الإعدادات الأساسية: تأكَّد من أنّ لديك مسارات تلقائية مع عنوان القفزة التالية `default-internet-gateway` ونطاق الوجهة `0.0.0.0/0`. أنشئ هذه المسارات إذا لم تكن متوفّرة. الإعدادات المخصّصة: أنشئ مسارات إلى نطاق عناوين IP `136.124.0.0/23`	تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP `136.124.0.0/23` تسمح قاعدة جدار الحماية التلقائية "السماح بالخروج" بحركة البيانات هذه، إذا لم تكن هناك قاعدة ذات أولوية أعلى تحظرها.
`restricted.firestore.goog` استخدِم `restricted.firestore.goog` للوصول إلى خدمة Cloud Firestore باستخدام مجموعة من عناوين IP التي يمكن توجيهها فقط من داخل Google Cloud. يمكن استخدامها في سيناريوهات عناصر التحكّم في خدمة سحابة VPC.	`199.36.153.2/31`	اضبط سجلّات نظام أسماء النطاقات لإرسال الطلبات إلى نطاق عناوين IP `199.36.153.2/31`.	تأكَّد من أنّ شبكة VPC تتضمّن مسارات إلى نطاق عناوين IP `199.36.153.2/31`.	تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP `199.36.153.2/31`.

النطاق التلقائي (firestore.goog)

يتم استخدام النطاقات التلقائية عندما لا تضبط سجلّات نظام أسماء النطاقات لـ restricted.firestore.goog.

136.124.0.0/23

يمكنك الوصول إلى خدمة Cloud Firestore من خلال عناوين IP العلنية الخاصة بها، لذا لا يلزم إجراء أي إعدادات خاصة لنظام أسماء النطاقات.

تأكَّد من أنّ شبكة VPC يمكنها توجيه حركة البيانات إلى نطاقات عناوين IP التي تستخدمها Cloud Firestore الخدمة.

الإعدادات الأساسية: تأكَّد من أنّ لديك مسارات تلقائية مع عنوان القفزة التالية default-internet-gateway ونطاق الوجهة 0.0.0.0/0. أنشئ هذه المسارات إذا لم تكن متوفّرة.
الإعدادات المخصّصة: أنشئ مسارات إلى نطاق عناوين IP 136.124.0.0/23

تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP 136.124.0.0/23

تسمح قاعدة جدار الحماية التلقائية "السماح بالخروج" بحركة البيانات هذه، إذا لم تكن هناك قاعدة ذات أولوية أعلى تحظرها.

restricted.firestore.goog

استخدِم restricted.firestore.goog للوصول إلى خدمة Cloud Firestore باستخدام مجموعة من عناوين IP التي يمكن توجيهها فقط من داخل Google Cloud. يمكن استخدامها في سيناريوهات عناصر التحكّم في خدمة سحابة VPC.

199.36.153.2/31

اضبط سجلّات نظام أسماء النطاقات لإرسال الطلبات إلى نطاق عناوين IP 199.36.153.2/31.

تأكَّد من أنّ شبكة VPC تتضمّن مسارات إلى نطاق عناوين IP 199.36.153.2/31.

تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP 199.36.153.2/31.

إعدادات الشبكة

يوضِّح هذا القسم كيفية ضبط شبكتك للوصول إلى الـ Cloud Firestore باستخدام "الوصول الخاص إلى Google".

إعدادات نظام أسماء النطاقات

على عكس Google APIs الأخرى، تستخدم Cloud Firestore API أسماء نطاقات وعناوين IP مختلفة لـ "الوصول الخاص إلى Google":

restricted.firestore.goog يسمح بالوصول إلى واجهة برمجة التطبيقات Cloud Firestore API.
- عناوين IP: 199.36.153.2 و199.36.153.3
- بما أنّ Cloud Firestore متوافق مع عناصر التحكّم في خدمة سحابة VPC، يمكنك استخدام هذا النطاق في سيناريوهات عناصر التحكّم في خدمة سحابة VPC.

لإنشاء منطقة نظام أسماء النطاقات وسجلّات لنظام أسماء النطاقات في Cloud Firestore، اتّبِع الخطوات التالية:

أنشئ منطقة نظام أسماء النطاقات الخاص لـ firestore.goog.

يمكنك إنشاء منطقة خاصة في Cloud DNS لهذا الغرض.
في منطقة firestore.goog، أنشئ السجلّات التالية:
1. سجلّ A لـ restricted.firestore.goog يشير إلى عناوين IP التالية: 199.36.153.2 و199.36.153.3
2. سجلّ CNAME لـ *.firestore.goog يشير إلى restricted.firestore.goog
لإنشاء هذه السجلّات في Cloud DNS، يُرجى الاطّلاع على مقالة إضافة سجلّ.

إعدادات التوجيه

يجب أن تتضمّن شبكة VPC مسارات مناسبة تكون عناوين القفزة التالية فيها هي بوابة الإنترنت التلقائية. Google Cloud لا يسمح بتوجيه حركة البيانات إلى Google APIs والخدمات من خلال مثيلات VM أخرى أو عناوين قفزة تالية مخصّصة. على الرغم من أنّها تُعرف باسم بوابة الإنترنت التلقائية، تظل حِزم البيانات المرسَلة من أجهزة VM في شبكة VPC إلى Google APIs والخدمات ضمن شبكة Google.

إذا اخترت خيار النطاق التلقائي، تتصل مثيلات VM بخدمة Cloud Firestore باستخدام نطاق عناوين IP العلنية التالي: 136.124.0.0/23 . يمكن توجيه عناوين IP هذه علنًا، ولكن يظل المسار من جهاز VM في شبكة VPC إلى هذه العناوين ضمن شبكة Google.
لا تنشر Google مسارات على الإنترنت إلى أي من عناوين IP التي يستخدمها النطاق restricted.firestore.goog. وبالتالي، لا يمكن الوصول إلى هذا النطاق إلا من خلال أجهزة VM في شبكة VPC أو الأنظمة المحلية المتصلة بشبكة VPC.

إذا كانت شبكة VPC تتضمّن مسارًا تلقائيًا تكون عنوان القفزة التالية فيه هو بوابة الإنترنت التلقائية، يمكنك استخدام هذا المسار للوصول إلى خدمة Cloud Firestore، بدون الحاجة إلى إنشاء مسارات مخصّصة. لمعرفة التفاصيل، يُرجى الاطّلاع على مقالة التوجيه باستخدام مسار تلقائي.

إذا استبدلت مسارًا تلقائيًا (الوجهة 0.0.0.0/0 أو ::0/0) بـ مسار مخصّص ليس عنوان القفزة التالية فيه هو بوابة الإنترنت التلقائية، يمكنك استيفاء متطلبات التوجيه لخدمة Cloud Firestore باستخدام التوجيه المخصّص بدلاً من ذلك.

التوجيه باستخدام مسار تلقائي

تحتوي كل شبكة VPC على مسار تلقائي لبروتوكول IPv4 (0.0.0.0/0) عند إنشائها.

يوفر المسار التلقائي مسارًا إلى عناوين IP للوجهات التالية:

النطاق التلقائي (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

للحصول على تعليمات حول كيفية التحقّق من إعدادات مسار تلقائي في شبكة معيّنة في Google Cloud Console وGoogle Cloud CLI، يُرجى الاطّلاع على مقالة ضبط "الوصول الخاص إلى Google".

التوجيه باستخدام مسارات مخصّصة

كبديل للمسار التلقائي، يمكنك استخدام مسارات ثابتة مخصّصة، يكون لكل منها وجهة أكثر تحديدًا، ويستخدم كل منها عنوان القفزة التالية لبوابة الإنترنت التلقائية. تعتمد عناوين IP الوجهة للمسارات على النطاق الذي تختاره:

النطاق التلقائي (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

للحصول على تعليمات حول كيفية التحقّق من إعدادات المسارات المخصّصة في شبكة معيّنة في Google Cloud Console وGoogle Cloud CLI، يُرجى الاطّلاع على مقالة ضبط "الوصول الخاص إلى Google".

إعدادات جدار الحماية

يجب أن تسمح إعدادات جدار الحماية لشبكة VPC بالوصول من أجهزة VM إلى عناوين IP التي تستخدمها خدمة.Cloud Firestore تستوفي قاعدة allow egress الضمنية هذا الشرط.

في بعض إعدادات جدار الحماية، عليك إنشاء قواعد محدّدة للسماح بالخروج. على سبيل المثال، لنفترض أنّك أنشأت قاعدة "حظر الخروج" تحظر حركة البيانات إلى جميع الوجهات (0.0.0.0 لبروتوكول IPv4). في هذه الحالة، عليك إنشاء قاعدة جدار حماية واحدة "السماح بالخروج" تكون أولويتها أعلى من قاعدة "حظر الخروج" لكل نطاق عناوين IP يستخدمه النطاق الذي تختاره:

النطاق التلقائي (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

لإنشاء قواعد جدار الحماية، يُرجى الاطّلاع على مقالة إنشاء قواعد جدار الحماية. يمكنك تحديد أجهزة VM التي تنطبق عليها قواعد جدار الحماية عند تحديد الهدف من كل قاعدة "السماح بالخروج".

إعدادات "الوصول الخاص إلى Google"

يمكنك تفعيل "الوصول الخاص إلى Google" بعد استيفاء متطلبات الشبكة في شبكة VPC. للحصول على تعليمات حول Google Cloud Console وGoogle Cloud CLI، اتّبِع الخطوات الموضّحة في تفعيل "الوصول الخاص إلى Google".