Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

ضبط Private Google Access في Firestore مع إمكانية التوافق مع MongoDB

توضّح هذه الصفحة كيفية تفعيل خدمة "الوصول الخاص إلى Google" وإعدادها في Cloud Firestore.

لمحة عن خدمة Private Google Access في Cloud Firestore

عندما لا يتضمّن الجهاز الافتراضي Compute Engine عنوان IP خارجيًا مخصّصًا لواجهة الشبكة، يمكنه تلقائيًا إرسال حِزم إلى وجهات أخرى ذات عناوين IP داخلية فقط. يمكنك السماح لهذه الأجهزة الافتراضية بالاتصال بخدمة Cloud Firestore من خلال تفعيل ميزة "الوصول الخاص إلى Google" على الشبكة الفرعية التي تستخدمها واجهة شبكة الجهاز الافتراضي.

الخدمات والبروتوكولات السارية

تنطبق التعليمات الواردة في هذا الدليل على Cloud Firestore فقط.
لا تتوافق نطاقات VIP والنطاقات التلقائية التي تستخدمها Cloud Firestore ونطاقات عناوين IP الخاصة بها إلا مع بروتوكول MongoDB على المنفذ 443. ولا تتوافق جميع البروتوكولات الأخرى.

متطلبات الشبكة

يمكن لواجهة الجهاز الافتراضي الوصول إلى واجهات برمجة التطبيقات والخدمات من Google من خلال شبكة Google الداخلية باستخدام ميزة "الوصول الخاص إلى Google" إذا تم استيفاء جميع الشروط التالية:

تكون واجهة الجهاز الافتراضي مرتبطة بشبكة فرعية تم تفعيل ميزة "الوصول الخاص إلى Google" فيها.
لم يتم تعيين عنوان IP خارجي لواجهة الجهاز الافتراضي.
يتطابق عنوان IP المصدر للحِزم المرسَلة من الجهاز الظاهري مع أحد عناوين IP التالية.
- عنوان IPv4 الداخلي الأساسي لواجهة الجهاز الظاهري
- عنوان IPv4 داخلي من نطاق عناوين IP مستعارة

لا تحتاج الآلة الافتراضية التي تم تخصيص عنوان IPv4 خارجي لواجهة الشبكة الخاصة بها إلى ميزة "الوصول الخاص إلى Google" للاتصال بخدمات Google وواجهات برمجة التطبيقات. ومع ذلك، يجب أن تستوفي شبكة VPC متطلبات الوصول إلى واجهات برمجة التطبيقات والخدمات من Google.

أذونات "إدارة الهوية وإمكانية الوصول"

يمكن لمالكي المشاريع والمحرّرين والجهات الرئيسية في إدارة الهوية وإمكانية الوصول (IAM) الذين لديهم دور مشرف الشبكة إنشاء شبكات فرعية أو تعديلها وتعيين عناوين IP.

لمزيد من المعلومات عن الأدوار، يُرجى الاطّلاع على مستندات أدوار إدارة الهوية وإمكانية الوصول.

التسجيل

تسجّل Cloud Logging جميع طلبات واجهة برمجة التطبيقات التي يتم إجراؤها من مثيلات الأجهزة الافتراضية في الشبكات الفرعية التي تم تفعيل ميزة "الوصول الخاص إلى Google" فيها. تحدّد إدخالات السجلّ مصدر طلب بيانات من واجهة برمجة التطبيقات على أنّه عنوان IP داخلي للمثيل الذي تم استدعاؤه.

يمكنك ضبط إعدادات تقارير الاستخدام اليومي وتقارير التجميع الشهري ليتم تسليمها إلى حزمة Cloud Storage. لمزيد من التفاصيل، يُرجى الاطّلاع على صفحة عرض تقارير الاستخدام.

ملخّص الإعدادات

يلخّص الجدول التالي الطرق المختلفة التي يمكنك من خلالها ضبط Private Google Access في Cloud Firestore. للحصول على تعليمات أكثر تفصيلاً، يُرجى الاطّلاع على إعدادات الشبكة.

خيار النطاق نطاقات عناوين IP إعدادات نظام أسماء النطاقات إعدادات التوجيه إعدادات جدار الحماية

خيار النطاق	نطاقات عناوين IP	إعدادات نظام أسماء النطاقات	إعدادات التوجيه	إعدادات جدار الحماية
النطاق التلقائي (`firestore.goog`) يتم استخدام النطاقات التلقائية عندما لا يتم إعداد سجلّات نظام أسماء النطاقات لـ `restricted.firestore.goog`.	`136.124.0.0/23`	يمكنك الوصول إلى خدمة Cloud Firestore من خلال عناوين IP العامة الخاصة بها، لذا لا تحتاج إلى إعدادات خاصة لنظام أسماء النطاقات.	تأكَّد من أنّ شبكة VPC يمكنها توجيه الزيارات إلى نطاقات عناوين IP التي تستخدمها خدمة Cloud Firestore. الإعداد الأساسي: تأكَّد من توفّر مسارات تلقائية مع القفزة التالية `default-internet-gateway` ونطاق وجهة `0.0.0.0/0`. أنشئ هذه المسارات إذا كانت غير متوفّرة. الإعداد المخصّص: أنشئ مسارات إلى نطاق عناوين IP الخاص بـ `136.124.0.0/23`.	تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP الخاص بـ `136.124.0.0/23`. تسمح قاعدة جدار الحماية التلقائية بالسماح بخروج البيانات بهذه الزيارات، ما لم تكن هناك قاعدة ذات أولوية أعلى تحظرها.
`restricted.firestore.goog` استخدِم `restricted.firestore.goog` للوصول إلى خدمة Cloud Firestore باستخدام مجموعة من عناوين IP التي يمكن توجيهها فقط من داخل Google Cloud. يمكن استخدامها في سيناريوهات عناصر التحكّم في خدمة سحابة VPC.	`199.36.153.2/31`	اضبط سجلّات نظام أسماء النطاقات لإرسال الطلبات إلى نطاق عناوين IP الخاص بـ `199.36.153.2/31`.	تأكَّد من أنّ شبكة VPC تتضمّن مسارات إلى نطاق عناوين IP الخاص بـ `199.36.153.2/31`.	تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP `199.36.153.2/31`.

النطاق التلقائي (firestore.goog)

يتم استخدام النطاقات التلقائية عندما لا يتم إعداد سجلّات نظام أسماء النطاقات لـ restricted.firestore.goog.

136.124.0.0/23

يمكنك الوصول إلى خدمة Cloud Firestore من خلال عناوين IP العامة الخاصة بها، لذا لا تحتاج إلى إعدادات خاصة لنظام أسماء النطاقات.

تأكَّد من أنّ شبكة VPC يمكنها توجيه الزيارات إلى نطاقات عناوين IP التي تستخدمها خدمة Cloud Firestore.

الإعداد الأساسي: تأكَّد من توفّر مسارات تلقائية مع القفزة التالية default-internet-gateway ونطاق وجهة 0.0.0.0/0. أنشئ هذه المسارات إذا كانت غير متوفّرة.
الإعداد المخصّص: أنشئ مسارات إلى نطاق عناوين IP الخاص بـ 136.124.0.0/23.

تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP الخاص بـ 136.124.0.0/23.

تسمح قاعدة جدار الحماية التلقائية بالسماح بخروج البيانات بهذه الزيارات، ما لم تكن هناك قاعدة ذات أولوية أعلى تحظرها.

restricted.firestore.goog

استخدِم restricted.firestore.goog للوصول إلى خدمة Cloud Firestore باستخدام مجموعة من عناوين IP التي يمكن توجيهها فقط من داخل Google Cloud. يمكن استخدامها في سيناريوهات عناصر التحكّم في خدمة سحابة VPC.

199.36.153.2/31

اضبط سجلّات نظام أسماء النطاقات لإرسال الطلبات إلى نطاق عناوين IP الخاص بـ 199.36.153.2/31.

تأكَّد من أنّ شبكة VPC تتضمّن مسارات إلى نطاق عناوين IP الخاص بـ 199.36.153.2/31.

تأكَّد من أنّ قواعد جدار الحماية تسمح بالخروج إلى نطاق عناوين IP 199.36.153.2/31.

إعدادات الشبكة

يوضّح هذا القسم كيفية ضبط شبكتك للوصول إلى Cloud Firestore باستخدام خدمة Private Google Access.

إعدادات نظام أسماء النطاقات

على عكس واجهات Google APIs الأخرى، تستخدم واجهة برمجة التطبيقات Cloud Firestore أسماء نطاقات وعناوين IP مختلفة لخدمة Private Google Access:

تتيح restricted.firestore.goog الوصول إلى واجهة برمجة التطبيقات Cloud Firestore.
- عناوين IP: 199.36.153.2 و199.36.153.3
- بما أنّ Cloud Firestore متوافق مع عناصر التحكّم في خدمة سحابة VPC، يمكنك استخدام هذا النطاق في سيناريوهات عناصر التحكّم في خدمة سحابة VPC.

لإنشاء منطقة نظام أسماء النطاقات وسجلّات لخدمة Cloud Firestore، اتّبِع الخطوات التالية:

أنشئ منطقة نظام أسماء نطاقات خاصًا لـ firestore.goog.

ننصحك بإنشاء منطقة خاصة في Cloud DNS لهذا الغرض.
في المنطقة firestore.goog، أنشئ السجلات التالية:
1. سجلّ A للنطاق restricted.firestore.goog يشير إلى عناوين IP التالية: 199.36.153.2 و199.36.153.3.
2. سجلّ CNAME خاص بـ *.firestore.goog يشير إلى restricted.firestore.goog
لإنشاء هذه السجلات في Cloud DNS، راجِع مقالة إضافة سجلّ.

إعدادات التوجيه

يجب أن تتضمّن شبكة السحابة الخاصة الافتراضية (VPC) مسارات مناسبة تكون القفزات التالية فيها هي بوابة الإنترنت التلقائية. لا تتيح Google Cloud توجيه الزيارات إلى واجهات Google APIs والخدمات من خلال مثيلات أجهزة افتراضية أخرى أو عمليات انتقال مخصّصة إلى العقدة التالية. على الرغم من أنّها تُعرف باسم بوابة الإنترنت التلقائية، تبقى الحِزم المُرسَلة من الأجهزة الافتراضية في شبكة السحابة الخاصة الافتراضية (VPC) إلى واجهات Google APIs والخدمات ضمن شبكة Google.

في حال تحديد خيار النطاق التلقائي، سترتبط مثيلات الأجهزة الافتراضية بخدمة Cloud Firestore باستخدام نطاق عنوان IP العام التالي: 136.124.0.0/23 . يمكن توجيه عناوين IP هذه بشكل علني، ولكن يظل المسار من جهاز افتراضي في شبكة VPC إلى تلك العناوين ضِمن شبكة Google.
لا تنشر Google مسارات على الإنترنت إلى أي من عناوين IP المستخدَمة من خلال النطاق restricted.firestore.goog. نتيجةً لذلك، لا يمكن الوصول إلى هذا النطاق إلا من خلال الأجهزة الافتراضية في شبكة السحابة الإلكترونية الخاصة الافتراضية (VPC) أو الأنظمة المحلية المتصلة بشبكة VPC.

إذا كانت شبكة VPC تتضمّن مسارًا تلقائيًا يكون المسار التالي له هو بوابة الإنترنت التلقائية، يمكنك استخدام هذا المسار للوصول إلى خدمة Cloud Firestore بدون الحاجة إلى إنشاء مسارات مخصّصة. راجِع التوجيه باستخدام مسار تلقائي لمعرفة التفاصيل.

إذا استبدلت مسارًا تلقائيًا (الوجهة 0.0.0.0/0 أو ::0/0) بمسار مخصّص لا تكون القفزة التالية فيه هي بوابة الإنترنت التلقائية، يمكنك استيفاء متطلبات التوجيه لخدمة Cloud Firestore باستخدام التوجيه المخصّص بدلاً من ذلك.

التوجيه باستخدام مسار تلقائي

تحتوي كل شبكة VPC على مسار تلقائي لبروتوكول IPv4 (0.0.0.0/0) عند إنشائها.

يوفر المسار التلقائي مسارًا إلى عناوين IP الخاصة بالوجهات التالية:

النطاق التلقائي (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

للحصول على تعليمات حول كيفية التحقّق من إعدادات المسار التلقائي في شبكة معيّنة، يُرجى الاطّلاع على ضبط الوصول الخاص إلى Google.Google Cloud CLI

التوجيه باستخدام مسارات مخصّصة

كبديل للمسار التلقائي، يمكنك استخدام مسارات ثابتة مخصّصة، يكون لكل منها وجهة أكثر تحديدًا، ويستخدم كل منها عبّارة الإنترنت التلقائية كقفزة تالية. تعتمد عناوين IP الوجهة للمسارات على النطاق الذي تختاره:

النطاق التلقائي (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

للحصول على تعليمات حول كيفية التحقّق من إعداد المسارات المخصّصة في شبكة معيّنة باستخدام Google Cloud Console وGoogle Cloud CLI، يُرجى الاطّلاع على ضبط الوصول الخاص إلى Google.

إعدادات جدار الحماية

يجب أن تسمح إعدادات جدار الحماية لشبكة السحابة الإلكترونية الخاصة الافتراضية (VPC) بالوصول من الأجهزة الافتراضية إلى عناوين IP التي تستخدمها خدمة Cloud Firestore. تستوفي قاعدة allow egress الضمنية هذا الشرط.

في بعض إعدادات جدار الحماية، عليك إنشاء قواعد سماح محددة للخروج. على سبيل المثال، لنفترض أنّك أنشأت قاعدة رفض للخروج تحظر نقل البيانات إلى جميع الوجهات (0.0.0.0 لبروتوكول IPv4). في هذه الحالة، عليك إنشاء قاعدة جدار حماية واحدة للسماح بالخروج تكون أولويتها أعلى من قاعدة رفض الخروج لكل نطاق عناوين IP مستخدَم من قِبل النطاق الذي تختاره:

النطاق التلقائي (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

لإنشاء قواعد جدار الحماية، يُرجى الاطّلاع على مقالة إنشاء قواعد جدار الحماية. يمكنك حصر نطاق تطبيق قواعد جدار الحماية على الأجهزة الافتراضية عند تحديد الهدف لكل قاعدة سماح بالخروج.

إعدادات Private Google Access

يمكنك تفعيل ميزة "الوصول الخاص إلى Google" بعد استيفاء متطلبات الشبكة في شبكة السحابة الإلكترونية الخاصة الافتراضية (VPC). للحصول على تعليمات حول Google Cloud Console وGoogle Cloud CLI، اتّبِع الخطوات الموضّحة في تفعيل ميزة "الوصول الخاص إلى Google".