MongoDB সামঞ্জস্যের সাথে Firestore-এ Private Google Access কনফিগার করুন

এই পৃষ্ঠায় Cloud Firestore প্রাইভেট গুগল অ্যাক্সেস কীভাবে চালু এবং কনফিগার করতে হয়, তা বর্ণনা করা হয়েছে।

Cloud Firestore ব্যক্তিগত গুগল অ্যাক্সেস সম্পর্কে

ডিফল্টরূপে, যখন কোনো Compute Engine VM-এর নেটওয়ার্ক ইন্টারফেসে কোনো এক্সটার্নাল আইপি অ্যাড্রেস বরাদ্দ থাকে না, তখন এটি শুধুমাত্র অন্যান্য ইন্টারনাল আইপি অ্যাড্রেসের গন্তব্যে প্যাকেট পাঠাতে পারে। VM-টির নেটওয়ার্ক ইন্টারফেস দ্বারা ব্যবহৃত সাবনেটে প্রাইভেট গুগল অ্যাক্সেস সক্রিয় করার মাধ্যমে আপনি এই VM-গুলোকে Cloud Firestore পরিষেবার সাথে সংযোগ করার অনুমতি দিতে পারেন।

প্রযোজ্য পরিষেবা এবং প্রোটোকল

• এই নির্দেশিকার নির্দেশনা শুধুমাত্র Cloud Firestore জন্য প্রযোজ্য ।

• Cloud Firestore দ্বারা ব্যবহৃত ডিফল্ট এবং ভিআইপি ডোমেইন ও তাদের আইপি রেঞ্জগুলো শুধুমাত্র ৪৪৩ পোর্টে মঙ্গোডিবি প্রোটোকল সমর্থন করে। অন্য কোনো প্রোটোকল সমর্থিত নয়।

নেটওয়ার্কের প্রয়োজনীয়তা

যদি এই সমস্ত শর্ত পূরণ করা হয়, তাহলে একটি ভিএম ইন্টারফেস প্রাইভেট গুগল অ্যাক্সেস ব্যবহার করে অভ্যন্তরীণ গুগল নেটওয়ার্কের মাধ্যমে গুগল এপিআই এবং পরিষেবাগুলিতে পৌঁছাতে পারে:

• ভিএম ইন্টারফেসটি এমন একটি সাবনেটের সাথে সংযুক্ত যেখানে প্রাইভেট গুগল অ্যাক্সেস সক্রিয় করা আছে।

• ভিএম ইন্টারফেসে কোনো বাহ্যিক আইপি ঠিকানা বরাদ্দ করা নেই।

• ভিএম থেকে পাঠানো প্যাকেটগুলির উৎস আইপি অ্যাড্রেস নিম্নলিখিত আইপি অ্যাড্রেসগুলির মধ্যে একটির সাথে মিলে যায়।

  • ভিএম ইন্টারফেসের প্রাথমিক অভ্যন্তরীণ IPv4 ঠিকানা
  • একটি অ্যালিয়াস আইপি রেঞ্জ থেকে একটি অভ্যন্তরীণ IPv4 ঠিকানা

যে VM- এর নেটওয়ার্ক ইন্টারফেসে একটি এক্সটার্নাল IPv4 অ্যাড্রেস অ্যাসাইন করা আছে, সেটির Google API এবং পরিষেবাগুলিতে সংযোগ করার জন্য প্রাইভেট গুগল অ্যাক্সেসের প্রয়োজন হয় না। তবে, VPC নেটওয়ার্কটিকে অবশ্যই Google API এবং পরিষেবাগুলি অ্যাক্সেস করার জন্য প্রয়োজনীয় শর্তাবলী পূরণ করতে হবে।

IAM অনুমতি

প্রজেক্টের মালিক, সম্পাদক এবং নেটওয়ার্ক অ্যাডমিন ভূমিকা থাকা আইএএম প্রিন্সিপালরা সাবনেট তৈরি বা আপডেট করতে এবং আইপি অ্যাড্রেস বরাদ্দ করতে পারেন।

রোল সম্পর্কে আরও তথ্যের জন্য, IAM রোল ডকুমেন্টেশন পড়ুন।

লগিং

Cloud Logging সেইসব সাবনেটে থাকা ভিএম ইনস্ট্যান্স থেকে করা সমস্ত এপিআই অনুরোধ রেকর্ড করে, যেগুলোতে প্রাইভেট গুগল অ্যাক্সেস সক্রিয় করা আছে। লগ এন্ট্রিগুলো এপিআই অনুরোধের উৎস হিসেবে কলিং ইনস্ট্যান্সের একটি অভ্যন্তরীণ আইপি অ্যাড্রেসকে শনাক্ত করে।

আপনি দৈনিক ব্যবহার এবং মাসিক রোলআপ রিপোর্ট একটি Cloud Storage বাকেটে পাঠানোর জন্য কনফিগার করতে পারেন। বিস্তারিত জানতে ‘ব্যবহার রিপোর্ট দেখা’ পৃষ্ঠাটি দেখুন।

কনফিগারেশন সারাংশ

নিচের সারণিতে Cloud Firestore প্রাইভেট গুগল অ্যাক্সেস কনফিগার করার বিভিন্ন উপায় সংক্ষেপে তুলে ধরা হয়েছে। আরও বিস্তারিত নির্দেশাবলীর জন্য, নেটওয়ার্ক কনফিগারেশন দেখুন।

নেটওয়ার্ক কনফিগারেশন

এই অংশে বর্ণনা করা হয়েছে কীভাবে প্রাইভেট গুগল অ্যাক্সেস ব্যবহার করে Cloud Firestore অ্যাক্সেস করার জন্য আপনার নেটওয়ার্ক কনফিগার করতে হয়।

ডিএনএস কনফিগারেশন

অন্যান্য গুগল এপিআই-এর থেকে ভিন্ন, Cloud Firestore এপিআই প্রাইভেট গুগল অ্যাক্সেসের জন্য আলাদা ডোমেইন নেম এবং আইপি অ্যাড্রেস ব্যবহার করে:

• restricted.firestore.goog Cloud Firestore এপিআই-তে অ্যাক্সেস সক্ষম করে।

  • আইপি অ্যাড্রেসগুলো: 199.36.153.2 এবং 199.36.153.3 ।

  • যেহেতু Cloud Firestore ভিপিসি সার্ভিস কন্ট্রোলস-এর সাথে সামঞ্জস্যপূর্ণ, তাই আপনি এই ডোমেইনটি ভিপিসি সার্ভিস কন্ট্রোলস সিনারিওতে ব্যবহার করতে পারেন।

Cloud Firestore জন্য একটি ডিএনএস জোন এবং রেকর্ড তৈরি করতে:

1. firestore.goog এর জন্য একটি ব্যক্তিগত DNS জোন তৈরি করুন।

   এই উদ্দেশ্যে একটি ক্লাউড ডিএনএস প্রাইভেট জোন তৈরি করার কথা বিবেচনা করতে পারেন।

2. firestore.goog জোনে নিম্নলিখিত রেকর্ডগুলি তৈরি করুন:

   1. restricted.firestore.goog এর একটি A রেকর্ড যা নিম্নলিখিত আইপি অ্যাড্রেসগুলোকে নির্দেশ করে: 199.36.153.2 এবং 199.36.153.3 ।

   2. *.firestore.goog এর জন্য একটি CNAME রেকর্ড যা restricted.firestore.goog কে নির্দেশ করে।

   ক্লাউড ডিএনএস-এ এই রেকর্ডগুলি তৈরি করতে, 'একটি রেকর্ড যোগ করুন' দেখুন।

রাউটিং কনফিগারেশন

আপনার VPC নেটওয়ার্কে অবশ্যই উপযুক্ত রুট থাকতে হবে, যার নেক্সট হপ হবে ডিফল্ট ইন্টারনেট গেটওয়ে। Google Cloud অন্য VM ইনস্ট্যান্স বা কাস্টম নেক্সট হপের মাধ্যমে গুগল এপিআই এবং পরিষেবাগুলিতে ট্র্যাফিক রাউটিং সমর্থন করে না। ডিফল্ট ইন্টারনেট গেটওয়ে বলা হলেও, আপনার VPC নেটওয়ার্কের VM থেকে গুগল এপিআই এবং পরিষেবাগুলিতে পাঠানো প্যাকেটগুলি গুগলের নেটওয়ার্কের মধ্যেই থাকে।

• আপনি যদি ডিফল্ট ডোমেইন অপশনটি নির্বাচন করেন, তাহলে আপনার ভিএম ইনস্ট্যান্সগুলো নিম্নলিখিত পাবলিক আইপি অ্যাড্রেস রেঞ্জ ব্যবহার করে Cloud Firestore সার্ভিসের সাথে সংযুক্ত হয়: 136.124.0.0/23 । এই আইপি অ্যাড্রেসগুলো পাবলিকলি রাউটেবল, কিন্তু একটি ভিপিসি নেটওয়ার্কে থাকা ভিএম থেকে ওই অ্যাড্রেসগুলোতে যাওয়ার পথটি গুগলের নেটওয়ার্কের মধ্যেই থাকে।

• Google, restricted.firestore.goog ডোমেইন দ্বারা ব্যবহৃত কোনো IP অ্যাড্রেসের জন্য ইন্টারনেটে রুট প্রকাশ করে না। ফলস্বরূপ, এই ডোমেইনটি শুধুমাত্র একটি VPC নেটওয়ার্কের VM অথবা VPC নেটওয়ার্কের সাথে সংযুক্ত অন-প্রিমিসেস সিস্টেম দ্বারা অ্যাক্সেস করা যায়।

যদি আপনার VPC নেটওয়ার্কে এমন একটি ডিফল্ট রুট থাকে যার নেক্সট হপ হলো ডিফল্ট ইন্টারনেট গেটওয়ে, তাহলে আপনি কাস্টম রুট তৈরি করার প্রয়োজন ছাড়াই সেই রুটটি ব্যবহার করে Cloud Firestore পরিষেবা অ্যাক্সেস করতে পারবেন। বিস্তারিত জানতে ‘ডিফল্ট রুট সহ রাউটিং’ দেখুন।

যদি আপনি কোনো ডিফল্ট রুট (গন্তব্য 0.0.0.0/0 বা ::0/0 ) কে এমন একটি কাস্টম রুট দিয়ে প্রতিস্থাপন করে থাকেন যার নেক্সট হপ ডিফল্ট ইন্টারনেট গেটওয়ে নয় , তাহলে আপনি এর পরিবর্তে কাস্টম রাউটিং ব্যবহার করে Cloud Firestore পরিষেবার জন্য রাউটিংয়ের প্রয়োজনীয়তা পূরণ করতে পারেন।

ডিফল্ট রুট ব্যবহার করে রাউটিং

প্রতিটি VPC নেটওয়ার্ক তৈরি করার সময় এতে একটি IPv4 ডিফল্ট রুট ( 0.0.0.0/0 ) থাকে।

ডিফল্ট রুটটি নিম্নলিখিত গন্তব্যগুলির আইপি অ্যাড্রেসগুলিতে যাওয়ার পথ প্রদান করে:

• ডিফল্ট ডোমেইন ( firestore.goog ): 136.124.0.0/23
• restricted.firestore.goog : 199.36.153.2/31

কোনো নির্দিষ্ট নেটওয়ার্কে ডিফল্ট রুটের কনফিগারেশন কীভাবে পরীক্ষা করতে হয়, সে বিষয়ে গুগল ক্লাউড কনসোল এবং Google Cloud CLI নির্দেশাবলীর জন্য, প্রাইভেট গুগল অ্যাক্সেস কনফিগার করুন দেখুন।

কাস্টম রুট ব্যবহার করে রাউটিং

ডিফল্ট রুটের বিকল্প হিসেবে, আপনি কাস্টম স্ট্যাটিক রুট ব্যবহার করতে পারেন, যার প্রতিটির একটি আরও সুনির্দিষ্ট গন্তব্য থাকে এবং প্রতিটি ডিফল্ট ইন্টারনেট গেটওয়েকে নেক্সট হপ হিসেবে ব্যবহার করে। রুটগুলোর গন্তব্য আইপি অ্যাড্রেস আপনার নির্বাচিত ডোমেইনের উপর নির্ভর করে।

• ডিফল্ট ডোমেইন ( firestore.goog ): 136.124.0.0/23
• restricted.firestore.goog : 199.36.153.2/31

কোনো নির্দিষ্ট নেটওয়ার্কে কাস্টম রাউটের কনফিগারেশন কীভাবে পরীক্ষা করতে হয়, সে বিষয়ে গুগল ক্লাউড কনসোল এবং Google Cloud CLI নির্দেশাবলীর জন্য, প্রাইভেট গুগল অ্যাক্সেস কনফিগার করুন দেখুন।

ফায়ারওয়াল কনফিগারেশন

আপনার VPC নেটওয়ার্কের ফায়ারওয়াল কনফিগারেশনে অবশ্যই VM থেকে Cloud Firestore পরিষেবা দ্বারা ব্যবহৃত IP অ্যাড্রেসগুলিতে অ্যাক্সেসের অনুমতি থাকতে হবে। অন্তর্নিহিত allow egress নিয়মটি এই প্রয়োজনীয়তা পূরণ করে।

কিছু ফায়ারওয়াল কনফিগারেশনে, আপনাকে নির্দিষ্ট ইগ্রেস অ্যালাউ রুল তৈরি করতে হয়। উদাহরণস্বরূপ, ধরুন আপনি একটি ইগ্রেস ডিনাই রুল তৈরি করেছেন যা সমস্ত গন্তব্যে (IPv4-এর জন্য 0.0.0.0 ) ট্র্যাফিক ব্লক করে। সেক্ষেত্রে, আপনার নির্বাচিত ডোমেইন দ্বারা ব্যবহৃত প্রতিটি আইপি অ্যাড্রেস রেঞ্জের জন্য আপনাকে অবশ্যই একটি করে ইগ্রেস অ্যালাউ ফায়ারওয়াল রুল তৈরি করতে হবে, যার প্রায়োরিটি ইগ্রেস ডিনাই রুলের চেয়ে বেশি হবে।

• ডিফল্ট ডোমেইন ( firestore.goog : 136.124.0.0/23 )
• restricted.firestore.goog : 199.36.153.2/31

ফায়ারওয়াল নিয়ম তৈরি করতে, “ফায়ারওয়াল নিয়ম তৈরি করা” দেখুন। প্রতিটি ইগ্রেস অ্যালাউ নিয়মের টার্গেট নির্ধারণ করার সময়, আপনি সেই VM-গুলোকে সীমিত করতে পারেন যেগুলোর উপর ফায়ারওয়াল নিয়মগুলো প্রযোজ্য হবে।

ব্যক্তিগত গুগল অ্যাক্সেস কনফিগারেশন

আপনার VPC নেটওয়ার্কে নেটওয়ার্কের প্রয়োজনীয়তা পূরণ করার পর আপনি প্রাইভেট গুগল অ্যাক্সেস চালু করতে পারবেন। গুগল ক্লাউড কনসোল এবং Google Cloud CLI নির্দেশাবলীর জন্য, "প্রাইভেট গুগল অ্যাক্সেস সক্ষম করুন" অংশে বর্ণিত ধাপগুলো অনুসরণ করুন।

এরপর কী?

• VPC সার্ভিস কন্ট্রোল দ্বারা সুরক্ষিত করা
• ব্যক্তিগত গুগল অ্যাক্সেস কনফিগার করুন