এই পৃষ্ঠাটি Cloud Firestore ব্যক্তিগত গুগল অ্যাক্সেস কীভাবে সক্ষম এবং কনফিগার করবেন তা বর্ণনা করে।
Cloud Firestore ব্যক্তিগত গুগল অ্যাক্সেস সম্পর্কে
ডিফল্টরূপে, যখন একটি Compute Engine ভিএম-এর নেটওয়ার্ক ইন্টারফেসে নির্ধারিত কোনও বহিরাগত আইপি ঠিকানা থাকে না, তখন এটি কেবল অন্যান্য অভ্যন্তরীণ আইপি ঠিকানা গন্তব্যস্থলে প্যাকেট পাঠাতে পারে। আপনি ভিএম-এর নেটওয়ার্ক ইন্টারফেস দ্বারা ব্যবহৃত সাবনেটে প্রাইভেট গুগল অ্যাক্সেস সক্ষম করে এই ভিএমগুলিকে Cloud Firestore পরিষেবার সাথে সংযোগ করার অনুমতি দিতে পারেন।
প্রযোজ্য পরিষেবা এবং প্রোটোকল
এই নির্দেশিকার নির্দেশাবলী শুধুমাত্র Cloud Firestore ক্ষেত্রে প্রযোজ্য ।
Cloud Firestore দ্বারা ব্যবহৃত ডিফল্ট এবং ভিআইপি ডোমেন এবং তাদের আইপি রেঞ্জগুলি কেবল পোর্ট 443-এ MongoDB প্রোটোকল সমর্থন করে। অন্যান্য সমস্ত প্রোটোকল সমর্থিত নয়।
নেটওয়ার্কের প্রয়োজনীয়তা
একটি VM ইন্টারফেস এই সমস্ত শর্ত পূরণ করলে Private Google Access ব্যবহার করে অভ্যন্তরীণ Google নেটওয়ার্কের মাধ্যমে Google API এবং পরিষেবাগুলিতে পৌঁছাতে পারে:
ভিএম ইন্টারফেসটি একটি সাবনেটের সাথে সংযুক্ত থাকে যেখানে প্রাইভেট গুগল অ্যাক্সেস সক্ষম থাকে।
ভিএম ইন্টারফেসে কোনও বহিরাগত আইপি ঠিকানা নির্ধারিত নেই।
VM থেকে প্রেরিত প্যাকেটের উৎস IP ঠিকানা নিম্নলিখিত IP ঠিকানাগুলির একটির সাথে মিলে যায়।
- ভিএম ইন্টারফেসের প্রাথমিক অভ্যন্তরীণ আইপিভি৪ ঠিকানা
- একটি উপনাম আইপি পরিসর থেকে একটি অভ্যন্তরীণ IPv4 ঠিকানা
একটি VM যার নেটওয়ার্ক ইন্টারফেসে একটি বহিরাগত IPv4 ঠিকানা নির্ধারিত থাকে, তার Google API এবং পরিষেবাগুলির সাথে সংযোগ স্থাপনের জন্য Private Google Access এর প্রয়োজন হয় না। তবে, VPC নেটওয়ার্ককে Google API এবং পরিষেবাগুলি অ্যাক্সেস করার জন্য প্রয়োজনীয়তা পূরণ করতে হবে।
IAM অনুমতি
নেটওয়ার্ক অ্যাডমিন ভূমিকায় থাকা প্রকল্পের মালিক, সম্পাদক এবং IAM প্রিন্সিপালরা সাবনেট তৈরি বা আপডেট করতে এবং IP ঠিকানা বরাদ্দ করতে পারেন।
ভূমিকা সম্পর্কে আরও তথ্যের জন্য, IAM ভূমিকা ডকুমেন্টেশন পড়ুন।
লগিং
Cloud Logging প্রাইভেট গুগল অ্যাক্সেস সক্ষম থাকা সাবনেটগুলিতে VM ইনস্ট্যান্স থেকে করা সমস্ত API অনুরোধ ক্যাপচার করে। লগ এন্ট্রিগুলি API অনুরোধের উৎসকে কলিং ইনস্ট্যান্সের একটি অভ্যন্তরীণ IP ঠিকানা হিসাবে সনাক্ত করে।
আপনি দৈনিক ব্যবহার এবং মাসিক রোলআপ রিপোর্টগুলি Cloud Storage বাকেটে সরবরাহ করার জন্য কনফিগার করতে পারেন। বিস্তারিত জানার জন্য ব্যবহারের প্রতিবেদনগুলি দেখার পৃষ্ঠাটি দেখুন।
কনফিগারেশনের সারাংশ
Cloud Firestore প্রাইভেট গুগল অ্যাক্সেস কনফিগার করার বিভিন্ন উপায় নিচের টেবিলে সংক্ষেপে বর্ণনা করা হয়েছে। আরও বিস্তারিত নির্দেশাবলীর তথ্যের জন্য, নেটওয়ার্ক কনফিগারেশন দেখুন।
| ডোমেইন বিকল্প | আইপি রেঞ্জ | ডিএনএস কনফিগারেশন | রাউটিং কনফিগারেশন | ফায়ারওয়াল কনফিগারেশন |
|---|---|---|---|---|
ডিফল্ট ডোমেইন ( যখন আপনি | 136.124.0.0/23 | আপনি Cloud Firestore পরিষেবাটি এর পাবলিক আইপি ঠিকানাগুলির মাধ্যমে অ্যাক্সেস করতে পারেন, তাই কোনও বিশেষ ডিএনএস কনফিগারেশনের প্রয়োজন হয় না। | আপনার VPC নেটওয়ার্ক Cloud Firestore পরিষেবা দ্বারা ব্যবহৃত IP ঠিকানার রেঞ্জগুলিতে ট্র্যাফিক রুট করতে পারে কিনা তা পরীক্ষা করুন।
| আপনার ফায়ারওয়াল নিয়মগুলি ডিফল্ট অ্যালভ এগ্রেস ফায়ারওয়াল নিয়ম এই ট্র্যাফিককে অনুমতি দেয়, যদি এটিকে ব্লক করার জন্য কোনও উচ্চতর অগ্রাধিকার নিয়ম না থাকে। |
Google ক্লাউডের মধ্যে থেকে রাউটেবল IP ঠিকানার একটি সেট ব্যবহার করে Cloud Firestore পরিষেবা অ্যাক্সেস করতে | 199.36.153.2/31 | 199.36.153.2/31 IP ঠিকানা পরিসরে অনুরোধ পাঠানোর জন্য DNS রেকর্ড কনফিগার করুন। | আপনার VPC নেটওয়ার্কের 199.36.153.2/31 IP ঠিকানা পরিসরে রুট আছে কিনা তা পরীক্ষা করুন। | আপনার ফায়ারওয়াল নিয়মগুলি 199.36.153.2/31 আইপি ঠিকানা পরিসরে প্রবেশের অনুমতি দেয় কিনা তা পরীক্ষা করুন। |
নেটওয়ার্ক কনফিগারেশন
এই বিভাগটি বর্ণনা করে যে কীভাবে আপনার নেটওয়ার্ককে ব্যক্তিগত গুগল অ্যাক্সেস ব্যবহার করে Cloud Firestore অ্যাক্সেস করার জন্য কনফিগার করবেন।
ডিএনএস কনফিগারেশন
অন্যান্য গুগল এপিআই-এর বিপরীতে, Cloud Firestore এপিআই ব্যক্তিগত গুগল অ্যাক্সেসের জন্য বিভিন্ন ডোমেন নাম এবং আইপি ঠিকানা ব্যবহার করে:
restricted.firestore.googCloud Firestore API-তে API অ্যাক্সেস সক্ষম করে।আইপি ঠিকানা:
199.36.153.2এবং199.36.153.3।যেহেতু Cloud Firestore VPC পরিষেবা নিয়ন্ত্রণের সাথে সঙ্গতিপূর্ণ, তাই আপনি VPC পরিষেবা নিয়ন্ত্রণের পরিস্থিতিতে এই ডোমেনটি ব্যবহার করতে পারেন।
Cloud Firestore জন্য একটি DNS জোন এবং রেকর্ড তৈরি করতে:
firestore.googএর জন্য একটি ব্যক্তিগত DNS জোন তৈরি করুন।এই উদ্দেশ্যে একটি ক্লাউড ডিএনএস প্রাইভেট জোন তৈরি করার কথা বিবেচনা করুন।
firestore.googজোনে, নিম্নলিখিত রেকর্ডগুলি তৈরি করুন:restricted.firestore.googএর একটিAরেকর্ড যা নিম্নলিখিত IP ঠিকানাগুলির দিকে নির্দেশ করে:199.36.153.2এবং199.36.153.3।*.firestore.googএর জন্য একটিCNAMEরেকর্ড যাrestricted.firestore.googনির্দেশ করে।
ক্লাউড ডিএনএসে এই রেকর্ডগুলি তৈরি করতে, একটি রেকর্ড যোগ করুন দেখুন।
রাউটিং কনফিগারেশন
আপনার VPC নেটওয়ার্কে এমন উপযুক্ত রুট থাকতে হবে যার পরবর্তী হপগুলি ডিফল্ট ইন্টারনেট গেটওয়ে হবে। Google Cloud অন্যান্য VM ইনস্ট্যান্স বা কাস্টম নেক্সট হপগুলির মাধ্যমে Google API এবং পরিষেবাগুলিতে ট্র্যাফিক রাউটিং সমর্থন করে না। ডিফল্ট ইন্টারনেট গেটওয়ে বলা সত্ত্বেও, আপনার VPC নেটওয়ার্কের VM থেকে Google API এবং পরিষেবাগুলিতে পাঠানো প্যাকেটগুলি Google এর নেটওয়ার্কের মধ্যেই থাকে।
যদি আপনি ডিফল্ট ডোমেন বিকল্পটি নির্বাচন করেন, তাহলে আপনার VM ইনস্ট্যান্সগুলি নিম্নলিখিত পাবলিক IP ঠিকানা পরিসর ব্যবহার করে Cloud Firestore পরিষেবার সাথে সংযুক্ত হবে:
136.124.0.0/23। এই IP ঠিকানাগুলি সর্বজনীনভাবে রাউটেবল, তবে VPC নেটওয়ার্কের VM থেকে সেই ঠিকানাগুলিতে যাওয়ার পথটি Google এর নেটওয়ার্কের মধ্যেই থাকে।Google
restricted.firestore.googডোমেন দ্বারা ব্যবহৃত কোনও IP ঠিকানার ইন্টারনেটে রুট প্রকাশ করে না। ফলস্বরূপ, এই ডোমেনটি শুধুমাত্র VPC নেটওয়ার্কে থাকা VM বা VPC নেটওয়ার্কের সাথে সংযুক্ত অন-প্রেমিসেস সিস্টেমের মাধ্যমে অ্যাক্সেস করা যেতে পারে।
যদি আপনার VPC নেটওয়ার্কে এমন একটি ডিফল্ট রুট থাকে যার পরবর্তী হপটি ডিফল্ট ইন্টারনেট গেটওয়ে, তাহলে আপনি কাস্টম রুট তৈরি না করেই Cloud Firestore পরিষেবা অ্যাক্সেস করতে সেই রুটটি ব্যবহার করতে পারেন। বিস্তারিত জানার জন্য ডিফল্ট রুট সহ রাউটিং দেখুন।
যদি আপনি একটি ডিফল্ট রুট (গন্তব্য 0.0.0.0/0 অথবা ::0/0 ) এমন একটি কাস্টম রুট দিয়ে প্রতিস্থাপন করে থাকেন যার পরবর্তী হপ ডিফল্ট ইন্টারনেট গেটওয়ে নয় , তাহলে আপনি কাস্টম রাউটিং ব্যবহার করে Cloud Firestore পরিষেবার রাউটিং প্রয়োজনীয়তা পূরণ করতে পারেন।
একটি ডিফল্ট রুট দিয়ে রাউটিং করা হচ্ছে
প্রতিটি VPC নেটওয়ার্ক তৈরির সময় একটি IPv4 ডিফল্ট রুট ( 0.0.0.0/0 ) থাকে।
ডিফল্ট রুট নিম্নলিখিত গন্তব্যস্থলের জন্য IP ঠিকানাগুলির একটি পথ প্রদান করে:
- ডিফল্ট ডোমেইন (
firestore.goog):136.124.0.0/23 -
restricted.firestore.goog:199.36.153.2/31
একটি নির্দিষ্ট নেটওয়ার্কে ডিফল্ট রুটের কনফিগারেশন কীভাবে পরীক্ষা করবেন সে সম্পর্কে Google ক্লাউড কনসোল এবং Google Cloud CLI নির্দেশাবলীর জন্য, "প্রাইভেট গুগল অ্যাক্সেস কনফিগার করুন" দেখুন।
কাস্টম রুট দিয়ে রাউটিং
ডিফল্ট রুটের বিকল্প হিসেবে, আপনি কাস্টম স্ট্যাটিক রুট ব্যবহার করতে পারেন, প্রতিটির একটি নির্দিষ্ট গন্তব্য থাকবে এবং প্রতিটিতে ডিফল্ট ইন্টারনেট গেটওয়ে নেক্সট হপ ব্যবহার করা হবে। রুটের গন্তব্য আইপি ঠিকানাগুলি আপনার নির্বাচিত ডোমেনের উপর নির্ভর করে:
- ডিফল্ট ডোমেইন (
firestore.goog):136.124.0.0/23 -
restricted.firestore.goog:199.36.153.2/31
কোনও নির্দিষ্ট নেটওয়ার্কে কাস্টম রুটের কনফিগারেশন কীভাবে পরীক্ষা করবেন সে সম্পর্কে গুগল ক্লাউড কনসোল এবং Google Cloud CLI নির্দেশাবলীর জন্য, প্রাইভেট গুগল অ্যাক্সেস কনফিগার করুন দেখুন।
ফায়ারওয়াল কনফিগারেশন
আপনার VPC নেটওয়ার্কের ফায়ারওয়াল কনফিগারেশনে VM থেকে Cloud Firestore পরিষেবা দ্বারা ব্যবহৃত IP ঠিকানাগুলিতে অ্যাক্সেসের অনুমতি দেওয়া উচিত। অন্তর্নিহিত allow egress নিয়ম এই প্রয়োজনীয়তা পূরণ করে।
কিছু ফায়ারওয়াল কনফিগারেশনে, আপনাকে নির্দিষ্ট egress allow নিয়ম তৈরি করতে হবে। উদাহরণস্বরূপ, ধরুন আপনি একটি egress deni নিয়ম তৈরি করেছেন যা সমস্ত গন্তব্যস্থলে ট্র্যাফিক ব্লক করে (IPv4 এর জন্য 0.0.0.0 )। সেক্ষেত্রে, আপনাকে এমন একটি egress allow ফায়ারওয়াল নিয়ম তৈরি করতে হবে যার অগ্রাধিকার আপনার নির্বাচিত ডোমেন দ্বারা ব্যবহৃত প্রতিটি IP ঠিকানা পরিসরের জন্য egress deni নিয়মের চেয়ে বেশি:
- ডিফল্ট ডোমেইন (
firestore.goog:136.124.0.0/23 -
restricted.firestore.goog:199.36.153.2/31
ফায়ারওয়াল নিয়ম তৈরি করতে, ফায়ারওয়াল নিয়ম তৈরি করা দেখুন। প্রতিটি ইগ্রেস অনুমতি নিয়মের লক্ষ্য নির্ধারণ করার সময় আপনি ফায়ারওয়াল নিয়মগুলি প্রযোজ্য VM গুলিকে সীমাবদ্ধ করতে পারেন।
ব্যক্তিগত Google অ্যাক্সেস কনফিগারেশন
আপনার VPC নেটওয়ার্কে নেটওয়ার্কের প্রয়োজনীয়তা পূরণ করার পরে আপনি Private Google Access সক্ষম করতে পারেন। Google Cloud Console এবং Google Cloud CLI নির্দেশাবলীর জন্য, Enable Private Google Access -এ বর্ণিত ধাপগুলি অনুসরণ করুন।