Cloud Firestore Enterprise edition with MongoDB compatibility is now available! Learn more.

דף זה תורגם על ידי Cloud Translation API.

אימות וחיבור למסד נתונים

רלוונטי רק למהדורת Cloud Firestore Enterprise.

דרישות לחיבור

כדי להשתמש בלקוחות עם תאימות ל-MongoDB ב-Cloud Firestore, צריך:

הנהגים צריכים להתחבר במצב load balanced. כך הדרייברים לא מנסים להבין את טופולוגיית השרת המדויקת שאליה הם מתחברים.
מנהלי ההתקנים חייבים להתחבר עם SSL מופעל.
מנהלי ההתקנים צריכים להשבית כתיבות שאפשר לנסות שוב. ‫Cloud Firestore עם תאימות ל-MongoDB לא תומך בפעולות כתיבה שאפשר לנסות לבצע מחדש. אין צורך להשבית קריאות שאפשר לנסות שוב כי הן נתמכות.

אחזור מחרוזת החיבור

מחרוזת החיבור למסד הנתונים תלויה ב-UID של מסד הנתונים, במיקום של מסד הנתונים ובמנגנון האימות. בהוראות הבאות מוסבר איך מחברים את מחרוזת החיבור.

מחרוזת החיבור המדויקת תלויה במנגנון האימות, אבל מחרוזת החיבור הבסיסית משתמשת בפורמט הבא:

mongodb://UID.LOCATION.firestore.goog:443/DATABASE_ID?loadBalanced=true&tls=true&retryWrites=false

אפשר לקבל את מחרוזת החיבור הבסיסית באחת מהדרכים הבאות:

מסוף Firebase

במסוף Firebase, עוברים לדף Firestore Database.

מעבר אל Firestore Database
לוחצים על מסד הנתונים שרוצים לאמת.
בחלונית Explorer, לוחצים על View more.
בוחרים באפשרות Connect using MongoDB tools (התחברות באמצעות כלים של MongoDB).
מעתיקים את מחרוזת החיבור.

gcloud

כדי לאחזר את ה-UID ואת פרטי המיקום, משתמשים ב-gcloud firestore database describe:

gcloud firestore databases describe \
--database=DATABASE_ID \
--format='yaml(locationId, uid)'

מחליפים את DATABASE_ID במזהה מסד הנתונים.

הפלט כולל את המיקום ואת ה-UID של מסד הנתונים. השתמשו במידע הזה כדי ליצור את מחרוזת החיבור הבסיסית.

משתמשים במחרוזת הבסיס לחיבור ובאחת מהשיטות הבאות כדי לבצע אימות ולהתחבר למסד הנתונים:

שם משתמש וסיסמה (SCRAM)
Compute Engine חשבון שירות
Cloud Run חשבון שירות
Google Auth Library

התחברות באמצעות שם משתמש וסיסמה (SCRAM)

כדי ליצור פרטי כניסה למשתמש במסד הנתונים ולהתחבר למסד הנתונים, פועלים לפי השלבים הבאים.

לפני שמתחילים

כדי לקבל את ההרשאות שנדרשות ליצירת משתמש, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד userCredsAdmin (roles/datastore.userCredsAdmin) במסד הנתונים. מידע נוסף על הקצאת תפקידים מופיע במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

יצירת משתמש וחיבור למסד נתונים

כדי ליצור משתמש במסד נתונים של Cloud Firestore עם תאימות ל-MongoDB, משתמשים באחת מהשיטות הבאות:

מסוף Google Cloud

נכנסים לדף Databases במסוף Google Cloud.

לדף Databases
בוחרים מסד נתונים מתוך רשימת מסדי הנתונים.
בתפריט הניווט, לוחצים על Auth (אימות).
לוחצים על הוספת משתמש.
מזינים שם משתמש.
בוחרים תפקיד למשתמש החדש.
לוחצים על הוספה.
הסיסמה של המשתמש החדש תוצג בתיבת הדו-שיח לאישור.

זהירות: הסיסמה מוצגת פעם אחת ואי אפשר לאחזר אותה. אחסון הסיסמה הזו לשימוש עתידי.

gcloud CLI

כדי לבצע אימות באמצעות SCRAM, קודם צריך ליצור פרטי כניסה של משתמש. משתמשים בפקודה gcloud firestore user-creds:
```
gcloud firestore user-creds create USERNAME --database=DATABASE_ID
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫USERNAME: שם המשתמש שרוצים ליצור.
- ‫DATABASE_ID: מזהה מסד הנתונים.
הפלט של הפקודה הזו כולל את הסיסמה של המשתמש.

זהירות: הסיסמה מוצגת פעם אחת ואי אפשר לאחזר אותה. אחסון הסיסמה הזו לשימוש עתידי.

הפלט אמור להיראות כך:
```
name: projects/PROJECT_NAME/databases/DATABASE_ID/userCreds/USERNAME
resourceIdentity:
  principal: principal://firestore.googleapis.com/projects/PROJECT_NUMBER/name/databases/DATABASE_ID/userCreds/USERNAME
securePassword: PASSWORD
```
כברירת מחדל, לפרטי הכניסה של המשתמש החדש אין הרשאות. כדי לקבל גישת קריאה וכתיבה למסד הנתונים, מוסיפים את התפקיד roles/datastore.user למסד הנתונים הספציפי הזה:
```
gcloud projects add-iam-policy-binding PROJECT_NAME \
--member='principal://firestore.googleapis.com/projects/PROJECT_NUMBER/name/databases/DATABASE_ID/userCreds/USERNAME' \
--role=roles/datastore.user \
--condition='expression=resource.name == "projects/PROJECT_NAME/databases/DATABASE_ID",title="CONDITION_TITLE"'
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PROJECT_NAME: שם הפרויקט.
- ‫PROJECT_NUMBER: מספר הפרויקט.
- ‫DATABASE_ID: מזהה מסד הנתונים.
- ‫USERNAME: שם המשתמש שיצרתם קודם.
- CONDITION_TITLE: שם לתנאי הזה. התנאי הזה מגביל את הגישה רק למסד הנתונים הזה.

Java

בקטע הזה מופיעה דוגמת קוד ליצירת פרטי כניסה של משתמש ולהגדרת מדיניות IAM באמצעות ספריות לקוח אדמיניסטרטיביות של Java. בדוגמה נעשה שימוש בספרייה Firestore Admin Client ליצירת שם משתמש וסיסמה, ובספרייה Google Cloud Resource Manager להגדרת IAM.

ב-builds של Maven, אפשר להשתמש בקואורדינטות הבאות:

com.google.cloud:google-cloud-firestore-admin:3.33.1
com.google.cloud:google-cloud-resourcemanager:1.76.0

הקצאת פרטי כניסה למשתמש ומדיניות IAM:

import com.google.cloud.firestore.v1.FirestoreAdminClient;
import com.google.cloud.resourcemanager.v3.ProjectName;
import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.firestore.admin.v1.CreateUserCredsRequest;
import com.google.firestore.admin.v1.GetUserCredsRequest;
import com.google.firestore.admin.v1.UserCreds;
import com.google.iam.v1.Binding;
import com.google.iam.v1.GetIamPolicyRequest;
import com.google.iam.v1.GetPolicyOptions;
import com.google.iam.v1.Policy;
import com.google.iam.v1.SetIamPolicyRequest;
import com.google.protobuf.FieldMask;
import com.google.type.Expr;

public class FirestoreUserCredsExample {
  /**
   * Provision user credentials and configure an IAM policy to allow SCRAM authentication into the
   * specified Firestore with Mongo Compatibility database.
   */
  private static void provisionFirestoreUserCredsAndIAM(
      String projectId, String databaseId, String userName) throws Exception {
    UserCreds userCreds = createUserCreds(projectId, databaseId, userName);

    // Note the password returned in the UserCreds proto - it cannot be retrieved again
    // after the initial call to the createUserCreds API.
    System.out.printf(
        "Created credentials for username: %s:\nIAM principal: %s\nPassword: [%s]\n",
        userName, userCreds.getResourceIdentity().getPrincipal(), userCreds.getSecurePassword());

    // Provision an IAM binding for the principal associated with these user credentials.
    updateIamPolicyForUserCreds(projectId, databaseId, userName, userCreds);

    // Emit the password again.
    System.out.printf(
        "Successfully configured IAM policy for database: %s, username: %s\n",
        databaseId, userName);
    System.out.printf("Please make a note of the password: [%s]\n", userCreds.getSecurePassword());
  }

  /** Provision new user credentials using the FirestoreAdminClient. */
  private static UserCreds createUserCreds(String projectId, String databaseId, String userName)
      throws Exception {
    FirestoreAdminClient firestoreAdminClient = FirestoreAdminClient.create();
    return firestoreAdminClient.createUserCreds(
        CreateUserCredsRequest.newBuilder()
            .setParent(String.format("projects/%s/databases/%s", projectId, databaseId))
            .setUserCredsId(userName)
            .build());
  }

  /** Update the IAM policy using the Resource Manager ProjectsClient. */
  private static void updateIamPolicyForUserCreds(
      String projectId, String databaseId, String userName, UserCreds userCreds) throws Exception {
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      ProjectName projectName = ProjectName.of(projectId);

      // Get the current IAM policy.
      Policy currentPolicy =
          projectsClient.getIamPolicy(
              GetIamPolicyRequest.newBuilder()
                  .setResource(projectName.toString())
                  .setOptions(GetPolicyOptions.newBuilder().setRequestedPolicyVersion(3).build())
                  .build());

      String role = "roles/datastore.user";
      String title = String.format("Conditional IAM binding for %s", userName);
      String expression =
          String.format("resource.name == \"projects/%s/databases/%s\"", projectId, databaseId);

      // Construct an updated IAM policy with an additional binding for the user credentials.
      Policy.Builder policyBuilder = currentPolicy.toBuilder();
      Binding newBinding =
          Binding.newBuilder()
              .setRole(role)
              .setCondition(Expr.newBuilder().setTitle(title).setExpression(expression).build())
              .addMembers(userCreds.getResourceIdentity().getPrincipal())
              .build();
      policyBuilder.addBindings(newBinding);

      // Update the policy
      SetIamPolicyRequest request =
          SetIamPolicyRequest.newBuilder()
              .setResource(projectName.toString())
              .setPolicy(policyBuilder.build())
              .setUpdateMask(FieldMask.newBuilder().addPaths("bindings").addPaths("etag").build())
              .build();
      System.out.println(request);

      Policy updatedPolicy = projectsClient.setIamPolicy(request);
      System.out.println("Policy updated successfully: " + updatedPolicy);
    }
  }
}

Python

בקטע הזה מופיעה דוגמת קוד ליצירת פרטי כניסה של משתמש ולהגדרת מדיניות IAM באמצעות ספריות לקוח אדמיניסטרטיביות של Python. בדוגמה נעשה שימוש בספרייה Google Cloud Firestore API client library ליצירת שם משתמש וסיסמה, ובספריות Google Cloud Iam API client library ו-Google Cloud Resource Manager API client library להגדרת IAM.

אפשר להתקין את ספריות Python הנדרשות באמצעות הכלי pip:

pip install google-cloud-iam
pip install google-cloud-firestore
pip install google-cloud-resource-manager

הקצאת פרטי כניסה למשתמש ומדיניות IAM:

from google.cloud import resourcemanager_v3
from google.cloud.firestore_admin_v1 import FirestoreAdminClient
from google.cloud.firestore_admin_v1 import types
from google.iam.v1 import iam_policy_pb2
from google.iam.v1 import policy_pb2
from google.type import expr_pb2


def create_user_creds(project_id: str, database_id: str, user_name: str):
  """Provision new user credentials using the FirestoreAdminClient."""
  client = FirestoreAdminClient()
  request = types.CreateUserCredsRequest(
      parent=f'projects/{project_id}/databases/{database_id}',
      user_creds_id=user_name,
  )
  response = client.create_user_creds(request)
  return response


def update_iam_policy_for_user_creds(
    project_id: str, database_id: str, user_name: str, user_creds
):
  """Update the IAM policy using the Resource Manager ProjectsClient."""
  client = resourcemanager_v3.ProjectsClient()
  request = iam_policy_pb2.GetIamPolicyRequest()
  request.resource = f'projects/{project_id}'
  request.options.requested_policy_version = 3

  # Get the current IAM policy
  current_policy = client.get_iam_policy(request)

  # Construct an updated IAM policy with an additional binding
  # for the user credentials.
  updated_policy = policy_pb2.Policy()
  binding = policy_pb2.Binding()
  iam_condition = expr_pb2.Expr()

  iam_condition.title = f'Conditional IAM binding for {user_name}'
  iam_condition.expression = (
      f'resource.name == "projects/{project_id}/databases/{database_id}"'
  )

  binding.role = 'roles/datastore.user'
  binding.condition.CopyFrom(iam_condition)
  binding.members.append(user_creds.resource_identity.principal)
  updated_policy.bindings.append(binding)

  # Update the policy
  updated_policy.MergeFrom(current_policy)
  set_policy_request = iam_policy_pb2.SetIamPolicyRequest()
  set_policy_request.resource = f'projects/{project_id}'
  set_policy_request.policy.CopyFrom(updated_policy)

  final_policy = client.set_iam_policy(set_policy_request)
  print(f'Policy updated successfully {final_policy}')


def provision_firestore_user_creds_and_iam(
    project_id: str, database_id: str, user_name: str
):
  """Provision user credentials and configure an IAM policy."""
  user_creds = create_user_creds(project_id, database_id, user_name)

  # Note the password returned in the UserCreds proto - it cannot be
  # retrieved again after the initial call to the create_user_creds API.
  print(f'Created credentials for username: {user_name}')
  print(f'IAM principal: {user_creds.resource_identity.principal}')
  print(f'Password: [{user_creds.secure_password}]')

  # Provision an IAM binding for the principal associated with
  # these user credentials.
  update_iam_policy_for_user_creds(
      project_id, database_id, user_name, user_creds
  )

  # Emit the password again
  print(
      f'Successfully configured IAM policy for database: {database_id},'
      f' username: {user_name}'
  )
  print(f'Please make a note of the password: [{user_creds.secure_password}]')

משתמשים במחרוזת החיבור הבאה כדי להתחבר למסד הנתונים באמצעות SCRAM:

mongodb://USERNAME:PASSWORD@UID.LOCATION.firestore.goog:443/DATABASE_ID?loadBalanced=true&authMechanism=SCRAM-SHA-256&tls=true&retryWrites=false

מחליפים את מה שכתוב בשדות הבאים:

‫USERNAME: שם המשתמש.
‫PASSWORD: הסיסמה שיצרתם עבור המשתמש הזה.
‫UID: ה-UID של מסד הנתונים.
LOCATION: המיקום של מסד הנתונים.
‫DATABASE_ID: מזהה מסד הנתונים.

חיבור לספריית האימות של Google

בדוגמת הקוד הבאה רשום handler של קריאה חוזרת (callback) של OIDC שמשתמש בGoogle Cloud ספריית OAuth רגילה.

הספרייה הזו מאפשרת להשתמש במספר סוגים שונים של אימות (Application Default Credentials, איחוד שירותי אימות הזהות של עומסי עבודה).

לשם כך צריך להוסיף את ספריית האימות כתלות:

// Maven
<dependency>
  <groupId>com.google.auth</groupId>
  <artifactId>google-auth-library-oauth2-http</artifactId>
  <version>1.19.0</version>
</dependency>

// Gradle
implementation 'com.google.auth:google-auth-library-oauth2-http:1.19.0'

בדוגמת הקוד הבאה אפשר לראות איך להתחבר:

val db = MongoClients.create(
    clientSettings(
      "DATABASE_UID",
      "LOCATION"
    ).build()
  ).getDatabase("DATABASE_ID")


/**
 * Creates a connection to a Firestore with MongoDB Compatibility database.
 * @param databaseUid The uid of the database to connect to as a string. For example: f116f93a-519c-208a-9a72-3ef6c9a1f081
 * @param locationId The location of the database to connect to, for example: nam5, us-central1, us-east4 etc...
 * @param environment Determines whether to try and fetch an authentication credential from the
 * Compute Engine VM metadata service or whether to call gcloud.
 */
private static MongoClientSettings.Builder clientSettings(
  String databaseUid: String
  String locationId:String
): MongoClientSettings.Builder {
  MongoCredential credential =
    MongoCredential.createOidcCredential(null)
      .withMechanismProperty(
        MongoCredential.OIDC_CALLBACK_KEY,
        new MongoCredential.OidcCallback() {
          @Override
          MongoCredential.OidcCallbackResult onRequest(
MongoCredential.OidcCallbackContext context) {
     // Customize this credential builder for additional credential types.
     GoogleCredentials credentials = GoogleCredentials.getApplicationDefault();
            return new MongoCredential.OidcCallbackResult(
         credentials.getAccessToken().getTokenValue(),
         Duration.between(Instant.now(),
credentials.getAccessToken().getExpirationTime().toInstant()));
          }
        },
      );
  return MongoClientSettings.builder()
    .hosts(listOf(ServerAddress(
        "$databaseUid.$locationId.firestore.goog", 443)))
    .credential(credential)
    .applyToClusterSettings(builder ->
         builder.mode(ClusterConnectionMode.LOAD_BALANCED))
    ).applyToSslSettings(ssl -> ssl.enabled(true)).retryWrites(false);
}

מחליפים את מה שכתוב בשדות הבאים:

‫DATABASE_UID: שם הפרויקט.
‫LOCATION: המיקום של מסד הנתונים.
DATABASE_ID מזהה מסד הנתונים.

התחברות מסביבת מחשוב של Google Cloud

בקטע הזה מוסבר איך להתחבר ל-Cloud Firestore עם תאימות ל-MongoDB מGoogle Cloudסביבת מחשוב, כמו Compute Engine או שירות או משימה של Cloud Run.

התחברות מ-VM של Compute Engine

אתם יכולים לבצע אימות ולהתחבר למסד הנתונים באמצעות חשבון שירות של Compute Engine. כדי לעשות את זה, צריך ליצור מדיניות IAM לפרויקט Google Cloud שמכיל את מסד הנתונים.

לפני שמתחילים

מגדירים חשבון שירות שמנוהל על ידי משתמש עבור המכונה הווירטואלית:

כדי להגדיר חשבון שירות במהלך יצירת מכונה וירטואלית, אפשר לעיין במאמר יצירת מכונה וירטואלית שמשתמשת בחשבון שירות שמנוהל על ידי משתמש.
כדי להגדיר חשבון שירות במכונה וירטואלית קיימת, ראו שינוי חשבון השירות המצורף.

כדי להשלים את הגדרת מדיניות IAM עבור חשבון השירות Compute Engine, צריך לפעול לפי ההוראות שבקטעים הגדרת פרטי הכניסה.

התחברות מ-Cloud Run

אתם יכולים לבצע אימות ולהתחבר למסד הנתונים באמצעות חשבון שירות של Cloud Run. כדי לעשות את זה, צריך ליצור מדיניות IAM לפרויקט Google Cloud שמכיל את מסד הנתונים.

לפני שמתחילים

כדי להגדיר את חשבון השירות עבור Cloud Run, ראו הגדרת זהות שירות
כדי לראות את חשבון השירות שכבר משויך לשירות Cloud Run, אפשר לעיין במאמר gcloud run services describe.

כדי להשלים את הגדרת מדיניות IAM עבור חשבון השירות Cloud Run, צריך לפעול לפי ההוראות שבקטעים הגדרת פרטי הכניסה.

הגדרת פרטי כניסה

כדי לתת לחשבון השירות את התפקיד roles/datastore.user לקריאה וכתיבה ב-Cloud Firestore, מריצים את הפקודה הבאה:

gcloud projects add-iam-policy-binding PROJECT_NAME --member="SERVICE_ACCOUNT_EMAIL" --role=roles/datastore.user

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_NAME: שם הפרויקט.
SERVICE_ACCOUNT_EMAIL: כתובת האימייל של חשבון השירות שיצרתם.

בניית מחרוזת החיבור

כדי ליצור את מחרוזת החיבור, משתמשים בפורמט הבא:

mongodb://DATABASE_UID.LOCATION.firestore.goog:443/DATABASE_ID?loadBalanced=true&tls=true&retryWrites=false&authMechanism=MONGODB-OIDC&authMechanismProperties=ENVIRONMENT:gcp,TOKEN_RESOURCE:FIRESTORE

מחליפים את מה שכתוב בשדות הבאים:

‫DATABASE_UID: שם הפרויקט.
‫LOCATION: המיקום של מסד הנתונים.
DATABASE_ID מזהה מסד הנתונים.

מידע נוסף על אחזור ה-UID והמיקום זמין במאמר אחזור מחרוזת החיבור.

התחברות באמצעות אסימון גישה זמני

אפשר להשתמש באסימון גישה זמני Google Cloud כדי להריץ כלי אבחון כמו mongosh. אפשר להשתמש ב-gcloud auth print-access-token כדי לבצע אימות באמצעות אסימון גישה לטווח קצר. האסימון הזה תקף למשך שעה אחת.

לדוגמה, משתמשים בפקודה הבאה כדי להתחבר למסד הנתונים באמצעות mongosh:

mongosh --tls \
      --username access_token --password $(gcloud auth print-access-token) \
      'mongodb://UID.LOCATION.firestore.goog:443/DATABASE_ID?loadBalanced=true&authMechanism=PLAIN&authSource=$external&retryWrites=false'

מחליפים את מה שכתוב בשדות הבאים:

‫DATABASE_UID: ה-UID של מסד הנתונים
‫LOCATION: המיקום של מסד הנתונים
‫DATABASE_ID: מזהה מסד נתונים

אימות וחיבור למסד נתונים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

דרישות לחיבור

אחזור מחרוזת החיבור

מסוף Firebase

gcloud

התחברות באמצעות שם משתמש וסיסמה (SCRAM)

לפני שמתחילים

יצירת משתמש וחיבור למסד נתונים

מסוף Google Cloud

gcloud CLI

Java

Python

חיבור לספריית האימות של Google

התחברות מסביבת מחשוב של Google Cloud

התחברות מ-VM של Compute Engine

לפני שמתחילים

התחברות מ-Cloud Run

לפני שמתחילים

הגדרת פרטי כניסה

בניית מחרוזת החיבור

התחברות באמצעות אסימון גישה זמני

אימות וחיבור למסד נתונים