تتيح عناصر التحكّم في خدمة سحابة VPC للمؤسسات تحديد حدود حول موارد Google Cloud للحدّ من مخاطر استخراج البيانات. باستخدام VPC Service Controls، يمكنك إنشاء حدود تحمي الموارد والبيانات الخاصة بالخدمات التي تحدّدها بشكل صريح.
خدمات Cloud Firestore مجمّعة
يتم تجميع واجهات برمجة التطبيقات التالية معًا في "عناصر التحكّم في خدمة VPC":
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
عند حظر خدمة firestore.googleapis.com في محيط جغرافي، يحظر المحيط الجغرافي أيضًا خدمتَي datastore.googleapis.com وfirestorekeyvisualizer.googleapis.com.
حظر خدمة datastore.googleapis.com
يتم تجميع خدمة datastore.googleapis.com ضمن خدمة firestore.googleapis.com. لتقييد خدمة
datastore.googleapis.com، يجب تقييد خدمة firestore.googleapis.com
على النحو التالي:
- عند إنشاء محيط خدمة باستخدام Google Cloud Console، أضِف Cloud Firestore كخدمة محظورة.
عند إنشاء حيّز خدمة باستخدام Google Cloud CLI، استخدِم
firestore.googleapis.comبدلاً منdatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine خدمات مجمّعة قديمة مقابل Datastore
لا تتوافق خدمات App Engine القديمة المجمّعة مع Datastore حدود الخدمة. تؤدي حماية خدمة Datastore باستخدام حدود الخدمة إلى حظر حركة البيانات من الخدمات المجمّعة القديمة App Engine. تشمل الخدمات المجمّعة القديمة ما يلي:
- Java 8 Datastore مع واجهات برمجة التطبيقات App Engine
- مكتبة برامج NDB للغة Python 2 في Datastore
- إصدار Go 1.11 Datastore مع واجهات برمجة التطبيقات App Engine
حماية الخروج في عمليات الاستيراد والتصدير
تتوافق Cloud Firestore مع MongoDB مع عناصر التحكّم في خدمة سحابة VPC، ولكنها تتطلّب إعدادًا إضافيًا للحصول على حماية كاملة من نقل البيانات خارج المؤسسة في عمليات الاستيراد والتصدير. يجب استخدام وكيل خدمة Cloud Firestore لتفويض عمليات الاستيراد والتصدير بدلاً من حساب خدمة App Engine التلقائي. اتّبِع التعليمات التالية لعرض حساب التفويض وضبطه لعمليات الاستيراد والتصدير.