ভিপিসি পরিষেবা নিয়ন্ত্রণ

VPC সার্ভিস কন্ট্রোলস সংস্থাগুলোকে ডেটা পাচারের ঝুঁকি কমাতে Google Cloud রিসোর্সের চারপাশে একটি পরিধি নির্ধারণ করার সুযোগ দেয়। VPC সার্ভিস কন্ট্রোলস-এর মাধ্যমে, আপনি এমন পরিধি তৈরি করতে পারেন যা আপনার দ্বারা সুস্পষ্টভাবে নির্দিষ্ট করা পরিষেবাগুলোর রিসোর্স এবং ডেটাকে সুরক্ষিত রাখে।

বান্ডেল Cloud Firestore পরিষেবা

নিম্নলিখিত API-গুলি VPC সার্ভিস কন্ট্রোলস-এ একসাথে অন্তর্ভুক্ত করা হয়েছে:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

যখন আপনি কোনো পেরিমিটারে firestore.googleapis.com সার্ভিসটিকে সীমাবদ্ধ করেন, তখন সেই পেরিমিটারটি datastore.googleapis.com এবং firestorekeyvisualizer.googleapis.com সার্ভিসগুলোকেও সীমাবদ্ধ করে দেয়।

datastore.googleapis.com পরিষেবাটি সীমাবদ্ধ করুন

datastore.googleapis.com সার্ভিসটি firestore.googleapis.com সার্ভিসের অধীনে অন্তর্ভুক্ত। datastore.googleapis.com সার্ভিসটি সীমাবদ্ধ করতে, আপনাকে firestore.googleapis.com সার্ভিসটি নিম্নোক্তভাবে সীমাবদ্ধ করতে হবে:

  • গুগল ক্লাউড কনসোল ব্যবহার করে সার্ভিস পেরিমিটার তৈরি করার সময়, Cloud Firestore সীমাবদ্ধ পরিষেবা হিসেবে যুক্ত করুন।

  • Google Cloud CLI ব্যবহার করে সার্ভিস পেরিমিটার তৈরি করার সময়, datastore.googleapis.com এর পরিবর্তে firestore.googleapis.com ব্যবহার করুন।

    --perimeter-restricted-services=firestore.googleapis.com

Datastore জন্য App Engine লিগ্যাসি বান্ডেল পরিষেবা

Datastore জন্য App Engine লিগ্যাসি বান্ডেলড সার্ভিসগুলো সার্ভিস পেরিমিটার সমর্থন করে না। সার্ভিস পেরিমিটার দিয়ে Datastore সার্ভিসকে সুরক্ষিত করলে App Engine লিগ্যাসি বান্ডেলড সার্ভিসগুলো থেকে ট্র্যাফিক ব্লক হয়ে যায়। লিগ্যাসি বান্ডেলড সার্ভিসগুলোর মধ্যে রয়েছে:

আমদানি ও রপ্তানি কার্যক্রমে বহির্গমন সুরক্ষা

Cloud Firestore ভিপিসি সার্ভিস কন্ট্রোল সমর্থন করে, কিন্তু ইম্পোর্ট এবং এক্সপোর্ট অপারেশনে সম্পূর্ণ ইগ্রেস সুরক্ষা পেতে অতিরিক্ত কনফিগারেশনের প্রয়োজন হয়। ডিফল্ট App Engine সার্ভিস অ্যাকাউন্টের পরিবর্তে, ইম্পোর্ট এবং এক্সপোর্ট অপারেশন অনুমোদন করার জন্য আপনাকে অবশ্যই Cloud Firestore সার্ভিস এজেন্ট ব্যবহার করতে হবে। ইম্পোর্ট এবং এক্সপোর্ট অপারেশনের জন্য অনুমোদন অ্যাকাউন্ট দেখতে এবং কনফিগার করতে নিম্নলিখিত নির্দেশাবলী ব্যবহার করুন।

Cloud Firestore পরিষেবা এজেন্ট

Cloud Firestore App Engine সার্ভিস অ্যাকাউন্টের পরিবর্তে, ইম্পোর্ট এবং এক্সপোর্ট অপারেশন অনুমোদন করার জন্য একটি Cloud Firestore সার্ভিস এজেন্ট ব্যবহার করে। সার্ভিস এজেন্ট এবং সার্ভিস অ্যাকাউন্ট নিম্নলিখিত নামকরণের নিয়মগুলো অনুসরণ করে:

Cloud Firestore পরিষেবা এজেন্ট
service- PROJECT_NUMBER @gcp-sa-firestore.iam.gserviceaccount.com

Cloud Firestore আগে Cloud Firestore সার্ভিস এজেন্টের পরিবর্তে App Engine ডিফল্ট সার্ভিস অ্যাকাউন্ট ব্যবহার করত। যদি আপনার ডাটাবেস এখনও ডেটা ইম্পোর্ট বা এক্সপোর্ট করার জন্য App Engine সার্ভিস অ্যাকাউন্ট ব্যবহার করে, তাহলে আমরা আপনাকে Cloud Firestore সার্ভিস এজেন্ট ব্যবহারে মাইগ্রেট করার জন্য এই বিভাগের নির্দেশাবলী অনুসরণ করার পরামর্শ দিচ্ছি।

App Engine পরিষেবা অ্যাকাউন্ট
PROJECT_ID @appspot.gserviceaccount.com

Cloud Firestore সার্ভিস এজেন্টটি অধিকতর পছন্দনীয়, কারণ এটি Cloud Firestore জন্য নির্দিষ্ট। App Engine সার্ভিস অ্যাকাউন্টটি একাধিক সার্ভিস দ্বারা ব্যবহৃত হয়।

অনুমোদন অ্যাকাউন্ট দেখুন

গুগল ক্লাউড কনসোলের ইম্পোর্ট/এক্সপোর্ট পেজ থেকে আপনি দেখতে পারেন, আপনার ইম্পোর্ট ও এক্সপোর্ট অপারেশনগুলো অনুরোধ অনুমোদনের জন্য কোন অ্যাকাউন্ট ব্যবহার করে। আপনার ডেটাবেসটি ইতোমধ্যে Cloud Firestore সার্ভিস এজেন্ট ব্যবহার করছে কিনা, তাও আপনি দেখতে পারেন।

  1. 'Import/Export jobs run as' লেবেলের পাশে অনুমোদন অ্যাকাউন্টটি দেখুন।

যদি আপনার প্রজেক্টে Cloud Firestore সার্ভিস এজেন্ট ব্যবহার করা না হয়, তাহলে আপনি নিম্নলিখিত পদ্ধতিগুলোর যেকোনো একটি ব্যবহার করে Cloud Firestore সার্ভিস এজেন্টে মাইগ্রেট করতে পারেন:

এই কৌশলগুলোর মধ্যে প্রথমটি অধিকতর পছন্দনীয়, কারণ এটি কার্যকারিতার পরিধিকে একটিমাত্র Cloud Firestore প্রজেক্টের মধ্যে সীমাবদ্ধ রাখে। দ্বিতীয় কৌশলটি পছন্দনীয় নয়, কারণ এটি বিদ্যমান Cloud Storage বাকেটের অনুমতিগুলো স্থানান্তর করে না। তবে, এটি সংস্থা পর্যায়ে নিরাপত্তা সম্মতি প্রদান করে।

Cloud Storage বাকেটের অনুমতিগুলি পরীক্ষা ও আপডেট করে মাইগ্রেট করুন।

স্থানান্তর প্রক্রিয়ার দুটি ধাপ রয়েছে:

  1. Cloud Storage বাকেটের অনুমতি আপডেট করুন। বিস্তারিত জানতে নিম্নলিখিত বিভাগটি দেখুন।
  2. Cloud Firestore সার্ভিস এজেন্টে মাইগ্রেশন নিশ্চিত করুন।

পরিষেবা এজেন্ট বালতি অনুমতি

অন্য কোনো প্রজেক্টের Cloud Storage বাকেট ব্যবহার করে এমন যেকোনো এক্সপোর্ট বা ইম্পোর্ট অপারেশনের জন্য, আপনাকে অবশ্যই সেই বাকেটের জন্য Cloud Firestore সার্ভিস এজেন্টকে অনুমতি দিতে হবে। উদাহরণস্বরূপ, অন্য প্রজেক্টে ডেটা স্থানান্তরকারী অপারেশনগুলোর জন্য সেই অন্য প্রজেক্টের একটি বাকেট অ্যাক্সেস করার প্রয়োজন হয়। অন্যথায়, Cloud Firestore সার্ভিস এজেন্টে মাইগ্রেট করার পর এই অপারেশনগুলো ব্যর্থ হয়।

একই প্রজেক্টের মধ্যে থাকা ইম্পোর্ট এবং এক্সপোর্ট ওয়ার্কফ্লো-এর জন্য পারমিশন পরিবর্তনের প্রয়োজন হয় না। Cloud Firestore সার্ভিস এজেন্ট ডিফল্টভাবে একই প্রজেক্টের বাকেটগুলো অ্যাক্সেস করতে পারে।

service- PROJECT_NUMBER @gcp-sa-firestore.iam.gserviceaccount.com সার্ভিস এজেন্টকে অ্যাক্সেস দেওয়ার জন্য অন্যান্য প্রজেক্টের Cloud Storage বাকেটগুলির অনুমতি আপডেট করুন। সার্ভিস এজেন্টকে Firestore Service Agent রোলটি প্রদান করুন।

Firestore Service Agent রোল একটি Cloud Storage বাকেটের জন্য রিড এবং রাইট পারমিশন প্রদান করে। যদি আপনার শুধুমাত্র রিড অথবা শুধুমাত্র রাইট পারমিশন দেওয়ার প্রয়োজন হয়, তাহলে একটি কাস্টম রোল ব্যবহার করুন।

পরবর্তী বিভাগে বর্ণিত মাইগ্রেশন প্রক্রিয়াটি আপনাকে Cloud Storage বাকেটগুলি সনাক্ত করতে সাহায্য করে যেগুলির অনুমতি আপডেটের প্রয়োজন হতে পারে।

একটি প্রজেক্ট ফায়ারস্টোর সার্ভিস এজেন্টে স্থানান্তর করুন

App Engine সার্ভিস অ্যাকাউন্ট থেকে Cloud Firestore সার্ভিস এজেন্টে মাইগ্রেট করতে নিম্নলিখিত ধাপগুলো সম্পন্ন করুন। একবার সম্পন্ন হলে, এই মাইগ্রেশন আর পূর্বাবস্থায় ফেরানো যাবে না।

  1. যদি আপনার প্রজেক্টটি এখনও Cloud Firestore সার্ভিস এজেন্টে স্থানান্তরিত না হয়ে থাকে, তাহলে আপনি মাইগ্রেশন সম্পর্কিত একটি ব্যানার এবং একটি ‘চেক বাকেট স্ট্যাটাস’ বাটন দেখতে পাবেন। পরবর্তী ধাপটি আপনাকে সম্ভাব্য পারমিশন ত্রুটি শনাক্ত করতে এবং সমাধান করতে সাহায্য করবে।

    বালতির অবস্থা পরীক্ষা করুন -এ ক্লিক করুন।

    আপনার মাইগ্রেশন সম্পন্ন করার বিকল্প এবং Cloud Storage বাকেটগুলির একটি তালিকা সহ একটি মেনু প্রদর্শিত হবে। তালিকাটি লোড হতে কয়েক মিনিট সময় লাগতে পারে।

    এই তালিকায় এমন বাকেটগুলো অন্তর্ভুক্ত রয়েছে যেগুলো সম্প্রতি ইম্পোর্ট এবং এক্সপোর্ট অপারেশনে ব্যবহৃত হয়েছিল, কিন্তু বর্তমানে Cloud Firestore সার্ভিস এজেন্টকে রিড এবং রাইট পারমিশন দেয় না।

  2. আপনার প্রোজেক্টের Cloud Firestore সার্ভিস এজেন্টের প্রিন্সিপাল নামটি নোট করে নিন। সার্ভিস এজেন্টের নামটি ‘সার্ভিস এজেন্ট টু গিভ অ্যাক্সেস টু’ লেবেলের অধীনে প্রদর্শিত হয়।

  3. তালিকায় থাকা যে কোনো বাকেট যা আপনি ভবিষ্যতে ইম্পোর্ট বা এক্সপোর্ট অপারেশনের জন্য ব্যবহার করবেন, তার জন্য নিম্নলিখিত ধাপগুলো সম্পন্ন করুন:

    1. এই বাকেটের টেবিল সারিতে, 'Fix'- এ ক্লিক করুন। এটি একটি নতুন ট্যাবে সেই বাকেটের অনুমতি পৃষ্ঠাটি খুলবে।

    2. যোগ করুন-এ ক্লিক করুন।
    3. 'New principals' ফিল্ডে আপনার Cloud Firestore সার্ভিস এজেন্টের নাম লিখুন।
    4. 'Select a role' ফিল্ডে, 'Service Agents > Firestore Service Agent' নির্বাচন করুন।
    5. সংরক্ষণ করুন- এ ক্লিক করুন।
    6. Cloud Firestore ইম্পোর্ট/এক্সপোর্ট পেজ থাকা ট্যাবটিতে ফিরে যান।
    7. তালিকার অন্যান্য বাকেটগুলোর জন্য এই ধাপগুলো পুনরাবৃত্তি করুন। তালিকার সমস্ত পৃষ্ঠা দেখা নিশ্চিত করুন।

  4. ফায়ারস্টোর সার্ভিস এজেন্ট-এ মাইগ্রেট করতে ক্লিক করুন। যদি আপনার এখনও এমন বাকেট থাকে যেগুলোর অনুমতি যাচাই ব্যর্থ হয়েছে, তাহলে আপনাকে মাইগ্রেট-এ ক্লিক করে আপনার মাইগ্রেশন নিশ্চিত করতে হবে।

    আপনার মাইগ্রেশন সম্পন্ন হলে একটি অ্যালার্ট আপনাকে জানিয়ে দেয়। মাইগ্রেশনটি পূর্বাবস্থায় ফেরানো যাবে না।

মাইগ্রেশন স্থিতি দেখুন

আপনার প্রকল্পের মাইগ্রেশন স্ট্যাটাস যাচাই করতে:

  1. 'Import/Export jobs run as' লেবেলের পাশে প্রিন্সিপালটি খুঁজুন।

    যদি প্রিন্সিপালটি service- PROJECT_NUMBER @gcp-sa-firestore.iam.gserviceaccount.com হয়, তাহলে আপনার প্রজেক্টটি ইতিমধ্যে Cloud Firestore সার্ভিস এজেন্টে স্থানান্তরিত হয়ে গেছে। এই স্থানান্তরটি পূর্বাবস্থায় ফেরানো যাবে না।

    প্রজেক্টটি মাইগ্রেট করা না হয়ে থাকলে, পেজের উপরে ‘চেক বাকেট স্ট্যাটাস’ বাটনসহ একটি ব্যানার দেখা যায়। মাইগ্রেশনটি সম্পন্ন করতে ‘ফায়ারস্টোর সার্ভিস এজেন্টে মাইগ্রেট করুন’ অংশটি দেখুন।

সংস্থাব্যাপী একটি নীতিগত সীমাবদ্ধতা যোগ করুন

  • আপনার প্রতিষ্ঠানের নীতিমালায় নিম্নলিখিত সীমাবদ্ধতাটি নির্ধারণ করুন:

    আমদানি/রপ্তানির জন্য ফায়ারস্টোর সার্ভিস এজেন্ট প্রয়োজন ( firestore.requireP4SAforImportExport )।

    এই সীমাবদ্ধতা অনুযায়ী, অনুরোধ অনুমোদনের জন্য আমদানি ও রপ্তানি কার্যক্রমে Cloud Firestore সার্ভিস এজেন্ট ব্যবহার করতে হবে। এই সীমাবদ্ধতাটি সেট করতে, ‘সংস্থার নীতি তৈরি ও পরিচালনা’ দেখুন।

এই সাংগঠনিক নীতি সীমাবদ্ধতা প্রয়োগ করলে Cloud Firestore পরিষেবা এজেন্টের জন্য উপযুক্ত Cloud Storage বাকেটের অনুমতি স্বয়ংক্রিয়ভাবে মঞ্জুর হয় না।

যদি এই সীমাবদ্ধতাটি কোনো ইম্পোর্ট বা এক্সপোর্ট ওয়ার্কফ্লোতে অনুমতি সংক্রান্ত ত্রুটি তৈরি করে, তাহলে আপনি ডিফল্ট সার্ভিস অ্যাকাউন্ট ব্যবহারে ফিরে যেতে এটি নিষ্ক্রিয় করতে পারেন। Cloud Storage বাকেটের অনুমতি যাচাই ও আপডেট করার পর, আপনি সীমাবদ্ধতাটি আবার সক্রিয় করতে পারবেন।