VPC Service Controls
借助 VPC Service Controls,组织可以围绕Google Cloud 资源定义边界,从而降低数据渗漏风险。借助 VPC Service Controls,您可以创建边界来保护明确指定的服务的资源和数据。
捆绑的 Firestore 服务
以下 API 在 VPC Service Controls 中捆绑在一起:
- firestore.googleapis.com
- datastore.googleapis.com
- firestorekeyvisualizer.googleapis.com
当您限制边界中的 firestore.googleapis.com 服务时,边界也会限制 datastore.googleapis.com 和 firestorekeyvisualizer.googleapis.com 服务。
限制 datastore.googleapis.com 服务
datastore.googleapis.com 服务捆绑在 firestore.googleapis.com 服务下。如需限制 datastore.googleapis.com 服务,您必须按以下方式限制 firestore.googleapis.com 服务:
- 使用 Google Cloud 控制台创建服务边界时,请添加 Firestore 作为受限服务。
- 使用 Google Cloud CLI 创建服务边界时,请使用 - firestore.googleapis.com而不是- datastore.googleapis.com。- --perimeter-restricted-services=firestore.googleapis.com
适用于 Datastore 的 App Engine 旧版捆绑服务
适用于 Datastore 的 App Engine 旧版捆绑服务不支持服务边界。使用服务边界保护 Datastore 服务会阻止来自 App Engine 旧版捆绑服务的流量。旧版捆绑服务包括:
- 带有 App Engine API 的 Java 8 Datastore
- 适用于 Datastore 的 Python 2 NDB 客户端库
- 带有 App Engine API 的 Go 1.11 Datastore
受限 VIP
如需使用具有受限 VIP 的 Firestore(与 MongoDB 兼容),您必须配置与 Firestore(与 MongoDB 兼容)所用 VIP 网域的连接。此网域及其 IP 地址仅由具有 MongoDB 兼容性的 Firestore 服务使用,并且符合 VPC Service Controls 标准。
如需了解相关说明,请参阅在与 MongoDB 兼容的 Firestore 中配置专用 Google 访问通道。
导入和导出操作的出站流量保护
与 MongoDB 兼容的 Firestore 支持 VPC Service Controls,但需要额外配置才能获得对导入和导出操作的全面出站流量保护。您必须使用 Firestore 服务代理来授权导入和导出操作,而不是使用默认的 App Engine 服务账号。按照以下说明查看和配置授权账号以用于导入和导出操作。