App Engine 要求

以前,所有 Firestore 数据库都已关联到 App Engine 应用。关联后,您的数据库需要在同一项目中有一个处于活跃状态的 App Engine 应用。如果 App Engine 应用处于非活动状态,系统会停用对数据库的读写访问权限。

现在,Firestore 数据库在预配时默认与 App Engine 解除关联。

如果您的数据库已与 App Engine 相关联,您可以解除数据库的关联。

活跃的 App Engine

有效的 App Engine 应用是指同一项目中存在应用且该应用未停用。该应用无需有任何使用情况。 关联的应用和数据库必须位于同一区域。

如果您停用 App Engine 应用,则也无法再访问与该应用关联的 Firestore 数据库。

您可以使用 REST API 检查 App Engine 解除关联状态:

curl  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
--header "Content-type: application/json" \
"https://firestore.googleapis.com/v1/projects/PROJECT_ID/databases/(default)"

在响应中,查看 appEngineIntegrationMode 的值。如果值为 DISABLED,则表示您的数据库未与 App Engine 应用关联。

如果您停用关联的 App Engine 应用,则也将停用对数据库的读写访问权限。如果发生这种情况,Google Cloud 控制台的 Firestore 数据页面会显示用于解除数据库与 App Engine 应用关联的选项。点击解除数据库关联即可开始该流程。

前往“Firestore 数据”页面

您还可以使用 REST API 解除数据库关联:

curl -X PATCH \
--header "Authorization: Bearer $(gcloud auth print-access-token)" \
--header "Content-type: application/json" \
--data '{"app_engine_integration_mode": "DISABLED"}' \
"https://firestore.googleapis.com/v1/projects/PROJECT_ID/databases/(default)?updateMask=appEngineIntegrationMode"

解除数据库关联后,您可以停用 App Engine,而不会影响对数据库的访问。解除关联是一项永久性操作。解除关联操作最长可能需要五分钟才能生效。

迁移 Terraform App Engine 资源

如果您之前通过 google_app_engine_application Terraform 资源管理 Firestore 数据库,则可以改用 google_firestore_database Terraform 资源。

如需有关通过 Terraform 管理 Firestore 数据库的一般说明,请参阅自动创建数据库

创建 google_firestore_database 资源

在 Terraform 配置文件中,创建新的 google_firestore_database 资源:

firestore.tf

resource "google_firestore_database" "database" {
  project     = "project"
  name        = "(default)"
  location_id = "location"
  
  type = "database_type" // either "FIRESTORE_NATIVE" or "DATASTORE_MODE"
  
  app_engine_integration_mode = "DISABLED"

  // Optional, but recommended for safety
  delete_protection_state = "DELETE_PROTECTION_ENABLED"
}

如需查看可用位置的列表,请参阅 Firestore 位置。选择与现有数据库对应的位置。

导入现有 Firestore 数据库

首先,确保已启用 Firestore API

接下来,将现有 Firestore 数据库导入您的 Terraform 状态:

terraform import google_firestore_database.database "(default)"

然后运行:

terraform plan

检查输出,确保导入操作已成功完成。如果输出显示任何字段发生了更改,请确保这些更改符合您的预期。如果输出包含类似于以下内容的行:

google_firestore_database.database must be replaced

然后检查 Terraform 配置文件,看看是否有任何错误(尤其是 projectlocationname 字段),然后再次运行 terraform plan。在计划输出中,需要 Terraform 替换数据库的所有字段都会标记为 # forces replacement

对 Terraform 方案输出感到满意后,请运行以下命令:

terraform apply

移除 google_app_engine_application 资源

如果您的 Terraform 配置文件中已有 google_app_engine_application 资源,请立即从该文件中将其移除。

之后,再次运行以下命令:

terraform plan

您将看到如下所示的输出:

Terraform will perform the following actions:

  # google_app_engine_application.app will be destroyed
  # (because google_app_engine_application.app is not in configuration)

对方案输出满意后,运行

terraform apply

Terraform 目前不支持删除 App Engine 资源;虽然 Terraform 会显示资源已被销毁,但实际上不会删除 App Engine 应用。不过,App Engine 应用将不再由 Terraform 管理。

Firestore API 要求

以前,所有 Firestore 数据库都与 App Engine 应用相关联。现在,Firestore 数据库在预配时默认与 App Engine 解除关联。此外,现有和新创建的所有数据库现在都必须满足以下要求:

  • 如需通过 Google Cloud 控制台和 gcloud CLI 管理数据库,您必须在项目中启用 Firestore API。这对于原生模式 Firestore 和 Datastore 模式 Firestore 数据库都是必需的。

  • 从 Google Cloud 控制台或 gcloud CLI 执行以下管理操作时,需要具备以下 IAM 权限:

    • 创建数据库:datastore.databases.create
    • 查看数据库元数据:datastore.databases.getMetadata
    • 修改数据库元数据:datastore.databases.update

预定义角色(例如 Datastore 用户Datastore 查看者)包含所需权限。如果您创建了任何自定义 IAM 角色,则可能需要更新这些角色以包含上述权限。

如果您之前为 Datastore 定义了自定义角色,该角色可能缺少 datastore.databases.getMetadata 权限。请使用 datastore.databases.getMetadata 更新自定义角色或使用预定义角色,以确保继续拥有访问权限。

通过 Terraform 启用 API

如需,您还可以通过 Terraform 启用 Firestore API:

resource "google_project_service" "firestore" {
  project = "project"
  service = "firestore.googleapis.com"
}

如果您有 google_firestore_database 资源,则可以向 google_project_service 资源添加依赖项,以确保在 Terraform 尝试创建数据库之前启用该 API:

resource "google_firestore_database" "database" {
  // ...
  depends_on = [google_project_service.firestore]
}