VPC 서비스 제어

VPC 서비스 제어를 사용하면 조직에서Google Cloud 리소스 주위에 경계를 정의하여 데이터 무단 반출 위험을 완화할 수 있습니다. VPC 서비스 제어를 사용하여 명시적으로 지정한 서비스의 리소스와 데이터를 보호하는 경계를 만듭니다.

번들 Firestore 서비스

다음 API는 VPC 서비스 제어에서 함께 번들로 묶입니다.

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

경계에서 firestore.googleapis.com 서비스를 제한하면 경계가 datastore.googleapis.com 및 firestorekeyvisualizer.googleapis.com 서비스도 제한합니다.

datastore.googleapis.com 서비스 제한

datastore.googleapis.com 서비스는 firestore.googleapis.com 서비스 아래에 번들로 제공됩니다. datastore.googleapis.com 서비스를 제한하려면 다음과 같이 firestore.googleapis.com 서비스를 제한해야 합니다.

• Google Cloud 콘솔을 사용하여 서비스 경계를 만들 때 Firestore를 제한된 서비스로 추가합니다.

• Google Cloud CLI를 사용하여 서비스 경계를 만들 때 datastore.googleapis.com 대신 firestore.googleapis.com을 사용합니다.

  --perimeter-restricted-services=firestore.googleapis.com
  

Datastore용 App Engine 기존 번들 서비스

Datastore의 App Engine 기존 번들 서비스는 서비스 경계를 지원하지 않습니다. 서비스 경계를 사용하여 Datastore 서비스를 보호하면 App Engine 기존 번들 서비스에서 들어오는 트래픽이 차단됩니다. 기존 번들 서비스는 다음과 같습니다.

• App Engine API를 사용한 Java 8 Datastore
• Datastore용 Python 2 NDB 클라이언트 라이브러리
• App Engine API를 사용한 Go 1.11 Datastore

제한된 VIP

제한된 VIP와 함께 MongoDB 호환성을 갖춘 Firestore를 사용하려면 다음 IP 주소 범위를 허용 목록에 추가해야 합니다.

• IPv4의 경우: 136.124.0.0/23
• IPv6의 경우: 2600:1904::/47

이러한 IP 주소 범위는 Firestore 서비스에서만 사용되며 VPC 서비스 제어를 준수합니다.

가져오기 및 내보내기 작업에 대한 이그레스 보호

MongoDB 호환성을 갖춘 Firestore는 VPC 서비스 제어를 지원하지만 가져오기 및 내보내기 작업에 대한 완전한 이그레스 보호를 받으려면 추가 구성이 필요합니다. 기본 App Engine 서비스 계정을 사용하는 대신 Firestore 서비스 에이전트를 사용하여 가져오기 및 내보내기 작업을 승인해야 합니다. 다음 안내에 따라 가져오기 및 내보내기 작업을 위한 승인 계정을 확인하고 구성합니다.