Netzwerk für FCM konfigurieren

In diesem Dokument werden die Netzwerkkonfigurationen beschrieben, die erforderlich sind, damit FCM ordnungsgemäß in Ihrer Netzwerkumgebung funktioniert.

Netzwerk für das Senden von Nachrichten an FCM konfigurieren

Bevor Sie beginnen, müssen Sie sicherstellen, dass Ihr System mit den FCM Servern kommuniziert, um Nachrichten zu senden und Abos zu verwalten.

Zum Senden von FCM Nachrichten oder zum Verwalten von Abos muss Ihr Netzwerk über HTTPS mit den folgenden Servern kommunizieren:

  • fcm.googleapis.com (Nachrichtensendung)
  • accounts.google.com (Authentifizierung für das Senden von Nachrichten)
  • iid.googleapis.com (Themenabos und Gerätegruppenverwaltung)

Diese Liste kann sich im Laufe der Zeit ändern. Wir können für diese Endpunkte keine IP-basierte Zulassungsliste bereitstellen.

Netzwerk für Android-Geräte mit FCM konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Ihr Netzwerk so konfigurieren, dass FCM Traffic für Android-Geräte unterstützt wird.

FCM Ports und Ihre Firewall

In den meisten Netzwerken wird die Verbindung von Geräten mit dem Rest des Internets nicht eingeschränkt. Im Allgemeinen empfehlen wir dies auch. Einige Organisationen benötigen jedoch Firewalls als Teil ihres Perimeter-Sicherheitsplans.

Firewalloptionen

Option Was wir tun Spezifische Regeln Hinweise
Keine (bevorzugt) - - -
Portbasierte Filterung (zweite Wahl) Traffic auf bestimmte Ports beschränken

Zu öffnende TCP-Ports:

  • 5228
  • 5229
  • 5230
  • 443
 Dies ist die einfachste Regel und verhindert die Abhängigkeit von Dingen, die sich im Laufe der Zeit eher ändern.
Hostname-basierte Filterung Verwenden einer speziellen Firewallkonfiguration, um bestimmte TLS-SNI-Einträge durch die Firewall zu lassen. Dies kann mit der portbasierten Filterung kombiniert werden.

Zu öffnende Hostnamen:

  • mtalk.google.com
  • mtalk4.google.com
  • mtalk-staging.google.com
  • mtalk-dev.google.com
  • alt1-mtalk.google.com
  • alt2-mtalk.google.com
  • alt3-mtalk.google.com
  • alt4-mtalk.google.com
  • alt5-mtalk.google.com
  • alt6-mtalk.google.com
  • alt7-mtalk.google.com
  • alt8-mtalk.google.com
  • android.apis.google.com
  • device-provisioning.googleapis.com
  • firebaseinstallations.googleapis.com
 Nicht alle Firewall-Software unterstützt diese Option, aber viele schon. Diese Liste ist ziemlich stabil, aber wir benachrichtigen Sie nicht proaktiv, wenn sie sich ändert.
IP-basierte Filterung (stark nicht empfohlen) Verwenden einer sehr großen statischen Liste von IP-Adressen. Alle in goog.json aufgeführten IP-Adressen auf die Zulassungsliste setzen. Diese Liste wird regelmäßig aktualisiert. Wir empfehlen Ihnen, Ihre Regeln monatlich zu aktualisieren. Probleme, die durch IP-Einschränkungen der Firewall verursacht werden, treten oft nur zeitweise auf und sind schwer zu diagnostizieren. Wir ändern unsere IP-Adressliste sehr häufig und ohne Vorwarnung. Sie müssen diese große Liste eingeben und häufig aktualisieren.

Außerdem sehen wir häufig Tippfehler, wenn Nutzer versuchen, IP-Zulassungslisten in ihre Firewallregeln einzugeben.

Wir empfehlen dies nicht, da die Informationen immer veraltet sind und nicht verwaltet werden.

Außerdem kann die Größe der Liste für einige Router unhandlich sein.

Firewalls mit Network Address Translation oder Stateful Packet Inspection

Wenn Ihr Netzwerk Network Address Translation (NAT) oder Stateful Packet Inspection (SPI) implementiert, implementieren Sie ein Timeout von 30 Minuten oder länger für unsere Verbindungen über die Ports 5228–5230. So können wir eine zuverlässige Verbindung bereitstellen und gleichzeitig den Akkuverbrauch der Mobilgeräte Ihrer Nutzer reduzieren.

FCM und Proxys

FCM Protokoll zum Senden von Push-Nachrichten an Geräte kann nicht über Netzwerkproxys weitergeleitet werden. Daher müssen Sie dafür sorgen, dass die FCM Verbindung von Geräten in Ihrem Netzwerk direkt mit unseren Servern verbunden werden kann.

VPN-Interaktionen und Umgehbarkeit

Firebase Cloud Messaging unternimmt verschiedene Schritte, um sicherzustellen, dass die Push-Messaging- Verbindung vom Smartphone zum Server zuverlässig und so oft wie möglich verfügbar ist. Die Verwendung eines VPN erschwert diese Bemühungen.

VPNs maskieren die zugrunde liegenden Informationen, die FCM benötigt, um die Verbindung zu optimieren und so die Zuverlässigkeit und Akkulaufzeit zu maximieren. In einigen Fällen unterbrechen VPNs aktiv langlebige Verbindungen, was zu einer schlechten Nutzererfahrung führen kann, da Nachrichten verpasst oder verzögert werden oder der Akkuverbrauch hoch ist. Wenn das VPN so konfiguriert ist, dass wir dies tun können, umgehen wir das VPN über eine verschlüsselte Verbindung (über das Basisnetzwerk-WLAN oder LTE), um eine zuverlässige und akkusparende Nutzung zu gewährleisten. FCM Die Verwendung von umgehbaren VPNs durch FCM ist spezifisch für den Push-Benachrichtigungskanal. Anderer FCM Traffic, z. B. Registrierungstraffic, verwendet das VPN, wenn es aktiv ist. Wenn die FCM Verbindung das VPN umgeht, gehen zusätzliche Vorteile verloren, die das VPN möglicherweise bietet, z. B. die Maskierung der IP-Adresse.

Verschiedene VPNs haben unterschiedliche Methoden, um zu steuern, ob sie umgangen werden können. Eine Anleitung finden Sie in der Dokumentation Ihres VPN.

Wenn das VPN nicht so konfiguriert ist, dass es umgangen werden kann, wird Firebase Cloud Messaging das VPN-Netzwerk verwenden, um eine Verbindung zum Server herzustellen. Dies kann dazu führen, dass Nachrichten verzögert werden und der Akkuverbrauch steigt, da Cloud Messaging versucht, die Verbindung über die VPN Verbindung aufrechtzuerhalten.