Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Privaten Google-Zugriff in Firestore mit MongoDB-Kompatibilität konfigurieren

Auf dieser Seite wird beschrieben, wie Sie den privaten Google-Zugriff in Cloud Firestore aktivieren und konfigurieren.

Privater Google-Zugriff in Cloud Firestore

Wenn einer Compute Engine VM eine externe IP-Adresse fehlt, die der Netzwerkschnittstelle zugewiesen ist, kann sie standardmäßig nur Pakete an andere interne IP-Adressen senden. Sie können diesen VMs die Verbindung zum Cloud Firestore Dienst erlauben. Dazu müssen Sie den privaten Google-Zugriff in dem Subnetz aktivieren, das von der Netzwerkschnittstelle der VM verwendet wird.

Anwendbare Dienste und Protokolle

Die Anweisungen in diesem Leitfaden gelten nur für Cloud Firestore.
Die Standard- und VIP-Domains, die von der Cloud Firestore verwendet werden, und ihre IP Bereiche unterstützen nur das MongoDB-Protokoll an Port 443. Alle anderen Protokolle werden nicht unterstützt.

Netzwerkanforderungen

Eine VM-Schnittstelle kann Google APIs und Google-Dienste über das interne Google-Netzwerk mit dem privaten Google-Zugriff erreichen, wenn alle diese Bedingungen erfüllt sind:

Die VM-Schnittstelle ist mit einem Subnetz verbunden, in dem der private Google-Zugriff aktiviert ist.
Der VM-Schnittstelle ist keine externe IP-Adresse zugewiesen.
Die Quell-IP-Adresse der von der VM gesendeten Pakete entspricht einer der folgenden IP-Adressen.
- Primäre interne IPv4-Adresse der VM-Schnittstelle
- Eine interne IPv4-Adresse aus einem Alias-IP-Bereich

Eine VM mit einer externen IPv4-Adresse, die ihrer Netzwerkschnittstelle zugewiesen ist, benötigt keinen privaten Google-Zugriff, um eine Verbindung zu Google APIs und Google-Diensten herzustellen. Das VPC-Netzwerk muss jedoch die Anforderungen für den Zugriff auf Google APIs und Google-Dienste erfüllen.

IAM-Berechtigungen

Projektinhaber, -bearbeiter und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können Subnetze erstellen oder aktualisieren und IP-Adressen zuweisen.

Weitere Informationen zu Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Logging

Cloud Logging erfasst alle API-Anfragen von VM-Instanzen in Subnetzen für die der private Google-Zugriff aktiviert ist. Logeinträge identifizieren die Quelle der API-Anfrage anhand der internen IP-Adresse der aufrufenden Instanz.

Sie können tägliche Nutzungs- und monatliche Rollup-Berichte konfigurieren, die an einen Cloud Storage Bucket gesendet werden müssen. Weitere Informationen finden Sie auf der Seite Nutzungsberichte ansehen.

Zusammenfassung der Konfiguration

In der folgenden Tabelle sind die verschiedenen Möglichkeiten zur Konfiguration des privaten Google-Zugriffs in Cloud Firestore zusammengefasst. Weitere Informationen finden Sie unter Netzwerkkonfiguration.

Domain option IP-Bereiche DNS-Konfiguration Routingkonfiguration Firewallkonfiguration

Domain option	IP-Bereiche	DNS-Konfiguration	Routingkonfiguration	Firewallkonfiguration
Standarddomain (`firestore.goog`) Die Standarddomains werden verwendet, wenn Sie keine DNS-Einträge für `restricted.firestore.goog` konfigurieren.	`136.124.0.0/23`	Sie greifen über die öffentlichen IP Adressen auf den Cloud Firestore Dienst zu. Daher ist keine spezielle DNS-Konfiguration erforderlich.	Prüfen Sie, ob Ihr VPC-Netzwerk Traffic an die IP-Adressbereiche weiterleiten kann, die vom Cloud Firestore Dienst verwendet werden. Grundlegende Konfiguration: Prüfen Sie, ob Sie Standardrouten mit dem nächsten Hop `default-internet-gateway` und einem Zielbereich von `0.0.0.0/0` haben. Erstellen Sie diese Routen, falls sie fehlen. Benutzerdefinierte Konfiguration: Erstellen Sie Routen zum `136.124.0.0/23` IP-Adressbereich.	Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum `136.124.0.0/23` IP-Adressbereich zulassen. Die Standard-Firewallregel für ausgehenden Traffic lässt diesen Traffic zu, wenn er nicht durch eine Regel mit höherer Priorität blockiert wird.
`restricted.firestore.goog` Verwenden Sie `restricted.firestore.goog`, um auf den Cloud Firestore Dienst zuzugreifen. Dabei wird eine Reihe von IP-Adressen verwendet, die nur aus Google Cloud weitergeleitet werden können. Kann in VPC Service Controls-Szenarien verwendet werden.	`199.36.153.2/31`	Konfigurieren Sie DNS-Einträge, um Anfragen an den `199.36.153.2/31` IP-Adressbereich zu senden.	Prüfen Sie, ob Ihr VPC-Netzwerk Routen zum `199.36.153.2/31` IP-Adressbereich hat.	Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum `199.36.153.2/31` IP-Adressbereich zulassen.

Standarddomain (firestore.goog)

Die Standarddomains werden verwendet, wenn Sie keine DNS-Einträge für restricted.firestore.goog konfigurieren.

136.124.0.0/23

Sie greifen über die öffentlichen IP Adressen auf den Cloud Firestore Dienst zu. Daher ist keine spezielle DNS-Konfiguration erforderlich.

Prüfen Sie, ob Ihr VPC-Netzwerk Traffic an die IP-Adressbereiche weiterleiten kann, die vom Cloud Firestore Dienst verwendet werden.

Grundlegende Konfiguration: Prüfen Sie, ob Sie Standardrouten mit dem nächsten Hop default-internet-gateway und einem Zielbereich von 0.0.0.0/0 haben. Erstellen Sie diese Routen, falls sie fehlen.
Benutzerdefinierte Konfiguration: Erstellen Sie Routen zum 136.124.0.0/23 IP-Adressbereich.

Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum 136.124.0.0/23 IP-Adressbereich zulassen.

Die Standard-Firewallregel für ausgehenden Traffic lässt diesen Traffic zu, wenn er nicht durch eine Regel mit höherer Priorität blockiert wird.

restricted.firestore.goog

Verwenden Sie restricted.firestore.goog, um auf den Cloud Firestore Dienst zuzugreifen. Dabei wird eine Reihe von IP-Adressen verwendet, die nur aus Google Cloud weitergeleitet werden können. Kann in VPC Service Controls-Szenarien verwendet werden.

199.36.153.2/31

Konfigurieren Sie DNS-Einträge, um Anfragen an den 199.36.153.2/31 IP-Adressbereich zu senden.

Prüfen Sie, ob Ihr VPC-Netzwerk Routen zum 199.36.153.2/31 IP-Adressbereich hat.

Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum 199.36.153.2/31 IP-Adressbereich zulassen.

Netzwerkkonfiguration

In diesem Abschnitt wird beschrieben, wie Sie Ihr Netzwerk so konfigurieren, dass Sie mit dem privaten Google-Zugriff auf das Cloud Firestore zugreifen können.

DNS-Konfiguration

Im Gegensatz zu anderen Google APIs verwendet die Cloud Firestore API unterschiedliche Domainnamen und IP-Adressen für den privaten Google-Zugriff:

restricted.firestore.goog ermöglicht den API-Zugriff auf die Cloud Firestore API.
- IP-Adressen: 199.36.153.2 und 199.36.153.3.
- Da Cloud Firestore mit VPC Service Controls kompatibel ist, können Sie diese Domain in VPC Service Controls-Szenarien verwenden.

So erstellen Sie eine DNS-Zone und Einträge für Cloud Firestore:

Erstellen Sie eine private DNS-Zone für firestore.goog.

Ziehen Sie zu diesem Zweck in Betracht, eine private Cloud DNS-Zone zu erstellen.
Erstellen Sie in der Zone firestore.goog die folgenden Einträge:
1. Einen A-Eintrag für restricted.firestore.goog, der auf die folgenden IP-Adressen verweist: 199.36.153.2 und 199.36.153.3.
2. Einen CNAME-Eintrag für *.firestore.goog, der auf restricted.firestore.goog verweist.
Informationen zum Erstellen dieser Einträge in Cloud DNS finden Sie unter Eintrag hinzufügen.

Routingkonfiguration

Ihr VPC-Netzwerk muss geeignete Routen haben, deren nächste Hops das Standard-Internetgateway sind. Google Cloud unterstützt das Routing von Traffic zu Google APIs und Google-Diensten über andere VM-Instanzen oder benutzerdefinierte nächste Hops nicht. Obwohl es als Standard-Internetgateway bezeichnet wird, verbleiben Pakete, die von VMs in Ihrem VPC-Netzwerk an Google APIs und Google-Dienste gesendet werden, im Google-Netzwerk.

Wenn Sie die Standarddomainoption auswählen, stellen Ihre VM-Instanzen über den folgenden öffentlichen IP-Adressbereich eine Verbindung zum Cloud Firestore Dienst her: 136.124.0.0/23 . Diese IP-Adressen sind öffentlich routingfähig, aber der Pfad von einer VM in einem VPC-Netzwerk zu diesen Adressen bleibt im Google-Netzwerk.
Google veröffentlicht im Internet keine Routen zu den IP-Adressen, die von der Domain restricted.firestore.goog verwendet werden. Daher können nur VMs in einem VPC-Netzwerk oder lokale Systeme, die mit einem VPC-Netzwerk verbunden sind, auf diese Domain zugreifen.

Wenn Ihr VPC-Netzwerk eine Standardroute enthält, deren nächster Hop das Standard-Internetgateway ist, können Sie über diese Route auf den Cloud Firestore Dienst zugreifen, ohne benutzerdefinierte Routen erstellen zu müssen. Weitere Informationen finden Sie unter Routing mit einer Standardroute.

Wenn Sie eine Standardroute (Ziel 0.0.0.0/0 oder ::0/0) durch eine benutzerdefinierte Route ersetzt haben, deren nächster Hop nicht das Standard-Internetgateway ist, können Sie die Routinganforderungen für den Cloud Firestore Dienst stattdessen mit benutzerdefiniertem Routing erfüllen.

Routing mit einer Standardroute

Jedes VPC-Netzwerk enthält bei der Erstellung eine IPv4-Standardroute (0.0.0.0/0).

Die Standardroute stellt einen Pfad zu den IP-Adressen für die folgenden Ziele bereit:

Standarddomain (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Eine Anleitung zum Prüfen der Konfiguration einer Standardroute in einem bestimmten Netzwerk über die Google Cloud Console und die Google Cloud CLI finden Sie unter Privaten Google-Zugriff konfigurieren.

Routing mit benutzerdefinierten Routen

Als Alternative zu einer Standardroute können Sie benutzerdefinierte statische Routen verwenden, von denen jede ein spezifischeres Ziel hat und das Standard-Internetgateway als nächsten Hop verwendet. Die Ziel-IP-Adressen für die Routen hängen von der ausgewählten Domain ab:

Standarddomain (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Eine Anleitung zum Prüfen der Konfiguration benutzerdefinierter Routen in einem bestimmten Netzwerk über die Google Cloud Console und die Google Cloud CLI finden Sie unter Privaten Google-Zugriff konfigurieren.

Firewallkonfiguration

Die Firewallkonfiguration Ihres VPC-Netzwerks muss den Zugriff von VMs auf die vom Cloud Firestore Dienst verwendeten IP-Adressen zulassen. Die implizierte Regel allow egress erfüllt diese Anforderung.

In einigen Firewallkonfigurationen müssen Sie bestimmte Regeln zum Zulassen von ausgehendem Traffic erstellen. Angenommen, Sie haben eine Regel zum Ablehnen von ausgehendem Traffic erstellt, die den Traffic zu allen Zielen (0.0.0.0 für IPv4) blockiert. In diesem Fall müssen Sie für jeden von der ausgewählten Domain verwendeten IP-Adressbereich eine Firewallregel für ausgehenden Traffic erstellen, deren Priorität höher ist als die Regel für ausgehenden Traffic:

Standarddomain (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen. Sie können die VMs einschränken, auf die die Firewallregeln angewendet werden, wenn Sie das Ziel jeder Regel für ausgehenden Traffic definieren.

Privaten Google-Zugriff konfigurieren

Sie können den privaten Google-Zugriff aktivieren, nachdem Sie die Netzwerkanforderungen in Ihrem VPC Netzwerk erfüllt haben. Eine Anleitung für die Google Cloud Console und die Google Cloud CLI finden Sie unter den Schritten, die unter Privaten Google-Zugriff aktivieren beschrieben sind.