Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

הגדרת גישה פרטית ל-Google ב-Firestore עם תאימות ל-MongoDB

בדף הזה מוסבר איך להפעיל ולהגדיר גישה פרטית ל-Google ב-Cloud Firestore.

מידע על גישה פרטית ל-Google ב-Cloud Firestore

כברירת מחדל, כשמכונה וירטואלית מסוג Compute Engine לא מקבלת כתובת IP חיצונית שמוקצית לממשק הרשת שלה, היא יכולה לשלוח חבילות רק ליעדים אחרים של כתובות IP פנימיות. כדי לאפשר למכונות הווירטואליות האלה להתחבר לשירות Cloud Firestore, צריך להפעיל את הגישה הפרטית ל-Google ברשת המשנה שבה נעשה שימוש בממשק הרשת של המכונה הווירטואלית.

שירותים ופרוטוקולים רלוונטיים

ההוראות במדריך הזה רלוונטיות רק ל-Cloud Firestore.
הדומיינים שמוגדרים כברירת מחדל והדומיינים של VIP שמשמשים את Cloud Firestore ואת טווחי כתובות ה-IP שלהם תומכים רק בפרוטוקול MongoDB ביציאה 443. אין תמיכה בכל הפרוטוקולים האחרים.

דרישות רשת

ממשק של מכונה וירטואלית יכול להגיע לשירותים ולממשקי Google API דרך הרשת הפנימית של Google באמצעות גישה פרטית ל-Google, אם מתקיימים כל התנאים הבאים:

הממשק של המכונה הווירטואלית מחובר לרשת משנה שבה מופעלת גישה פרטית ל-Google.
לממשק של המכונה הווירטואלית לא מוקצית כתובת IP חיצונית.
כתובת ה-IP של המקור של המנות שנשלחות מהמכונה הווירטואלית זהה לאחת מכתובות ה-IP הבאות.
- כתובת ה-IPv4 הפנימית הראשית של הממשק של המכונה הווירטואלית
- כתובת IPv4 פנימית מטווח כתובות IP של כינוי

מכונה וירטואלית עם כתובת IPv4 חיצונית שמוקצית לממשק הרשת שלה לא צריכה גישה פרטית ל-Google כדי להתחבר לשירותים ולממשקי ה-API של Google. עם זאת, רשת ה-VPC צריכה לעמוד בדרישות לגישה לממשקי API ולשירותים של Google.

הרשאות IAM

בעלי פרויקטים, עורכים ומשתמשי IAM עם התפקיד אדמין רשת יכולים ליצור או לעדכן רשתות משנה ולהקצות כתובות IP.

מידע נוסף על תפקידים זמין במאמר בנושא תפקידים ב-IAM.

רישום ביומן

‫Cloud Logging מתעד את כל הבקשות ל-API שמוגשות ממופעי מכונות וירטואליות ברשתות משנה שבהן מופעלת גישה פרטית ל-Google. רשומות ביומן מזהות את המקור של בקשת ה-API ככתובת IP פנימית של המופע שמבצע את הקריאה.

אתם יכולים להגדיר שדוחות יומיים על השימוש ודוחות איחוד לתצוגה אחת חודשיים יישלחו לCloud Storageמאגר. פרטים נוספים מופיעים במאמר בנושא צפייה בדוחות שימוש.

סיכום ההגדרה

בטבלה הבאה מפורטות הדרכים השונות שבהן אפשר להגדיר גישה פרטית ל-Google ב-Cloud Firestore. הוראות מפורטות יותר זמינות במאמר הגדרת הרשת.

אפשרות דומיין טווחי IP הגדרת DNS הגדרת ניתוב הגדרת חומת אש

אפשרות דומיין	טווחי IP	הגדרת DNS	הגדרת ניתוב	הגדרת חומת אש
דומיין ברירת מחדל (`firestore.goog`) הדומיינים שמוגדרים כברירת מחדל משמשים כשלא מגדירים רשומות DNS עבור `restricted.firestore.goog`.	`136.124.0.0/23`	הגישה לשירות Cloud Firestore היא דרך כתובות ה-IP הציבוריות שלו, ולכן לא נדרשת הגדרת DNS מיוחדת.	מוודאים שרשת ה-VPC יכולה לנתב תעבורה לטווחים של כתובות ה-IP שבהם משתמש שירות Cloud Firestore. הגדרה בסיסית: מוודאים שיש לכם מסלולים שמוגדרים כברירת מחדל עם קפיצה הבאה `default-internet-gateway` וטווח יעד של `0.0.0.0/0`. אם המסלולים האלה חסרים, צריך ליצור אותם. הגדרה בהתאמה אישית: יצירת נתיבים לטווח כתובות ה-IP‏ `136.124.0.0/23`.	בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של `136.124.0.0/23`. כלל חומת האש שמאפשר יציאה כברירת מחדל מאפשר את התנועה הזו, אם אין כלל בעדיפות גבוהה יותר שחוסם אותה.
`restricted.firestore.goog` אתם יכולים להשתמש ב-`restricted.firestore.goog` כדי לגשת לשירות Cloud Firestore באמצעות קבוצה של כתובות IP שניתן לנתב רק מתוך Google Cloud. אפשר להשתמש בו בתרחישים של VPC Service Controls.	`199.36.153.2/31`	מגדירים רשומות DNS לשליחת בקשות לטווח כתובות ה-IP‏ `199.36.153.2/31`.	בודקים שלרשת ה-VPC יש מסלולים לטווח כתובות ה-IP‏ `199.36.153.2/31`.	בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של `199.36.153.2/31`.

דומיין ברירת מחדל (firestore.goog)

הדומיינים שמוגדרים כברירת מחדל משמשים כשלא מגדירים רשומות DNS עבור restricted.firestore.goog.

136.124.0.0/23

הגישה לשירות Cloud Firestore היא דרך כתובות ה-IP הציבוריות שלו, ולכן לא נדרשת הגדרת DNS מיוחדת.

מוודאים שרשת ה-VPC יכולה לנתב תעבורה לטווחים של כתובות ה-IP שבהם משתמש שירות Cloud Firestore.

הגדרה בסיסית: מוודאים שיש לכם מסלולים שמוגדרים כברירת מחדל עם קפיצה הבאה default-internet-gateway וטווח יעד של 0.0.0.0/0. אם המסלולים האלה חסרים, צריך ליצור אותם.
הגדרה בהתאמה אישית: יצירת נתיבים לטווח כתובות ה-IP‏ 136.124.0.0/23.

בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של 136.124.0.0/23.

כלל חומת האש שמאפשר יציאה כברירת מחדל מאפשר את התנועה הזו, אם אין כלל בעדיפות גבוהה יותר שחוסם אותה.

restricted.firestore.goog

אתם יכולים להשתמש ב-restricted.firestore.goog כדי לגשת לשירות Cloud Firestore באמצעות קבוצה של כתובות IP שניתן לנתב רק מתוך Google Cloud. אפשר להשתמש בו בתרחישים של VPC Service Controls.

199.36.153.2/31

מגדירים רשומות DNS לשליחת בקשות לטווח כתובות ה-IP‏ 199.36.153.2/31.

בודקים שלרשת ה-VPC יש מסלולים לטווח כתובות ה-IP‏ 199.36.153.2/31.

בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של 199.36.153.2/31.

הגדרת רשת

בקטע הזה מוסבר איך להגדיר את הרשת כדי לגשת אל Cloud Firestore באמצעות גישה פרטית ל-Google.

הגדרת DNS

בניגוד לממשקי Google API אחרים, Cloud Firestore API משתמש בשמות דומיין ובכתובות IP שונים לגישה פרטית ל-Google:

‫restricted.firestore.goog מאפשר גישת API ל-API של Cloud Firestore.
- כתובות IP: ‏ 199.36.153.2 ו-199.36.153.3.
- מכיוון ש-Cloud Firestore תואם ל-VPC Service Controls, אפשר להשתמש בדומיין הזה בתרחישים של VPC Service Controls.

כדי ליצור תחום DNS ורשומות בשביל Cloud Firestore:

יוצרים שרת DNS פרטי בשביל firestore.goog.

כדאי ליצור תחום פרטי ב-Cloud DNS למטרה הזו.
באזור firestore.goog, יוצרים את הרשומות הבאות:
1. רשומת A עבור restricted.firestore.goog שמפנה לכתובות ה-IP הבאות: ‫199.36.153.2 ו-199.36.153.3.
2. רשומת CNAME עבור *.firestore.goog שמפנה אל restricted.firestore.goog.
כדי ליצור את הרשומות האלה ב-Cloud DNS, אפשר לעיין במאמר בנושא הוספת רשומה.

הגדרת ניתוב

ברשת ה-VPC צריכים להיות מסלולים מתאימים שהקפיצות הבאות שלהם הן שער האינטרנט שמוגדר כברירת מחדל. ‫Google Cloud לא תומך בהפניית תנועה אל Google APIs ושירותים דרך מופעים אחרים של מכונות וירטואליות או דרך קפיצות מותאמות אישית. למרות שהשם הוא שער ברירת מחדל לאינטרנט, מנות שנשלחות ממכונות וירטואליות ברשת ה-VPC שלכם לממשקי API ולשירותים של Google נשארות בתוך הרשת של Google.

אם בוחרים באפשרות של דומיין ברירת המחדל, המכונות הווירטואליות מתחברות לשירות Cloud Firestore באמצעות טווח כתובות ה-IP הציבוריות הבא: 136.124.0.0/23 . אפשר לנתב את כתובות ה-IP האלה באופן ציבורי, אבל הנתיב ממכונה וירטואלית ברשת VPC לכתובות האלה נשאר בתוך הרשת של Google.
‫Google לא מפרסמת נתיבים באינטרנט לאף אחת מכתובות ה-IP שמשמשות את הדומיין restricted.firestore.goog. לכן, אפשר לגשת לדומיין הזה רק ממכונות וירטואליות ברשת VPC או ממערכות מקומיות שמחוברות לרשת VPC.

אם רשת ה-VPC שלכם מכילה נתיב ברירת מחדל שהניתוב הבא שלו הוא שער האינטרנט שמוגדר כברירת מחדל, אתם יכולים להשתמש בנתיב הזה כדי לגשת לשירות Cloud Firestore בלי ליצור נתיבים בהתאמה אישית. פרטים נוספים זמינים במאמר בנושא ניתוב עם מסלול ברירת מחדל.

אם החלפתם נתיב ברירת מחדל (יעד 0.0.0.0/0 או ::0/0) בנתיב מותאם אישית שהצעד הבא שלו לא הוא שער האינטרנט שמוגדר כברירת מחדל, אתם יכולים לעמוד בדרישות הניתוב של שירות Cloud Firestore באמצעות ניתוב מותאם אישית במקום זאת.

ניתוב עם נתיב ברירת מחדל

כל רשת VPC מכילה נתיב ברירת מחדל של IPv4 ‏ (0.0.0.0/0) כשהיא נוצרת.

מסלול ברירת המחדל מספק נתיב לכתובות ה-IP של היעדים הבאים:

דומיין ברירת מחדל (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

הוראות לבדיקת ההגדרה של נתיב ברירת מחדל ברשת נתונה במסוף Google Cloud וב-Google Cloud CLI מפורטות במאמר הגדרת גישה פרטית ל-Google.

ניתוב עם נתיבים מותאמים אישית

במקום להשתמש בנתיב ברירת מחדל, אפשר להשתמש בנתיבים סטטיים מותאמים אישית, שלכל אחד מהם יש יעד ספציפי יותר, וכל אחד מהם משתמש בנקודת הקפיצה הבאה של שער האינטרנט שמוגדר כברירת מחדל. כתובות ה-IP של היעד עבור המסלולים תלויות בדומיין שתבחרו:

דומיין ברירת מחדל (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

הוראות לבדיקת ההגדרה של מסלולים מותאמים אישית ברשת נתונה במסוף Google Cloud וב-Google Cloud CLI מפורטות במאמר הגדרת גישה פרטית ל-Google.

הגדרת חומת אש

הגדרת חומת האש של רשת ה-VPC צריכה לאפשר גישה ממכונות וירטואליות לכתובות ה-IP שבהן נעשה שימוש בשירות Cloud Firestore. הכלל המשתמע allow egress עומד בדרישה הזו.

במקרים מסוימים, בהגדרות של חומת האש צריך ליצור כללים ספציפיים שמאפשרים יציאה. לדוגמה, נניח שיצרתם כלל דחייה של תעבורת נתונים יוצאת (egress) שחוסם תנועה לכל היעדים (0.0.0.0 ל-IPv4). במקרה כזה, צריך ליצור כלל חומת אש אחד שמאפשר יציאה, עם עדיפות גבוהה יותר מכלל חומת האש שמונע יציאה, לכל טווח כתובות IP שמשמש את הדומיין שבחרתם:

דומיין ברירת המחדל (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

הוראות ליצירת כללים לחומת האש מופיעות במאמר יצירת כללים לחומת האש. כשמגדירים יעד לכל כלל הרשאת יציאה, אפשר להגביל את המכונות הווירטואליות שהכללים של חומת האש חלים עליהן.

הגדרה של גישה פרטית ל-Google

אפשר להפעיל גישה פרטית ל-Google אחרי שמוודאים שמתקיימות דרישות הרשת ברשת ה-VPC. כדי לקבל הוראות ל-Google Cloud Console ול-Google Cloud CLI, פועלים לפי השלבים שמפורטים במאמר הפעלת גישה פרטית ל-Google.