Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

הגדרת גישה פרטית ל-Google ב-Firestore עם תאימות ל-MongoDB

בדף הזה מוסבר איך להפעיל ולהגדיר גישה פרטית ל-Google ב-Cloud Firestore.

מידע על גישה פרטית ל-Google ב-Cloud Firestore

כברירת מחדל, כשמכונה וירטואלית מסוג Compute Engine לא מקבלת כתובת IP חיצונית שמוקצית לממשק הרשת שלה, היא יכולה לשלוח חבילות רק ליעדים אחרים של כתובות IP פנימיות. כדי לאפשר למכונות הווירטואליות האלה להתחבר לשירות Cloud Firestore, צריך להפעיל גישה פרטית ל-Google ברשת המשנה שבה נעשה שימוש בממשק הרשת של המכונה הווירטואלית.

שירותים ופרוטוקולים רלוונטיים

ההוראות במדריך הזה רלוונטיות רק ל-Cloud Firestore.
הדומיינים שמוגדרים כברירת מחדל והדומיינים של כתובות ה-IP הווירטואליות שמשמשים את Cloud Firestore ואת טווחי כתובות ה-IP שלהם תומכים רק בפרוטוקול MongoDB ביציאה 443. אין תמיכה בכל הפרוטוקולים האחרים.

דרישות רשת

ממשק של מכונה וירטואלית יכול להגיע לשירותים ולממשקי Google API דרך הרשת הפנימית של Google באמצעות גישה פרטית ל-Google, אם מתקיימים כל התנאים הבאים:

הממשק של המכונה הווירטואלית מחובר לרשת משנה שבה מופעלת גישה פרטית ל-Google.
לא מוקצית כתובת IP חיצונית לממשק של המכונה הווירטואלית.
כתובת ה-IP של המקור של המנות שנשלחות מהמכונה הווירטואלית תואמת לאחת מכתובות ה-IP הבאות.
- כתובת ה-IPv4 הפנימית הראשית של הממשק של המכונה הווירטואלית
- כתובת IPv4 פנימית מטווח של כתובות IP של כינוי

מכונה וירטואלית עם כתובת IPv4 חיצונית שמוקצית לממשק הרשת שלה לא צריכה גישה פרטית ל-Google כדי להתחבר לשירותים ול-Google APIs. עם זאת, רשת ה-VPC צריכה לעמוד בדרישות לגישה לממשקי API ולשירותים של Google.

הרשאות IAM

בעלי פרויקטים, עורכים וגורמי IAM עם התפקיד אדמין רשת יכולים ליצור או לעדכן רשתות משנה ולהקצות כתובות IP.

מידע נוסף על תפקידים זמין במאמר בנושא תפקידים ב-IAM.

רישום ביומן

‫Cloud Logging מתעד את כל הבקשות ל-API שמוגשות ממופעי מכונות וירטואליות ברשתות משנה שבהן מופעלת גישה פרטית ל-Google. רשומות ביומן מזהות את המקור של בקשת ה-API ככתובת IP פנימית של המופע שמבצע את הקריאה.

אתם יכולים להגדיר שדוחות יומיים על השימוש ודוחות חודשיים מסכמים יישלחו לCloud Storage קטגוריה. פרטים נוספים מופיעים במאמר בנושא צפייה בדוחות שימוש.

סיכום ההגדרות

בטבלה הבאה מפורטות הדרכים השונות להגדרת גישה פרטית ל-Google ב-Cloud Firestore. הוראות מפורטות יותר זמינות במאמר הגדרת הרשת.

אפשרות דומיין טווחי IP הגדרת DNS הגדרת ניתוב הגדרת חומת אש

אפשרות דומיין	טווחי IP	הגדרת DNS	הגדרת ניתוב	הגדרת חומת אש
דומיין ברירת מחדל (`firestore.goog`) הדומיינים שמוגדרים כברירת מחדל משמשים כשלא מגדירים רשומות DNS עבור `restricted.firestore.goog`.	`136.124.0.0/23`	הגישה לשירות Cloud Firestore היא דרך כתובות ה-IP הציבוריות שלו, ולכן לא נדרשת הגדרת DNS מיוחדת.	בודקים אם רשת ה-VPC יכולה לנתב תעבורה לטווחים של כתובות ה-IP שמשמשים את שירות Cloud Firestore. הגדרה בסיסית: מוודאים שיש לכם מסלולים שמוגדרים כברירת מחדל עם קפיצה הבאה `default-internet-gateway` וטווח יעד של `0.0.0.0/0`. אם המסלולים האלה חסרים, צריך ליצור אותם. הגדרה בהתאמה אישית: יצירת מסלולים לטווח כתובות ה-IP‏ `136.124.0.0/23`.	בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של `136.124.0.0/23`. כלל חומת האש שמאפשר יציאה כברירת מחדל מאפשר את תעבורת הנתונים הזו, אם אין כלל בעדיפות גבוהה יותר שחוסם אותה.
`restricted.firestore.goog` אתם יכולים להשתמש ב-`restricted.firestore.goog` כדי לגשת לשירות Cloud Firestore באמצעות קבוצה של כתובות IP שניתן לנתב רק מתוך Google Cloud. אפשר להשתמש בו בתרחישים של VPC Service Controls.	`199.36.153.2/31`	מגדירים רשומות DNS לשליחת בקשות לטווח כתובות ה-IP‏ `199.36.153.2/31`.	בודקים שלרשת ה-VPC יש מסלולים לטווח כתובות ה-IP‏ `199.36.153.2/31`.	בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של `199.36.153.2/31`.

דומיין ברירת מחדל (firestore.goog)

הדומיינים שמוגדרים כברירת מחדל משמשים כשלא מגדירים רשומות DNS עבור restricted.firestore.goog.

136.124.0.0/23

הגישה לשירות Cloud Firestore היא דרך כתובות ה-IP הציבוריות שלו, ולכן לא נדרשת הגדרת DNS מיוחדת.

בודקים אם רשת ה-VPC יכולה לנתב תעבורה לטווחים של כתובות ה-IP שמשמשים את שירות Cloud Firestore.

הגדרה בסיסית: מוודאים שיש לכם מסלולים שמוגדרים כברירת מחדל עם קפיצה הבאה default-internet-gateway וטווח יעד של 0.0.0.0/0. אם המסלולים האלה חסרים, צריך ליצור אותם.
הגדרה בהתאמה אישית: יצירת מסלולים לטווח כתובות ה-IP‏ 136.124.0.0/23.

בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של 136.124.0.0/23.

כלל חומת האש שמאפשר יציאה כברירת מחדל מאפשר את תעבורת הנתונים הזו, אם אין כלל בעדיפות גבוהה יותר שחוסם אותה.

restricted.firestore.goog

אתם יכולים להשתמש ב-restricted.firestore.goog כדי לגשת לשירות Cloud Firestore באמצעות קבוצה של כתובות IP שניתן לנתב רק מתוך Google Cloud. אפשר להשתמש בו בתרחישים של VPC Service Controls.

199.36.153.2/31

מגדירים רשומות DNS לשליחת בקשות לטווח כתובות ה-IP‏ 199.36.153.2/31.

בודקים שלרשת ה-VPC יש מסלולים לטווח כתובות ה-IP‏ 199.36.153.2/31.

בודקים שכללי חומת האש מאפשרים יציאה לטווח כתובות ה-IP של 199.36.153.2/31.

הגדרת רשת

בקטע הזה מוסבר איך להגדיר את הרשת כדי לגשת אל Cloud Firestore באמצעות גישה פרטית ל-Google.

הגדרת DNS

בניגוד לממשקי Google API אחרים, Cloud Firestore API משתמש בשמות דומיין ובכתובות IP שונים לגישה פרטית ל-Google:

‫restricted.firestore.goog מאפשר גישת API ל-API של Cloud Firestore.
- כתובות IP: ‏ 199.36.153.2 ו-199.36.153.3.
- מכיוון ש-Cloud Firestore תואם ל-VPC Service Controls, אפשר להשתמש בדומיין הזה בתרחישים של VPC Service Controls.

כדי ליצור תחום DNS ורשומות בשביל Cloud Firestore:

יוצרים שרת DNS פרטי בשביל firestore.goog.

כדאי ליצור תחום פרטי ב-Cloud DNS למטרה הזו.
באזור firestore.goog, יוצרים את הרשומות הבאות:
1. רשומת A עבור restricted.firestore.goog שמפנה לכתובות ה-IP הבאות: 199.36.153.2 ו-199.36.153.3.
2. רשומת CNAME עבור *.firestore.goog שמפנה אל restricted.firestore.goog.
כדי ליצור את הרשומות האלה ב-Cloud DNS, אפשר לעיין במאמר בנושא הוספת רשומה.

הגדרת ניתוב

ברשת ה-VPC צריכים להיות מסלולים מתאימים שהקפיצות הבאות שלהם הן שער האינטרנט שמוגדר כברירת מחדל. ‫Google Cloud לא תומך בהעברת תנועה ל-Google APIs ולשירותים דרך מופעים אחרים של מכונות וירטואליות או דרך קפיצות מותאמות אישית. למרות שהשער נקרא שער ברירת מחדל לאינטרנט, מנות שנשלחות ממכונות וירטואליות ברשת ה-VPC שלכם ל-Google APIs ולשירותים של Google נשארות בתוך הרשת של Google.

אם בוחרים באפשרות של דומיין ברירת המחדל, המכונות הווירטואליות מתחברות לשירות Cloud Firestore באמצעות טווח כתובות ה-IP הציבוריות הבא: 136.124.0.0/23 . אפשר לנתב את כתובות ה-IP האלה באופן ציבורי, אבל הנתיב ממכונה וירטואלית ברשת VPC לכתובות האלה נשאר בתוך הרשת של Google.
‫Google לא מפרסמת באינטרנט נתיבים לאף אחת מכתובות ה-IP שמשמשות את דומיין restricted.firestore.goog. לכן, אפשר לגשת לדומיין הזה רק ממכונות וירטואליות ברשת VPC או ממערכות מקומיות שמחוברות לרשת VPC.

אם רשת ה-VPC שלכם מכילה נתיב ברירת מחדל שהקפיצה הבאה שלו היא שער האינטרנט שמוגדר כברירת מחדל, אתם יכולים להשתמש בנתיב הזה כדי לגשת לשירות Cloud Firestore, בלי ליצור נתיבים בהתאמה אישית. פרטים נוספים זמינים במאמר בנושא ניתוב עם מסלול ברירת מחדל.

אם החלפתם מסלול ברירת מחדל (יעד 0.0.0.0/0 או ::0/0) במסלול מותאם אישית שהצעד הבא שלו לא הוא שער האינטרנט שמוגדר כברירת מחדל, אתם יכולים לעמוד בדרישות הניתוב של שירות Cloud Firestore באמצעות ניתוב מותאם אישית במקום זאת.

ניתוב עם נתיב ברירת מחדל

כל רשת VPC מכילה נתיב ברירת מחדל של IPv4 ‏ (0.0.0.0/0) כשהיא נוצרת.

מסלול ברירת המחדל מספק נתיב לכתובות ה-IP של היעדים הבאים:

דומיין ברירת המחדל (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

במאמר הגדרת גישה פרטית ל-Google מוסבר איך לבדוק את ההגדרה של נתיב ברירת מחדל ברשת נתונה במסוף Google Cloud וב-Google Cloud CLI.

ניתוב באמצעות נתיבים מותאמים אישית

במקום מסלול ברירת מחדל, אפשר להשתמש במסלולים סטטיים מותאמים אישית, שלכל אחד מהם יש יעד ספציפי יותר, וכל אחד מהם משתמש בנקודת הקפיצה הבאה של שער האינטרנט שמוגדר כברירת מחדל. כתובות ה-IP של היעד עבור המסלולים תלויות בדומיין שתבחרו:

דומיין ברירת המחדל (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

הוראות לבדיקת ההגדרה של מסלולים מותאמים אישית ברשת נתונה במסוף Google Cloud וב-Google Cloud CLI מפורטות במאמר הגדרת גישה פרטית ל-Google.

הגדרת חומת אש

ההגדרה של חומת האש ברשת ה-VPC צריכה לאפשר גישה ממכונות וירטואליות לכתובות ה-IP שמשמשות את שירות Cloud Firestore. הכלל המשתמע allow egress עומד בדרישה הזו.

במקרים מסוימים, בהגדרות של חומת האש צריך ליצור כללים ספציפיים שמאפשרים תעבורת נתונים יוצאת (egress). לדוגמה, נניח שיצרתם כלל דחייה של תעבורת נתונים יוצאת (egress) שחוסם תעבורת נתונים לכל היעדים (0.0.0.0 ל-IPv4). במקרה כזה, צריך ליצור כלל חומת אש שמאפשר תעבורת נתונים יוצאת (egress), עם עדיפות גבוהה יותר מכלל חומת האש שמונע יציאה, לכל טווח כתובות IP שמשמש את הדומיין שבחרתם:

דומיין ברירת המחדל (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

הוראות ליצירת כללים לחומת האש מופיעות במאמר יצירת כללים לחומת האש. כשמגדירים יעד לכל כלל הרשאת יציאה, אפשר להגביל את המכונות הווירטואליות שהכללים של חומת האש חלים עליהן.

הגדרה של גישה פרטית ל-Google

אפשר להפעיל גישה פרטית ל-Google אחרי שתעמדו בדרישות הרשת ברשת ה-VPC. כדי לקבל הוראות לשימוש ב-Google Cloud Console וב-Google Cloud CLI, פועלים לפי השלבים שמפורטים במאמר הפעלת גישה פרטית ל-Google.