Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

MongoDB के साथ काम करने वाले Firestore में Private Google Access को कॉन्फ़िगर करना

इस पेज पर, Cloud Firestore में निजी Google ऐक्सेस की सुविधा चालू और कॉन्फ़िगर करने का तरीका बताया गया है.

Cloud Firestore में निजी Google ऐक्सेस के बारे में जानकारी

डिफ़ॉल्ट रूप से, जब किसी Compute Engine वीएम के नेटवर्क इंटरफ़ेस को कोई बाहरी आईपी पता असाइन नहीं किया जाता है, तो वह सिर्फ़ अन्य इंटरनल आईपी पतों पर ही पैकेट भेज सकता है. इन वीएम को Cloud Firestore सेवा से कनेक्ट करने की अनुमति दी जा सकती है. इसके लिए, वीएम के नेटवर्क इंटरफ़ेस से इस्तेमाल किए जाने वाले सबनेट पर निजी Google ऐक्सेस की सुविधा चालू करें.

लागू होने वाली सेवाएं और प्रोटोकॉल

इस गाइड में दिए गए निर्देश सिर्फ़ Cloud Firestore पर लागू होते हैं.
Cloud Firestore के डिफ़ॉल्ट और वीआईपी डोमेन और उनकी आईपी रेंज, पोर्ट 443 पर सिर्फ़ MongoDB प्रोटोकॉल के साथ काम करती हैं. अन्य प्रोटोकॉल इस्तेमाल नहीं किए जा सकते.

नेटवर्क से जुड़ी ज़रूरी शर्तें

अगर ये सभी शर्तें पूरी होती हैं, तो वीएम इंटरफ़ेस, निजी Google ऐक्सेस का इस्तेमाल करके, Google के इंटरनल नेटवर्क के ज़रिए Google APIs और सेवाओं को ऐक्सेस कर सकता है:

वीएम इंटरफ़ेस, ऐसे सबनेट से कनेक्ट है जिस पर निजी Google ऐक्सेस की सुविधा चालू है.
वीएम इंटरफ़ेस को कोई बाहरी आईपी पता असाइन नहीं किया गया है.
वीएम से भेजे गए पैकेट का सोर्स आईपी पता, इनमें से किसी एक आईपी पते से मेल खाता है.
- वीएम इंटरफ़ेस का प्राइमरी इंटरनल IPv4 पता
- एलियास आईपी रेंज का इंटरनल IPv4 पता

Google APIs और सेवाओं से कनेक्ट करने के लिए, ऐसे वीएम को निजी Google ऐक्सेस की ज़रूरत नहीं होती जिसके नेटवर्क इंटरफ़ेस को बाहरी IPv4 पता असाइन किया गया हो. हालांकि, VPC नेटवर्क को Google APIs और सेवाओं को ऐक्सेस करने की ज़रूरी शर्तें पूरी करनी होंगी.

IAM की अनुमतियां

प्रोजेक्ट के मालिक, एडिटर, और नेटवर्क एडमिन की भूमिका वाले IAM प्रिंसिपल, सबनेट बना या अपडेट कर सकते हैं. साथ ही, आईपी पते असाइन कर सकते हैं.

भूमिकाओं के बारे में ज़्यादा जानने के लिए, IAM की भूमिकाओं से जुड़ा दस्तावेज़ पढ़ें.

लॉगिंग

Cloud Logging उन सबनेट में मौजूद वीएम इंस्टेंस से किए गए सभी एपीआई अनुरोधों को कैप्चर करता है जिनमें निजी Google ऐक्सेस की सुविधा चालू है. लॉग एंट्री में, एपीआई अनुरोध के सोर्स की पहचान, कॉल करने वाले इंस्टेंस के इंटरनल आईपी पते के तौर पर की जाती है.

हर दिन के इस्तेमाल और हर महीने की रोलअप रिपोर्ट को Cloud Storage बकेट में डिलीवर करने के लिए, कॉन्फ़िगर किया जा सकता है. ज़्यादा जानकारी के लिए, इस्तेमाल की रिपोर्ट देखना पेज देखें.

कॉन्फ़िगरेशन की खास जानकारी

यहां दी गई टेबल में, Cloud Firestore में निजी Google ऐक्सेस को कॉन्फ़िगर करने के अलग-अलग तरीकों के बारे में खास जानकारी दी गई है. ज़्यादा जानकारी के लिए, नेटवर्क कॉन्फ़िगरेशन देखें.

डोमेन का विकल्प आईपी रेंज डीएनएस कॉन्फ़िगरेशन रूटिंग कॉन्फ़िगरेशन फ़ायरवॉल कॉन्फ़िगरेशन

डोमेन का विकल्प	आईपी रेंज	डीएनएस कॉन्फ़िगरेशन	रूटिंग कॉन्फ़िगरेशन	फ़ायरवॉल कॉन्फ़िगरेशन
डिफ़ॉल्ट डोमेन (`firestore.goog`) डिफ़ॉल्ट डोमेन का इस्तेमाल तब किया जाता है, जब डीएनएस रिकॉर्ड कॉन्फ़िगर नहीं किए जाते `restricted.firestore.goog` के लिए.	`136.124.0.0/23`	Cloud Firestore सेवा को उसके सार्वजनिक आईपी पतों के ज़रिए ऐक्सेस किया जाता है. इसलिए, किसी खास डीएनएस कॉन्फ़िगरेशन की ज़रूरत नहीं होती.	पक्का करें कि आपका VPC नेटवर्क, सेवा से इस्तेमाल की जाने वाली आईपी पतों की रेंज पर ट्रैफ़िक को रूट कर सकता होCloud Firestore. बेसिक कॉन्फ़िगरेशन: पक्का करें कि आपके पास अगले हॉप `default-internet-gateway` और डेस्टिनेशन रेंज `0.0.0.0/0` वाले डिफ़ॉल्ट रूट हों. अगर ये रूट मौजूद नहीं हैं, तो उन्हें बनाएं. कस्टम कॉन्फ़िगरेशन: `136.124.0.0/23` आईपी पतों की रेंज के लिए रूट बनाएं.	पक्का करें कि आपके फ़ायरवॉल के नियम, `136.124.0.0/23` आईपी पतों की रेंज पर इग्रेस की अनुमति देते हों. इग्रेस की अनुमति देने वाला डिफ़ॉल्ट फ़ायरवॉल नियम, इस ट्रैफ़िक की अनुमति देता है. हालांकि, यह तब लागू होता है, जब इससे ज़्यादा प्राथमिकता वाला कोई ऐसा नियम न हो जो इसे ब्लॉक करता हो.
`restricted.firestore.goog` `restricted.firestore.goog` का इस्तेमाल करके, Cloud Firestore सेवा को ऐक्सेस करें. इसके लिए, सिर्फ़ उन आईपी पतों का इस्तेमाल करें जिन्हें Google Cloud से ही रूट किया जा सकता है. VPC सर्विस कंट्रोल के मामलों में इसका इस्तेमाल किया जा सकता है.	`199.36.153.2/31`	आईपी पतों की रेंज पर अनुरोध भेजने के लिए, डीएनएस रिकॉर्ड कॉन्फ़िगर करें `199.36.153.2/31`.	पक्का करें कि आपके VPC नेटवर्क में, रूट मौजूद हों.`199.36.153.2/31`	पक्का करें कि आपके फ़ायरवॉल के नियम, `199.36.153.2/31` आईपी पतों की रेंज पर इग्रेस की अनुमति देते हों.

डिफ़ॉल्ट डोमेन (firestore.goog)

डिफ़ॉल्ट डोमेन का इस्तेमाल तब किया जाता है, जब डीएनएस रिकॉर्ड कॉन्फ़िगर नहीं किए जाते restricted.firestore.goog के लिए.

136.124.0.0/23

Cloud Firestore सेवा को उसके सार्वजनिक आईपी पतों के ज़रिए ऐक्सेस किया जाता है. इसलिए, किसी खास डीएनएस कॉन्फ़िगरेशन की ज़रूरत नहीं होती.

पक्का करें कि आपका VPC नेटवर्क, सेवा से इस्तेमाल की जाने वाली आईपी पतों की रेंज पर ट्रैफ़िक को रूट कर सकता होCloud Firestore.

बेसिक कॉन्फ़िगरेशन: पक्का करें कि आपके पास अगले हॉप default-internet-gateway और डेस्टिनेशन रेंज 0.0.0.0/0 वाले डिफ़ॉल्ट रूट हों. अगर ये रूट मौजूद नहीं हैं, तो उन्हें बनाएं.
कस्टम कॉन्फ़िगरेशन: 136.124.0.0/23 आईपी पतों की रेंज के लिए रूट बनाएं.

पक्का करें कि आपके फ़ायरवॉल के नियम, 136.124.0.0/23 आईपी पतों की रेंज पर इग्रेस की अनुमति देते हों.

इग्रेस की अनुमति देने वाला डिफ़ॉल्ट फ़ायरवॉल नियम, इस ट्रैफ़िक की अनुमति देता है. हालांकि, यह तब लागू होता है, जब इससे ज़्यादा प्राथमिकता वाला कोई ऐसा नियम न हो जो इसे ब्लॉक करता हो.

restricted.firestore.goog

restricted.firestore.goog का इस्तेमाल करके, Cloud Firestore सेवा को ऐक्सेस करें. इसके लिए, सिर्फ़ उन आईपी पतों का इस्तेमाल करें जिन्हें Google Cloud से ही रूट किया जा सकता है. VPC सर्विस कंट्रोल के मामलों में इसका इस्तेमाल किया जा सकता है.

199.36.153.2/31

आईपी पतों की रेंज पर अनुरोध भेजने के लिए, डीएनएस रिकॉर्ड कॉन्फ़िगर करें 199.36.153.2/31.

पक्का करें कि आपके VPC नेटवर्क में, रूट मौजूद हों.199.36.153.2/31

पक्का करें कि आपके फ़ायरवॉल के नियम, 199.36.153.2/31 आईपी पतों की रेंज पर इग्रेस की अनुमति देते हों.

नेटवर्क कॉन्फ़िगरेशन

इस सेक्शन में, Private Google Access का इस्तेमाल करके Cloud Firestore को ऐक्सेस करने के लिए, अपने नेटवर्क को कॉन्फ़िगर करने का तरीका बताया गया है.

डीएनएस कॉन्फ़िगरेशन

अन्य Google APIs के उलट, Cloud Firestore API Private Google Access के लिए अलग-अलग डोमेन नेम और आईपी पतों का इस्तेमाल करता है:

restricted.firestore.goog से, Cloud Firestore API को ऐक्सेस किया जा सकता है.
- आईपी पते: 199.36.153.2 और 199.36.153.3.
- Cloud Firestore VPC सर्विस कंट्रोल के साथ काम करता है. इसलिए, आप VPC सर्विस कंट्रोल के मामलों में इस डोमेन का इस्तेमाल कर सकते हैं.

Cloud Firestore के लिए डीएनएस ज़ोन और रिकॉर्ड बनाने के लिए:

firestore.goog के लिए, निजी डीएनएस ज़ोन बनाएं.

इसके लिए, Cloud DNS का निजी ज़ोन बनाने पर विचार करें.
firestore.goog ज़ोन में, ये रिकॉर्ड बनाएं:
1. restricted.firestore.goog के लिए एक A रिकॉर्ड बनाएं. यह रिकॉर्ड, इन आईपी पतों की ओर इशारा करता है: 199.36.153.2 और 199.36.153.3.
2. *.firestore.goog के लिए एक CNAME रिकॉर्ड बनाएं. यह रिकॉर्ड, restricted.firestore.goog की ओर इशारा करता है.
Cloud DNS में ये रिकॉर्ड बनाने के लिए, रिकॉर्ड जोड़ना लेख पढ़ें.

रूटिंग कॉन्फ़िगरेशन

आपके VPC नेटवर्क में ऐसे रूट होने चाहिए जिनके अगले हॉप, डिफ़ॉल्ट इंटरनेट गेटवे हों. Google Cloud Google Cloud, Google APIs और सेवाओं पर ट्रैफ़िक को रूट करने के लिए, अन्य वीएम इंस्टेंस या कस्टम अगले हॉप का इस्तेमाल करने की अनुमति नहीं देता. आपके VPC नेटवर्क में मौजूद वीएम से Google APIs और सेवाओं पर भेजे गए पैकेट, डिफ़ॉल्ट इंटरनेट गेटवे कहलाने के बावजूद, Google के नेटवर्क में ही रहते हैं.

अगर आपने डिफ़ॉल्ट डोमेन का विकल्प चुना है, तो आपके वीएम इंस्टेंस, Cloud Firestore सेवा से कनेक्ट करने के लिए, सार्वजनिक आईपी पतों की इस रेंज का इस्तेमाल करेंगे: 136.124.0.0/23 . इन आईपी पतों को सार्वजनिक तौर पर रूट किया जा सकता है. हालांकि, VPC नेटवर्क में मौजूद वीएम से इन पतों तक का पाथ, Google के नेटवर्क में ही रहता है.
Google, restricted.firestore.goog डोमेन से इस्तेमाल किए जाने वाले किसी भी आईपी पते के लिए, इंटरनेट पर रूट पब्लिश नहीं करता. इसलिए, इस डोमेन को सिर्फ़ VPC नेटवर्क में मौजूद वीएम या VPC नेटवर्क से कनेक्ट किए गए कंपनी की इमारत में मौजूद सिस्टम से ही ऐक्सेस किया जा सकता है.

अगर आपके VPC नेटवर्क में कोई डिफ़ॉल्ट रूट मौजूद है जिसका अगला हॉप, डिफ़ॉल्ट इंटरनेट गेटवे है, तो उस रूट का इस्तेमाल करके Cloud Firestore सेवा को ऐक्सेस किया जा सकता है. इसके लिए, कस्टम रूट बनाने की ज़रूरत नहीं है. ज़्यादा जानकारी के लिए, डिफ़ॉल्ट रूट के साथ रूटिंग लेख पढ़ें.

अगर आपने डिफ़ॉल्ट रूट (डेस्टिनेशन 0.0.0.0/0 या ::0/0) को किसी ऐसे कस्टम रूट से बदल दिया है जिसका अगला हॉप, डिफ़ॉल्ट इंटरनेट गेटवेनहीं है, तो Cloud Firestore सेवा के लिए रूटिंग की ज़रूरी शर्तें पूरी करने के लिए, कस्टम रूटिंग का इस्तेमालकिया जा सकता है.

डिफ़ॉल्ट रूट के साथ रूटिंग

हर VPC नेटवर्क में, IPv4 का डिफ़ॉल्ट रूट (0.0.0.0/0) मौजूद होता है. यह रूट, नेटवर्क बनाते समय अपने-आप जुड़ जाता है.

डिफ़ॉल्ट रूट, इन डेस्टिनेशन के आईपी पतों का पाथ उपलब्ध कराता है:

डिफ़ॉल्ट डोमेन (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

किसी दिए गए नेटवर्क में डिफ़ॉल्ट रूट के कॉन्फ़िगरेशन की जांच करने के तरीके के बारे में, Google Cloud Console और Google Cloud CLI निर्देश देखने के लिए, Private Google Access को कॉन्फ़िगर करना लेख पढ़ें.

कस्टम रूट के साथ रूटिंग

डिफ़ॉल्ट रूट के बजाय, कस्टम स्टैटिक रूट का इस्तेमाल किया जा सकता है. हर रूट का डेस्टिनेशन ज़्यादा खास होता है और हर रूट, डिफ़ॉल्ट इंटरनेट गेटवे के अगले हॉप का इस्तेमाल करता है. रूट के डेस्टिनेशन आईपी पते, आपके चुने गए डोमेन पर निर्भर करते हैं:

डिफ़ॉल्ट डोमेन (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

किसी दिए गए नेटवर्क में कस्टम रूट के कॉन्फ़िगरेशन की जांच करने के तरीके के बारे में, Google Cloud Console और Google Cloud CLI निर्देश देखने के लिए, निजी Google ऐक्सेस को कॉन्फ़िगर करना लेख पढ़ें.

फ़ायरवॉल कॉन्फ़िगरेशन

आपके VPC नेटवर्क के फ़ायरवॉल कॉन्फ़िगरेशन में, वीएम से सेवा से इस्तेमाल किए जाने वाले आईपी पतों को ऐक्सेस करने की अनुमति होनी चाहिए.Cloud Firestore allow egress का निहित नियम, इस ज़रूरत को पूरा करता है.

कुछ फ़ायरवॉल कॉन्फ़िगरेशन में, आपको इग्रेस की अनुमति देने वाले खास नियम बनाने होंगे. उदाहरण के लिए, मान लें कि आपने इग्रेस की अनुमति न देने वाला कोई ऐसा नियम बनाया है जो सभी डेस्टिनेशन (0.0.0.0 for IPv4) पर ट्रैफ़िक को ब्लॉक करता है. ऐसे में, आपको इग्रेस की अनुमति देने वाला एक ऐसा फ़ायरवॉल नियम बनाना होगा जिसकी प्राथमिकता, इग्रेस की अनुमति न देने वाले नियम से ज़्यादा हो. यह नियम, आपके चुने गए डोमेन से इस्तेमाल की जाने वाली हर आईपी पतों की रेंज के लिए लागू होगा:

डिफ़ॉल्ट डोमेन (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

फ़ायरवॉल के नियम बनाने के लिए, फ़ायरवॉल के नियम बनाना लेख पढ़ें. इग्रेस की अनुमति देने वाले हर नियम का टारगेट तय करते समय, उन वीएम को सीमित किया जा सकता है जिन पर फ़ायरवॉल के नियम लागू होते हैं.

निजी Google ऐक्सेस का कॉन्फ़िगरेशन

अपने VPC नेटवर्क में, नेटवर्क से जुड़ी ज़रूरी शर्तें पूरी करने के बाद, Private Google Access की सुविधा चालू की जा सकती है. Google Cloud Console और Google Cloud CLI निर्देश पाने के लिए, निजी Google ऐक्सेस की सुविधा चालू करना लेख में बताया गया तरीका अपनाएं.