Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

MongoDB के साथ काम करने वाले Firestore में Private Google Access को कॉन्फ़िगर करना

इस पेज पर, Cloud Firestore में Private Google Access को चालू और कॉन्फ़िगर करने का तरीका बताया गया है.

Cloud Firestore में Private Google Access के बारे में जानकारी

डिफ़ॉल्ट रूप से, जब किसी Compute Engine वीएम के नेटवर्क इंटरफ़ेस को कोई बाहरी आईपी पता असाइन नहीं किया जाता है, तो वह सिर्फ़ अन्य अंदरूनी आईपी पते वाले डेस्टिनेशन को पैकेट भेज सकता है. इन वीएम को Cloud Firestore सेवा से कनेक्ट करने की अनुमति दी जा सकती है. इसके लिए, वीएम के नेटवर्क इंटरफ़ेस से इस्तेमाल किए गए सबनेट पर Private Google Access चालू करें.

लागू होने वाली सेवाएं और प्रोटोकॉल

इस गाइड में दिए गए निर्देश, सिर्फ़ Cloud Firestore पर लागू होते हैं.
Cloud Firestore की ओर से इस्तेमाल किए जाने वाले डिफ़ॉल्ट और वीआईपी डोमेन, सिर्फ़ पोर्ट 443 पर MongoDB प्रोटोकॉल के साथ काम करते हैं. अन्य सभी प्रोटोकॉल काम नहीं करते.

नेटवर्क की ज़रूरी शर्तें

अगर ये सभी शर्तें पूरी होती हैं, तो वीएम इंटरफ़ेस, Google के इंटरनल नेटवर्क के ज़रिए Google के एपीआई और सेवाओं को ऐक्सेस कर सकता है. इसके लिए, प्राइवेट Google ऐक्सेस का इस्तेमाल किया जाता है:

वीएम इंटरफ़ेस, उस सबनेट से कनेक्ट होता है जहां Private Google Access चालू होता है.
वीएम इंटरफ़ेस को कोई बाहरी आईपी पता असाइन नहीं किया गया है.
वीएम से भेजे गए पैकेट का सोर्स आईपी पता, इनमें से किसी एक आईपी पते से मेल खाता हो.
- वीएम इंटरफ़ेस का मुख्य इंटरनल IPv4 पता
- एलियास आईपी रेंज से मिला इंटरनल IPv4 पता

जिस वीएम को उसके नेटवर्क इंटरफ़ेस के लिए बाहरी IPv4 पता असाइन किया गया है उसे Google के एपीआई और सेवाओं से कनेक्ट करने के लिए, Private Google ऐक्सेस की ज़रूरत नहीं होती. हालांकि, वीपीसी नेटवर्क को Google के एपीआई और सेवाओं को ऐक्सेस करने से जुड़ी ज़रूरी शर्तों को पूरा करना होगा.

IAM अनुमतियां

प्रोजेक्ट के मालिक, एडिटर, और नेटवर्क एडमिन की भूमिका वाले आईएएम प्रिंसिपल, सबनेट बना सकते हैं या उन्हें अपडेट कर सकते हैं. साथ ही, आईपी पते असाइन कर सकते हैं.

भूमिकाओं के बारे में ज़्यादा जानने के लिए, IAM की भूमिकाएं का दस्तावेज़ पढ़ें.

लॉगिंग

Cloud Logging, उन सबनेट में मौजूद वीएम इंस्टेंस से किए गए सभी एपीआई अनुरोधों को कैप्चर करता है जिनमें Private Google Access की सुविधा चालू है. लॉग एंट्री से, एपीआई अनुरोध के सोर्स की पहचान होती है. यह अनुरोध, कॉल करने वाले इंस्टेंस के इंटरनल आईपी पते से किया जाता है.

हर दिन के इस्तेमाल और हर महीने की रोलअप रिपोर्ट को Cloud Storageबकेट में डिलीवर करने के लिए कॉन्फ़िगर किया जा सकता है. ज़्यादा जानकारी के लिए, इस्तेमाल की रिपोर्ट देखना पेज देखें.

कॉन्फ़िगरेशन की खास जानकारी

यहां दी गई टेबल में, Cloud Firestore में Private Google Access को कॉन्फ़िगर करने के अलग-अलग तरीकों के बारे में खास जानकारी दी गई है. ज़्यादा जानकारी के लिए, नेटवर्क कॉन्फ़िगरेशन देखें.

डोमेन का विकल्प आईपी रेंज डीएनएस कॉन्फ़िगरेशन रूटिंग कॉन्फ़िगरेशन फ़ायरवॉल कॉन्फ़िगरेशन

डोमेन का विकल्प	आईपी रेंज	डीएनएस कॉन्फ़िगरेशन	रूटिंग कॉन्फ़िगरेशन	फ़ायरवॉल कॉन्फ़िगरेशन
डिफ़ॉल्ट डोमेन (`firestore.goog`) डिफ़ॉल्ट डोमेन का इस्तेमाल तब किया जाता है, जब आपने `restricted.firestore.goog` के लिए डीएनएस रिकॉर्ड कॉन्फ़िगर नहीं किए हों.	`136.124.0.0/23`	Cloud Firestore सेवा को इसके सार्वजनिक आईपी पतों के ज़रिए ऐक्सेस किया जाता है. इसलिए, किसी खास डीएनएस कॉन्फ़िगरेशन की ज़रूरत नहीं होती.	देखें कि आपका वीपीसी नेटवर्क, Cloud Firestore सेवा के इस्तेमाल किए गए आईपी पते की रेंज पर ट्रैफ़िक भेज सकता हो. बुनियादी कॉन्फ़िगरेशन: पुष्टि करें कि आपके पास डिफ़ॉल्ट रूट हैं, जिनमें अगला हॉप `default-internet-gateway` और डेस्टिनेशन की रेंज `0.0.0.0/0` है. अगर वे रूट मौजूद नहीं हैं, तो उन्हें बनाएं. कस्टम कॉन्फ़िगरेशन: `136.124.0.0/23` आईपी पते की रेंज के लिए रूट बनाएं.	देखें कि आपके फ़ायरवॉल के नियमों के तहत, `136.124.0.0/23` आईपी पते की रेंज से बाहर निकलने की अनुमति हो. डिफ़ॉल्ट रूप से, फ़ायरवॉल के ईग्रेस नियम के तहत इस ट्रैफ़िक को अनुमति दी जाती है. हालांकि, ऐसा तब होता है, जब कोई ऐसा नियम न हो जिसकी प्राथमिकता ज़्यादा हो और जो इस ट्रैफ़िक को ब्लॉक करता हो.
`restricted.firestore.goog` `restricted.firestore.goog` सेवा को ऐक्सेस करने के लिए, `restricted.firestore.goog` का इस्तेमाल करें. इसके लिए, सिर्फ़ उन आईपी पतों का इस्तेमाल करें जिन्हें Google Cloud से ही राउट किया जा सकता है.Cloud Firestore इसका इस्तेमाल, वीपीसी सर्विस कंट्रोल के उदाहरणों में किया जा सकता है.	`199.36.153.2/31`	`199.36.153.2/31` आईपी पते की रेंज पर अनुरोध भेजने के लिए, डीएनएस रिकॉर्ड कॉन्फ़िगर करें.	देखें कि आपके वीपीसी नेटवर्क में, `199.36.153.2/31` आईपी पते की रेंज के लिए राउट मौजूद हों.	देखें कि आपके फ़ायरवॉल के नियमों के तहत, `199.36.153.2/31` आईपी पते की रेंज से इग्रेस की अनुमति हो.

डिफ़ॉल्ट डोमेन (firestore.goog)

डिफ़ॉल्ट डोमेन का इस्तेमाल तब किया जाता है, जब आपने restricted.firestore.goog के लिए डीएनएस रिकॉर्ड कॉन्फ़िगर नहीं किए हों.

136.124.0.0/23

Cloud Firestore सेवा को इसके सार्वजनिक आईपी पतों के ज़रिए ऐक्सेस किया जाता है. इसलिए, किसी खास डीएनएस कॉन्फ़िगरेशन की ज़रूरत नहीं होती.

देखें कि आपका वीपीसी नेटवर्क, Cloud Firestore सेवा के इस्तेमाल किए गए आईपी पते की रेंज पर ट्रैफ़िक भेज सकता हो.

बुनियादी कॉन्फ़िगरेशन: पुष्टि करें कि आपके पास डिफ़ॉल्ट रूट हैं, जिनमें अगला हॉप default-internet-gateway और डेस्टिनेशन की रेंज 0.0.0.0/0 है. अगर वे रूट मौजूद नहीं हैं, तो उन्हें बनाएं.
कस्टम कॉन्फ़िगरेशन: 136.124.0.0/23 आईपी पते की रेंज के लिए रूट बनाएं.

देखें कि आपके फ़ायरवॉल के नियमों के तहत, 136.124.0.0/23 आईपी पते की रेंज से बाहर निकलने की अनुमति हो.

डिफ़ॉल्ट रूप से, फ़ायरवॉल के ईग्रेस नियम के तहत इस ट्रैफ़िक को अनुमति दी जाती है. हालांकि, ऐसा तब होता है, जब कोई ऐसा नियम न हो जिसकी प्राथमिकता ज़्यादा हो और जो इस ट्रैफ़िक को ब्लॉक करता हो.

restricted.firestore.goog

restricted.firestore.goog सेवा को ऐक्सेस करने के लिए, restricted.firestore.goog का इस्तेमाल करें. इसके लिए, सिर्फ़ उन आईपी पतों का इस्तेमाल करें जिन्हें Google Cloud से ही राउट किया जा सकता है.Cloud Firestore इसका इस्तेमाल, वीपीसी सर्विस कंट्रोल के उदाहरणों में किया जा सकता है.

199.36.153.2/31

199.36.153.2/31 आईपी पते की रेंज पर अनुरोध भेजने के लिए, डीएनएस रिकॉर्ड कॉन्फ़िगर करें.

देखें कि आपके वीपीसी नेटवर्क में, 199.36.153.2/31 आईपी पते की रेंज के लिए राउट मौजूद हों.

देखें कि आपके फ़ायरवॉल के नियमों के तहत, 199.36.153.2/31 आईपी पते की रेंज से इग्रेस की अनुमति हो.

नेटवर्क कॉन्फ़िगरेशन

इस सेक्शन में, Cloud Firestore को ऐक्सेस करने के लिए, प्राइवेट Google ऐक्सेस का इस्तेमाल करके अपने नेटवर्क को कॉन्फ़िगर करने का तरीका बताया गया है.

डीएनएस कॉन्फ़िगरेशन

अन्य Google API के उलट, Cloud Firestore API, Private Google Access के लिए अलग-अलग डोमेन नेम और आईपी पतों का इस्तेमाल करता है:

restricted.firestore.goog, Cloud Firestore एपीआई के लिए एपीआई ऐक्सेस चालू करता है.
- आईपी पते: 199.36.153.2 और 199.36.153.3.
- Cloud Firestore, वीपीसी सर्विस कंट्रोल के मुताबिक काम करता है. इसलिए, वीपीसी सर्विस कंट्रोल के इस्तेमाल से जुड़े मामलों में इस डोमेन का इस्तेमाल किया जा सकता है.

Cloud Firestore के लिए डीएनएस ज़ोन और रिकॉर्ड बनाने का तरीका:

firestore.goog के लिए एक निजी डीएनएस ज़ोन बनाएं.

इसके लिए, Cloud DNS का निजी ज़ोन बनाएं.
firestore.goog ज़ोन में, ये रिकॉर्ड बनाएं:
1. restricted.firestore.goog के लिए A रिकॉर्ड, जो इन आईपी पतों पर ले जाता है: 199.36.153.2 और 199.36.153.3.
2. *.firestore.goog के लिए CNAME रिकॉर्ड, जो restricted.firestore.goog पर ले जाता हो.
Cloud DNS में इन रिकॉर्ड को बनाने के लिए, रिकॉर्ड जोड़ना लेख पढ़ें.

रूटिंग कॉन्फ़िगरेशन

आपके वीपीसी नेटवर्क में ऐसे सही रूट होने चाहिए जिनके अगले हॉप, डिफ़ॉल्ट इंटरनेट गेटवे हों. Google Cloud अन्य वीएम इंस्टेंस या कस्टम नेक्स्ट हॉप के ज़रिए, Google API और सेवाओं पर ट्रैफ़िक को रूट करने की सुविधा नहीं देता है. इसे डिफ़ॉल्ट इंटरनेट गेटवे कहा जाता है. हालांकि, आपके वीपीसी नेटवर्क में मौजूद वीएम से Google के एपीआई और सेवाओं को भेजे गए पैकेट, Google के नेटवर्क में ही रहते हैं.

डिफ़ॉल्ट डोमेन का विकल्प चुनने पर, आपके वीएम इंस्टेंस, Cloud Firestore सेवा से कनेक्ट हो जाते हैं. इसके लिए, वे इस सार्वजनिक आईपी पते की रेंज का इस्तेमाल करते हैं: 136.124.0.0/23 . इन आईपी पतों को सार्वजनिक तौर पर रूट किया जा सकता है. हालांकि, वीपीसी नेटवर्क में मौजूद किसी वीएम से इन पतों तक पहुंचने का पाथ, Google के नेटवर्क में ही रहता है.
Google, restricted.firestore.goog डोमेन के इस्तेमाल किए गए किसी भी आईपी पते के लिए, इंटरनेट पर रूट पब्लिश नहीं करता. इसलिए, इस डोमेन को सिर्फ़ VPC नेटवर्क में मौजूद वीएम या VPC नेटवर्क से कनेक्ट किए गए ऑन-प्रिमाइसेस सिस्टम से ऐक्सेस किया जा सकता है.

अगर आपके वीपीसी नेटवर्क में ऐसा डिफ़ॉल्ट रूट मौजूद है जिसका अगला हॉप डिफ़ॉल्ट इंटरनेट गेटवे है, तो उस रूट का इस्तेमाल करके Cloud Firestore सेवा को ऐक्सेस किया जा सकता है. इसके लिए, आपको कस्टम रूट बनाने की ज़रूरत नहीं है. ज़्यादा जानकारी के लिए, डिफ़ॉल्ट रूट के साथ रूटिंग करना लेख पढ़ें.

अगर आपने डिफ़ॉल्ट रूट (डेस्टिनेशन 0.0.0.0/0 या ::0/0) को ऐसे कस्टम रूट से बदल दिया है जिसका अगला हॉप डिफ़ॉल्ट इंटरनेट गेटवे नहीं है, तो Cloud Firestore सेवा के लिए राउटिंग से जुड़ी ज़रूरी शर्तों को पूरा किया जा सकता है. इसके लिए, कस्टम राउटिंग का इस्तेमाल करें.

डिफ़ॉल्ट रूट के साथ रूटिंग

हर वीपीसी नेटवर्क में, IPv4 का डिफ़ॉल्ट रूट (0.0.0.0/0) होता है. यह रूट, नेटवर्क बनाते समय सेट होता है.

डिफ़ॉल्ट रूट, इन डेस्टिनेशन के आईपी पतों का पाथ उपलब्ध कराता है:

डिफ़ॉल्ट डोमेन (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Google Cloud Console और Google Cloud CLI में, किसी नेटवर्क में डिफ़ॉल्ट रूट के कॉन्फ़िगरेशन की जांच करने के तरीके के बारे में जानने के लिए, प्राइवेट Google ऐक्सेस कॉन्फ़िगर करना लेख पढ़ें.

कस्टम रूट के हिसाब से रास्तों की जानकारी पाना

डिफ़ॉल्ट रूट के बजाय, कस्टम स्टैटिक रूट का इस्तेमाल किया जा सकता है. हर रूट का डेस्टिनेशन ज़्यादा खास होता है और हर रूट, डिफ़ॉल्ट इंटरनेट गेटवे के अगले हॉप का इस्तेमाल करता है. रास्तों के लिए डेस्टिनेशन आईपी पते, आपके चुने गए डोमेन पर निर्भर करते हैं:

डिफ़ॉल्ट डोमेन (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Google Cloud Console और Google Cloud CLI किसी नेटवर्क में कस्टम राउट के कॉन्फ़िगरेशन की जांच करने के तरीके के बारे में जानने के लिए, प्राइवेट Google ऐक्सेस कॉन्फ़िगर करना लेख पढ़ें.

फ़ायरवॉल कॉन्फ़िगरेशन

आपके वीपीसी नेटवर्क के फ़ायरवॉल कॉन्फ़िगरेशन में, वीएम को Cloud Firestore सेवा के इस्तेमाल किए गए आईपी पतों को ऐक्सेस करने की अनुमति होनी चाहिए. allow egress नियम से जुड़ी यह ज़रूरी शर्त पूरी होती है.

फ़ायरवॉल के कुछ कॉन्फ़िगरेशन में, आपको खास इग्रेस की अनुमति देने वाले नियम बनाने होते हैं. उदाहरण के लिए, मान लें कि आपने सभी डेस्टिनेशन (आईपीवी4 के लिए 0.0.0.0) पर ट्रैफ़िक को ब्लॉक करने वाला, ईग्रेस को अस्वीकार करने का नियम बनाया है. ऐसे में, आपको एक ऐसा फ़ायरवॉल नियम बनाना होगा जो बाहर जाने वाले डेटा को अनुमति देता हो. इस नियम की प्राथमिकता, आपके चुने गए डोमेन के लिए इस्तेमाल की गई हर आईपी पते की रेंज के लिए, बाहर जाने वाले डेटा को अस्वीकार करने वाले नियम से ज़्यादा होनी चाहिए:

डिफ़ॉल्ट डोमेन (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

फ़ायरवॉल के नियम बनाने के लिए, फ़ायरवॉल के नियम बनाना लेख पढ़ें. फ़ायरवॉल के नियमों को लागू करने के लिए, वीएम की संख्या सीमित की जा सकती है. इसके लिए, आपको हर ईग्रेस की अनुमति देने वाले नियम का टारगेट तय करना होगा.

निजी Google ऐक्सेस का कॉन्फ़िगरेशन

अपने वीपीसी नेटवर्क में नेटवर्क से जुड़ी ज़रूरी शर्तें पूरी करने के बाद, Private Google Access की सुविधा चालू की जा सकती है. Google Cloud Console और Google Cloud CLI के निर्देशों के लिए, निजी Google ऐक्सेस चालू करें में दिए गए चरणों का पालन करें.