Halaman ini menjelaskan cara mengaktifkan dan mengonfigurasi Akses Google Pribadi di Cloud Firestore.
Tentang Akses Google Pribadi di Cloud Firestore
Secara default, jika VM Compute Engine tidak memiliki alamat IP eksternal yang ditetapkan ke antarmuka jaringannya, VM tersebut hanya dapat mengirim paket ke tujuan alamat IP internal lainnya. Anda dapat mengizinkan VM ini untuk terhubung ke layanan Cloud Firestore dengan mengaktifkan Akses Google Pribadi di subnet yang digunakan oleh antarmuka jaringan VM.
Layanan dan protokol yang berlaku
Petunjuk dalam panduan ini hanya berlaku untuk Cloud Firestore.
Domain default dan VIP yang digunakan oleh Cloud Firestore dan rentang IP-nya hanya mendukung protokol MongoDB di port 443. Semua protokol lainnya tidak didukung.
Persyaratan jaringan
Antarmuka VM dapat menjangkau Google API dan layanan Google melalui jaringan internal Google menggunakan Akses Google Pribadi jika semua kondisi berikut terpenuhi:
Antarmuka VM terhubung ke subnet tempat Akses Google Pribadi diaktifkan.
Antarmuka VM belum menetapkan alamat IP eksternal.
Alamat IP sumber paket yang dikirim dari VM cocok dengan salah satu alamat IP berikut.
- Alamat IPv4 internal utama dari antarmuka VM
- Alamat IPv4 internal dari rentang IP alias
VM dengan alamat IPv4 eksternal yang ditetapkan ke antarmuka jaringannya tidak memerlukan Akses Google Pribadi untuk terhubung ke Google API dan layanan Google. Namun, jaringan VPC harus memenuhi persyaratan untuk mengakses Google API dan layanan Google.
Izin IAM
Pemilik project, editor, dan IAM utama dengan peran Admin Jaringan dapat membuat atau memperbarui subnet dan menetapkan alamat IP.
Untuk mengetahui informasi selengkapnya tentang peran, baca dokumentasi peran IAM.
Logging
Cloud Logging menangkap semua permintaan API yang dibuat dari instance VM di subnet yang mengaktifkan Akses Google Pribadi. Entri log mengidentifikasi sumber permintaan API sebagai alamat IP internal dari instance panggilan.
Anda dapat mengonfigurasi laporan penggunaan harian dan gabungan bulanan untuk dikirim ke bucket Cloud Storage. Lihat halaman Melihat Laporan Penggunaan untuk mengetahui detailnya.
Ringkasan konfigurasi
Tabel berikut merangkum berbagai cara Anda dapat mengonfigurasi Akses Google Pribadi di Cloud Firestore. Untuk mengetahui informasi petunjuk yang lebih mendetail, lihat Konfigurasi jaringan.
| Opsi domain | Rentang IP | Konfigurasi DNS | Konfigurasi pemilihan rute | Konfigurasi firewall |
|---|---|---|---|---|
|
Domain default (
Domain default digunakan jika Anda tidak mengonfigurasi data DNS
untuk |
136.124.0.0/23
|
Anda mengakses layanan Cloud Firestore melalui alamat IP publiknya, sehingga tidak diperlukan konfigurasi DNS khusus. |
Periksa apakah jaringan VPC Anda dapat merutekan traffic ke rentang alamat IP yang digunakan oleh layanan Cloud Firestore.
|
Periksa apakah aturan firewall Anda mengizinkan
egress ke rentang alamat IP Aturan firewall yang mengizinkan traffic egress default mengizinkan traffic ini, jika tidak ada aturan prioritas yang lebih tinggi yang memblokirnya. |
|
Gunakan |
199.36.153.2/31 |
Konfigurasi data DNS untuk mengirim permintaan
ke rentang alamat IP 199.36.153.2/31.
|
Pastikan jaringan VPC Anda memiliki
rute ke rentang alamat IP
199.36.153.2/31.
|
Pastikan aturan firewall Anda mengizinkan
egress ke rentang alamat IP 199.36.153.2/31.
|
Konfigurasi jaringan
Bagian ini menjelaskan cara mengonfigurasi jaringan Anda untuk mengakses Cloud Firestore menggunakan Akses Google Pribadi.
Konfigurasi DNS
Tidak seperti Google API lainnya, Cloud Firestore API menggunakan nama domain dan alamat IP yang berbeda untuk Akses Google Pribadi:
restricted.firestore.googmemungkinkan akses API ke Cloud Firestore API.Alamat IP:
199.36.153.2dan199.36.153.3.Karena Cloud Firestore mematuhi Kontrol Layanan VPC, Anda dapat menggunakan domain ini dalam skenario Kontrol Layanan VPC.
Guna membuat zona dan data DNS untuk Cloud Firestore:
Membuat zona DNS pribadi untuk
firestore.goog.Pertimbangkan untuk membuat zona pribadi Cloud DNS untuk tujuan ini.
Di zona
firestore.goog, buat data berikut:Data
Auntukrestricted.firestore.googyang mengarah ke alamat IP berikut:199.36.153.2dan199.36.153.3.Data
CNAMEuntuk*.firestore.googyang mengarah kerestricted.firestore.goog.
Untuk membuat data ini di Cloud DNS, lihat bagian menambahkan data.
Konfigurasi pemilihan rute
Jaringan VPC Anda harus memiliki rute yang sesuai dengan next hop yang merupakan gateway internet default. Google Cloud tidak mendukung perutean traffic ke Google API dan layanan Google melalui instance VM lain atau next hop kustom. Meskipun disebut sebagai gateway internet default, paket yang dikirim dari VM di jaringan VPC Anda ke Google API dan layanan Google tetap berada dalam jaringan Google.
Jika Anda memilih opsi domain default, instance VM Anda akan terhubung ke layanan Cloud Firestore menggunakan rentang alamat IP publik berikut:
136.124.0.0/23. Alamat IP ini dapat dirutekan secara publik, tetapi jalur dari VM dalam jaringan VPC ke alamat tersebut tetap berada dalam jaringan Google.Google tidak memublikasikan rute di internet ke alamat IP mana pun yang digunakan oleh domain
restricted.firestore.goog. Akibatnya, domain ini hanya dapat diakses oleh VM di jaringan VPC atau sistem lokal yang terhubung ke jaringan VPC.
Jika jaringan VPC Anda berisi rute default yang next hop-nya adalah gateway internet default, Anda dapat menggunakan rute tersebut untuk mengakses layanan Cloud Firestore, tanpa perlu membuat rute kustom. Lihat pemilihan rute dengan rute default untuk mengetahui detailnya.
Jika Anda telah mengganti rute default (tujuan 0.0.0.0/0 atau ::0/0) dengan
rute kustom yang next hop-nya bukan gateway internet default,
Anda dapat memenuhi persyaratan pemilihan rute untuk layanan Cloud Firestore
menggunakan pemilihan rute kustom.
Pemilihan rute dengan rute default
Setiap jaringan VPC berisi rute default IPv4 (0.0.0.0/0) saat dibuat.
Rute default menyediakan jalur ke alamat IP untuk tujuan berikut:
- Domain default (
firestore.goog):136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Untuk melihat petunjuk Google Cloud CLI dan Konsol Google Cloud tentang cara memeriksa konfigurasi rute default dalam jaringan tertentu, lihat cara Mengonfigurasi Akses Google Pribadi.
Pemilihan rute dengan rute kustom
Sebagai alternatif rute default, Anda dapat menggunakan rute statis kustom, yang masing-masing memiliki tujuan yang lebih spesifik, dan menggunakan next hop gateway internet default. Alamat IP tujuan untuk rute bergantung pada domain yang Anda pilih:
- Domain default (
firestore.goog):136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Untuk mengetahui petunjuk Google Cloud CLI dan Konsol Google Cloud tentang cara memeriksa konfigurasi rute kustom dalam jaringan tertentu, lihat cara Mengonfigurasi Akses Google Pribadi.
Konfigurasi firewall
Konfigurasi firewall jaringan VPC Anda harus mengizinkan
akses dari VM ke alamat IP yang digunakan oleh
layanan Cloud Firestore. Aturan allow egress tersirat memenuhi persyaratan ini.
Di beberapa konfigurasi firewall, Anda harus membuat aturan yang mengizinkan traffic egress khusus.
Misalnya, anggaplah Anda telah membuat aturan tolak traffic keluar yang memblokir traffic ke
semua tujuan (0.0.0.0 untuk IPv4). Dalam hal ini, Anda harus membuat satu aturan firewall yang mengizinkan
traffic egress yang prioritasnya lebih tinggi daripada aturan menolak traffic egress
untuk setiap rentang alamat IP yang digunakan oleh domain yang Anda pilih:
- Domain default (
firestore.goog:136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Untuk membuat aturan firewall, baca artikel Membuat aturan firewall. Anda dapat membatasi VM yang menerapkan aturan firewall saat Anda menentukan target dari setiap aturan yang mengizinkan traffic egress.
Konfigurasi Akses Google Pribadi
Anda dapat mengaktifkan Akses Google Pribadi setelah memenuhi persyaratan jaringan di jaringan VPC Anda. Untuk melihat petunjuk Google Cloud CLI dan Konsol Google Cloud, ikuti langkah-langkah yang diuraikan dalam Mengaktifkan Akses Google Pribadi.