Questa pagina descrive come abilitare e configurare l'accesso privato Google in Cloud Firestore.
Informazioni sull'accesso privato Google in Cloud Firestore
Per impostazione predefinita, quando una Compute Engine VM non ha un indirizzo IP esterno assegnato alla sua interfaccia di rete, può inviare pacchetti solo ad altre destinazioni con indirizzi IP interni. Puoi consentire a queste VM di connettersi al Cloud Firestore servizio abilitando l'accesso privato Google sulla subnet utilizzata dall'interfaccia di rete della VM.
Servizi e protocolli applicabili
Le istruzioni riportate in questa guida si applicano solo a Cloud Firestore.
I domini predefiniti e VIP utilizzati da Cloud Firestore e i relativi intervalli IP supportano solo il protocollo MongoDB sulla porta 443. Tutti gli altri protocolli non sono supportati.
Requisiti di rete
Un'interfaccia VM può raggiungere le API di Google e i servizi tramite la rete interna di Google utilizzando l'accesso privato Google se vengono soddisfatte tutte queste condizioni:
L'interfaccia VM è connessa a una subnet in cui è abilitato l'accesso privato Google.
All'interfaccia VM non è assegnato un indirizzo IP esterno.
L'indirizzo IP di origine dei pacchetti inviati dalla VM corrisponde a uno dei seguenti indirizzi IP.
- L'indirizzo IPv4 interno principale dell'interfaccia VM
- Un indirizzo IPv4 interno da un intervallo IP alias
Una VM con un indirizzo IPv4 esterno assegnato alla sua interfaccia di rete non ha bisogno dell'accesso privato Google per connettersi alle API di Google e ai servizi Google. Tuttavia, la rete VPC deve soddisfare i requisiti per l'accesso alle API di Google e ai servizi Google.
Autorizzazioni IAM
I proprietari dei progetti, gli editor e le entità IAM del progetto con il ruolo Network Admin possono creare o aggiornare subnet e assegnare indirizzi IP.
Per ulteriori informazioni sui ruoli, consulta la documentazione sui ruoli IAM.
Logging
Cloud Logging acquisisce tutte le richieste API effettuate dalle istanze VM nelle subnet in cui è abilitato l'accesso privato Google. Le voci di log identificano l'origine della richiesta API come un indirizzo IP interno dell'istanza chiamante.
Puoi configurare i report sull'utilizzo giornaliero e i report di riepilogo mensili in modo che vengano inviati a un Cloud Storage bucket. Per maggiori dettagli, consulta la pagina Visualizzare i report sull'utilizzo.
Riepilogo configurazione
La tabella seguente riassume i diversi modi in cui puoi configurare l'accesso privato Google in Cloud Firestore. Per istruzioni più dettagliate, consulta Configurazione di rete.
| Opzione dominio | Intervalli IP | Configurazione DNS | Configurazione del routing | Configurazione del firewall |
|---|---|---|---|---|
|
Dominio predefinito (
I domini predefiniti vengono utilizzati quando non configuri i record DNS
per |
136.124.0.0/23
|
Accedi al servizio Cloud Firestore tramite i suoi indirizzi IP pubblici, quindi non è necessaria una configurazione DNS speciale. |
Verifica che la tua rete VPC possa instradare il traffico agli intervasi di indirizzi IP utilizzati dal Cloud Firestore servizio.
|
Verifica che le regole firewall consentano il traffico in uscita verso l'intervallo di indirizzi IP La regola firewall predefinita per il traffico in uscita consente questo traffico, se non esiste una regola con priorità più alta che lo blocca. |
|
Utilizza |
199.36.153.2/31 |
Configura i record DNS per inviare le richieste
all'intervallo di indirizzi IP 199.36.153.2/31.
|
Verifica che la tua rete VPC disponga di
route per l'199.36.153.2/31
intervallo di indirizzi IP.
|
Verifica che le regole firewall consentano il traffico in uscita verso l'intervallo di indirizzi IP 199.36.153.2/31.
|
Configurazione di rete
Questa sezione descrive come configurare la rete per accedere a Cloud Firestore utilizzando l'accesso privato Google.
Configurazione DNS
A differenza di altre API Google, l'API Cloud Firestore utilizza nomi di dominio e indirizzi IP diversi per l'accesso privato Google:
restricted.firestore.googconsente l'accesso API all'API Cloud Firestore.Indirizzi IP:
199.36.153.2e199.36.153.3.Poiché Cloud Firestore è conforme ai Controlli di servizio VPC, puoi utilizzare questo dominio negli scenari di Controlli di servizio VPC.
Per creare una zona e dei record DNS per Cloud Firestore:
Crea una zona DNS privata per
firestore.goog.Valuta la possibilità di creare una zona privata Cloud DNS a questo scopo.
Nella zona
firestore.goog, crea i seguenti record:Un record
Aperrestricted.firestore.googche rimanda ai seguenti indirizzi IP:199.36.153.2e199.36.153.3.Un record
CNAMEper*.firestore.googche rimanda arestricted.firestore.goog.
Per creare questi record in Cloud DNS, consulta Aggiungere un record.
Configurazione del routing
La tua rete VPC deve avere route appropriate i cui hop successivi sono il gateway internet predefinito. Google Cloud non supporta l'instradamento del traffico alle API di Google e ai servizi tramite altre istanze VM o hop successivi personalizzati. Nonostante sia chiamato gateway internet predefinito, i pacchetti inviati dalle VM nella rete VPC alle API di Google e ai servizi Google rimangono all'interno della rete di Google.
Se selezioni l'opzione del dominio predefinito, le istanze VM si connettono al Cloud Firestore servizio utilizzando il seguente intervallo di indirizzi IP pubblici:
136.124.0.0/23. Questi indirizzi IP sono instradabili pubblicamente, ma il percorso da una VM in una rete VPC a questi indirizzi rimane all'interno della rete di Google.Google non pubblica route su internet a nessuno degli indirizzi IP utilizzati dal dominio
restricted.firestore.goog. Di conseguenza, è possibile accedere a questo dominio solo dalle VM in una rete VPC o dai sistemi on-premise connessi a una rete VPC.
Se la tua rete VPC contiene una route predefinita il cui hop successivo è il gateway internet predefinito, puoi utilizzare questa route per accedere al Cloud Firestore servizio senza dover creare route personalizzate. Per maggiori dettagli, consulta Routing con una route predefinita.
Se hai sostituito una route predefinita (destinazione 0.0.0.0/0 o ::0/0) con
una route personalizzata il cui hop successivo non è il gateway internet predefinito, puoi
soddisfare i requisiti di routing per il servizio Cloud Firestore
utilizzando il routing personalizzato invece.
Routing con una route predefinita
Ogni rete VPC contiene una route predefinita IPv4 (0.0.0.0/0) quando viene creata.
La route predefinita fornisce un percorso agli indirizzi IP per le seguenti destinazioni:
- Dominio predefinito (
firestore.goog):136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Per istruzioni sulla console Google Cloud e su Google Cloud CLI su come controllare la configurazione di una route predefinita in una determinata rete, consulta Configurare l'accesso privato Google.
Routing con route personalizzate
In alternativa a una route predefinita, puoi utilizzare route statiche personalizzate, ognuna con una destinazione più specifica e ognuna che utilizza l'hop successivo del gateway internet predefinito. Gli indirizzi IP di destinazione per le route dipendono da il dominio scelto:
- Dominio predefinito (
firestore.goog):136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Per istruzioni sulla console Google Cloud e su Google Cloud CLI su come controllare la configurazione delle route personalizzate in una determinata rete, consulta Configurare l'accesso privato Google.
Configurazione del firewall
La configurazione del firewall della rete VPC deve consentire
l'accesso dalle VM agli indirizzi IP utilizzati dal Cloud Firestore
servizio. La regola implicita allow egress soddisfa questo requisito.
In alcune configurazioni firewall, devi creare regole di autorizzazione in uscita specifiche.
Supponiamo, ad esempio, di aver creato una regola di negazione in uscita che blocca il traffico verso tutte le destinazioni (0.0.0.0 per IPv4). In questo caso, devi creare una regola firewall di autorizzazione in uscita la cui priorità sia superiore alla regola di negazione in uscita per ogni intervallo di indirizzi IP utilizzato dal dominio scelto:
- Dominio predefinito (
firestore.goog:136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Per creare regole firewall, consulta Creare regole firewall. Puoi limitare le VM a cui si applicano le regole firewall quando definisci la destinazione di ogni regola di autorizzazione in uscita.
Configurazione dell'accesso privato Google
Puoi abilitare l'accesso privato Google dopo aver soddisfatto i requisiti di rete nella rete VPC. Per istruzioni sulla console Google Cloud e su Google Cloud CLI segui i passaggi descritti in Abilitare l'accesso privato Google.