Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Configurare l'accesso privato Google in Firestore con compatibilità MongoDB

Questa pagina descrive come attivare e configurare l'accesso privato Google in Cloud Firestore.

Informazioni sull'accesso privato Google in Cloud Firestore

Per impostazione predefinita, quando a una VM Compute Engine manca un indirizzo IP esterno assegnato alla sua interfaccia di rete, può inviare pacchetti solo ad altre destinazioni con indirizzi IP interni. Puoi consentire a queste VM di connettersi al servizio Cloud Firestore abilitando l'accesso privato Google sulla subnet utilizzata dall'interfaccia di rete della VM.

Servizi e protocolli applicabili

Le istruzioni contenute in questa guida si applicano solo a Cloud Firestore.
I domini predefiniti e VIP utilizzati da Cloud Firestore e i relativi intervalli IP supportano solo il protocollo MongoDB sulla porta 443. Tutti gli altri protocolli non sono supportati.

Requisiti di rete

Un'interfaccia VM può raggiungere le API e i servizi Google tramite la rete Google interna utilizzando l'accesso privato Google se vengono soddisfatte tutte queste condizioni:

L'interfaccia VM è connessa a una subnet in cui l'accesso privato Google è abilitato.
All'interfaccia VM non è assegnato un indirizzo IP esterno.
L'indirizzo IP di origine dei pacchetti inviati dalla VM corrisponde a uno dei seguenti indirizzi IP.
- L'indirizzo IPv4 interno principale dell'interfaccia della VM
- Un indirizzo IPv4 interno da un intervallo IP alias

Una VM con un indirizzo IPv4 esterno assegnato alla sua interfaccia di rete non ha bisogno dell'accesso privato Google per connettersi alle API e ai servizi Google. Tuttavia, la rete VPC deve soddisfare i requisiti per l'accesso alle API e ai servizi di Google.

Autorizzazioni IAM

I proprietari dei progetti, gli editor e le entità IAM del progetto con il ruolo Network Admin possono creare o aggiornare subnet e assegnare indirizzi IP.

Per saperne di più sui ruoli, consulta la documentazione sui ruoli IAM.

Logging

Cloud Logging acquisisce tutte le richieste API effettuate dalle istanze VM nelle subnet in cui è abilitato l'accesso privato Google. Le voci di log identificano l'origine della richiesta API come un indirizzo IP interno dell'istanza chiamante.

Puoi configurare i report sull'utilizzo giornaliero e i report di riepilogo mensili in modo che vengano inviati a un bucket Cloud Storage. Per maggiori dettagli, consulta la pagina Visualizzazione dei report sull'utilizzo.

Riepilogo configurazione

La tabella seguente riepiloga i diversi modi in cui puoi configurare l'accesso Google privato in Cloud Firestore. Per istruzioni più dettagliate, consulta Configurazione di rete.

Opzione Dominio Intervalli IP Configurazione DNS Configurazione del routing Configurazione del firewall

Opzione Dominio	Intervalli IP	Configurazione DNS	Configurazione del routing	Configurazione del firewall
Dominio predefinito (`firestore.goog`) I domini predefiniti vengono utilizzati quando non configuri i record DNS per `restricted.firestore.goog`.	`136.124.0.0/23`	Accedi al servizio Cloud Firestore tramite i suoi indirizzi IP pubblici, quindi non è necessaria alcuna configurazione DNS speciale.	Verifica che la tua rete VPC possa instradare il traffico verso gli intervalli di indirizzi IP utilizzati dal servizio Cloud Firestore. Configurazione di base: Verifica di avere route predefinite con hop successivo `default-internet-gateway` e un intervallo di destinazione `0.0.0.0/0`. Crea queste route se non sono presenti. Configurazione personalizzata: Crea route per l'intervallo di indirizzi IP `136.124.0.0/23`.	Verifica che le regole firewall consentano l'uscita verso l'intervallo di indirizzi IP `136.124.0.0/23`. La regola firewall predefinita per il traffico in uscita consente questo traffico, se non esiste una regola con priorità più elevata che lo blocca.
`restricted.firestore.goog` Utilizza `restricted.firestore.goog` per accedere al servizio Cloud Firestore utilizzando un insieme di indirizzi IP instradabili solo da Google Cloud. Può essere utilizzato negli scenari dei Controlli di servizio VPC.	`199.36.153.2/31`	Configura i record DNS per inviare richieste all'intervallo di indirizzi IP `199.36.153.2/31`.	Verifica che la rete VPC disponga di route all'intervallo di indirizzi IP `199.36.153.2/31`.	Verifica che le regole firewall consentano l'uscita verso l'intervallo di indirizzi IP `199.36.153.2/31`.

Dominio predefinito (firestore.goog)

I domini predefiniti vengono utilizzati quando non configuri i record DNS per restricted.firestore.goog.

136.124.0.0/23

Accedi al servizio Cloud Firestore tramite i suoi indirizzi IP pubblici, quindi non è necessaria alcuna configurazione DNS speciale.

Verifica che la tua rete VPC possa instradare il traffico verso gli intervalli di indirizzi IP utilizzati dal servizio Cloud Firestore.

Configurazione di base: Verifica di avere route predefinite con hop successivo default-internet-gateway e un intervallo di destinazione 0.0.0.0/0. Crea queste route se non sono presenti.
Configurazione personalizzata: Crea route per l'intervallo di indirizzi IP 136.124.0.0/23.

Verifica che le regole firewall consentano l'uscita verso l'intervallo di indirizzi IP 136.124.0.0/23.

La regola firewall predefinita per il traffico in uscita consente questo traffico, se non esiste una regola con priorità più elevata che lo blocca.

restricted.firestore.goog

Utilizza restricted.firestore.goog per accedere al servizio Cloud Firestore utilizzando un insieme di indirizzi IP instradabili solo da Google Cloud. Può essere utilizzato negli scenari dei Controlli di servizio VPC.

199.36.153.2/31

Configura i record DNS per inviare richieste all'intervallo di indirizzi IP 199.36.153.2/31.

Verifica che la rete VPC disponga di route all'intervallo di indirizzi IP 199.36.153.2/31.

Verifica che le regole firewall consentano l'uscita verso l'intervallo di indirizzi IP 199.36.153.2/31.

Configurazione di rete

Questa sezione descrive come configurare la rete per accedere a Cloud Firestore utilizzando l'accesso privato Google.

Configurazione DNS

A differenza di altre API di Google, l'API Cloud Firestore utilizza nomi di dominio e indirizzi IP diversi per l'accesso privato Google:

restricted.firestore.goog consente l'accesso API all'API Cloud Firestore.
- Indirizzi IP: 199.36.153.2 e 199.36.153.3.
- Poiché Cloud Firestore è conforme ai Controlli di servizio VPC, puoi utilizzare questo dominio negli scenari dei Controlli di servizio VPC.

Per creare una zona DNS e record per Cloud Firestore:

Crea una zona DNS privata per firestore.goog.

A questo scopo, valuta la possibilità di creare una zona privata Cloud DNS.
Nella zona firestore.goog, crea i seguenti record:
1. Un record A per restricted.firestore.goog che punta ai seguenti indirizzi IP: 199.36.153.2 e 199.36.153.3.
2. Un record CNAME per *.firestore.goog che punta a restricted.firestore.goog.
Per creare questi record in Cloud DNS, consulta Aggiungere un record.

Configurazione del routing

La tua rete VPC deve avere route appropriate i cui hop successivi sono il gateway internet predefinito. Google Cloud non supporta l'instradamento del traffico verso le API e i servizi Google tramite altre istanze VM o hop successivi personalizzati. Nonostante sia chiamato gateway internet predefinito, i pacchetti inviati dalle VM nella tua rete VPC alle API e ai servizi Google rimangono all'interno della rete di Google.

Se selezioni l'opzione di dominio predefinita, le tue istanze VM si connettono al servizio Cloud Firestore utilizzando il seguente intervallo di indirizzi IP pubblici: 136.124.0.0/23 . Questi indirizzi IP sono instradabili pubblicamente, ma il percorso da una VM in una rete VPC a questi indirizzi rimane all'interno della rete di Google.
Google non pubblica route su internet per nessuno degli indirizzi IP utilizzati dal dominio restricted.firestore.goog. Di conseguenza, questo dominio può essere accessibile solo dalle VM in una rete VPC o dai sistemi on-premise connessi a una rete VPC.

Se la tua rete VPC contiene una route predefinita il cui hop successivo è il gateway internet predefinito, puoi utilizzare questa route per accedere al servizio Cloud Firestore senza dover creare route personalizzate. Per maggiori dettagli, vedi Routing con una route predefinita.

Se hai sostituito una route predefinita (destinazione 0.0.0.0/0 o ::0/0) con una route personalizzata il cui hop successivo non è il gateway internet predefinito, puoi soddisfare i requisiti di routing per il servizio Cloud Firestore utilizzando il routing personalizzato.

Routing con un percorso predefinito

Ogni rete VPC contiene una route predefinita IPv4 (0.0.0.0/0) quando viene creata.

La route predefinita fornisce un percorso agli indirizzi IP per le seguenti destinazioni:

Dominio predefinito (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Per istruzioni su come controllare la configurazione di una route predefinita in una determinata rete nella console Google Cloud e in Google Cloud CLI, consulta Configurare l'accesso privato Google.

Routing con route personalizzate

In alternativa a una route predefinita, puoi utilizzare route statiche personalizzate, ognuna con una destinazione più specifica e ognuna che utilizza l'hop successivo del gateway internet predefinito. Gli indirizzi IP di destinazione per le route dipendono dal dominio che scegli:

Dominio predefinito (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Per istruzioni sulla console Google Cloud e su Google Cloud CLI per controllare la configurazione delle route personalizzate in una determinata rete, consulta Configura l'accesso privato Google.

Configurazione del firewall

La configurazione del firewall della tua rete VPC deve consentire l'accesso dalle VM agli indirizzi IP utilizzati dal servizio Cloud Firestore. La regola allow egress implicita soddisfa questo requisito.

In alcune configurazioni firewall, devi creare regole di autorizzazione in uscita specifiche. Supponiamo, ad esempio, di aver creato una regola di negazione in uscita che blocca il traffico verso tutte le destinazioni (0.0.0.0 per IPv4). In questo caso, devi creare una regola firewall di autorizzazione in uscita la cui priorità sia superiore alla regola di negazione in uscita per ogni intervallo di indirizzi IP utilizzato dal dominio che scegli:

Dominio predefinito (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Per creare regole firewall, consulta Creazione di regole firewall. Puoi limitare le VM a cui si applicano le regole firewall quando definisci la destinazione di ogni regola di autorizzazione in uscita.

Configurazione dell'accesso privato Google

Puoi abilitare l'accesso privato Google dopo aver soddisfatto i requisiti di rete nella tua rete VPC. Per le istruzioni relative alla console Google Cloud e a Google Cloud CLI, segui i passaggi descritti in Attivare l'accesso privato Google.