Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Konfigurowanie prywatnego dostępu do Google w Firestore w trybie zgodności z MongoDB

Na tej stronie opisujemy, jak włączyć i skonfigurować prywatny dostęp do Google w Cloud Firestore.

Prywatny dostęp do Google w Cloud Firestore

Domyślnie, gdy maszyna wirtualna Compute Engine nie ma zewnętrznego adresu IP przypisanego do interfejsu sieciowego, może wysyłać pakiety tylko do innych wewnętrznych adresów IP. Możesz zezwolić tym maszynom wirtualnym na łączenie się z usługą Cloud Firestore przez włączenie prywatnego dostępu do Google w podsieci używanej przez interfejs sieciowy maszyny wirtualnej.

Obowiązujące usługi i protokoły

Instrukcje w tym przewodniku dotyczą tylko Cloud Firestore.
Domyślne domeny i domeny VIP używane przez Cloud Firestore oraz ich zakresy adresów IP obsługują tylko protokół MongoDB na porcie 443. Wszystkie inne protokoły nie są obsługiwane.

Wymagania związane z siecią

Interfejs maszyny wirtualnej może uzyskiwać dostęp do interfejsów API Google i usług przez wewnętrzną sieć Google za pomocą prywatnego dostępu do Google, jeśli spełnione są te warunki:

Interfejs maszyny wirtualnej jest połączony z podsiecią, w której włączono prywatny dostęp do Google.
Do interfejsu maszyny wirtualnej nie jest przypisany zewnętrzny adres IP.
Źródłowy adres IP pakietów wysyłanych z maszyny wirtualnej jest zgodny z jednym z tych adresów IP.
- Podstawowy wewnętrzny adres IPv4 interfejsu maszyny wirtualnej.
- Wewnętrzny adres IPv4 z zakresu adresów IP aliasu.

Maszyna wirtualna z zewnętrznym adresem IPv4 przypisanym do interfejsu sieciowego nie potrzebuje prywatnego dostępu do Google, aby łączyć się z interfejsami API Google i usługami Google. Sieć VPC musi jednak spełniać wymagania dotyczące dostępu do interfejsów API Google i usług.

Uprawnienia

Właściciele i edytorzy projektu oraz podmioty zabezpieczeń IAM z przypisaną rolą administratora sieci mogą tworzyć i aktualizować podsieci oraz przypisywać adresy IP.

Więcej informacji o rolach znajdziesz w dokumentacji ról IAM.

Logowanie

Cloud Logging rejestruje wszystkie żądania API wysyłane z instancji maszyn wirtualnych w podsieciach w których włączono prywatny dostęp do Google. Wpisy w logach identyfikują źródło żądania do interfejsu API jako wewnętrzny adres IP instancji wywołującej.

Możesz skonfigurować codzienne raporty dotyczące wykorzystania i miesięczne podsumowania, aby były dostarczane do zasobnika Cloud Storage. Więcej informacji znajdziesz na stronie Wyświetlanie raportów dotyczących wykorzystania.

Podsumowanie konfiguracji

W tabeli poniżej znajdziesz podsumowanie różnych sposobów konfigurowania prywatnego dostępu do Google w Cloud Firestore. Bardziej szczegółowe instrukcje znajdziesz w sekcji Konfiguracja sieci.

Opcja domeny Zakresy adresów IP Konfiguracja DNS Konfiguracja routingu Konfiguracja zapory sieciowej

Opcja domeny	Zakresy adresów IP	Konfiguracja DNS	Konfiguracja routingu	Konfiguracja zapory sieciowej
Domyślna domena (`firestore.goog`) Domyślne domeny są używane, gdy nie skonfigurujesz rekordów DNS dla `restricted.firestore.goog`.	`136.124.0.0/23`	Dostęp do usługi Cloud Firestore uzyskujesz za pomocą jej publicznych adresów IP, więc nie jest wymagana żadna specjalna konfiguracja DNS.	Sprawdź, czy Twoja sieć VPC może kierować ruch do zakresów adresów IP używanych przez usługę Cloud Firestore. Konfiguracja podstawowa: sprawdź, czy masz trasy domyślne z następnym przeskokiem `default-internet-gateway` i zakresem docelowym `0.0.0.0/0`. Jeśli brakuje tych tras, utwórz je. Konfiguracja niestandardowa: utwórz trasy do zakresu adresów IP `136.124.0.0/23`.	Sprawdź, czy reguły zapory sieciowej zezwalają na ruch wychodzący do zakresu adresów IP `136.124.0.0/23`. Domyślna reguła zapory sieciowej zezwalająca na ruch wychodzący zezwala na ten ruch, jeśli nie ma reguły o wyższym priorytecie, która go blokuje.
`restricted.firestore.goog` Użyj `restricted.firestore.goog`, aby uzyskać dostęp do usługi Cloud Firestore za pomocą zestawu adresów IP, do których można kierować ruch tylko z Google Cloud. Może być używana w scenariuszach Ustawień usługi VPC.	`199.36.153.2/31`	Skonfiguruj rekordy DNS, aby wysyłać żądania do zakresu adresów IP `199.36.153.2/31`.	Sprawdź, czy Twoja sieć VPC ma trasy do `199.36.153.2/31` zakresu adresów IP.	Sprawdź, czy reguły zapory sieciowej zezwalają na ruch wychodzący do zakresu adresów IP `199.36.153.2/31`.

Domyślna domena (firestore.goog)

Domyślne domeny są używane, gdy nie skonfigurujesz rekordów DNS dla restricted.firestore.goog.

136.124.0.0/23

Dostęp do usługi Cloud Firestore uzyskujesz za pomocą jej publicznych adresów IP, więc nie jest wymagana żadna specjalna konfiguracja DNS.

Sprawdź, czy Twoja sieć VPC może kierować ruch do zakresów adresów IP używanych przez usługę Cloud Firestore.

Konfiguracja podstawowa: sprawdź, czy masz trasy domyślne z następnym przeskokiem default-internet-gateway i zakresem docelowym 0.0.0.0/0. Jeśli brakuje tych tras, utwórz je.
Konfiguracja niestandardowa: utwórz trasy do zakresu adresów IP 136.124.0.0/23.

Sprawdź, czy reguły zapory sieciowej zezwalają na ruch wychodzący do zakresu adresów IP 136.124.0.0/23.

Domyślna reguła zapory sieciowej zezwalająca na ruch wychodzący zezwala na ten ruch, jeśli nie ma reguły o wyższym priorytecie, która go blokuje.

restricted.firestore.goog

Użyj restricted.firestore.goog, aby uzyskać dostęp do usługi Cloud Firestore za pomocą zestawu adresów IP, do których można kierować ruch tylko z Google Cloud. Może być używana w scenariuszach Ustawień usługi VPC.

199.36.153.2/31

Skonfiguruj rekordy DNS, aby wysyłać żądania do zakresu adresów IP 199.36.153.2/31.

Sprawdź, czy Twoja sieć VPC ma trasy do 199.36.153.2/31 zakresu adresów IP.

Sprawdź, czy reguły zapory sieciowej zezwalają na ruch wychodzący do zakresu adresów IP 199.36.153.2/31.

Konfiguracja sieci

W tej sekcji opisujemy, jak skonfigurować sieć, aby uzyskać dostęp do Cloud Firestore za pomocą prywatnego dostępu do Google.

Konfiguracja DNS

W przeciwieństwie do innych interfejsów API Google interfejs Cloud Firestore API używa różnych nazw domen i adresów IP na potrzeby prywatnego dostępu do Google:

restricted.firestore.goog umożliwia dostęp do interfejsu Cloud Firestore API.
- Adresy IP: 199.36.153.2 i 199.36.153.3.
- Ponieważ Cloud Firestore jest zgodna z Ustawieniami usługi VPC, możesz używać tej domeny w scenariuszach Ustawień usługi VPC.

Aby utworzyć strefę DNS i rekordy dla Cloud Firestore:

Utwórz prywatną strefę DNS dla firestore.goog.

W tym celu rozważ utworzenie prywatnej strefy Cloud DNS.
W strefie firestore.goog utwórz te rekordy:
1. Rekord A dla restricted.firestore.goog, który wskazuje te adresy IP: 199.36.153.2 i 199.36.153.3.
2. Rekord CNAME dla *.firestore.goog, który wskazuje restricted.firestore.goog.
Aby utworzyć te rekordy w Cloud DNS, przeczytaj artykuł Dodawanie rekordu.

Konfiguracja routingu

Twoja sieć VPC musi mieć odpowiednie trasy, których następne przeskoki są domyślną bramą internetową. Google Cloud nie obsługuje kierowania ruchu do interfejsów API Google i usług przez inne instancje maszyn wirtualnych ani niestandardowe następne przeskoki. Mimo że nazywa się domyślną bramą internetową, pakiety wysyłane z maszyn wirtualnych w Twojej sieci VPC do interfejsów API Google i usług Google pozostają w sieci Google.

Jeśli wybierzesz opcję domyślnej domeny, instancje maszyn wirtualnych będą łączyć się z usługą Cloud Firestore za pomocą tego zakresu publicznych adresów IP: 136.124.0.0/23 . Te adresy IP są publicznie kierowane, ale ścieżka z maszyny wirtualnej w sieci VPC do tych adresów pozostaje w sieci Google.
Google nie publikuje w internecie tras do żadnego z adresów IP używanych przez domenę restricted.firestore.goog. W związku z tym do tej domeny mogą uzyskiwać dostęp tylko maszyny wirtualne w sieci VPC lub systemy lokalne połączone z siecią VPC.

Jeśli Twoja sieć VPC zawiera trasę domyślną , której następny przeskok jest domyślną bramą internetową, możesz użyć tej trasy, aby uzyskać dostęp do usługi Cloud Firestore, bez konieczności tworzenia tras niestandardowych. Więcej informacji znajdziesz w artykule Routing z trasą domyślną.

Jeśli zastąpisz trasę domyślną (miejsce docelowe 0.0.0.0/0 lub ::0/0) trasą niestandardową, której następny przeskok jest nie domyślną bramą internetową, możesz spełnić wymagania dotyczące routingu w usłudze Cloud Firestore za pomocą routingu niestandardowego zamiast tego.

Routing z trasą domyślną

Każda sieć VPC zawiera trasę domyślną IPv4 (0.0.0.0/0) podczas jej tworzenia.

Trasa domyślna zapewnia ścieżkę do adresów IP tych miejsc docelowych:

Domyślna domena (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Instrukcje dotyczące sprawdzania konfiguracji trasy domyślnej w danej sieci w konsoli Google Cloud i Google Cloud CLI znajdziesz w artykule Konfigurowanie prywatnego dostępu do Google.

Routing z trasami niestandardowymi

Zamiast trasy domyślnej możesz używać niestandardowych tras statycznych, z których każda ma bardziej szczegółowe miejsce docelowe i używa domyślnej bramy internetowej jako następnego przeskoku. Adresy IP miejsca docelowego dla tras zależą od wybranej domeny:

Domyślna domena (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Instrukcje dotyczące sprawdzania konfiguracji tras niestandardowych w danej sieci w konsoli Google Cloud i Google Cloud CLI znajdziesz w artykule Konfigurowanie prywatnego dostępu do Google.

Konfiguracja zapory sieciowej

Konfiguracja zapory sieciowej w Twojej sieci VPC musi zezwalać na dostęp z maszyn wirtualnych do adresów IP używanych przez usługę Cloud Firestore. Implikowana reguła allow egress spełnia ten wymóg.

W niektórych konfiguracjach zapory sieciowej musisz utworzyć konkretne reguły zezwalające na ruch wychodzący. Załóżmy na przykład, że utworzono regułę odrzucania ruchu wychodzącego, która blokuje ruch do wszystkich miejsc docelowych (0.0.0.0 w przypadku IPv4). W takim przypadku musisz utworzyć regułę zapory sieciowej zezwalającą na ruch wychodzący, której priorytet jest wyższy niż reguły odrzucania ruchu wychodzącego, dla każdego zakresu adresów IP używanego przez wybraną domenę:

Domyślna domena (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Aby utworzyć reguły zapory sieciowej, przeczytaj artykuł Tworzenie reguł zapory sieciowej. Możesz ograniczyć maszyny wirtualne, do których mają zastosowanie reguły zapory sieciowej, definiując miejsce docelowe każdej reguły zezwalającej na ruch wychodzący.

Konfiguracja prywatnego dostępu do Google

Prywatny dostęp do Google możesz włączyć po spełnieniu wymagań sieciowych w sieci VPC. Instrukcje dotyczące konsoli Google Cloud i Google Cloud CLI znajdziesz w krokach opisanych w Włączanie prywatnego dostępu do Google.