กำหนดค่าการเข้าถึง Google แบบส่วนตัวใน Firestore ที่เข้ากันได้กับ MongoDB

หน้านี้อธิบายวิธีเปิดใช้และกำหนดค่าการเข้าถึง Google แบบส่วนตัวใน Cloud Firestore

เกี่ยวกับการเข้าถึง Google แบบส่วนตัวใน Cloud Firestore

โดยค่าเริ่มต้น เมื่อ Compute Engine VM ไม่มีที่อยู่ IP ภายนอก ที่กำหนดให้กับอินเทอร์เฟซเครือข่าย จะส่งแพ็กเกตไปยังปลายทางที่อยู่ IP ภายในอื่นๆ ได้เท่านั้น คุณอนุญาตให้ VM เหล่านี้เชื่อมต่อกับ Cloud Firestore บริการได้โดยการเปิดใช้การเข้าถึง Google แบบส่วนตัวในเครือข่ายย่อย ที่อินเทอร์เฟซเครือข่ายของ VM ใช้

บริการและโปรโตคอลที่เกี่ยวข้อง

• วิธีการในคู่มือนี้ใช้ได้กับ Cloud Firestore เท่านั้น

• โดเมนเริ่มต้นและโดเมน VIP ที่ใช้โดย Cloud Firestore และช่วง IP ของโดเมนเหล่านั้นรองรับเฉพาะโปรโตคอล MongoDB ในพอร์ต 443 ไม่รองรับโปรโตคอลอื่นๆ ทั้งหมด

ข้อกำหนดเกี่ยวกับเครือข่าย

อินเทอร์เฟซ VM สามารถเข้าถึง Google APIs และบริการต่างๆ ผ่านเครือข่ายภายในของ Google ได้โดยใช้การเข้าถึง Google แบบส่วนตัว หากเป็นไปตามเงื่อนไขต่อไปนี้ทั้งหมด

• อินเทอร์เฟซ VM เชื่อมต่อกับซับเน็ตที่เปิดใช้การเข้าถึง Google แบบส่วนตัว

• อินเทอร์เฟซ VM ไม่ได้กำหนดที่อยู่ IP ภายนอก

• ที่อยู่ IP ต้นทางของแพ็กเกตที่ส่งจาก VM ตรงกับที่อยู่ IP ต่อไปนี้

  • ที่อยู่ IPv4 ภายในหลักของอินเทอร์เฟซ VM
  • ที่อยู่ IPv4 ภายในจากช่วง IP แบบแทน

VM ที่มีที่อยู่ IPv4 ภายนอกที่กำหนดให้กับอินเทอร์เฟซเครือข่าย ไม่จำเป็นต้องมีการเข้าถึง Google แบบส่วนตัวเพื่อเชื่อมต่อกับ Google APIs และบริการต่างๆ อย่างไรก็ตาม เครือข่าย VPC ต้องเป็นไปตามข้อกำหนดในการเข้าถึง Google API และบริการ

สิทธิ์ IAM

เจ้าของโปรเจ็กต์ ผู้แก้ไข และผู้ใช้ IAM ที่มีบทบาทผู้ดูแลระบบเครือข่ายจะสร้างหรืออัปเดตซับเน็ตและกำหนดที่อยู่ IP ได้

ดูข้อมูลเพิ่มเติมเกี่ยวกับบทบาทได้ในเอกสารประกอบเกี่ยวกับบทบาท IAM

การบันทึก

Cloud Logging จะบันทึกคำขอ API ทั้งหมดที่ส่งจากอินสแตนซ์ VM ในเครือข่ายย่อย ที่เปิดใช้การเข้าถึง Google แบบส่วนตัว รายการบันทึกจะระบุแหล่งที่มาของ คำขอ API เป็นที่อยู่ IP ภายในของอินสแตนซ์ที่เรียก

คุณกำหนดค่ารายงานการใช้งานรายวันและรายงานสรุปรายเดือนให้ส่งไปยัง Cloud Storageที่เก็บข้อมูลได้ ดูรายละเอียดได้ที่หน้าการดูรายงานการใช้งาน

สรุปการกำหนดค่า

ตารางต่อไปนี้สรุปวิธีต่างๆ ที่คุณใช้กำหนดค่าCloud Firestoreให้ใช้ Private Google Access ได้ ดูวิธีการโดยละเอียดเพิ่มเติมได้ที่การกำหนดค่าเครือข่าย

ตัวเลือกโดเมน	ช่วง IP	การกำหนดค่า DNS	การกำหนดค่าการกำหนดเส้นทาง	การกำหนดค่าไฟร์วอลล์
โดเมนเริ่มต้น (firestore.goog) ระบบจะใช้โดเมนเริ่มต้นเมื่อคุณไม่ได้กำหนดค่าระเบียน DNS สำหรับ restricted.firestore.goog	136.124.0.0/23	คุณเข้าถึงบริการ Cloud Firestore ผ่านที่อยู่ IP สาธารณะ จึงไม่จำเป็นต้องมีการกำหนดค่า DNS พิเศษ	ตรวจสอบว่าเครือข่าย VPC สามารถกำหนดเส้นทางการรับส่งข้อมูลไปยังช่วงที่อยู่ IP ที่ใช้โดยบริการ Cloud Firestore ได้ การกำหนดค่าพื้นฐาน ยืนยันว่าคุณมีเส้นทางเริ่มต้นที่มี Next Hop default-internet-gateway และช่วงปลายทาง 0.0.0.0/0 สร้างเส้นทางเหล่านั้นหากไม่มี การกำหนดค่าที่กำหนดเอง สร้างเส้นทางไปยังช่วงที่อยู่ IP ของ 136.124.0.0/23	ตรวจสอบว่ากฎไฟร์วอลล์อนุญาตให้มีการส่งออกไปยังช่วงที่อยู่ IP ของ 136.124.0.0/23 กฎไฟร์วอลล์ขาออกเริ่มต้นที่อนุญาตจะอนุญาตการเข้าชมนี้ หากไม่มีกฎที่มีลำดับความสำคัญสูงกว่าที่บล็อกการเข้าชม
restricted.firestore.goog ใช้ restricted.firestore.goog เพื่อเข้าถึงบริการ Cloud Firestore โดยใช้ชุดที่อยู่ IP ที่กำหนดเส้นทางได้จากภายใน Google Cloud เท่านั้น ใช้ได้ในสถานการณ์การควบคุมบริการ VPC	199.36.153.2/31	กำหนดค่าระเบียน DNS เพื่อส่งคำขอ ไปยังช่วงที่อยู่ IP ของ 199.36.153.2/31	ตรวจสอบว่าเครือข่าย VPC มีเส้นทางไปยังช่วงที่อยู่ IP ของ 199.36.153.2/31	ตรวจสอบว่ากฎไฟร์วอลล์อนุญาตให้มีการส่งออกไปยังช่วงที่อยู่ IP ของ 199.36.153.2/31

การกำหนดค่าเครือข่าย

ส่วนนี้จะอธิบายวิธีกำหนดค่าเครือข่ายเพื่อเข้าถึง Cloud Firestore โดยใช้การเข้าถึง Google แบบส่วนตัว

การกำหนดค่า DNS

Cloud Firestore API ใช้ชื่อโดเมนและที่อยู่ IP ที่แตกต่างกันสำหรับการเข้าถึง Google แบบส่วนตัว ซึ่งแตกต่างจาก Google APIs อื่นๆ

• restricted.firestore.goog ช่วยให้เข้าถึง API ของ Cloud Firestore ได้

  • ที่อยู่ IP: 199.36.153.2 และ 199.36.153.3

  • เนื่องจาก Cloud Firestore เป็นไปตามการควบคุมบริการ VPC คุณจึงใช้โดเมนนี้ในสถานการณ์การควบคุมบริการ VPC ได้

วิธีสร้างโซนและระเบียน DNS สำหรับ Cloud Firestore

1. สร้างโซน DNS ส่วนตัวสำหรับ firestore.goog

   ลองสร้างโซนส่วนตัวของ Cloud DNS เพื่อวัตถุประสงค์นี้

2. ในfirestore.googโซน ให้สร้างระเบียนต่อไปนี้

   1. ระเบียน A สำหรับ restricted.firestore.goog ที่ชี้ไปยังที่อยู่ IP ต่อไปนี้ 199.36.153.2 และ 199.36.153.3

   2. ระเบียน CNAME สำหรับ *.firestore.goog ที่ชี้ไปยัง restricted.firestore.goog

   หากต้องการสร้างระเบียนเหล่านี้ใน Cloud DNS โปรดดูเพิ่มระเบียน

การกำหนดค่าการกำหนดเส้นทาง

เครือข่าย VPC ต้องมีเส้นทางที่เหมาะสมซึ่งมีฮอปถัดไปเป็นเกตเวย์อินเทอร์เน็ตเริ่มต้น Google Cloud ไม่รองรับการกำหนดเส้นทางการรับส่งข้อมูลไปยัง Google APIs และบริการต่างๆ ผ่านอินสแตนซ์ VM อื่นๆ หรือ Next Hop ที่กำหนดเอง แม้จะเรียกว่าเกตเวย์อินเทอร์เน็ตเริ่มต้น แต่แพ็กเก็ตที่ส่งจาก VM ในเครือข่าย VPC ไปยัง Google APIs และบริการของ Google จะยังคงอยู่ในเครือข่ายของ Google

• หากเลือกตัวเลือกโดเมนเริ่มต้น อินสแตนซ์ VM จะเชื่อมต่อกับบริการ Cloud Firestore โดยใช้ช่วงที่อยู่ IP สาธารณะต่อไปนี้ 136.124.0.0/23 ที่อยู่ IP เหล่านี้สามารถกำหนดเส้นทางแบบสาธารณะได้ แต่เส้นทางจาก VM ในเครือข่าย VPC ไปยังที่อยู่เหล่านั้นจะยังคงอยู่ภายในเครือข่ายของ Google

• Google ไม่ได้เผยแพร่เส้นทางบนอินเทอร์เน็ตไปยังที่อยู่ IP ใดๆ ที่ใช้โดยโดเมน restricted.firestore.goog ดังนั้น โดเมนนี้จึงเข้าถึงได้โดย VM ในเครือข่าย VPC หรือระบบภายในองค์กรที่เชื่อมต่อกับเครือข่าย VPC เท่านั้น

หากเครือข่าย VPC มีเส้นทางเริ่มต้น ที่มี Next Hop เป็นเกตเวย์อินเทอร์เน็ตเริ่มต้น คุณจะใช้เส้นทางนั้นเพื่อเข้าถึงบริการ Cloud Firestore ได้โดยไม่ต้องสร้างเส้นทางที่กำหนดเอง ดูรายละเอียดได้ที่การกำหนดเส้นทางด้วยเส้นทางเริ่มต้น

หากคุณแทนที่เส้นทางเริ่มต้น (ปลายทาง 0.0.0.0/0 หรือ ::0/0) ด้วย เส้นทางที่กำหนดเองซึ่งมีฮอพถัดไปไม่ใช่เกตเวย์อินเทอร์เน็ตเริ่มต้น คุณจะ ทำตามข้อกำหนดการกำหนดเส้นทางสำหรับบริการ Cloud Firestore ได้ โดยใช้การกำหนดเส้นทางที่กำหนดเองแทน

การกำหนดเส้นทางด้วยเส้นทางเริ่มต้น

เครือข่าย VPC แต่ละเครือข่ายจะมีเส้นทางเริ่มต้น IPv4 (0.0.0.0/0) เมื่อสร้าง

เส้นทางเริ่มต้นจะระบุเส้นทางไปยังที่อยู่ IP สำหรับปลายทางต่อไปนี้

• โดเมนเริ่มต้น (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

สำหรับคอนโซล Google Cloud และGoogle Cloud CLIวิธีการตรวจสอบ การกำหนดค่าเส้นทางเริ่มต้นในเครือข่ายที่กำหนด โปรดดูกำหนดค่าการเข้าถึง Google แบบส่วนตัว

การกำหนดเส้นทางด้วยเส้นทางที่กำหนดเอง

คุณสามารถใช้เส้นทางแบบคงที่ที่กำหนดเองแทนเส้นทางเริ่มต้นได้ โดยแต่ละเส้นทาง จะมีปลายทางที่เฉพาะเจาะจงมากขึ้น และแต่ละเส้นทางจะใช้เกตเวย์อินเทอร์เน็ตเริ่มต้น เป็นฮอปถัดไป ที่อยู่ IP ปลายทางสำหรับเส้นทางจะขึ้นอยู่กับ โดเมนที่คุณเลือก

• โดเมนเริ่มต้น (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

สำหรับคอนโซล Google Cloud และGoogle Cloud CLIวิธีการตรวจสอบการกำหนดค่าเส้นทางที่กำหนดเองในเครือข่ายที่กำหนด โปรดดูกำหนดค่าการเข้าถึง Google แบบส่วนตัว

การกำหนดค่าไฟร์วอลล์

การกำหนดค่าไฟร์วอลล์ของเครือข่าย VPC ต้องอนุญาตให้เข้าถึงจาก VM ไปยังที่อยู่ IP ที่ใช้โดยบริการ Cloud Firestore กฎ allow egress โดยนัยเป็นไปตามข้อกำหนดนี้

ในการกำหนดค่าไฟร์วอลล์บางอย่าง คุณต้องสร้างกฎการอนุญาตขาออกที่เฉพาะเจาะจง เช่น สมมติว่าคุณได้สร้างกฎการปฏิเสธขาออกที่บล็อกการเข้าชมไปยัง ปลายทางทั้งหมด (0.0.0.0 สำหรับ IPv4) ในกรณีดังกล่าว คุณต้องสร้างกฎไฟร์วอลล์ที่อนุญาตการออกที่มีลำดับความสำคัญสูงกว่ากฎปฏิเสธการออกสำหรับช่วงที่อยู่ IP แต่ละช่วงที่โดเมนที่คุณเลือกใช้

• โดเมนเริ่มต้น (firestore.goog: 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

หากต้องการสร้างกฎไฟร์วอลล์ โปรดดู การสร้างกฎไฟร์วอลล์ คุณสามารถจำกัด VM ที่ใช้กฎไฟร์วอลล์ได้เมื่อกำหนดเป้าหมายของกฎการอนุญาตขาออกแต่ละรายการ

การกำหนดค่าการเข้าถึง Google แบบส่วนตัว

คุณเปิดใช้การเข้าถึง Google แบบส่วนตัวได้หลังจากเป็นไปตามข้อกำหนดของเครือข่ายในเครือข่าย VPC แล้ว สำหรับคอนโซล Google Cloud และGoogle Cloud CLIวิธีการ ให้ทำตาม ขั้นตอนที่ระบุไว้ใน เปิดใช้การเข้าถึง Google แบบส่วนตัว

ขั้นตอนถัดไป

• การรักษาความปลอดภัยด้วยการควบคุมบริการ VPC
• กำหนดค่าการเข้าถึง Google แบบส่วนตัว