Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

MongoDB uyumlu Firestore'da Özel Google Erişimi'ni yapılandırma

Bu sayfada, Cloud Firestore'da Özel Google Erişimi'nin nasıl etkinleştirileceği ve yapılandırılacağı açıklanmaktadır.

Cloud Firestore'da Özel Google Erişimi hakkında

Varsayılan olarak, ağ arayüzüne atanmış harici IP adresi olmayan bir Compute Engine sanal makinesi yalnızca diğer dahili IP adresi hedeflerine paket gönderebilir. Sanal makinenin ağ arayüzü tarafından kullanılan alt ağda özel Google erişimini etkinleştirerek bu sanal makinelerin Cloud Firestore hizmetine bağlanmasına izin verebilirsiniz.

Geçerli hizmetler ve protokoller

Bu kılavuzdaki talimatlar yalnızca Cloud Firestore için geçerlidir.
Cloud Firestore tarafından kullanılan varsayılan ve VIP alanları ile IP aralıkları yalnızca 443 numaralı bağlantı noktasında MongoDB protokolünü destekler. Diğer tüm protokoller desteklenmez.

Ağ gereksinimleri

Aşağıdaki koşulların tümü karşılanıyorsa bir VM arayüzü, Özel Google Erişimi'ni kullanarak dahili Google ağı üzerinden Google API'lerine ve hizmetlerine ulaşabilir:

Sanal makine arayüzü, Özel Google Erişiminin etkinleştirildiği bir alt ağa bağlıdır.
Sanal makine arayüzüne harici bir IP adresi atanmamış.
Sanal makineden gönderilen paketlerin kaynak IP adresi, aşağıdaki IP adreslerinden biriyle eşleşiyor.
- Sanal makine arayüzünün birincil dahili IPv4 adresi
- Bir takma ad IP aralığındaki dahili IPv4 adresi

Ağ arayüzüne harici IPv4 adresi atanmış bir VM'nin Google API'lerine ve hizmetlerine bağlanmak için Özel Google Erişimi'ne ihtiyacı yoktur. Ancak VPC ağının Google API'lerine ve hizmetlerine erişim koşullarını karşılaması gerekir.

IAM izinleri

Proje sahipleri, düzenleyiciler ve Ağ Yöneticisi rolüne sahip IAM yöneticileri alt ağ oluşturabilir veya güncelleyebilir ve IP adresleri atayabilir.

Roller hakkında daha fazla bilgi için IAM rolleri dokümanlarını inceleyin.

Günlük Kaydı

Cloud Logging, Özel Google Erişimi'nin etkinleştirildiği alt ağlardaki sanal makine örneklerinden yapılan tüm API isteklerini yakalar. Günlük girişleri, API isteğinin kaynağını çağıran örneğin dahili IP adresi olarak tanımlar.

Günlük kullanım ve aylık özet raporlarının bir Cloud Storage pakete teslim edilmesini yapılandırabilirsiniz. Ayrıntılar için Kullanım Raporlarını Görüntüleme sayfasına bakın.

Yapılandırma özeti

Aşağıdaki tabloda, Cloud Firestore'da Özel Google Erişimi'ni yapılandırabileceğiniz farklı yöntemler özetlenmiştir. Daha ayrıntılı talimatlar ve bilgiler için Ağ yapılandırması başlıklı makaleyi inceleyin.

Alan adı seçeneği IP aralıkları DNS yapılandırması Yönlendirme yapılandırması Güvenlik duvarı yapılandırması

Alan adı seçeneği	IP aralıkları	DNS yapılandırması	Yönlendirme yapılandırması	Güvenlik duvarı yapılandırması
Varsayılan alan (`firestore.goog`) Varsayılan alanlar, `restricted.firestore.goog` için DNS kayıtlarını yapılandırmadığınızda kullanılır.	`136.124.0.0/23`	Cloud Firestore hizmetine genel IP adresleri üzerinden eriştiğiniz için özel bir DNS yapılandırması gerekmez.	VPC ağınızın, Cloud Firestore hizmeti tarafından kullanılan IP adresi aralıklarına trafik yönlendirebildiğini kontrol edin. Temel yapılandırma: Sonraki durak `default-internet-gateway` ve hedef aralığı `0.0.0.0/0` olan varsayılan rotalarınızın olduğunu onaylayın. Eksikse bu rotaları oluşturun. Özel yapılandırma: `136.124.0.0/23` IP adresi aralığına yönelik rotalar oluşturun.	Güvenlik duvarı kurallarınızın, `136.124.0.0/23` IP adresi aralığına çıkışa izin verdiğini kontrol edin. Varsayılan çıkış güvenlik duvarı kuralı, bu trafiği engelleyen daha yüksek öncelikli bir kural yoksa bu trafiğe izin verir.
`restricted.firestore.goog` Yalnızca Google Cloud'dan yönlendirilebilen bir dizi IP adresi kullanarak Cloud Firestore hizmetine erişmek için `restricted.firestore.goog` kullanın. VPC Hizmet Kontrolleri senaryolarında kullanılabilir.	`199.36.153.2/31`	İstekleri `199.36.153.2/31` IP adresi aralığına göndermek için DNS kayıtlarını yapılandırın.	VPC ağınızın `199.36.153.2/31` IP adresi aralığına rotaları olduğunu kontrol edin.	Güvenlik duvarı kurallarınızın, `199.36.153.2/31` IP adresi aralığına çıkışa izin verdiğini kontrol edin.

Varsayılan alan (firestore.goog)

Varsayılan alanlar, restricted.firestore.goog için DNS kayıtlarını yapılandırmadığınızda kullanılır.

136.124.0.0/23

Cloud Firestore hizmetine genel IP adresleri üzerinden eriştiğiniz için özel bir DNS yapılandırması gerekmez.

VPC ağınızın, Cloud Firestore hizmeti tarafından kullanılan IP adresi aralıklarına trafik yönlendirebildiğini kontrol edin.

Temel yapılandırma: Sonraki durak default-internet-gateway ve hedef aralığı 0.0.0.0/0 olan varsayılan rotalarınızın olduğunu onaylayın. Eksikse bu rotaları oluşturun.
Özel yapılandırma: 136.124.0.0/23 IP adresi aralığına yönelik rotalar oluşturun.

Güvenlik duvarı kurallarınızın, 136.124.0.0/23 IP adresi aralığına çıkışa izin verdiğini kontrol edin.

Varsayılan çıkış güvenlik duvarı kuralı, bu trafiği engelleyen daha yüksek öncelikli bir kural yoksa bu trafiğe izin verir.

restricted.firestore.goog

Yalnızca Google Cloud'dan yönlendirilebilen bir dizi IP adresi kullanarak Cloud Firestore hizmetine erişmek için restricted.firestore.goog kullanın. VPC Hizmet Kontrolleri senaryolarında kullanılabilir.

199.36.153.2/31

İstekleri 199.36.153.2/31 IP adresi aralığına göndermek için DNS kayıtlarını yapılandırın.

VPC ağınızın 199.36.153.2/31 IP adresi aralığına rotaları olduğunu kontrol edin.

Güvenlik duvarı kurallarınızın, 199.36.153.2/31 IP adresi aralığına çıkışa izin verdiğini kontrol edin.

Ağ yapılandırması

Bu bölümde, Özel Google Erişimi'ni kullanarak ağınızı Cloud Firestore'ya erişecek şekilde nasıl yapılandıracağınız açıklanmaktadır.

DNS yapılandırması

Diğer Google API'lerinden farklı olarak Cloud Firestore API'si, Özel Google Erişimi için farklı alan adları ve IP adresleri kullanır:

restricted.firestore.goog, Cloud Firestore API'sine API erişimini etkinleştirir.
- IP adresleri: 199.36.153.2 ve 199.36.153.3.
- Cloud Firestore, VPC Hizmet Kontrolleri ile uyumlu olduğundan bu alanı VPC Hizmet Kontrolleri senaryolarında kullanabilirsiniz.

Cloud Firestore için DNS bölgesi ve kayıtları oluşturmak üzere:

firestore.goog için özel bir DNS bölgesi oluşturun.

Bu amaçla Cloud DNS özel alt bölgesi oluşturmayı düşünebilirsiniz.
firestore.goog bölgesinde aşağıdaki kayıtları oluşturun:
1. A kaydı için restricted.firestore.goog Aşağıdaki IP adreslerine yönlendirir: 199.36.153.2 ve 199.36.153.3.
2. restricted.firestore.goog değerini gösteren *.firestore.goog için bir CNAME kaydı.
Bu kayıtları Cloud DNS'te oluşturmak için Kayıt ekleme başlıklı makaleyi inceleyin.

Yönlendirme yapılandırması

VPC ağınızda, sonraki durakları varsayılan internet ağ geçidi olan uygun rotalar bulunmalıdır. Google Cloud, trafiğin diğer sanal makine örnekleri veya özel sonraki atlamalar üzerinden Google API'lerine ve hizmetlerine yönlendirilmesini desteklemez. Varsayılan internet ağ geçidi olarak adlandırılmasına rağmen, VPC ağınızdaki sanal makinelerden Google API'lerine ve hizmetlerine gönderilen paketler Google'ın ağında kalır.

Varsayılan alan seçeneğini belirlerseniz sanal makine örnekleriniz aşağıdaki genel IP adresi aralığını kullanarak Cloud Firestore hizmetine bağlanır: 136.124.0.0/23 . Bu IP adresleri herkese açık olarak yönlendirilebilir ancak VPC ağındaki bir sanal makineden bu adreslere giden yol Google'ın ağı içinde kalır.
Google, restricted.firestore.goog alan adı tarafından kullanılan IP adreslerinden herhangi birine internette rota yayınlamaz. Dolayısıyla, bu alana yalnızca bir VPC ağındaki sanal makineler veya bir VPC ağına bağlı şirket içi sistemler erişebilir.

VPC ağınızda sonraki durak adresi varsayılan internet ağ geçidi olan bir varsayılan rota varsa özel rotalar oluşturmanıza gerek kalmadan Cloud Firestore hizmetine erişmek için bu rotayı kullanabilirsiniz. Ayrıntılar için varsayılan rotayla yönlendirme başlıklı makaleyi inceleyin.

Varsayılan bir rotayı (hedef 0.0.0.0/0 veya ::0/0) sonraki durağı varsayılan internet ağ geçidi olmayan özel bir rotayla değiştirdiyseniz Cloud Firestore hizmetinin yönlendirme şartlarını özel yönlendirmeyi kullanarak karşılayabilirsiniz.

Varsayılan rotayla yönlendirme

Her VPC ağı oluşturulduğunda bir IPv4 varsayılan rotası (0.0.0.0/0) içerir.

Varsayılan rota, aşağıdaki hedeflerin IP adreslerine giden bir yol sağlar:

Varsayılan alan (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Google Cloud Console ve Google Cloud CLI'da belirli bir ağdaki varsayılan rotanın yapılandırmasını kontrol etme talimatları için Özel Google Erişimi'ni Yapılandırma başlıklı makaleyi inceleyin.

Özel rotalarla yönlendirme

Varsayılan bir rotaya alternatif olarak, her biri daha belirli bir hedefe sahip olan ve her biri varsayılan internet ağ geçidi sonraki atlamasını kullanan özel statik rotalar kullanabilirsiniz. Rotaların hedef IP adresleri, seçtiğiniz alana bağlıdır:

Varsayılan alan (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Google Cloud Console ve Google Cloud CLI ile belirli bir ağdaki özel rotaların yapılandırmasını kontrol etme talimatları için Özel Google Erişimi'ni Yapılandırma başlıklı makaleye bakın.

Güvenlik duvarı yapılandırması

VPC ağınızın güvenlik duvarı yapılandırması, sanal makinelerden Cloud Firestore hizmeti tarafından kullanılan IP adreslerine erişime izin vermelidir. İçerilen allow egress kuralı bu koşulu karşılar.

Bazı güvenlik duvarı yapılandırmalarında belirli çıkış izin kuralları oluşturmanız gerekir. Örneğin, tüm hedeflere (IPv4 için 0.0.0.0) giden trafiği engelleyen bir çıkış reddetme kuralı oluşturduğunuzu varsayalım. Bu durumda, seçtiğiniz alan tarafından kullanılan her IP adresi aralığı için önceliği çıkış reddetme kuralından daha yüksek olan bir çıkışa izin verme güvenlik duvarı kuralı oluşturmanız gerekir:

Varsayılan alan (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Güvenlik duvarı kuralları oluşturmak için Güvenlik duvarı kuralları oluşturma başlıklı makaleyi inceleyin. Her çıkış izin kuralının hedefini tanımlarken güvenlik duvarı kurallarının geçerli olacağı sanal makineleri sınırlayabilirsiniz.

Özel Google Erişimi yapılandırması

VPC ağınızda ağ şartlarını karşıladıktan sonra Özel Google Erişimi'ni etkinleştirebilirsiniz. Google Cloud Console ve Google Cloud CLI talimatları için Özel Google Erişimi'ni etkinleştirme başlıklı makalede belirtilen adımları uygulayın.