Trang này mô tả cách bật và định cấu hình Private Google Access trong Cloud Firestore.
Giới thiệu về Private Google Access trong Cloud Firestore
Theo mặc định, khi một máy ảo Compute Engine không có địa chỉ IP bên ngoài được gán cho giao diện mạng, thì máy ảo đó chỉ có thể gửi gói đến các đích đến khác có địa chỉ IP nội bộ. Bạn có thể cho phép các máy ảo này kết nối với dịch vụ Cloud Firestore bằng cách bật Private Google Access trên mạng con mà giao diện mạng của máy ảo sử dụng.
Các dịch vụ và giao thức áp dụng
Hướng dẫn trong tài liệu này chỉ áp dụng cho Cloud Firestore.
Các miền mặc định và miền VIP mà Cloud Firestore sử dụng và dải IP của các miền này chỉ hỗ trợ giao thức MongoDB trên cổng 443. Chúng tôi không hỗ trợ tất cả các giao thức khác.
Yêu cầu về mạng
Giao diện máy ảo có thể truy cập vào các API và dịch vụ của Google thông qua mạng nội bộ của Google bằng cách sử dụng Private Google Access nếu đáp ứng tất cả các điều kiện sau:
Giao diện máy ảo được kết nối với một mạng con đã bật Private Google Access.
Giao diện máy ảo không có địa chỉ IP ngoài được gán.
Địa chỉ IP nguồn của các gói được gửi từ máy ảo khớp với một trong các địa chỉ IP sau.
- Địa chỉ IPv4 nội bộ chính của giao diện máy ảo
- Địa chỉ IPv4 nội bộ từ dải IP bí danh
Máy ảo có địa chỉ IPv4 bên ngoài được gán cho giao diện mạng không cần Private Google Access để kết nối với các API và dịch vụ của Google. Tuy nhiên, mạng VPC phải đáp ứng các yêu cầu để truy cập vào các API và dịch vụ của Google.
Quyền IAM
Chủ sở hữu dự án, người chỉnh sửa và các bên chính trong IAM có vai trò Quản trị viên mạng có thể tạo hoặc cập nhật mạng con và gán địa chỉ IP.
Để biết thêm thông tin về các vai trò, hãy đọc tài liệu về vai trò IAM.
Ghi nhật ký
Cloud Logging ghi lại tất cả các yêu cầu API được thực hiện từ các thực thể máy ảo trong các mạng con đã bật Private Google Access. Các mục trong nhật ký xác định nguồn của yêu cầu API là địa chỉ IP nội bộ của thực thể gọi.
Bạn có thể định cấu hình để các báo cáo tổng hợp hằng ngày và hằng tháng được gửi đến một vùng chứa Cloud Storage. Hãy xem trang Xem báo cáo mức sử dụng để biết thông tin chi tiết.
Tóm tắt cấu hình
Bảng sau đây tóm tắt các cách định cấu hình Private Google Access trong Cloud Firestore. Để biết thêm thông tin chi tiết về hướng dẫn, hãy xem bài viết Cấu hình mạng.
| Tuỳ chọn miền | Dải IP | Cấu hình DNS | Cấu hình định tuyến | Cấu hình tường lửa |
|---|---|---|---|---|
|
Miền mặc định (
Các miền mặc định được sử dụng khi bạn không định cấu hình bản ghi DNS
cho |
136.124.0.0/23
|
Bạn truy cập vào dịch vụ Cloud Firestore thông qua các địa chỉ IP công khai của dịch vụ này , vì vậy, bạn không cần định cấu hình DNS đặc biệt. |
Kiểm tra để đảm bảo rằng mạng VPC của bạn có thể định tuyến lưu lượng truy cập đến các dải địa chỉ IP mà dịch vụ Cloud Firestore sử dụng.
|
Kiểm tra để đảm bảo rằng các quy tắc tường lửa cho phép
lưu lượng truy cập đi ra đến dải địa chỉ IP Quy tắc tường lửa mặc định cho phép lưu lượng truy cập đi ra sẽ cho phép lưu lượng truy cập này nếu không có quy tắc nào có mức độ ưu tiên cao hơn chặn lưu lượng truy cập này. |
|
Sử dụng |
199.36.153.2/31 |
Định cấu hình bản ghi DNS để gửi yêu cầu
đến dải địa chỉ IP 199.36.153.2/31.
|
Kiểm tra để đảm bảo rằng mạng VPC của bạn có
các tuyến đến dải địa chỉ IP 199.36.153.2/31.
|
Kiểm tra để đảm bảo rằng các quy tắc tường lửa cho phép
lưu lượng truy cập đi ra đến dải địa chỉ IP 199.36.153.2/31.
|
Cấu hình mạng
Phần này mô tả cách định cấu hình mạng để truy cập vào Cloud Firestore bằng Private Google Access.
Cấu hình DNS
Không giống như các API khác của Google, API Cloud Firestore sử dụng tên miền và địa chỉ IP khác nhau cho Private Google Access:
restricted.firestore.googcho phép truy cập API vào API Cloud Firestore.Địa chỉ IP:
199.36.153.2và199.36.153.3.Vì Cloud Firestore tuân thủ VPC Service Controls, nên bạn có thể sử dụng miền này trong các trường hợp VPC Service Controls.
Cách tạo vùng DNS và bản ghi cho Cloud Firestore:
Tạo một vùng DNS riêng tư cho
firestore.goog.Hãy cân nhắc việc tạo một vùng riêng tư của Cloud DNS cho mục đích này.
Trong vùng
firestore.goog, hãy tạo các bản ghi sau:Bản ghi
Achorestricted.firestore.googtrỏ đến các địa chỉ IP sau:199.36.153.2và199.36.153.3.Bản ghi
CNAMEcho*.firestore.googtrỏ đếnrestricted.firestore.goog.
Để tạo các bản ghi này trong Cloud DNS, hãy xem bài viết thêm bản ghi.
Cấu hình định tuyến
Mạng VPC của bạn phải có các tuyến thích hợp mà chặng tiếp theo là cổng Internet mặc định. Google Cloud không hỗ trợ định tuyến lưu lượng truy cập đến các API và dịch vụ của Google thông qua các thực thể máy ảo khác hoặc các chặng tiếp theo tuỳ chỉnh. Mặc dù được gọi là cổng Internet mặc định, nhưng các gói được gửi từ máy ảo trong mạng VPC của bạn đến các API và dịch vụ của Google vẫn nằm trong mạng của Google.
Nếu bạn chọn tuỳ chọn miền mặc định, thì các thực thể máy ảo sẽ kết nối với dịch vụ Cloud Firestore bằng dải địa chỉ IP công khai sau:
136.124.0.0/23. Các địa chỉ IP này có thể định tuyến công khai, nhưng đường dẫn từ máy ảo trong mạng VPC đến các địa chỉ đó vẫn nằm trong mạng của Google.Google không xuất bản các tuyến trên Internet đến bất kỳ địa chỉ IP nào mà miền
restricted.firestore.googsử dụng. Do đó, chỉ các máy ảo trong mạng VPC hoặc các hệ thống tại chỗ được kết nối với mạng VPC mới có thể truy cập vào miền này.
Nếu mạng VPC của bạn chứa một tuyến mặc định mà chặng tiếp theo là cổng Internet mặc định, thì bạn có thể sử dụng tuyến đó để truy cập vào dịch vụ Cloud Firestore mà không cần tạo các tuyến tuỳ chỉnh. Hãy xem bài viết định tuyến bằng tuyến mặc định để biết thông tin chi tiết.
Nếu bạn đã thay thế một tuyến mặc định (đích đến 0.0.0.0/0 hoặc ::0/0) bằng
một tuyến tuỳ chỉnh mà chặng tiếp theo không phải là cổng Internet mặc định, thì bạn có thể
đáp ứng các yêu cầu về định tuyến cho dịch vụ Cloud Firestore
bằng cách sử dụng tính năng định tuyến tuỳ chỉnh thay thế.
Định tuyến bằng tuyến mặc định
Mỗi mạng VPC đều chứa một tuyến mặc định IPv4 (0.0.0.0/0) khi được tạo.
Tuyến mặc định cung cấp một đường dẫn đến các địa chỉ IP cho các đích đến sau:
- Miền mặc định (
firestore.goog):136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Để biết hướng dẫn về bảng điều khiển Cloud Google và Google Cloud CLI về cách kiểm tra cấu hình của một tuyến mặc định trong một mạng nhất định, hãy xem Định cấu hình Private Google Access.
Định tuyến bằng các tuyến tuỳ chỉnh
Ngoài tuyến mặc định, bạn có thể sử dụng các tuyến tĩnh tuỳ chỉnh, mỗi tuyến có một đích đến cụ thể hơn và mỗi tuyến sử dụng chặng tiếp theo là cổng Internet mặc định. Địa chỉ IP đích đến cho các tuyến phụ thuộc vào miền mà bạn chọn:
- Miền mặc định (
firestore.goog):136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Để biết hướng dẫn về bảng điều khiển Cloud và Google Cloud CLI về cách kiểm tra cấu hình của các tuyến tuỳ chỉnh trong một mạng nhất định, hãy xem Định cấu hình Private Google Access.
Cấu hình tường lửa
Cấu hình tường lửa của mạng VPC phải cho phép
các máy ảo truy cập vào các địa chỉ IP mà dịch vụ Cloud Firestore
sử dụng. Quy tắc allow egress ngụ ý đáp ứng yêu cầu này.
Trong một số cấu hình tường lửa, bạn cần tạo các quy tắc cụ thể cho phép lưu lượng truy cập đi ra.
Ví dụ: giả sử bạn đã tạo một quy tắc từ chối lưu lượng truy cập đi ra chặn lưu lượng truy cập đến tất cả các đích đến (0.0.0.0 cho IPv4). Trong trường hợp đó, bạn phải tạo một quy tắc tường lửa cho phép lưu lượng truy cập đi ra
có mức độ ưu tiên cao hơn quy tắc từ chối lưu lượng truy cập đi ra cho từng
dải địa chỉ IP mà miền bạn chọn sử dụng:
- Miền mặc định (
firestore.goog:136.124.0.0/23 restricted.firestore.goog:199.36.153.2/31
Để tạo quy tắc tường lửa, hãy xem bài viết Tạo quy tắc tường lửa. Bạn có thể giới hạn các máy ảo mà quy tắc tường lửa áp dụng khi xác định mục tiêu của từng quy tắc cho phép lưu lượng truy cập đi ra.
Cấu hình Private Google Access
Bạn có thể bật Private Google Access sau khi đáp ứng các yêu cầu về mạng trong mạng VPC. Để biết hướng dẫn về bảng điều khiển Google Cloud và Google Cloud CLI, hãy làm theo các bước nêu trong Bật Private Google Access.