Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Định cấu hình Private Google Access trong Firestore có khả năng tương thích với MongoDB

Trang này mô tả cách bật và định cấu hình Private Google Access trong Cloud Firestore.

Giới thiệu về Private Google Access trong Cloud Firestore

Theo mặc định, khi máy ảo Compute Engine không có địa chỉ IP bên ngoài được chỉ định cho giao diện mạng, thì máy ảo đó chỉ có thể gửi các gói đến những đích đến có địa chỉ IP nội bộ khác. Bạn có thể cho phép các VM này kết nối với dịch vụ Cloud Firestore bằng cách bật tính năng Truy cập riêng tư vào Google trên mạng con mà giao diện mạng của VM sử dụng.

Các dịch vụ và giao thức hiện hành

Hướng dẫn trong bài viết này chỉ áp dụng cho Cloud Firestore.
Miền mặc định và miền VIP mà Cloud Firestore sử dụng và dải IP của các miền này chỉ hỗ trợ giao thức MongoDB trên cổng 443. Chúng tôi không hỗ trợ tất cả các giao thức khác.

Yêu cầu về mạng

Giao diện VM có thể truy cập vào các API và dịch vụ của Google thông qua mạng nội bộ của Google bằng cách sử dụng tính năng Truy cập riêng tư vào Google nếu đáp ứng tất cả các điều kiện sau:

Giao diện VM được kết nối với một mạng con có bật tính năng Private Google Access.
Giao diện máy ảo không được chỉ định địa chỉ IP bên ngoài.
Địa chỉ IP nguồn của các gói được gửi từ VM khớp với một trong các địa chỉ IP sau.
- Địa chỉ IPv4 nội bộ chính của giao diện máy ảo
- Địa chỉ IPv4 nội bộ trong dải IP bí danh

Một VM có địa chỉ IPv4 bên ngoài được chỉ định cho giao diện mạng không cần Quyền truy cập riêng tư vào Google để kết nối với các API và dịch vụ của Google. Tuy nhiên, mạng VPC phải đáp ứng các yêu cầu để truy cập vào các API và dịch vụ của Google.

Quyền IAM

Chủ sở hữu dự án, người chỉnh sửa và các thực thể IAM có vai trò Quản trị viên mạng có thể tạo hoặc cập nhật mạng con và chỉ định địa chỉ IP.

Để biết thêm thông tin về các vai trò, hãy đọc tài liệu về các vai trò của IAM.

Ghi nhật ký

Cloud Logging ghi lại tất cả các yêu cầu API được thực hiện từ các phiên bản VM trong những mạng con đã bật tính năng Truy cập riêng tư vào Google. Các mục nhật ký xác định nguồn của yêu cầu API là địa chỉ IP nội bộ của phiên bản gọi.

Bạn có thể định cấu hình để báo cáo sử dụng hằng ngày và báo cáo thông tin tổng quan hằng tháng được gửi đến một nhóm Cloud Storage. Hãy xem trang Xem báo cáo sử dụng để biết thông tin chi tiết.

Tóm tắt cấu hình

Bảng sau đây tóm tắt các cách mà bạn có thể định cấu hình Private Google Access trong Cloud Firestore. Để biết thêm thông tin hướng dẫn chi tiết, hãy xem phần Cấu hình mạng.

Lựa chọn về miền Dải IP Cấu hình DNS Cấu hình định tuyến Cấu hình tường lửa

Lựa chọn về miền	Dải IP	Cấu hình DNS	Cấu hình định tuyến	Cấu hình tường lửa
Miền mặc định (`firestore.goog`) Các miền mặc định được dùng khi bạn không định cấu hình bản ghi DNS cho `restricted.firestore.goog`.	`136.124.0.0/23`	Bạn truy cập vào dịch vụ Cloud Firestore thông qua địa chỉ IP công khai của dịch vụ này, nên không cần cấu hình DNS đặc biệt.	Kiểm tra để đảm bảo mạng VPC của bạn có thể định tuyến lưu lượng truy cập đến các dải địa chỉ IP mà dịch vụ Cloud Firestore sử dụng. Cấu hình cơ bản: Xác nhận rằng bạn có các tuyến đường mặc định với bước tiếp theo `default-internet-gateway` và một dải đích `0.0.0.0/0`. Tạo những tuyến đường đó nếu chúng bị thiếu. Cấu hình tuỳ chỉnh: Tạo các tuyến đường đến dải địa chỉ IP `136.124.0.0/23`.	Kiểm tra để đảm bảo các quy tắc tường lửa của bạn cho phép lưu lượng truy cập đi đến dải địa chỉ IP `136.124.0.0/23`. Quy tắc mặc định cho phép lưu lượng truy cập đi ra của tường lửa sẽ cho phép lưu lượng truy cập này nếu không có quy tắc nào có mức độ ưu tiên cao hơn chặn lưu lượng truy cập đó.
`restricted.firestore.goog` Sử dụng `restricted.firestore.goog` để truy cập vào dịch vụ Cloud Firestore bằng cách chỉ sử dụng một nhóm địa chỉ IP có thể định tuyến từ bên trong Google Cloud. Có thể dùng trong các trường hợp sử dụng VPC Service Controls.	`199.36.153.2/31`	Định cấu hình bản ghi DNS để gửi yêu cầu đến dải địa chỉ IP `199.36.153.2/31`.	Kiểm tra để đảm bảo mạng VPC của bạn có các tuyến đường đến dải địa chỉ IP `199.36.153.2/31`.	Kiểm tra để đảm bảo các quy tắc tường lửa của bạn cho phép lưu lượng truy cập đi đến dải địa chỉ IP `199.36.153.2/31`.

Miền mặc định (firestore.goog)

Các miền mặc định được dùng khi bạn không định cấu hình bản ghi DNS cho restricted.firestore.goog.

136.124.0.0/23

Bạn truy cập vào dịch vụ Cloud Firestore thông qua địa chỉ IP công khai của dịch vụ này, nên không cần cấu hình DNS đặc biệt.

Kiểm tra để đảm bảo mạng VPC của bạn có thể định tuyến lưu lượng truy cập đến các dải địa chỉ IP mà dịch vụ Cloud Firestore sử dụng.

Cấu hình cơ bản: Xác nhận rằng bạn có các tuyến đường mặc định với bước tiếp theo default-internet-gateway và một dải đích 0.0.0.0/0. Tạo những tuyến đường đó nếu chúng bị thiếu.
Cấu hình tuỳ chỉnh: Tạo các tuyến đường đến dải địa chỉ IP 136.124.0.0/23.

Kiểm tra để đảm bảo các quy tắc tường lửa của bạn cho phép lưu lượng truy cập đi đến dải địa chỉ IP 136.124.0.0/23.

Quy tắc mặc định cho phép lưu lượng truy cập đi ra của tường lửa sẽ cho phép lưu lượng truy cập này nếu không có quy tắc nào có mức độ ưu tiên cao hơn chặn lưu lượng truy cập đó.

restricted.firestore.goog

Sử dụng restricted.firestore.goog để truy cập vào dịch vụ Cloud Firestore bằng cách chỉ sử dụng một nhóm địa chỉ IP có thể định tuyến từ bên trong Google Cloud. Có thể dùng trong các trường hợp sử dụng VPC Service Controls.

199.36.153.2/31

Định cấu hình bản ghi DNS để gửi yêu cầu đến dải địa chỉ IP 199.36.153.2/31.

Kiểm tra để đảm bảo mạng VPC của bạn có các tuyến đường đến dải địa chỉ IP 199.36.153.2/31.

Kiểm tra để đảm bảo các quy tắc tường lửa của bạn cho phép lưu lượng truy cập đi đến dải địa chỉ IP 199.36.153.2/31.

Cấu hình mạng

Phần này mô tả cách định cấu hình mạng để truy cập vào Cloud Firestore bằng cách sử dụng Quyền truy cập riêng tư của Google.

Cấu hình DNS

Không giống như các API khác của Google, API Cloud Firestore sử dụng tên miền và địa chỉ IP khác nhau cho Quyền truy cập riêng tư vào Google:

restricted.firestore.goog cho phép truy cập API vào API Cloud Firestore.
- Địa chỉ IP: 199.36.153.2 và 199.36.153.3.
- Vì Cloud Firestore tuân thủ VPC Service Controls, nên bạn có thể sử dụng miền này trong các trường hợp sử dụng VPC Service Controls.

Cách tạo vùng DNS và bản ghi cho Cloud Firestore:

Tạo một vùng DNS riêng cho firestore.goog.

Hãy cân nhắc tạo một vùng riêng tư Cloud DNS cho mục đích này.
Trong vùng firestore.goog, hãy tạo các bản ghi sau:
1. Bản ghi A cho restricted.firestore.goog trỏ đến các địa chỉ IP sau: 199.36.153.2 và 199.36.153.3.
2. Bản ghi CNAME cho *.firestore.goog trỏ đến restricted.firestore.goog.
Để tạo các bản ghi này trong Cloud DNS, hãy xem phần thêm bản ghi.

Cấu hình định tuyến

Mạng VPC của bạn phải có các tuyến đường phù hợp mà bước tiếp theo là cổng internet mặc định. Google Cloud không hỗ trợ định tuyến lưu lượng truy cập đến các API và dịch vụ của Google thông qua các phiên bản máy ảo khác hoặc các bước nhảy tuỳ chỉnh tiếp theo. Mặc dù được gọi là cổng Internet mặc định, nhưng các gói được gửi từ VM trong mạng VPC đến các API và dịch vụ của Google vẫn nằm trong mạng của Google.

Nếu bạn chọn miền mặc định, các phiên bản VM sẽ kết nối với dịch vụ Cloud Firestore bằng dải địa chỉ IP công khai sau: 136.124.0.0/23 . Các địa chỉ IP này có thể định tuyến công khai, nhưng đường dẫn từ một máy ảo trong mạng VPC đến các địa chỉ đó vẫn nằm trong mạng của Google.
Google không xuất bản các tuyến đường trên Internet đến bất kỳ địa chỉ IP nào mà miền restricted.firestore.goog sử dụng. Do đó, chỉ các máy ảo trong mạng VPC hoặc các hệ thống tại chỗ được kết nối với mạng VPC mới có thể truy cập vào miền này.

Nếu mạng VPC của bạn có một tuyến đường mặc định mà bước tiếp theo là cổng Internet mặc định, thì bạn có thể sử dụng tuyến đường đó để truy cập vào dịch vụ Cloud Firestore mà không cần tạo các tuyến đường tuỳ chỉnh. Hãy xem phần định tuyến bằng tuyến đường mặc định để biết thông tin chi tiết.

Nếu đã thay thế một tuyến đường mặc định (đích đến 0.0.0.0/0 hoặc ::0/0) bằng một tuyến đường tuỳ chỉnh có bước tiếp theo không phải là cổng internet mặc định, thì bạn có thể đáp ứng các yêu cầu về định tuyến cho dịch vụ Cloud Firestore bằng cách sử dụng tính năng định tuyến tuỳ chỉnh.

Định tuyến bằng tuyến đường mặc định

Mỗi mạng VPC đều chứa một tuyến mặc định IPv4 (0.0.0.0/0) khi được tạo.

Tuyến đường mặc định cung cấp một đường dẫn đến địa chỉ IP cho các đích đến sau đây:

Miền mặc định (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Để biết hướng dẫn về bảng điều khiển Google Cloud và Google Cloud CLI cách kiểm tra cấu hình của một tuyến đường mặc định trong một mạng nhất định, hãy xem phần Định cấu hình quyền truy cập riêng tư vào Google.

Định tuyến bằng các tuyến đường tuỳ chỉnh

Ngoài tuyến đường mặc định, bạn có thể sử dụng các tuyến tĩnh tuỳ chỉnh, mỗi tuyến có một đích đến cụ thể hơn và mỗi tuyến sử dụng bước tiếp theo của cổng internet mặc định. Địa chỉ IP đích cho các tuyến đường phụ thuộc vào miền mà bạn chọn:

Miền mặc định (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Để biết hướng dẫn về bảng điều khiển Google Cloud và Google Cloud CLI cách kiểm tra cấu hình của các tuyến tuỳ chỉnh trong một mạng nhất định, hãy xem phần Định cấu hình quyền truy cập riêng tư vào Google.

Cấu hình tường lửa

Cấu hình tường lửa của mạng VPC phải cho phép các VM truy cập vào địa chỉ IP mà dịch vụ Cloud Firestore sử dụng. Quy tắc allow egress ngầm định đáp ứng yêu cầu này.

Trong một số cấu hình tường lửa, bạn cần tạo các quy tắc cho phép lưu lượng truy cập đi ra cụ thể. Ví dụ: giả sử bạn đã tạo một quy tắc từ chối lưu lượng truy cập đi chặn lưu lượng truy cập đến tất cả các đích đến (0.0.0.0 cho IPv4). Trong trường hợp đó, bạn phải tạo một quy tắc tường lửa cho phép lưu lượng truy cập đi ra có mức độ ưu tiên cao hơn quy tắc từ chối lưu lượng truy cập đi ra cho từng dải địa chỉ IP mà miền bạn chọn sử dụng:

Miền mặc định (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Để tạo quy tắc tường lửa, hãy xem phần Tạo quy tắc tường lửa. Bạn có thể giới hạn những VM mà quy tắc tường lửa áp dụng khi xác định mục tiêu của từng quy tắc cho phép lưu lượng truy cập đi ra.

Cấu hình Private Google Access

Bạn có thể bật tính năng Private Google Access sau khi đáp ứng các yêu cầu về mạng trong mạng VPC. Đối với hướng dẫn về bảng điều khiển Cloud và Google Cloud CLI, hãy làm theo các bước được nêu trong phần Bật quyền truy cập riêng tư vào Google.