Configure o acesso privado à Google no Firestore com compatibilidade com o MongoDB

Esta página descreve como ativar e configurar o acesso privado Google no Firestore com compatibilidade com o MongoDB.

Acerca do acesso privado à Google no Firestore com compatibilidade com o MongoDB

Por predefinição, quando uma VM do Compute Engine não tem um endereço IP externo atribuído à respetiva interface de rede, só pode enviar pacotes para outros destinos de endereços IP internos. Pode permitir que estas VMs se liguem ao serviço Firestore com compatibilidade com o MongoDB ativando o acesso privado à Google na sub-rede usada pela interface de rede da VM.

Serviços e protocolos aplicáveis

• As instruções neste guia aplicam-se apenas ao Firestore com compatibilidade com o MongoDB.

• Os domínios predefinidos e VIP usados pelo Firestore com compatibilidade com o MongoDB e os respetivos intervalos de IP suportam apenas o protocolo MongoDB na porta 443. Todos os outros protocolos não são suportados.

Requisitos de rede

Uma interface de VM pode alcançar as APIs e os serviços Google através da rede Google interna usando o acesso privado à Google se todas estas condições forem cumpridas:

• A interface da VM está ligada a uma sub-rede onde o acesso privado à Google está ativado.

• A interface da VM não tem um endereço IP externo atribuído.

• O endereço IP de origem dos pacotes enviados a partir da VM corresponde a um dos seguintes endereços IP.

  • O endereço IPv4 interno principal da interface da VM
  • Um endereço IPv4 interno de um intervalo de IPs de alias

Uma VM com um endereço IPv4 externo atribuído à respetiva interface de rede não precisa de acesso privado à Google para se ligar a APIs e serviços Google. No entanto, a rede VPC tem de cumprir os requisitos de acesso às APIs e aos serviços Google.

Autorizações de IAM

Os proprietários e os editores de projetos, bem como os principais da IAM com a função Administrador de rede podem criar ou atualizar sub-redes e atribuir endereços IP.

Para mais informações sobre as funções, leia a documentação sobre as funções de IAM.

Registo

O Cloud Logging captura todos os pedidos de API feitos a partir de instâncias de VMs em sub-redes que tenham o acesso privado à Google ativado. As entradas do registo identificam a origem do pedido da API como um endereço IP interno da instância de chamada.

Pode configurar a entrega de relatórios de utilização diária e de resumo mensal num contentor do Cloud Storage. Consulte a página Ver relatórios de utilização para ver detalhes.

Resumo da configuração

A tabela seguinte resume as diferentes formas de configurar o acesso privado da Google no Firestore com compatibilidade com o MongoDB. Para obter instruções mais detalhadas, consulte a secção Configuração de rede.

Opção de domínio	Intervalos de IP	Configuração de DNS	Configuração do encaminhamento	Configuração da firewall
Domínio predefinido (firestore.goog) Os domínios predefinidos são usados quando não configura registos de DNS para restricted.firestore.goog.	136.124.0.0/23	Acede ao serviço Firestore com compatibilidade com o MongoDB através dos respetivos endereços IP públicos, pelo que não é necessária uma configuração de DNS especial.	Verifique se a sua rede VPC pode encaminhar tráfego para os intervalos de endereços IP usados pelo serviço Firestore com compatibilidade com o MongoDB. Configuração básica: Confirme que tem trajetos predefinidos com o próximo salto default-internet-gateway e um intervalo de destino de 0.0.0.0/0. Crie esses trajetos se estiverem em falta. Configuração personalizada: Crie rotas para o intervalo de endereços 136.124.0.0/23 IP.	Verifique se as suas regras de firewall permitem a saída para o intervalo de endereços IP 136.124.0.0/23. A regra de firewall de saída de permissão predefinida permite este tráfego, se não existir uma regra de prioridade superior que o bloqueie.
restricted.firestore.goog Use restricted.firestore.goog para aceder ao serviço Firestore com compatibilidade com o MongoDB através de um conjunto de endereços IP apenas encaminháveis a partir de Google Cloud. Pode ser usado em cenários dos VPC Service Controls.	199.36.153.2/31	Configure registos de DNS para enviar pedidos para o intervalo de endereços IP 199.36.153.2/31.	Verifique se a sua rede VPC tem rotas para o 199.36.153.2/31 intervalo de endereços IP.	Verifique se as suas regras de firewall permitem a saída para o intervalo de endereços IP 199.36.153.2/31.

Configuração da rede

Esta secção descreve como configurar a sua rede para aceder ao Firestore com compatibilidade com o MongoDB através do acesso privado da Google.

Configuração de DNS

Ao contrário de outras APIs Google, a API Firestore com compatibilidade com o MongoDB usa nomes de domínios e endereços IP diferentes para o acesso privado à Google:

• O restricted.firestore.goog permite o acesso à API Firestore com compatibilidade com MongoDB.

  • Endereços IP: 199.36.153.2 e 199.36.153.3.

  • Uma vez que o Firestore com compatibilidade com o MongoDB está em conformidade com os VPC Service Controls, pode usar este domínio em cenários dos VPC Service Controls.

Para criar uma zona e registos de DNS para o Firestore com compatibilidade com o MongoDB:

1. Crie uma zona DNS privada para firestore.goog.

   Pondere criar uma zona privada do Cloud DNS para este fim.

2. Na zona firestore.goog, crie os seguintes registos:

   1. Um registo A para restricted.firestore.goog que aponta para os seguintes endereços IP: 199.36.153.2 e 199.36.153.3.

   2. Um registo CNAME para *.firestore.goog que aponta para restricted.firestore.goog.

   Para criar estes registos no Cloud DNS, consulte o artigo Adicione um registo.

Configuração do encaminhamento

A sua rede de VPC tem de ter rotas adequadas cujos próximos saltos sejam o gateway de Internet predefinido.O Google Cloud não suporta o encaminhamento de tráfego para APIs e serviços Google através de outras instâncias de VM ou próximos saltos personalizados. Apesar de ser denominado gateway de Internet predefinido, os pacotes enviados a partir de VMs na sua rede VPC para APIs e serviços Google permanecem na rede da Google.

• Se selecionar a opção de domínio predefinido, as suas instâncias de VM ligam-se ao serviço Firestore com compatibilidade com o MongoDB através do seguinte intervalo de endereços IP públicos: 136.124.0.0/23 . Estes endereços IP são encaminháveis publicamente, mas o caminho de uma VM numa rede VPC para esses endereços permanece na rede da Google.

• A Google não publica rotas na Internet para nenhum dos endereços IP usados pelo domínio restricted.firestore.goog. Consequentemente, este domínio só pode ser acedido por VMs numa rede VPC ou em sistemas no local ligados a uma rede VPC.

Se a sua rede VPC contiver uma rota predefinida cuja próxima etapa é a gateway de Internet predefinida, pode usar essa rota para aceder ao serviço Firestore com compatibilidade com o MongoDB, sem ter de criar rotas personalizadas. Consulte o artigo Encaminhamento com uma rota predefinida para ver detalhes.

Se substituiu uma rota predefinida (destino 0.0.0.0/0 ou ::0/0) por uma rota personalizada cujo salto seguinte não é a gateway de Internet predefinida, pode cumprir os requisitos de encaminhamento para o serviço de compatibilidade do Firestore com o MongoDB através do encaminhamento personalizado.

Encaminhamento com um trajeto predefinido

Cada rede VPC contém um encaminhamento predefinido IPv4 (0.0.0.0/0) quando é criada.

A rota predefinida fornece um caminho para os endereços IP dos seguintes destinos:

• Domínio predefinido (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Para ver Google Cloud instruções da consola e da CLI Google Cloud sobre como verificar a configuração de uma rota predefinida numa determinada rede, consulte o artigo Configurar o acesso privado à Google.

Planeamento de trajeto com rotas personalizadas

Em alternativa a uma rota predefinida, pode usar rotas estáticas personalizadas, cada uma com um destino mais específico e cada uma a usar o próximo salto do gateway de Internet predefinido. Os endereços IP de destino das rotas dependem do domínio que escolher:

• Domínio predefinido (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Para ver Google Cloud instruções da consola e da CLI do Google Cloud sobre como verificar a configuração de rotas personalizadas numa determinada rede, consulte o artigo Configure o acesso privado à Google.

Configuração da firewall

A configuração da firewall da sua rede VPC tem de permitir o acesso das VMs aos endereços IP usados pelo serviço Firestore com compatibilidade com o MongoDB. A regra allow egress implícita cumpre este requisito.

Em algumas configurações de firewall, tem de criar regras de permissão de saída específicas. Por exemplo, suponhamos que criou uma regra de negação de saída que bloqueia o tráfego para todos os destinos (0.0.0.0 para IPv4). Nesse caso, tem de criar uma regra de firewall de permissão de saída cuja prioridade seja superior à regra de negação de saída para cada intervalo de endereços IP usado pelo domínio que escolher:

• Domínio predefinido (firestore.goog: 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Para criar regras de firewall, consulte o artigo Criar regras de firewall. Pode limitar as VMs às quais as regras de firewall se aplicam quando define o destino de cada regra de autorização de saída.

Configuração do acesso privado do Google

Pode ativar o acesso privado à Google depois de cumprir os requisitos de rede na sua rede VPC. Para obter instruções da Google Cloud consola e da CLI gcloud, siga os passos descritos em Ative o acesso privado à Google.

O que se segue?

• Proteção com os VPC Service Controls
• Configure o acesso privado do Google