Esta página se ha traducido con Cloud Translation API.

Configurar el acceso privado de Google en Firestore con compatibilidad con MongoDB

En esta página se describe cómo habilitar y configurar el acceso privado a Google en Firestore con compatibilidad con MongoDB.

Información sobre el acceso privado de Google en Firestore con compatibilidad con MongoDB

De forma predeterminada, cuando una VM de Compute Engine no tiene asignada una dirección IP externa a su interfaz de red, solo puede enviar paquetes a otros destinos de direcciones IP internas. Puedes permitir que estas VMs se conecten al servicio de Firestore con compatibilidad con MongoDB habilitando el acceso privado a Google en la subred que usa la interfaz de red de la VM.

Servicios y protocolos aplicables

Las instrucciones de esta guía solo se aplican a Firestore con compatibilidad con MongoDB.
Los dominios predeterminados y VIP que usa la compatibilidad de Firestore con MongoDB y sus intervalos de IP solo admiten el protocolo MongoDB en el puerto 443. No se admiten otros protocolos.

Requisitos de red

Una interfaz de VM puede acceder a las APIs y los servicios de Google a través de la red interna de Google mediante Acceso privado de Google si se cumplen todas estas condiciones:

La interfaz de la VM está conectada a una subred en la que está habilitado el acceso privado de Google.
La interfaz de la VM no tiene asignada ninguna dirección IP externa.
La dirección IP de origen de los paquetes enviados desde la VM coincide con una de las siguientes direcciones IP.
- Dirección IPv4 interna principal de la interfaz de la VM
- Una dirección IPv4 interna de un intervalo de IPs de alias

Una VM con una dirección IPv4 externa asignada a su interfaz de red no necesita Acceso privado de Google para conectarse a las APIs y los servicios de Google. Sin embargo, la red VPC debe cumplir los requisitos para acceder a las APIs y los servicios de Google.

Permisos de gestión de identidades y accesos

Los propietarios y editores de proyectos, así como las entidades de seguridad de IAM que tengan el rol Administrador de red, pueden crear o actualizar subredes y asignar direcciones IP.

Para obtener más información sobre los roles, consulta la documentación sobre los roles de gestión de identidades y accesos.

Almacenamiento de registros

Cloud Logging registra todas las solicitudes de API realizadas desde instancias de VM en subredes que tienen habilitada la función Acceso privado de Google. Las entradas de registro identifican el origen de la solicitud de la API como una dirección IP interna de la instancia que llama.

Puede configurar informes de uso diario y acumulados mensuales para que se envíen a un segmento de Cloud Storage. Consulte la página Ver informes de uso para obtener más información.

Resumen de la configuración

En la siguiente tabla se resumen las diferentes formas en las que puede configurar el acceso privado de Google en Firestore con compatibilidad con MongoDB. Para obtener instrucciones más detalladas, consulta Configuración de la red.

Opción de dominio Intervalos de IP Configuración de DNS Configuración de enrutamiento Configuración del cortafuegos

Opción de dominio	Intervalos de IP	Configuración de DNS	Configuración de enrutamiento	Configuración del cortafuegos
Dominio predeterminado (`firestore.goog`) Los dominios predeterminados se utilizan cuando no configuras registros DNS para `restricted.firestore.goog`.	`136.124.0.0/23`	Accedes al servicio de Firestore con compatibilidad con MongoDB a través de sus direcciones IP públicas, por lo que no se requiere ninguna configuración de DNS especial.	Comprueba que tu red de VPC pueda enrutar el tráfico a los intervalos de direcciones IP que usa el servicio de Firestore con compatibilidad con MongoDB. Configuración básica: Confirma que tienes rutas predeterminadas con el siguiente salto `default-internet-gateway` y un intervalo de destino `0.0.0.0/0`. Crea esas rutas si faltan. Configuración personalizada: crea rutas al intervalo de direcciones IP `136.124.0.0/23`.	Comprueba que tus reglas de cortafuegos permitan el tráfico saliente al intervalo de direcciones IP de `136.124.0.0/23`. La regla de cortafuegos de salida predeterminada permite este tráfico si no hay ninguna regla de mayor prioridad que lo bloquee.
`restricted.firestore.goog` Usa `restricted.firestore.goog` para acceder al servicio de Firestore con compatibilidad con MongoDB mediante un conjunto de direcciones IP a las que solo se puede acceder desde Google Cloud. Se puede usar en situaciones de Controles de Servicio de VPC.	`199.36.153.2/31`	Configura registros DNS para enviar solicitudes al intervalo de direcciones IP `199.36.153.2/31`.	Comprueba que tu red de VPC tenga rutas al intervalo de direcciones IP `199.36.153.2/31`.	Comprueba que tus reglas de cortafuegos permitan el tráfico saliente al intervalo de direcciones IP de `199.36.153.2/31`.

Dominio predeterminado (firestore.goog)

Los dominios predeterminados se utilizan cuando no configuras registros DNS para restricted.firestore.goog.

136.124.0.0/23

Accedes al servicio de Firestore con compatibilidad con MongoDB a través de sus direcciones IP públicas, por lo que no se requiere ninguna configuración de DNS especial.

Comprueba que tu red de VPC pueda enrutar el tráfico a los intervalos de direcciones IP que usa el servicio de Firestore con compatibilidad con MongoDB.

Configuración básica: Confirma que tienes rutas predeterminadas con el siguiente salto default-internet-gateway y un intervalo de destino 0.0.0.0/0. Crea esas rutas si faltan.
Configuración personalizada: crea rutas al intervalo de direcciones IP 136.124.0.0/23.

Comprueba que tus reglas de cortafuegos permitan el tráfico saliente al intervalo de direcciones IP de 136.124.0.0/23.

La regla de cortafuegos de salida predeterminada permite este tráfico si no hay ninguna regla de mayor prioridad que lo bloquee.

restricted.firestore.goog

Usa restricted.firestore.goog para acceder al servicio de Firestore con compatibilidad con MongoDB mediante un conjunto de direcciones IP a las que solo se puede acceder desde Google Cloud. Se puede usar en situaciones de Controles de Servicio de VPC.

199.36.153.2/31

Configura registros DNS para enviar solicitudes al intervalo de direcciones IP 199.36.153.2/31.

Comprueba que tu red de VPC tenga rutas al intervalo de direcciones IP 199.36.153.2/31.

Comprueba que tus reglas de cortafuegos permitan el tráfico saliente al intervalo de direcciones IP de 199.36.153.2/31.

Configuración de red

En esta sección se describe cómo configurar su red para acceder a Firestore con compatibilidad con MongoDB mediante el acceso privado a Google.

Configuración de DNS

A diferencia de otras APIs de Google, la API de compatibilidad de Firestore con MongoDB usa nombres de dominio y direcciones IP diferentes para el Acceso privado de Google:

restricted.firestore.goog permite el acceso a la API de Firestore con compatibilidad con MongoDB.
- Direcciones IP: 199.36.153.2 y 199.36.153.3.
- Como Firestore con compatibilidad con MongoDB cumple los requisitos de Controles de Servicio de VPC, puedes usar este dominio en escenarios de Controles de Servicio de VPC.

Para crear una zona y registros DNS para Firestore con compatibilidad con MongoDB, sigue estos pasos:

Crea una zona de DNS privada para firestore.goog.

Para ello, te recomendamos que crees una zona privada de Cloud DNS.
En la zona firestore.goog, cree los siguientes registros:
1. Un registro A para restricted.firestore.goog que apunta a las siguientes direcciones IP: 199.36.153.2 y 199.36.153.3.
2. Un registro CNAME de *.firestore.goog que apunta a restricted.firestore.goog.
Para crear estos registros en Cloud DNS, consulta Añadir un registro.

Configuración de enrutamiento

Tu red VPC debe tener rutas adecuadas cuyo siguiente salto sea la pasarela de Internet predeterminada. Google Cloud no admite el enrutamiento del tráfico a las APIs y los servicios de Google a través de otras instancias de VM o de otros saltos siguientes personalizados. Aunque se denomina pasarela de Internet predeterminada, los paquetes enviados desde las VMs de tu red de VPC a las APIs y los servicios de Google no abandonan la red de Google.

Si seleccionas la opción de dominio predeterminado, tus instancias de VM se conectarán al servicio de Firestore con compatibilidad con MongoDB mediante el siguiente intervalo de direcciones IP públicas: 136.124.0.0/23 . Estas direcciones IP se pueden enrutar públicamente, pero la ruta de una VM de una red de VPC a esas direcciones permanece en la red de Google.
Google no publica rutas en Internet a ninguna de las direcciones IP que usa el dominio restricted.firestore.goog. Por lo tanto, solo pueden acceder a este dominio las máquinas virtuales de una red de VPC o los sistemas locales conectados a una red de VPC.

Si tu red de VPC contiene una ruta predeterminada cuyo siguiente salto es la pasarela de Internet predeterminada, puedes usar esa ruta para acceder al servicio de Firestore con compatibilidad con MongoDB sin tener que crear rutas personalizadas. Para obtener más información, consulta Enrutamiento con una ruta predeterminada.

Si has sustituido una ruta predeterminada (destino 0.0.0.0/0 o ::0/0) por una ruta personalizada cuyo siguiente salto no es la pasarela de Internet predeterminada, puedes cumplir los requisitos de enrutamiento del servicio Firestore con compatibilidad con MongoDB mediante el enrutamiento personalizado.

Enrutamiento con una ruta predeterminada

Cada red de VPC contiene una ruta predeterminada IPv4 (0.0.0.0/0) cuando se crea.

La ruta predeterminada proporciona una ruta a las direcciones IP de los siguientes destinos:

Dominio predeterminado (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Para consultar las instrucciones de la consola y de la CLI de Google Cloud sobre cómo comprobar la configuración de una ruta predeterminada en una red determinada, consulta Configurar Acceso privado a Google. Google Cloud

Enrutamiento con rutas personalizadas

Como alternativa a una ruta predeterminada, puedes usar rutas estáticas personalizadas, cada una con un destino más específico y cada una con el siguiente salto de la pasarela de Internet predeterminada. Las direcciones IP de destino de las rutas dependen del dominio que elijas:

Dominio predeterminado (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Para consultar las instrucciones de la consola y de la CLI de Google Cloud sobre cómo comprobar la configuración de las rutas personalizadas en una red determinada, consulta Configurar el acceso privado a Google. Google Cloud

Configuración del cortafuegos

La configuración del cortafuegos de tu red de VPC debe permitir el acceso de las VMs a las direcciones IP que usa el servicio de Firestore con compatibilidad con MongoDB. La regla allow egress implícita cumple este requisito.

En algunas configuraciones de cortafuegos, debes crear reglas de salida específicas. Por ejemplo, supongamos que ha creado una regla de denegación de salida que bloquea el tráfico a todos los destinos (0.0.0.0 para IPv4). En ese caso, debe crear una regla de cortafuegos de salida que permita el acceso y cuya prioridad sea superior a la regla de salida que deniega el acceso para cada intervalo de direcciones IP que utilice el dominio que elija:

Dominio predeterminado (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Para crear reglas de cortafuegos, consulta Crear reglas de cortafuegos. Puedes limitar las VMs a las que se aplican las reglas de cortafuegos cuando defines el destino de cada regla de salida permitida.

Configuración de Acceso privado de Google

Puedes habilitar Acceso privado de Google una vez que hayas cumplido los requisitos de red en tu red de VPC. Para ver las instrucciones de la consola de Google Cloud y de la CLI de Google Cloud, sigue los pasos que se indican en Habilitar el acceso privado a Google. Google Cloud