Diese Seite wurde von der Cloud Translation API übersetzt.

Privaten Google-Zugriff in Firestore mit MongoDB-Kompatibilität konfigurieren

Auf dieser Seite wird beschrieben, wie Sie den privater Google-Zugriff in Firestore mit MongoDB-Kompatibilität aktivieren und konfigurieren.

Privater Google-Zugriff in Firestore mit MongoDB-Kompatibilität

Wenn einer Compute Engine-VM eine externe IP-Adresse fehlt, die der Netzwerkschnittstelle zugewiesen ist, kann sie standardmäßig nur Pakete an andere interne IP-Adressen senden. Sie können diesen VMs die Verbindung zu der Gruppe von externen IP-Adressen erlauben, die vom Firestore-Dienst mit MongoDB-Kompatibilität verwendet werden. Dazu müssen Sie den privater Google-Zugriff in dem Subnetz aktivieren, das von der Netzwerkschnittstelle der VM verwendet wird.

Anwendbare Dienste und Protokolle

Die Anleitung in diesem Leitfaden gilt nur für Firestore mit MongoDB-Kompatibilität.
Die Standard- und VIP-Domains, die von Firestore mit MongoDB-Kompatibilität verwendet werden, und ihre IP-Bereiche unterstützen nur das TcpProxy-MongoDB-Protokoll. Alle anderen Protokolle werden nicht unterstützt.

Netzwerkanforderungen

Eine VM-Schnittstelle kann Pakete mit dem privaten Google-Zugriff an die externen IP-Adressen der Google APIs und Google-Dienste senden, wenn alle diese Bedingungen erfüllt sind:

Die VM-Schnittstelle ist mit einem Subnetz verbunden, in dem der private Google-Zugriff aktiviert ist.
Der VM-Schnittstelle ist keine externe IP-Adresse zugewiesen.
Die Quell-IP-Adresse der von der VM gesendeten Pakete entspricht einer der folgenden IP-Adressen.
- Primäre interne IPv4-Adresse der VM-Schnittstelle
- Eine interne IPv4-Adresse aus einem Alias-IP-Bereich

Eine VM mit einer externen IPv4-Adresse, die ihrer Netzwerkschnittstelle zugewiesen ist, benötigt keinen privater Google-Zugriff, um eine Verbindung zu Google APIs und Google-Diensten herzustellen. Das VPC-Netzwerk muss jedoch die Anforderungen für den Zugriff auf Google APIs und Google-Dienste erfüllen.

IAM-Berechtigungen

Projektinhaber, -bearbeiter und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können Subnetze erstellen oder aktualisieren und IP-Adressen zuweisen.

Weitere Informationen zu Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Logging

Mit Cloud Logging werden alle API-Anfragen von VM-Instanzen in Subnetzen erfasst, für die der private Google-Zugriff aktiviert ist. Logeinträge identifizieren die Quelle der API-Anfrage anhand der internen IP-Adresse der aufrufenden Instanz.

Sie können tägliche Nutzungs- und monatliche Rollup-Berichte konfigurieren, die an einen Cloud Storage-Bucket gesendet werden müssen. Weitere Informationen finden Sie unter Nutzungsberichte ansehen.

Zusammenfassung der Konfiguration

In der folgenden Tabelle sind die verschiedenen Möglichkeiten zur Konfiguration des privater Google-Zugriff in Firestore mit MongoDB-Kompatibilität zusammengefasst. Ausführliche Informationen finden Sie unter Netzwerkkonfiguration.

Domainoption IP-Bereiche DNS-Konfiguration Routingkonfiguration Firewallkonfiguration

Domainoption	IP-Bereiche	DNS-Konfiguration	Routingkonfiguration	Firewallkonfiguration
Standarddomain (`firestore.goog`) Wenn Sie keine DNS-Einträge für `restricted.firestore.goog` konfigurieren, werden die Standarddomains verwendet.	`136.124.0.0/23`	Sie greifen über die öffentlichen IP-Adressen auf den Firestore-Dienst mit MongoDB-Kompatibilität zu. Daher ist keine spezielle DNS-Konfiguration erforderlich.	Prüfen Sie, ob Ihr VPC-Netzwerk Traffic an die IP-Adressbereiche weiterleiten kann, die vom Firestore-Dienst mit MongoDB-Kompatibilität verwendet werden. Grundlegende Konfiguration: Prüfen Sie, ob Sie Standardrouten mit dem nächsten Hop `default-internet-gateway` und einem Zielbereich von `0.0.0.0/0` haben. Erstellen Sie diese Routen, falls sie fehlen. Benutzerdefinierte Konfiguration: Erstellen Sie Routen für den IP-Adressbereich `136.124.0.0/23`.	Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum IP-Adressbereich `136.124.0.0/23` zulassen. Die Standard-Firewallregel für ausgehenden Traffic lässt diesen Traffic zu, wenn er nicht durch eine höhere Priorität blockiert wird.
`restricted.firestore.goog` Mit `restricted.firestore.goog` können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloudroutingfähig sind, auf den Dienst „Firestore mit MongoDB-Kompatibilität“ zugreifen. Kann in VPC Service Controls-Szenarien verwendet werden.	`199.36.153.2/31`	Konfigurieren Sie DNS-Einträge so, dass Anfragen an den IP-Adressbereich `199.36.153.2/31` gesendet werden.	Prüfen Sie, ob Ihr VPC-Netzwerk Routen zum IP-Adressbereich `199.36.153.2/31` hat.	Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum IP-Adressbereich `199.36.153.2/31` zulassen.

Standarddomain (firestore.goog)

Wenn Sie keine DNS-Einträge für restricted.firestore.goog konfigurieren, werden die Standarddomains verwendet.

136.124.0.0/23

Sie greifen über die öffentlichen IP-Adressen auf den Firestore-Dienst mit MongoDB-Kompatibilität zu. Daher ist keine spezielle DNS-Konfiguration erforderlich.

Prüfen Sie, ob Ihr VPC-Netzwerk Traffic an die IP-Adressbereiche weiterleiten kann, die vom Firestore-Dienst mit MongoDB-Kompatibilität verwendet werden.

Grundlegende Konfiguration: Prüfen Sie, ob Sie Standardrouten mit dem nächsten Hop default-internet-gateway und einem Zielbereich von 0.0.0.0/0 haben. Erstellen Sie diese Routen, falls sie fehlen.
Benutzerdefinierte Konfiguration: Erstellen Sie Routen für den IP-Adressbereich 136.124.0.0/23.

Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum IP-Adressbereich 136.124.0.0/23 zulassen.

Die Standard-Firewallregel für ausgehenden Traffic lässt diesen Traffic zu, wenn er nicht durch eine höhere Priorität blockiert wird.

restricted.firestore.goog

Mit restricted.firestore.goog können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloudroutingfähig sind, auf den Dienst „Firestore mit MongoDB-Kompatibilität“ zugreifen. Kann in VPC Service Controls-Szenarien verwendet werden.

199.36.153.2/31

Konfigurieren Sie DNS-Einträge so, dass Anfragen an den IP-Adressbereich 199.36.153.2/31 gesendet werden.

Prüfen Sie, ob Ihr VPC-Netzwerk Routen zum IP-Adressbereich 199.36.153.2/31 hat.

Prüfen Sie, ob Ihre Firewallregeln ausgehenden Traffic zum IP-Adressbereich 199.36.153.2/31 zulassen.

Netzwerkkonfiguration

In diesem Abschnitt wird beschrieben, wie Sie Ihr Netzwerk für den Zugriff auf Firestore mit MongoDB-Kompatibilität über den privater Google-Zugriff konfigurieren.

DNS-Konfiguration

Im Gegensatz zu anderen Google-APIs werden für die Firestore mit MongoDB-Kompatibilität API für den privater Google-Zugriff andere Domainnamen und IP-Adressen verwendet:

restricted.firestore.goog ermöglicht den API-Zugriff auf die Firestore-API mit MongoDB-Kompatibilität.
- IP-Adressen: 199.36.153.2 und 199.36.153.3.
- Da Firestore mit MongoDB-Kompatibilität mit VPC Service Controls kompatibel ist, können Sie diese Domain in VPC Service Controls-Szenarien verwenden.

So erstellen Sie eine DNS-Zone und ‑Einträge für Firestore mit MongoDB-Kompatibilität:

Erstellen Sie eine private DNS-Zone für firestore.goog.

Ziehen Sie zu diesem Zweck in Betracht, eine private Cloud DNS-Zone zu erstellen.
Erstellen Sie in der Zone firestore.goog die folgenden Einträge:
1. Ein A-Eintrag für restricted.firestore.goog, der auf die folgenden IP-Adressen verweist: 199.36.153.2 und 199.36.153.3.
2. Ein CNAME-Eintrag für *.firestore.goog, der auf restricted.firestore.goog verweist.
Informationen zum Erstellen dieser Einträge in Cloud DNS finden Sie unter Eintrag hinzufügen.

Routingkonfiguration

Ihr VPC-Netzwerk muss geeignete Routen haben, deren nächste Hops das Standard-Internetgateway sind. Google Cloud unterstützt das Routing von Traffic zu Google APIs und Google-Diensten über andere VM-Instanzen oder benutzerdefinierte nächste Hops nicht. Obwohl es als Standard-Internetgateway bezeichnet wird, verbleiben Pakete, die von VMs in Ihrem VPC-Netzwerk an Google APIs und Google-Dienste gesendet werden, im Google-Netzwerk.

Wenn Sie die Standarddomainoption auswählen, stellen Ihre VM-Instanzen über den folgenden öffentlichen IP-Adressbereich eine Verbindung zum Firestore-Dienst mit MongoDB-Kompatibilität her: 136.124.0.0/23 . Diese IP-Adressen sind öffentlich routingfähig, aber der Pfad von einer VM in einem VPC-Netzwerk zu diesen Adressen bleibt im Google-Netzwerk.
Google veröffentlicht im Internet keine Routen zu IP-Adressen, die von der Domain restricted.firestore.goog verwendet werden. Daher können nur VMs in einem VPC-Netzwerk oder lokale Systeme, die mit einem VPC-Netzwerk verbunden sind, auf diese Domain zugreifen.

Wenn Ihr VPC-Netzwerk eine Standardroute enthält, deren nächster Hop das Standard-Internetgateway ist, können Sie über diese Route auf den Firestore-Dienst mit MongoDB-Kompatibilität zugreifen, ohne benutzerdefinierte Routen erstellen zu müssen. Weitere Informationen finden Sie unter Routing über eine Standardroute.

Wenn Sie eine Standardroute (Ziel 0.0.0.0/0 oder ::0/0) durch eine benutzerdefinierte Route ersetzt haben, deren nächster Hop nicht das Standard-Internetgateway ist, können Sie die Routinganforderungen für den Firestore-Dienst mit MongoDB-Kompatibilität stattdessen mit benutzerdefiniertem Routing erfüllen.

Routing mit einer Standardroute

Jedes VPC-Netzwerk enthält bei der Erstellung eine IPv4-Standardroute (0.0.0.0/0).

Die Standardroute stellt einen Pfad zu den IP-Adressen für die folgenden Ziele bereit:

Standarddomain (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Eine Anleitung zum Prüfen der Konfiguration einer Standardroute in einem bestimmten Netzwerk über die Google Cloud Console und die Google Cloud CLI finden Sie unter Privaten Google-Zugriff konfigurieren.

Routing mit benutzerdefinierten Routen

Als Alternative zu einer Standardroute können Sie benutzerdefinierte statische Routen verwenden, von denen jede ein spezifischeres Ziel hat und das Standard-Internetgateway als nächsten Hop verwendet. Die IP-Zieladressen für die Routen hängen von der ausgewählten Domain ab:

Standarddomain (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Eine Anleitung zum Prüfen der Konfiguration benutzerdefinierter Routen in einem bestimmten Netzwerk über die Google Cloud Console und die Google Cloud CLI finden Sie unter Privaten Google-Zugriff konfigurieren.

Firewallkonfiguration

Die Firewallkonfiguration Ihres VPC-Netzwerk muss den Zugriff von VMs auf die vom Firestore mit MongoDB-Kompatibilität-Dienst verwendeten IP-Adressen zulassen. Die implizierte allow egress-Regel erfüllt diese Anforderung.

In einigen Firewallkonfigurationen müssen Sie bestimmte Regeln zum Zulassen von ausgehendem Traffic erstellen. Angenommen, Sie haben eine Regel zum Ablehnen von ausgehendem Traffic erstellt, die den Traffic zu allen Zielen (0.0.0.0 für IPv4) blockiert. In diesem Fall müssen Sie eine Firewallregel für ausgehenden Traffic erstellen, deren Priorität höher ist als die Regel für ausgehenden Traffic für jeden von der ausgewählten Domain verwendeten IP-Adressbereich:

Standarddomain (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen. Sie können die VMs einschränken, auf die die Firewallregeln angewendet werden, wenn Sie das Ziel jeder Regel für ausgehenden Traffic definieren.

Privaten Google-Zugriff konfigurieren

Sie können den privater Google-Zugriff aktivieren, nachdem Sie die Netzwerkanforderungen in Ihrem VPC-Netzwerk erfüllt haben. Eine Anleitung für die Google Cloud Console und die Google Cloud CLI finden Sie unter Privaten Google-Zugriff aktivieren.