Se usó la API de Cloud Translation para traducir esta página.

Configura el Acceso privado de Google en Firestore con compatibilidad con MongoDB

En esta página, se describe cómo habilitar y configurar el Acceso privado a Google en Firestore con compatibilidad con MongoDB.

Acerca del Acceso privado de Google en Firestore con compatibilidad con MongoDB

De forma predeterminada, cuando una VM de Compute Engine no tiene una dirección IP externa asignada a su interfaz de red, solo puede enviar paquetes a otros destinos con direcciones IP internas. Puedes permitir que estas VMs se conecten al conjunto de direcciones IP externas que usa el servicio de Firestore con compatibilidad con MongoDB habilitando el Acceso privado a Google en la subred que usa la interfaz de red de la VM.

Servicios y protocolos aplicables

Las instrucciones de esta guía solo se aplican a Firestore con compatibilidad con MongoDB.
Los dominios predeterminados y VIP que usa Firestore con compatibilidad con MongoDB y sus rangos de IP solo admiten el protocolo TcpProxy MongoDB. No se admiten todos los demás protocolos.

Requisitos de red

Una interfaz de VM puede enviar paquetes a las direcciones IP externas de los servicios y las API de Google mediante el Acceso privado a Google, si se cumplen todas estas condiciones:

La interfaz de VM está conectada a una subred en la que el Acceso privado a Google está habilitado.
La interfaz de VM no tiene asignada una dirección IP externa.
La dirección IP de origen de los paquetes que se envían desde la VM coincide con una de las siguientes direcciones IP.
- La dirección IPv4 interna principal de la interfaz de VM
- Una dirección IPv4 interna de un rango de alias de IP

Una VM con una dirección IPv4 externa asignada a su interfaz de red no necesita Acceso privado a Google para conectarse a los servicios y las APIs de Google. Sin embargo, la red de VPC debe cumplir con los requisitos para acceder a las APIs y los servicios de Google.

Permisos de IAM

Los propietarios del proyecto, los editores y los principales de IAM con la función de Administrador de red pueden crear o actualizar las subredes y asignar direcciones IP.

Para obtener más información sobre los roles, consulta la documentación sobre los roles de IAM.

Logging

Cloud Logging captura todas las solicitudes a la API que se realizan desde las instancias de VM en las subredes que tienen el Acceso privado a Google habilitado. Las entradas de registro identifican el origen de la solicitud a la API como una dirección IP interna de la instancia que realiza la llamada.

Puedes configurar el uso diario y los informes mensuales acumulativos para que se envíen a un bucket de Cloud Storage. Consulta la página Cómo ver informes de uso para obtener detalles.

Resumen de la configuración

En la siguiente tabla, se resumen las diferentes maneras en que puedes configurar el Acceso privado a Google en Firestore con compatibilidad con MongoDB. Para obtener instrucciones más detalladas, consulta Configuración de red.

Opción de dominio Rangos de IP Configuración del DNS Configuración de enrutamiento Configuración de firewall

Opción de dominio	Rangos de IP	Configuración del DNS	Configuración de enrutamiento	Configuración de firewall
Dominio predeterminado (`firestore.goog`) Los dominios predeterminados se usan cuando no configuras los registros DNS para `restricted.firestore.goog`.	`136.124.0.0/23`	Accedes al servicio de Firestore con compatibilidad con MongoDB a través de sus direcciones IP públicas, por lo que no se requiere ninguna configuración especial de DNS.	Verifica que tu red de VPC pueda enrutar el tráfico a los rangos de direcciones IP que usa el servicio de Firestore con compatibilidad con MongoDB. Configuración básica: Confirma que tienes rutas predeterminadas con el próximo salto `default-internet-gateway` y un rango de destino de `0.0.0.0/0`. Crea esas rutas si faltan. Configuración personalizada: Crea rutas para el rango de direcciones IP de `136.124.0.0/23`.	Verifica que tus reglas de firewall permitan la salida al rango de direcciones IP `136.124.0.0/23`. La regla predeterminada de firewall de permiso de salida permite este tráfico, si no hay una regla de mayor prioridad que lo bloquee.
`restricted.firestore.goog` Usa `restricted.firestore.goog` para acceder al servicio de Firestore con compatibilidad con MongoDB a través de un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud. Se puede usar en situaciones de Controles del servicio de VPC.	`199.36.153.2/31`	Configura los registros DNS para enviar solicitudes al rango de direcciones IP `199.36.153.2/31`.	Verifica que tu red de VPC tenga rutas al rango de direcciones IP `199.36.153.2/31`.	Verifica que tus reglas de firewall permitan la salida al rango de direcciones IP `199.36.153.2/31`.

Dominio predeterminado (firestore.goog)

Los dominios predeterminados se usan cuando no configuras los registros DNS para restricted.firestore.goog.

136.124.0.0/23

Accedes al servicio de Firestore con compatibilidad con MongoDB a través de sus direcciones IP públicas, por lo que no se requiere ninguna configuración especial de DNS.

Verifica que tu red de VPC pueda enrutar el tráfico a los rangos de direcciones IP que usa el servicio de Firestore con compatibilidad con MongoDB.

Configuración básica: Confirma que tienes rutas predeterminadas con el próximo salto default-internet-gateway y un rango de destino de 0.0.0.0/0. Crea esas rutas si faltan.
Configuración personalizada: Crea rutas para el rango de direcciones IP de 136.124.0.0/23.

Verifica que tus reglas de firewall permitan la salida al rango de direcciones IP 136.124.0.0/23.

La regla predeterminada de firewall de permiso de salida permite este tráfico, si no hay una regla de mayor prioridad que lo bloquee.

restricted.firestore.goog

Usa restricted.firestore.goog para acceder al servicio de Firestore con compatibilidad con MongoDB a través de un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud. Se puede usar en situaciones de Controles del servicio de VPC.

199.36.153.2/31

Configura los registros DNS para enviar solicitudes al rango de direcciones IP 199.36.153.2/31.

Verifica que tu red de VPC tenga rutas al rango de direcciones IP 199.36.153.2/31.

Verifica que tus reglas de firewall permitan la salida al rango de direcciones IP 199.36.153.2/31.

Configuración de red

En esta sección, se describe cómo configurar tu red para acceder a Firestore con compatibilidad con MongoDB a través del Acceso privado a Google.

Configuración del DNS

A diferencia de otras APIs de Google, la API de Firestore con compatibilidad con MongoDB usa diferentes nombres de dominio y direcciones IP para el Acceso privado a Google:

restricted.firestore.goog habilita el acceso a la API de Firestore con compatibilidad con MongoDB.
- Direcciones IP: 199.36.153.2 y 199.36.153.3.
- Dado que Firestore con compatibilidad con MongoDB cumple con los Controles del servicio de VPC, puedes usar este dominio en situaciones de Controles del servicio de VPC.

Para crear una zona de DNS y registros para Firestore con compatibilidad con MongoDB, haz lo siguiente:

Crea una zona de DNS privada para firestore.goog.

Se recomienda crear una zona privada de Cloud DNS para este propósito.
En la zona firestore.goog, crea los siguientes registros:
1. Un registro A para restricted.firestore.goog que apunta a las siguientes direcciones IP: 199.36.153.2 y 199.36.153.3.
2. Un registro CNAME para *.firestore.goog que apunte a restricted.firestore.goog.
Para crear estos registros en Cloud DNS, consulta cómo agregar un registro.

Configuración de enrutamiento

La red de VPC debe tener rutas adecuadas cuyos siguientes saltos sean la puerta de enlace de Internet predeterminada. Google Cloud no admite el enrutamiento del tráfico a las APIs y los servicios de Google a través de otras instancias de VM o siguientes saltos personalizados. A pesar de que se denominan puerta de enlace de Internet predeterminada, los paquetes enviados desde las VMs de la red de VPC hacia las APIs y los servicios de Google permanecen dentro de la red de Google.

Si seleccionas la opción de dominio predeterminado, tus instancias de VM se conectarán al servicio de Firestore con compatibilidad con MongoDB a través del siguiente rango de direcciones IP públicas: 136.124.0.0/23 . Estas direcciones IP se pueden enrutar de forma pública, pero la ruta desde una VM en una red de VPC hacia esas direcciones permanece dentro de la red de Google.
Google no publica las rutas en Internet de ninguna de las direcciones IP que usa el dominio restricted.firestore.goog. En consecuencia, solo las VMs en una red de VPC o en sistemas locales conectados a una red de VPC pueden acceder a este dominio.

Si tu red de VPC contiene una ruta predeterminada cuyo siguiente salto es la puerta de enlace de Internet predeterminada, puedes usar esa ruta para acceder al servicio de Firestore con compatibilidad con MongoDB, sin necesidad de crear rutas personalizadas. Consulta Enrutamiento con una ruta predeterminada para obtener más detalles.

Si reemplazaste una ruta predeterminada (destino 0.0.0.0/0 o ::0/0) por una ruta personalizada cuyo próximo salto no es la puerta de enlace de Internet predeterminada, puedes cumplir con los requisitos de enrutamiento para el servicio de Firestore con compatibilidad con MongoDB usando el enrutamiento personalizado en su lugar.

Enrutamiento con una ruta predeterminada

Cada red de VPC contiene una ruta predeterminada de IPv4 (0.0.0.0/0) cuando se crea.

La ruta predeterminada proporciona una ruta a las direcciones IP para los siguientes destinos:

Dominio predeterminado (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Para obtener instrucciones sobre la consola de Google Cloud y la CLI de Google Cloud para verificar la configuración de una ruta predeterminada en una red determinada, consulta Configura el Acceso privado a Google.

Enrutamiento con rutas personalizadas

Como alternativa a una ruta predeterminada, puedes usar rutas estáticas personalizadas; cada una debe tener un destino más específico y usar el siguiente salto de puerta de enlace de Internet predeterminada. Las direcciones IP de destino de las rutas dependen del dominio que elijas:

Dominio predeterminado (firestore.goog): 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Para obtener instrucciones sobre cómo verificar la configuración de rutas personalizadas en una red determinada con la consola de Google Cloud y Google Cloud CLI, consulta Configura el Acceso privado a Google.

Configuración de firewall

La configuración del firewall de tu red de VPC debe permitir el acceso de las VMs a las direcciones IP que usa el servicio de Firestore con compatibilidad con MongoDB. La regla implícita allow egress cumple con este requisito.

En algunas opciones de configuración de firewall, debes crear reglas de permiso de salida específicas. Por ejemplo, supongamos que creaste una regla de rechazo de salida que bloquea el tráfico a todos los destinos (0.0.0.0 para IPv4). En ese caso, debes crear una regla de firewall de permiso de salida cuya prioridad sea superior a la regla de denegación de salida para cada rango de direcciones IP que usa el dominio que elijas:

Dominio predeterminado (firestore.goog: 136.124.0.0/23
restricted.firestore.goog: 199.36.153.2/31

Para crear reglas de firewall, consulta Crea reglas de firewall. Puedes limitar las VMs a las que se aplican las reglas de firewall cuando defines el destino de cada regla de permiso de salida.

Configuración del Acceso privado a Google

Puedes habilitar el Acceso privado a Google después de cumplir con los requisitos de red en tu red de VPC. Para obtener instrucciones sobre la consola y Google Cloud CLI, sigue los pasos que se describen en Habilita el Acceso privado a Google. Google Cloud