Mengonfigurasi Private Google Access di Firestore dengan kompatibilitas MongoDB

Halaman ini menjelaskan cara mengaktifkan dan mengonfigurasi Akses Google Pribadi di Firestore dengan kompatibilitas MongoDB.

Tentang Akses Google Pribadi di Firestore dengan kompatibilitas MongoDB

Secara default, jika VM Compute Engine tidak memiliki alamat IP eksternal yang ditetapkan ke antarmuka jaringan, VM tersebut hanya dapat mengirim paket ke tujuan alamat IP internal lainnya. Anda dapat mengizinkan VM ini untuk terhubung ke kumpulan alamat IP eksternal yang digunakan oleh layanan Firestore dengan kompatibilitas MongoDB dengan mengaktifkan Akses Google Pribadi pada subnet yang digunakan oleh antarmuka jaringan VM.

Layanan dan protokol yang berlaku

• Petunjuk dalam panduan ini hanya berlaku untuk Firestore dengan kompatibilitas MongoDB.

• Rentang IP dan domain default serta VIP yang digunakan oleh Firestore dengan kompatibilitas MongoDB hanya mendukung protokol MongoDB TcpProxy. Semua protokol lainnya tidak didukung.

Persyaratan jaringan

Antarmuka VM dapat mengirim paket ke alamat IP eksternal Google API dan layanan Google menggunakan Akses Google Pribadi jika semua kondisi berikut terpenuhi:

• Antarmuka VM terhubung ke subnet tempat Akses Google Pribadi diaktifkan.

• Antarmuka VM belum menetapkan alamat IP eksternal.

• Alamat IP sumber paket yang dikirim dari VM cocok dengan salah satu alamat IP berikut.

  • Alamat IPv4 internal utama dari antarmuka VM
  • Alamat IPv4 internal dari rentang IP alias

VM dengan alamat IPv4 eksternal yang ditetapkan ke antarmuka jaringannya tidak memerlukan Akses Google Pribadi untuk terhubung ke Google API dan layanan Google. Namun, jaringan VPC harus memenuhi persyaratan untuk mengakses Google API dan layanan Google.

Izin IAM

Pemilik project, editor, dan akun utama IAM dengan peran Network Admin dapat membuat atau memperbarui subnet dan menetapkan alamat IP.

Untuk mengetahui informasi selengkapnya tentang peran, baca dokumentasi peran IAM.

Logging

Cloud Logging menangkap semua permintaan API yang dibuat dari instance VM di subnet yang mengaktifkan Akses Google Pribadi. Entri log mengidentifikasi sumber permintaan API sebagai alamat IP internal dari instance panggilan.

Anda dapat mengonfigurasi laporan penggunaan harian dan gabungan bulanan untuk dikirim ke bucket Cloud Storage. Lihat halaman Melihat Laporan Penggunaan untuk mengetahui detailnya.

Ringkasan konfigurasi

Tabel berikut merangkum berbagai cara untuk mengonfigurasi Private Google Access di Firestore dengan kompatibilitas MongoDB. Untuk mengetahui informasi dan petunjuk yang lebih mendetail, lihat Konfigurasi jaringan.

Opsi domain	Rentang IP	Konfigurasi DNS	Konfigurasi pemilihan rute	Konfigurasi firewall
Domain default (firestore.goog) Domain default digunakan jika Anda tidak mengonfigurasi data DNS untuk restricted.firestore.goog.	136.124.0.0/23	Anda mengakses layanan kompatibilitas Firestore dengan MongoDB melalui alamat IP publiknya, sehingga tidak diperlukan konfigurasi DNS khusus.	Pastikan jaringan VPC Anda dapat merutekan traffic ke rentang alamat IP yang digunakan oleh layanan Firestore dengan kompatibilitas MongoDB. Konfigurasi dasar: Pastikan Anda memiliki rute default dengan hop berikutnya default-internet-gateway dan rentang tujuan 0.0.0.0/0. Buat rute tersebut jika belum ada. Konfigurasi kustom: Buat rute ke rentang alamat IP 136.124.0.0/23.	Periksa apakah aturan firewall Anda mengizinkan keluar ke rentang alamat IP 136.124.0.0/23. Aturan firewall izinkan traffic keluar default mengizinkan traffic ini, jika tidak ada aturan prioritas yang lebih tinggi yang memblokirnya.
restricted.firestore.goog Gunakan restricted.firestore.goog untuk mengakses layanan Firestore dengan kompatibilitas MongoDB menggunakan kumpulan alamat IP yang hanya dapat dirutekan dari dalam Google Cloud. Dapat digunakan dalam skenario Kontrol Layanan VPC.	199.36.153.2/31	Konfigurasi data DNS untuk mengirim permintaan ke rentang alamat IP 199.36.153.2/31.	Periksa apakah jaringan VPC Anda memiliki rute ke rentang alamat IP 199.36.153.2/31.	Periksa apakah aturan firewall Anda mengizinkan keluar ke rentang alamat IP 199.36.153.2/31.

Konfigurasi jaringan

Bagian ini menjelaskan cara mengonfigurasi jaringan Anda untuk mengakses Firestore dengan kompatibilitas MongoDB menggunakan Akses Google Pribadi.

Konfigurasi DNS

Tidak seperti Google API lainnya, API Firestore dengan kompatibilitas MongoDB menggunakan nama domain dan alamat IP yang berbeda untuk Private Google Access:

• restricted.firestore.goog memungkinkan akses API ke API Firestore dengan kompatibilitas MongoDB.

  • Alamat IP: 199.36.153.2 dan 199.36.153.3.

  • Karena Firestore dengan kompatibilitas MongoDB mematuhi Kontrol Layanan VPC, Anda dapat menggunakan domain ini dalam skenario Kontrol Layanan VPC.

Untuk membuat zona dan data DNS untuk Firestore dengan kompatibilitas MongoDB:

1. Membuat zona DNS pribadi untuk firestore.goog.

   Pertimbangkan untuk membuat zona pribadi Cloud DNS untuk tujuan ini.

2. Di zona firestore.goog, buat data berikut:

   1. Data A untuk restricted.firestore.goog yang mengarah ke alamat IP berikut: 199.36.153.2 dan 199.36.153.3.

   2. Data CNAME untuk *.firestore.goog yang mengarah ke restricted.firestore.goog.

   Untuk membuat data ini di Cloud DNS, lihat bagian menambahkan data.

Konfigurasi pemilihan rute

Jaringan VPC Anda harus memiliki rute yang sesuai dengan next hop yang merupakan gateway internet default. Google Cloud tidak mendukung perutean traffic ke Google API dan layanan Google melalui instance VM lain atau next hop kustom. Meskipun disebut sebagai gateway internet default, paket yang dikirim dari VM di jaringan VPC Anda ke Google API dan layanan Google tetap berada dalam jaringan Google.

• Jika Anda memilih opsi domain default, instance VM Anda akan terhubung ke layanan Firestore dengan kompatibilitas MongoDB menggunakan rentang alamat IP publik berikut: 136.124.0.0/23 . Alamat IP ini dapat dirutekan secara publik, tetapi jalur dari VM dalam jaringan VPC ke alamat tersebut tetap berada dalam jaringan Google.

• Google tidak memublikasikan rute di internet ke alamat IP mana pun yang digunakan oleh domain restricted.firestore.goog. Akibatnya, domain ini hanya dapat diakses oleh VM di jaringan VPC atau sistem lokal yang terhubung ke jaringan VPC.

Jika jaringan VPC Anda berisi rute default yang next hop-nya adalah gateway internet default, Anda dapat menggunakan rute tersebut untuk mengakses layanan Firestore dengan kompatibilitas MongoDB, tanpa perlu membuat rute kustom. Lihat pemilihan rute dengan rute default untuk mengetahui detailnya.

Jika Anda telah mengganti rute default (tujuan 0.0.0.0/0 atau ::0/0) dengan rute kustom yang next hop-nya bukan gateway internet default, Anda dapat memenuhi persyaratan pemilihan rute untuk layanan Firestore dengan kompatibilitas MongoDB menggunakan pemilihan rute kustom.

Pemilihan rute dengan rute default

Setiap jaringan VPC berisi rute default IPv4 (0.0.0.0/0) saat dibuat.

Rute default menyediakan jalur ke alamat IP untuk tujuan berikut:

• Domain default (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Untuk mengetahui petunjuk konsol dan Google Cloud CLI tentang cara memeriksa konfigurasi rute default dalam jaringan tertentu, lihat Mengonfigurasi Akses Google Pribadi. Google Cloud

Pemilihan rute dengan rute kustom

Sebagai alternatif rute default, Anda dapat menggunakan rute statis kustom, yang masing-masing memiliki tujuan yang lebih spesifik, dan menggunakan next hop gateway internet default. Alamat IP tujuan untuk rute bergantung pada domain yang Anda pilih:

• Domain default (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Untuk mengetahui petunjuk konsol dan Google Cloud CLI tentang cara memeriksa konfigurasi rute kustom dalam jaringan tertentu, lihat Mengonfigurasi Akses Google Pribadi. Google Cloud

Konfigurasi firewall

Konfigurasi firewall jaringan VPC Anda harus mengizinkan akses dari VM ke alamat IP yang digunakan oleh layanan Firestore dengan kompatibilitas MongoDB. Aturan allow egress tersirat memenuhi persyaratan ini.

Di beberapa konfigurasi firewall, Anda harus membuat aturan izinkan traffic keluar khusus. Misalnya, anggaplah Anda telah membuat aturan tolak traffic keluar yang memblokir traffic ke semua tujuan (0.0.0.0 untuk IPv4). Dalam hal ini, Anda harus membuat satu aturan firewall izinkan traffic keluar yang prioritasnya lebih tinggi daripada aturan tolak traffic keluar untuk setiap rentang alamat IP yang digunakan oleh domain yang Anda pilih:

• Domain default (firestore.goog: 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Untuk membuat aturan firewall, lihat Membuat aturan firewall. Anda dapat membatasi VM yang menerapkan aturan firewall saat Anda menentukan target dari setiap aturan izinkan traffic keluar.

Konfigurasi Akses Google Pribadi

Anda dapat mengaktifkan Akses Google Pribadi setelah memenuhi persyaratan jaringan di jaringan VPC Anda. Untuk petunjuk konsol dan Google Cloud CLI, ikuti langkah-langkah yang diuraikan dalam Mengaktifkan Akses Google Pribadi. Google Cloud

Langkah berikutnya

• Mengamankan dengan Kontrol Layanan VPC
• Mengonfigurasi Akses Google Pribadi