Configurare l'accesso privato Google in Firestore con compatibilità MongoDB

Questa pagina descrive come attivare e configurare l'accesso privato Google in Firestore con compatibilità MongoDB.

Informazioni sull'accesso privato Google in Firestore con compatibilità MongoDB

Per impostazione predefinita, quando a una VM Compute Engine non è assegnato un indirizzo IP esterno alla sua interfaccia di rete, può inviare pacchetti solo ad altre destinazioni con indirizzi IP interni. Puoi consentire a queste VM di connettersi all'insieme di indirizzi IP esterni utilizzati dal servizio Firestore con compatibilità MongoDB attivando l'accesso privato Google nella subnet utilizzata dall'interfaccia di rete della VM.

Servizi e protocolli applicabili

• Le istruzioni di questa guida si applicano solo a Firestore con compatibilità MongoDB.

• I domini predefiniti e VIP utilizzati da Firestore con compatibilità MongoDB e i relativi intervalli IP supportano solo il protocollo MongoDB TcpProxy. Tutti gli altri protocolli non sono supportati.

Requisiti di rete

Un'interfaccia VM può inviare pacchetti agli indirizzi IP esterni delle API e dei servizi Google utilizzando l'accesso privato Google se vengono soddisfatte tutte queste condizioni:

• L'interfaccia VM è connessa a una subnet in cui l'accesso privato Google è abilitato.

• All'interfaccia VM non è assegnato un indirizzo IP esterno.

• L'indirizzo IP di origine dei pacchetti inviati dalla VM corrisponde a uno dei seguenti indirizzi IP.

  • L'indirizzo IPv4 interno principale dell'interfaccia VM
  • Un indirizzo IPv4 interno da un intervallo IP alias

Una VM con un indirizzo IPv4 esterno assegnato alla sua interfaccia di rete non ha bisogno dell'accesso privato Google per connettersi alle API e ai servizi Google. Tuttavia, la rete VPC deve soddisfare i requisiti per l'accesso alle API e ai servizi di Google.

Autorizzazioni IAM

I proprietari, gli editor e le entità IAM del progetto con il ruolo Amministratore di rete possono creare o aggiornare le subnet e assegnare indirizzi IP.

Per saperne di più sui ruoli, leggi la documentazione relativa ai ruoli IAM.

Logging

Cloud Logging acquisisce tutte le richieste API effettuate dalle istanze VM nelle subnet in cui è abilitato l'accesso privato Google. Le voci di log identificano l'origine della richiesta API come un indirizzo IP interno dell'istanza chiamante.

Puoi configurare i report sull'utilizzo giornaliero e i report di riepilogo mensile in modo che vengano inviati a un bucket Cloud Storage. Per maggiori dettagli, consulta la pagina Visualizzazione dei report sull'utilizzo.

Riepilogo configurazione

La tabella seguente riassume i diversi modi in cui puoi configurare l&#39accesso privato Googleo in Firestore con compatibilità MongoDB. Per istruzioni più dettagliate, consulta Configurazione di rete.

Opzione Dominio	Intervalli IP	Configurazione DNS	Configurazione del routing	Configurazione del firewall
Dominio predefinito (firestore.goog) I domini predefiniti vengono utilizzati quando non configuri i record DNS per restricted.firestore.goog.	136.124.0.0/23	Accedi al servizio Firestore con compatibilità MongoDB tramite i suoi indirizzi IP pubblici, quindi non è necessaria alcuna configurazione DNS speciale.	Verifica che la tua rete VPC possa instradare il traffico verso gli intervalli di indirizzi IP utilizzati dal servizio Firestore con compatibilità MongoDB. Configurazione di base: Verifica di avere route predefinite con hop successivo default-internet-gateway e un intervallo di destinazione di 0.0.0.0/0. Crea queste route se non sono presenti. Configurazione personalizzata: Crea route per l'intervallo di indirizzi IP 136.124.0.0/23.	Verifica che le regole firewall consentano l'uscita verso l'intervallo di indirizzi IP 136.124.0.0/23. La regola firewall predefinita per il traffico in uscita consente questo traffico, se non esiste una regola di priorità più alta che lo blocca.
restricted.firestore.goog Utilizza restricted.firestore.goog per accedere al servizio Firestore con compatibilità MongoDB utilizzando un insieme di indirizzi IP instradabili solo da Google Cloud. Può essere utilizzato negli scenari dei Controlli di servizio VPC.	199.36.153.2/31	Configura i record DNS per inviare richieste all'intervallo di indirizzi IP 199.36.153.2/31.	Verifica che la tua rete VPC disponga di route all'intervallo di indirizzi IP 199.36.153.2/31.	Verifica che le regole firewall consentano l'uscita verso l'intervallo di indirizzi IP 199.36.153.2/31.

Configurazione di rete

Questa sezione descrive come configurare la rete per accedere a Firestore con compatibilità MongoDB utilizzandoaccesso privato Googles.

Configurazione DNS

A differenza di altre API di Google, l'API Firestore con compatibilità MongoDB utilizza nomi di dominio e indirizzi IP diversi per l'accesso privato Google:

• restricted.firestore.goog consente l'accesso API all'API Firestore con compatibilità MongoDB.

  • Indirizzi IP: 199.36.153.2 e 199.36.153.3.

  • Poiché Firestore con compatibilità MongoDB è conforme a Controlli di servizio VPC, puoi utilizzare questo dominio negli scenari di Controlli di servizio VPC.

Per creare una zona DNS e record per Firestore con compatibilità MongoDB:

1. Crea una zona DNS privata per firestore.goog.

   A questo scopo, valuta la possibilità di creare una zona privata di Cloud DNS.

2. Nella zona firestore.goog, crea i seguenti record:

   1. Un record A per restricted.firestore.goog che punta ai seguenti indirizzi IP: 199.36.153.2 e 199.36.153.3.

   2. Un record CNAME per *.firestore.goog che punta a restricted.firestore.goog.

   Per creare questi record in Cloud DNS, consulta la sezione Aggiungere un record.

Configurazione del routing

La tua rete VPC deve avere route appropriati i cui hop successivi sono il gateway internet predefinito. Google Cloud non supporta il routing del traffico verso le API e i servizi Google tramite altre istanze VM o hop successivi personalizzati. Nonostante venga chiamato gateway internet predefinito, i pacchetti inviati dalle VM nella tua rete VPC alle API e ai servizi Google rimangono all'interno della rete di Google.

• Se selezioni l'opzione di dominio predefinita, le tue istanze VM si connettono al servizio Firestore con compatibilità MongoDB utilizzando il seguente intervallo di indirizzi IP pubblici: 136.124.0.0/23 . Questi indirizzi IP sono instradabili pubblicamente, ma il percorso da una VM in una rete VPC a questi indirizzi rimane all'interno della rete di Google.

• Google non pubblica route su internet per nessuno degli indirizzi IP utilizzati dal dominio restricted.firestore.goog. Di conseguenza, è possibile accedere a questo dominio solo dalle VM in una rete VPC o dai sistemi on-premise connessi a una rete VPC.

Se la tua rete VPC contiene una route predefinita il cui hop successivo è il gateway internet predefinito, puoi utilizzare questa route per accedere al servizio Firestore con compatibilità MongoDB, senza dover creare route personalizzate. Per maggiori dettagli, vedi Routing con una route predefinita.

Se hai sostituito una route predefinita (destinazione 0.0.0.0/0 o ::0/0) con una route personalizzata il cui hop successivo non è il gateway internet predefinito, puoi soddisfare i requisiti di routing per il servizio Firestore con compatibilità MongoDB utilizzando il routing personalizzato.

Routing con un percorso predefinito

Ogni rete VPC contiene una route predefinita IPv4 (0.0.0.0/0) al momento della creazione.

La route predefinita fornisce un percorso agli indirizzi IP per le seguenti destinazioni:

• Dominio predefinito (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Per le istruzioni della console Google Cloud e di Google Cloud CLI su come controllare la configurazione di una route predefinita in una determinata rete, consulta Configura l'accesso privato Google.

Routing con route personalizzate

In alternativa a una route predefinita, puoi utilizzare route statiche personalizzate, ognuna con una destinazione più specifica e ognuna che utilizza l'hop successivo del gateway internet predefinito. Gli indirizzi IP di destinazione per le route dipendono dal dominio che scegli:

• Dominio predefinito (firestore.goog): 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Per istruzioni relative alla console e a Google Cloud CLI su come controllare la configurazione delle route personalizzate in una determinata rete, consulta Configurare l'accesso privato Google. Google Cloud

Configurazione del firewall

La configurazione del firewall della rete VPC deve consentire l'accesso dalle VM agli indirizzi IP utilizzati dal servizio Firestore con compatibilità MongoDB. La regola allow egress implicita soddisfa questo requisito.

In alcune configurazioni firewall, devi creare regole di autorizzazione in uscita specifiche. Supponiamo, ad esempio, di aver creato una regola di negazione del traffico in uscita che blocca il traffico verso tutte le destinazioni (0.0.0.0 per IPv4). In questo caso, devi creare una regola firewall in uscita consenti la cui priorità sia superiore alla regola in uscita nega per ogni intervallo di indirizzi IP utilizzato dal dominio che scegli:

• Dominio predefinito (firestore.goog: 136.124.0.0/23
• restricted.firestore.goog: 199.36.153.2/31

Per creare regole firewall, consulta Creazione di regole firewall. Puoi limitare le VM a cui si applicano le regole firewall quando definisci la destinazione di ogni regola di autorizzazione in uscita.

Configurazione dell'accesso privato Google

Puoi abilitare l'accesso privato Google dopo aver soddisfatto i requisiti di rete nella tua rete VPC. Per le istruzioni relative alla console Google Cloud e a Google Cloud CLI, segui i passaggi descritti in Attivare l'accesso Google privato.

Passaggi successivi

• Protezione con i Controlli di servizio VPC
• Configurare l'accesso privato Google