本頁面由 Cloud Translation API 翻譯而成。

關於透過端點存取 Google API

本文件概述用於存取 Google API 的 Private Service Connect 端點。

根據預設，如果您有使用 Google 服務 (例如 Cloud Storage) 的應用程式，應用程式會連線至該服務的預設 DNS 名稱，例如 storage.googleapis.com。Google 服務的預設 DNS 名稱會解析為可公開轉送的 IP 位址。不過，從Google Cloud 資源傳送至這些 IP 位址的流量仍會保留在 Google 的網路內。

使用 Private Service Connect，您可以在虛擬私有雲網路中使用全域內部 IP 位址建立私人端點。您可以為這些內部 IP 位址指派 DNS 名稱，並使用 storage-vialink1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com 等有意義的名稱。這些名稱和 IP 位址是虛擬私人雲端網路的內部，以及使用 Cloud VPN 通道或 VLAN 連結連線至該網路的任何內部部署網路。您可以控管哪些流量傳至哪個端點，並證實這些流量會留在 Google Cloud中。

這個選項可讓您存取 API 套裝組合中包含的所有 Google API 和服務。

**圖 1.** Private Service Connect 可讓您使用私人虛擬私有雲網路端點，將流量傳送至 Google API (按一下即可放大)。

功能和相容性

下表列出用於存取 Google API 的端點支援的功能。

設定	詳細資料
消費者設定 (端點)
全球可達性	使用內部全域 IP 位址
Cloud Interconnect 流量
Cloud VPN 流量
透過虛擬私有雲網路對等互連存取
透過 Network Connectivity Center 傳播連線
自動 DNS 設定
IP 版本	IPv4
製作人
支援的服務	支援的全域 Google API

內部部署存取

您用來存取 Google API 的 Private Service Connect 端點，可透過支援的連線內部部署主機存取。詳情請參閱「透過 on-premises 主機存取端點」。

Private Service Connect 和服務目錄

端點會註冊至 Service Directory。Service Directory 是可用於儲存、管理及發布服務的平台。建立端點來存取 Google API 和服務時，您需要選取 Service Directory 區域和 Service Directory 命名空間。

Service Directory 區域

服務目錄是地區性服務，您選取的區域會定義服務目錄控制層所在的位置。各區域之間沒有功能差異，但您可能會基於管理原因而偏好某個區域。

在虛擬私有雲網路中建立 Google API 的第一個端點時，您選取的區域會用於該網路中後續建立的所有端點的預設區域。如果網路尚未設定區域，且您未指定區域，系統會將區域設為 us-central1。網路中的所有端點都必須使用相同的服務目錄區域。

Service Directory 命名空間

在虛擬私有雲網路中建立 Google API 的首個端點時，您選取的命名空間會用於該網路中所有後續端點的預設命名空間。如果聯播網尚未設定命名空間，且您未指定命名空間，系統會使用系統產生的命名空間。網路中的所有端點都必須使用相同的服務目錄命名空間。您選擇的命名空間只能用於用來存取 Google API 的端點。您可以為多個網路中的端點使用相同的命名空間。

建立端點時，系統會建立下列 DNS 設定：

為 p.googleapis.com 建立 Service Directory 私人 DNS 可用區
針對可透過 Private Service Connect 取得，且預設 DNS 名稱結尾為 googleapis.com 的部分常用 Google API 和服務，在 p.googleapis.com 中建立DNS 記錄。

如要瞭解如何為在 p.googleapis.com 中沒有 DNS 記錄的 API 和服務建立 DNS 記錄，請參閱「建立 DNS 記錄」一文。

可用的服務會因您選取 all-apis 或 vpc-sc API 套件而異。

系統會為每個包含端點的 VPC 網路建立一個服務目錄 DNS 區域。

端點的 DNS 名稱可在虛擬私有雲網路的所有區域中存取。

支援的 API

建立端點以存取 Google API 和服務時，請選擇要存取哪些 API 組合：所有 API (all-apis) 或 VPC-SC (vpc-sc)：

all-apis 套件可提供大多數 Google API 和服務的存取權，包括所有 *.googleapis.com 服務端點。
vpc-sc 套件可提供 API 和服務的存取權，這些 API 和服務支援 VPC Service Controls。

注意：注意：這些套件可提供與 Private Google Access VIP 相同的 API 存取權，all-apis 等同於 private.googleapis.com，vpc-sc 等同於 restricted.googleapis.com。

這些 API 套件只支援透過 TCP 的 HTTP 通訊協定 (HTTP、HTTPS 和 HTTP/2)。系統不支援其他通訊協定，包括 MQTT 和 ICMP。

API 套件支援的服務應用實例

API 套件	支援的服務	應用實例
`all-apis`	啟用 API 存取權，可存取大多數 Google API 和服務，無論這些服務是否受 VPC Service Controls 支援。包括 Google 地圖、Google Ads、 Google Cloud和大多數其他 Google API 的 API 存取權，包括下列清單。不支援 Google Workspace 網路應用程式，例如 Gmail 和 Google 文件。不支援任何互動式網站。符合下列條件的網域名稱： `accounts.google.com` (僅支援服務帳戶 OAuth 驗證所需的路徑；使用者帳戶驗證為互動式，因此不支援) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io`或`.gcr.io` `.googleapis.com` `.gke.goog` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` 或 `.pkg.dev` `pki.goog`或`.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	在下列情況下，請選擇 `all-apis`：您未使用 VPC Service Controls。您確實使用 VPC Service Controls，但也需要存取 VPC Service Controls 不支援的 Google API 和服務。¹
`vpc-sc`	啟用 API 存取權，可存取 VPC Service Controls 支援的 Google API 和服務。封鎖對不支援 VPC Service Controls 的 Google API 和服務的存取權。不支援 Google Workspace API 或 Google Workspace 網頁應用程式，例如 Gmail 和 Google 文件。	如果您只需要存取 VPC Service Controls 支援的 Google API 和服務，請選擇 `vpc-sc`。`vpc-sc` 套件不允許存取不支援 VPC Service Controls 的 Google API 和服務。¹

all-apis

啟用 API 存取權，可存取大多數 Google API 和服務，無論這些服務是否受 VPC Service Controls 支援。包括 Google 地圖、Google Ads、 Google Cloud和大多數其他 Google API 的 API 存取權，包括下列清單。不支援 Google Workspace 網路應用程式，例如 Gmail 和 Google 文件。不支援任何互動式網站。

符合下列條件的網域名稱：

accounts.google.com (僅支援服務帳戶 OAuth 驗證所需的路徑；使用者帳戶驗證為互動式，因此不支援)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io或*.gcr.io
*.googleapis.com
*.gke.goog
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev 或 *.pkg.dev
pki.goog或*.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

在下列情況下，請選擇 all-apis：

您未使用 VPC Service Controls。
您確實使用 VPC Service Controls，但也需要存取 VPC Service Controls 不支援的 Google API 和服務。¹

vpc-sc

啟用 API 存取權，可存取 VPC Service Controls 支援的 Google API 和服務。

封鎖對不支援 VPC Service Controls 的 Google API 和服務的存取權。不支援 Google Workspace API 或 Google Workspace 網頁應用程式，例如 Gmail 和 Google 文件。

如果您只需要存取 VPC Service Controls 支援的 Google API 和服務，請選擇 vpc-sc。vpc-sc 套件不允許存取不支援 VPC Service Controls 的 Google API 和服務。¹

¹ 如果您需要將使用者限制為僅限支援 VPC Service Controls 的 Google API 和服務，請使用 vpc-sc，因為這可進一步降低資料外洩的風險。使用 vpc-sc 可拒絕存取 VPC Service Controls 不支援的 Google API 和服務。詳情請參閱 VPC Service Controls 說明文件中的「設定私人連線」。

IP 位址規定

在 VPC 網路上設定 Private Service Connect 時，您需要提供要用於端點的 IP 位址。

全域內部 IP 位址的專案配額會計算該位址。

IP 位址必須符合下列規格：

必須是單一 IP 位址，而非位址範圍。
必須是有效的 IPv4 位址。可以是 RFC 1918 位址或非 RFC 1918 位址。Private Service Connect 不支援 IPv6 位址。
不得位於虛擬私有雲網路中設定的子網路範圍內。
不得位於 VPC 網路或透過虛擬私有雲網路對等互連連線的網路中任何子網路的主要或次要 IP 位址範圍內。
且不能與本機 VPC 網路中的 /32 自訂靜態路徑重疊。舉例來說，如果 VPC 網路有 10.10.10.10/32 的自訂靜態路徑，您就無法為 Private Service Connect 保留 10.10.10.10 位址。
如果您已將對等互連網路設為匯出自訂路徑，並將 VPC 網路設為匯入自訂路徑，則此路徑不得與 /32 對等互連自訂靜態路徑重疊。
如果本機 VPC 網路是自動模式網路，或與自動模式網路對等互連，則 IP 範圍不得位於任何自動模式 IP 範圍 (在 10.128.0.0/9 中) 內。
不能位於本機 VPC 網路中的已分配 IP 範圍內。不過，可以是對等虛擬私人雲端網路中已分配的 IP 範圍。
如果端點與目的地為相同 /32 的自訂動態路徑重疊，端點會優先採用。
如果端點 IP 位址位於本機靜態路徑、本機動態路徑或對等端點自訂路徑的目的地範圍內，且該路徑的子網路遮罩比 /32 短，則端點的優先順序會較高。

用途

您可以在同一個虛擬私有雲網路中建立多個端點。傳送至特定端點的總頻寬沒有限制。由於端點使用全域內部 IP 位址，因此虛擬私有雲網路或使用 Cloud VPN 通道或 Cloud Interconnect 附件連線的內部部署網路中的任何資源，都可以使用端點。

有了多個端點，您就可以使用 Cloud Router 和防火牆規則指定不同的網路路徑。

您可以建立防火牆規則，防止部分 VM 透過端點存取 Google API，同時允許其他 VM 存取。
您可以在 VM 執行個體上設定防火牆規則，禁止所有流量傳送至網際網路；傳送至 Private Service Connect 端點的流量仍會傳送至 Google。
如果您有使用 Cloud VPN 通道或 VLAN 連結，與虛擬私有雲網路連線的內部部署主機，則可透過通道或 VLAN 傳送部分要求，同時透過公用網際網路傳送其他要求。這項設定可讓您略過私人 Google 存取權不支援的服務 (例如 Google 圖書) 的隧道或 VLAN。

如要建立這項設定，請建立 Private Service Connect 端點，使用 Cloud Router 自訂路由廣告宣傳端點 IP 位址，並啟用 Cloud DNS Inbound Forwarding 政策。應用程式可以使用端點名稱，透過 Cloud VPN 通道或 VLAN 連結傳送部分要求，也可以使用預設 DNS 名稱透過網際網路傳送其他要求。
如果您使用多個 VLAN 連結將內部部署網路連線至虛擬私有雲網路，則可透過一個 VLAN 傳送部分內部部署流量，並透過其他 VLAN 傳送其餘流量，如圖 2 所示。這樣一來，您就能使用自己的廣域網路，而非 Google 的網路，並控管資料傳輸，以符合地理區域規定。

如要建立這項設定，請建立兩個端點。為管理第一個 VLAN 的 Cloud Router 的 BGP 工作階段，建立第一個端點的自訂路徑廣告，並為管理第二個 VLAN 的 Cloud Router 的 BGP 工作階段，建立第二個端點的自訂路徑廣告。已設定為使用端點名稱的內部部署主機，會透過對應的 VLAN 連結傳送流量。
您也可以在主動/主動拓撲中使用多個 VLAN 連結。如果您在管理 VLAN 的 Cloud Router 上，針對 BGP 工作階段使用自訂路徑通告來宣傳相同的端點 IP 位址，從內部部署系統傳送至端點的封包會透過 ECMP 跨 VLAN 轉送。

圖 2. 只要設定 Private Service Connect、Cloud Router 和內部部署主機，即可控制系統使用哪個 VLAN 連結將流量傳送至 Google API (按一下即可放大)。

定價

VPC 定價頁面說明瞭 Private Service Connect 的定價。

配額

您可以建立的 Private Service Connect 端點數量 (用於存取 Google API) 受 PSC Google APIs Forwarding Rules per VPC Network 配額控制。詳情請參閱配額。

機構政策限制

機構政策管理員可以使用 constraints/compute.disablePrivateServiceConnectCreationForConsumers 限制，定義使用者無法建立轉送規則的端點類型組合。

如要瞭解如何建立使用這項限制的機構政策，請參閱「依據連線類型禁止消費者部署端點」。

後續步驟

設定 Private Service Connect 以存取 Google API 和服務