Compatibilité avec Private Service Connect
Services
Vous pouvez accéder aux services suivants à l'aide de Private Service Connect.
Services publiés par Google
Services publiés tiers
Service tiers | Accès fourni |
---|---|
Aiven | Fournit un accès privé aux clusters Aiven Kafka. |
DaaS de Citrix | Fournit un accès privé à Citrix DaaS. |
ClickHouse | Fournit un accès privé aux services ClickHouse. |
Confluent Cloud | Fournit un accès privé aux clusters Confluent Cloud. |
Databricks | Fournit un accès privé aux clusters Databricks. |
Datadog | Fournit un accès privé aux services d'ingestion Datadog. |
Datastax Astra | Fournit un accès privé aux bases de données DataStax Astra. |
Elasticsearch | Fournit un accès privé à Elastic Cloud. |
JFrog | Fournit un accès privé aux instances SaaS JFrog. |
MongoDB Atlas | Fournit un accès privé à MongoDB Atlas. |
Neo4j Aura | Fournit un accès privé à Neo4j Aura. |
Pega Cloud | Fournit un accès privé à Pega Cloud. |
Cloud Redis Enterprise | Fournit un accès privé aux clusters Redis Enterprise. |
Redpanda | Fournit un accès privé à Redpanda Cloud. |
Snowflake | Fournit un accès privé à Snowflake. |
Striim | Fournit un accès privé à Striim Cloud. |
API Google globales
Les points de terminaison peuvent cibler un groupe d'API Google globales ou une seule API Google régionale. Les backends peuvent cibler une seule API Google globale ou une seule API Google régionale.
Groupes d'API Google globales
Vous pouvez utiliser des points de terminaison Private Service Connect pour envoyer du trafic vers un groupe d'API Google.
Lorsque vous créez un point de terminaison pour accéder aux API et services Google, vous choisissez le groupe d'API auquel vous avez besoin d'accéder : Toutes les API (all-apis
) ou VPC-SC (vpc-sc
) :
Le groupe
all-apis
permet d'accéder à la plupart des API et services Google, y compris tous les points de terminaison de service*.googleapis.com
.Le groupe
vpc-sc
permet d'accéder aux API et services compatibles avec VPC Service Controls.
Les bundles d'API n'acceptent que les protocoles HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.
Bundle d'API | Services compatibles | Exemple d'utilisation |
---|---|---|
all-apis |
Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès des API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste ci-dessous. Non compatible avec les applications Web Google Workspace, telles que Gmail et Google Docs. Non compatible avec les sites Web interactifs. Noms de domaine correspondant à :
|
Choisissez
|
vpc-sc
| Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls. Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les API Google Workspace ni avec les applications Web Google Workspace telles que Gmail et Google Docs. |
Choisissez |
vpc-sc
, car il permet de réduire les risques d'exfiltration de données. Utiliser vpc-sc
permet de refuser l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la page Configurer une connectivité privée dans la documentation VPC Service Controls.
API Google globale unique
Vous pouvez utiliser des backends Private Service Connect pour envoyer des requêtes à une seule API Google globale compatible. Les API suivantes sont compatibles :
- Bigtable :
bigtable.googleapis.com
etbigtableadmin.googleapis.com
- Cloud Logging :
logging.googleapis.com
- Spanner :
spanner.googleapis.com
- Cloud Storage :
storage.googleapis.com
- Pub/Sub :
pubsub.googleapis.com
API Google régionales
Vous pouvez utiliser des points de terminaison ou des backends pour accéder aux API Google régionales. Pour obtenir la liste des API Google régionales compatibles, consultez la section Points de terminaison de service régionaux.
Types
Les tableaux suivants récapitulent les informations de compatibilité pour différentes configurations de Private Service Connect.
Dans les tableaux suivants, une coche indique qu'une fonctionnalité est disponible, et un symbole "no" indique qu'une fonctionnalité n'est pas compatible.
Points de terminaison et services publiés
Cette section récapitule les options de configuration disponibles pour les clients et les producteurs lorsqu'ils utilisent des points de terminaison pour accéder aux services de publication.
Configuration du client
Ce tableau récapitule les options et les capacités compatibles avec les points de terminaison qui accèdent à des services publiés.
Configuration du client (point de terminaison) | Équilibreur de charge de producteur | |||
---|---|---|---|---|
Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
Accès mondial du client |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
Uniquement si l'accès global est activé sur l'équilibreur de charge avant la création du rattachement de service |
Uniquement si l'accès global est activé sur l'équilibreur de charge avant la création du rattachement de service |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
Trafic Cloud VPN | ||||
Configuration DNS automatique | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement |
Propagation des connexions | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement |
Points de terminaison IPv4 |
|
|
|
|
Points de terminaison IPv6 |
|
|
|
|
Les limites suivantes s'appliquent aux points de terminaison qui accèdent à un service publié :
Vous ne pouvez pas créer de point de terminaison dans le même réseau VPC que le service publié auquel vous accédez.
Les points de terminaison ne sont pas accessibles à partir des réseaux VPC appairés.
La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
Les routes statiques avec des sauts suivants de l'équilibreur de charge ne sont pas toutes compatibles avec Private Service Connect. Pour en savoir plus, consultez la section Routes statiques avec sauts suivants de l'équilibreur de charge.
Les tests de connectivité ne peuvent pas tester la connectivité entre un point de terminaison IPv6 et un service publié.
Configuration du producteur
Ce tableau récapitule les options de configuration et les capacités compatibles avec les services publiés auxquels les points de terminaison ont accès.
Configuration du producteur (service publié) | Équilibreur de charge de producteur | |||
---|---|---|---|---|
Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
Backends de producteur compatibles : |
|
|
|
Non applicable |
Protocole PROXY | Trafic TCP uniquement | Trafic TCP uniquement | ||
Modes d'affinité de session | NONE (quintuple) CLIENT_IP_PORT_PROTO |
Non applicable | Non applicable | Non applicable |
Version IP |
|
|
|
|
Les limites suivantes s'appliquent aux services publiés :
- Les équilibreurs de charge du producteur ne sont pas compatibles avec les fonctionnalités suivantes :
- Règles de transfert multiples utilisant une adresse IP partagée (
SHARED_LOADBALANCER_VIP
) - Sous-paramètre du backend
- La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
- Vous devez utiliser Google Cloud CLI ou l'API pour créer un rattachement de service pointant vers une règle de transfert utilisée pour le transfert de protocole interne.
Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.
Différents équilibreurs de charge prennent en charge différentes configurations de port. Certains équilibreurs de charge acceptent un seul port, d'autres sont compatibles avec une plage de ports et d'autres acceptent tous les ports. Pour en savoir plus, consultez la section Spécifications de ports.
Backends et services publiés
Un backend Private Service Connect pour les services publiés nécessite deux équilibreurs de charge : un équilibreur de charge du client et un équilibreur de charge du producteur. Cette section récapitule les options de configuration disponibles pour les clients et les producteurs lorsqu'ils utilisent des backends pour accéder aux services de publication.
Configuration du client
Ce tableau décrit les équilibreurs de charge client compatibles avec les backends Private Service Connect pour les services publiés, y compris les protocoles de service de backend pouvant être utilisés avec chaque équilibreur de charge du client. Les équilibreurs de charge du client peuvent accéder aux services publiés qui sont hébergés sur des équilibreurs de charge du producteur compatibles.
Équilibreur de charge du client | Protocoles | Version IP |
---|---|---|
Équilibreur de charge d'application externe global (compatible avec plusieurs régions) Remarque : L'équilibreur de charge d'application classique n'est pas compatible. |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
Équilibreur de charge réseau proxy externe global Pour associer cet équilibreur de charge à un NEG Private Service Connect, utilisez la Google Cloud CLI ou envoyez une requête API. Remarque : L'équilibreur de charge réseau classique n'est pas compatible. |
|
IPv4 |
Configuration du producteur
Ce tableau décrit la configuration des équilibreurs de charge de producteur compatibles avec les backends Private Service Connect des services publiés.
Configuration | Équilibreur de charge de producteur | ||
---|---|---|---|
Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | |
Backends de producteur compatibles |
|
|
|
Protocoles de règles de transfert |
|
|
|
Ports de règle de transfert | Nous vous recommandons d'utiliser un seul port. Pour en savoir plus, consultez la section Configuration du port du producteur. | Prend en charge un seul port | Prend en charge un seul port |
Protocole PROXY | |||
Version IP | IPv4 | IPv4 | IPv4 |
Les limites suivantes s'appliquent aux services publiés :
- Les équilibreurs de charge du producteur ne sont pas compatibles avec les fonctionnalités suivantes :
- Règles de transfert multiples utilisant une adresse IP partagée (
SHARED_LOADBALANCER_VIP
) - Sous-paramètre du backend
- La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
- Vous devez utiliser Google Cloud CLI ou l'API pour créer un rattachement de service pointant vers une règle de transfert utilisée pour le transfert de protocole interne.
Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.
Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge HTTP(S) externe global, consultez la page Accéder aux services publiés via des backends.
Pour publier un service, consultez la page Publier des services.
Points de terminaison et API Google globales
Ce tableau récapitule les fonctionnalités compatibles avec les points de terminaison permettant d'accéder aux API Google.
Pour créer cette configuration, consultez la section Accéder aux API Google via des points de terminaison.
Configuration | Détails |
---|---|
Configuration du client (point de terminaison) | |
Joignabilité globale | Utilise une adresse IP interne globale |
Trafic d'interconnexion | |
Trafic Cloud VPN | |
Configuration DNS automatique | |
Version IP | IPv4 |
Producteur | |
Services compatibles | API Google globales compatibles |
Backends et API Google globales
Ce tableau décrit les équilibreurs de charge qui peuvent utiliser un backend Private Service Connect vers une API Google globale.
Configuration | Détails |
---|---|
Configuration du client (backend Private Service Connect) | |
Équilibreurs de charge clients compatibles |
|
Version IP | IPv4 |
Producteur | |
Services compatibles |
|
Points de terminaison et API Google régionales
Vous pouvez utiliser un point de terminaison Private Service Connect pour accéder à une seule API Google régionale. Pour obtenir la liste des API régionales compatibles, consultez la section Points de terminaison de service régionaux.
Backends et API Google régionales
Ce tableau décrit les équilibreurs de charge qui peuvent accéder aux API Google régionales à l'aide d'un backend Private Service Connect.
Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge d'application interne, consultez la page Accéder aux API Google régionales via des backends.
Configuration | Détails |
---|---|
Configuration du client (backend Private Service Connect) | |
Équilibreurs de charge clients compatibles |
|
Version IP | IPv4 |
Producteur | |
Services compatibles | API Google régionales compatibles |
Étapes suivantes
- Découvrez comment accéder aux services publiés via des points de terminaison.
- Découvrez comment accéder aux API Google globales via des points de terminaison.
- Découvrez comment accéder aux API Google régionales via des points de terminaison.
- En savoir plus sur les backends.
- Découvrez comment publier des services.