Compatibilità di Private Service Connect

Servizi

Puoi accedere ai seguenti servizi utilizzando Private Service Connect.

Servizi pubblicati da Google

Servizio Google Accesso fornito
AlloyDB per PostgreSQL Ti consente di connetterti alle istanze AlloyDB per PostgreSQL.
Apigee Ti consente di esporre su internet le API gestite da Apigee. Ti consente inoltre di collegarti in modo privato da Apigee ai servizi di destinazione di backend.
Connessioni BigQuery SAP Datasphere Ti consente di aumentare la sicurezza quando utilizzi BigQuery per inviare query a SAP Datasphere.
BigQuery Data Transfer Service Ti consente di utilizzare BigQuery Data Transfer Service per Oracle.
Blockchain Node Engine Ti consente di accedere ai nodi Blockchain Node Engine.
Chrome Enterprise Premium Consente a Identity-Aware Proxy di accedere al gateway App Connector.
Cloud Data Fusion Ti consente di collegare le istanze Cloud Data Fusion alle risorse nelle reti VPC.
Cloud Composer 2 Ti consente di accedere al progetto tenant Cloud Composer.
Cloud Composer 3 Ti consente di accedere al progetto tenant Cloud Composer.
Cloud SQL Ti consente di accedere privatamente al tuo database Cloud SQL.
Cloud Workstations Ti consente di accedere ai cluster di workstation private.
Database Migration Service Ti consente di eseguire la migrazione dei dati a Google Cloud.
Dataproc Metastore Ti consente di accedere ai servizi Dataproc Metastore.
Eventarc Ti consente di ricevere eventi da Eventarc.
Google Cloud Managed Service per Apache Kafka Ti consente di accedere ai cluster Managed Service per Apache Kafka.
Cluster pubblici e privati di Google Kubernetes Engine (GKE) Ti consente di collegare in modo privato i nodi e il piano di controllo di un cluster pubblico o privato.
Integration Connectors Consente a Integration Connectors di accedere ai tuoi servizi gestiti in modo privato.
Looker (Google Cloud core) Ti consente di accedere alle istanze di Looker (Google Cloud core).
Memorystore for Redis Cluster Ti consente di accedere alle istanze Memorystore for Redis Cluster.
Memorystore per Valkey Ti consente di accedere alle istanze Memorystore for Valkey.
Ray on Vertex AI Ti consente di accedere ai cluster Ray.
Vertex AI Pipelines Ti consente di creare esecuzioni della pipeline.
Vertex AI Training Ti consente di accedere a job personalizzati e risorse permanenti.
Vertex AI Vector Search Ti consente di accedere agli endpoint di Vector Search.
Previsioni di Vertex AI Ti consente di accedere alla previsione online di Vertex AI.

Servizi pubblicati da terze parti

Servizio di terze parti Accesso fornito
Aiven Fornisce l'accesso privato ai cluster Kafka di Aiven.
Citrix DaaS Fornisce accesso privato a Citrix DaaS.
ClickHouse Fornisce accesso privato ai servizi ClickHouse.
Confluent Cloud Fornisce accesso privato ai cluster Confluent Cloud.
Couchbase Fornisce accesso privato ai cluster Capella.
Databricks Fornisce accesso privato ai cluster Databricks.
Datadog Fornisce accesso privato ai servizi di importazione di Datadog.
Datastax Astra Fornisce accesso privato ai database Datastax Astra DB.
Elasticsearch Fornisce accesso privato a Elastic Cloud.
JFrog Fornisce accesso privato alle istanze JFrog SaaS.
MongoDB Atlas Fornisce accesso privato a MongoDB Atlas.
Neo4j Aura Fornisce accesso privato a Neo4j Aura.
Pega Cloud Fornisce accesso privato a Pega Cloud.
Redis Enterprise Cloud Fornisce accesso privato ai cluster Redis Enterprise.
Redpanda Fornisce accesso privato a Redpanda Cloud.
Snowflake Fornisce accesso privato a Snowflake.
Striim Fornisce accesso privato a Striim Cloud.

API di Google globali

Gli endpoint possono avere come target un pacchetto di API di Google globali o una singola API di Google regionale. I backend possono avere come target una singola API Google globale o una singola API Google regionale.

Bundle di API di Google globali

Puoi utilizzare gli endpoint Private Service Connect per inviare traffico a un bundle di API di Google.

Quando crei un endpoint per accedere alle API e ai servizi Google, scegli a quale pacchetto di API devi accedere: Tutte le API (all-apis) o VPC-SC (vpc-sc):

I bundle di API supportano solo i protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, inclusi MQTT e ICMP, non sono supportati.

Pacchetto di API Servizi supportati Esempio di utilizzo
all-apis

Consente l'accesso API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso alle API di Google Maps, Google Ads, Google Cloud e alla maggior parte delle altre API di Google, inclusi gli elenchi riportati di seguito. Non supporta le applicazioni web di Google Workspace come Gmail e Documenti Google. Non supporta alcun sito web interattivo.

Nomi di dominio corrispondenti:

  • accounts.google.com (solo i percorsi necessari per l'autenticazione OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Scegli all-apis nelle seguenti circostanze:

  • Non utilizzi i Controlli di servizio VPC.
  • Utilizzi i Controlli di servizio VPC, ma devi anche accedere ad API e servizi Google non supportati dai Controlli di servizio VPC. 1

vpc-sc

Consente l'accesso API alle API e ai servizi di Google supportati dai Controlli di servizio VPC.

Blocca l'accesso alle API e ai servizi di Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace come Gmail e Documenti Google.

Scegli vpc-sc se solo hai bisogno di accedere alle API e ai servizi Google supportati da Controlli di servizio VPC. Il bundle vpc-sc non consente l'accesso alle API e ai servizi di Google che non supportano i Controlli di servizio VPC. 1

1 Se devi limitare gli utenti solo alle API e ai servizi Google supportati da Controlli di servizio VPC, utilizza vpc-sc, in quanto offre una mitigazione del rischio aggiuntiva per l'esfiltrazione di dati. L'utilizzo di vpc-sc nega l'accesso alle API e ai servizi di Google non supportati dai Controlli di servizio VPC. Per ulteriori dettagli, consulta Configurare la connettività privata nella documentazione di Controlli di servizio VPC.

Singola API di Google globale

Puoi utilizzare i backend di Private Service Connect per inviare richieste a una singola API di Google globale supportata. Sono supportate le seguenti API:

API di Google regionali

Puoi utilizzare endpoint o backend per accedere alle API di Google regionali. Per un elenco delle API di Google regionali supportate, consulta Endpoint di servizio regionale.

Tipi

Le tabelle seguenti riepilogano le informazioni sulla compatibilità per le diverse configurazioni di Private Service Connect.

Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo di divieto indica che una funzionalità non è supportata.

Endpoint e servizi pubblicati

Questa sezione riassume le opzioni di configurazione disponibili per consumatori e produttori quando utilizzano gli endpoint per accedere ai servizi di pubblicazione.

Configurazione del consumatore

Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati.

Configurazione del consumatore (endpoint) Bilanciatore del carico dei produttori
Bilanciatore del carico di rete passthrough interno Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico di rete proxy interno regionale Forwarding del protocollo interno (istanza di destinazione)
Accesso globale dei consumatori

Indipendentemente dall' impostazione di accesso globale sul bilanciatore del carico

Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio

Solo se l' accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio

Indipendentemente dall' impostazione di accesso globale sul bilanciatore del carico

Traffico di interconnessione

Traffico Cloud VPN
Configurazione DNS automatica Solo IPv4 Solo IPv4 Solo IPv4 Solo IPv4
Propagazione della connessione Solo IPv4 Solo IPv4 Solo IPv4 Solo IPv4
Endpoint IPv4
  • Regole di forwarding del produttore IPv4
  • Regole di forwarding del produttore IPv4
  • Regole di forwarding del produttore IPv4
  • Regole di forwarding del produttore IPv4
Endpoint IPv6
  • Regole di forwarding del produttore IPv4
  • Regole di inoltro dei produttori IPv6
  • Regole di forwarding del produttore IPv4
  • Regole di forwarding del produttore IPv4
  • Regole di forwarding del produttore IPv4
  • Regole di inoltro dei produttori IPv6

Gli endpoint che accedono a un servizio pubblicato presentano le seguenti limitazioni:

  • Non puoi creare un endpoint nella stessa rete VPC del servizio pubblicato a cui stai accedendo.

  • Gli endpoint non sono accessibili dalle reti VPC in peering.

  • Il mirroring dei pacchetti non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.

  • Non tutte le route statiche con hop successivi del bilanciatore del carico sono supportate con Private Service Connect. Per ulteriori informazioni, consulta Route statiche con hop successivi del bilanciatore del carico.

  • Connectivity Tests non può testare la connettività tra un endpoint IPv6 e un servizio pubblicato.

Configurazione del produttore

Questa tabella riassume le opzioni e le funzionalità di configurazione supportate dei servizi pubblicati a cui accedono gli endpoint.

Configurazione del produttore (servizio pubblicato) Bilanciatore del carico dei produttori
Bilanciatore del carico di rete passthrough interno Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico di rete proxy interno regionale Forwarding del protocollo interno (istanza di destinazione)

Backend del produttore supportati:

  • NEG a livello di zona GCE_VM_IP
  • Gruppi di istanze
  • NEG di mappatura delle porte
  • NEG a livello di zona GCE_VM_IP_PORT
  • NEG ibride
  • NEG serverless
  • NEG Private Service Connect
  • Gruppi di istanze
  • NEG a livello di zona GCE_VM_IP_PORT
  • NEG ibride
  • NEG serverless
  • NEG Private Service Connect
  • Gruppi di istanze
Non applicabile
Protocollo PROXY Solo traffico TCP Solo traffico TCP
Modalità di affinità sessione NESSUNO (tuple di 5 elementi)
CLIENT_IP_PORT_PROTO
Non applicabile Non applicabile Non applicabile
Versione IP
  • Regole di forwarding del produttore IPv4
  • Regole di inoltro dei produttori IPv6
  • Regole di forwarding del produttore IPv4
  • Regole di forwarding del produttore IPv4
  • Regole di forwarding del produttore IPv4
  • Regole di inoltro dei produttori IPv6

I servizi pubblicati presentano le seguenti limitazioni:

Per problemi e soluzioni alternative, consulta Problemi noti.

I bilanciatori del carico diversi supportano configurazioni di porte diverse; alcuni bilanciatori supportano una singola porta, altri supportano una serie di porte e altri supportano tutte le porte. Per ulteriori informazioni, consulta le specifiche delle porte.

Backend e servizi pubblicati

Un backend Private Service Connect per i servizi pubblicati richiede due bilanciatori del carico: uno per i consumer e uno per i producer. Questa sezione riassume le opzioni di configurazione disponibili per consumatori e produttori quando utilizzano i backend per accedere ai servizi di pubblicazione.

Configurazione del consumatore

Questa tabella descrive i bilanciatori del carico dei consumer supportati dai backend di Private Service Connect per i servizi pubblicati, inclusi i protocolli di servizio di backend che possono essere utilizzati con ciascun bilanciatore del carico del consumer. I bilanciatori del carico dei consumer possono accedere ai servizi pubblicati ospitati su bilanciatori del carico dei producer supportati.

Bilanciatore del carico dei consumatori Protocolli Versione IP

Bilanciatore del carico delle applicazioni esterno globale (supporta più regioni)

Nota:il bilanciatore del carico delle applicazioni classico non è supportato.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Bilanciatore del carico delle applicazioni esterno regionale

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Bilanciatore del carico delle applicazioni interno regionale

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Bilanciatore del carico delle applicazioni interno tra regioni

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Bilanciatore del carico di rete proxy interno regionale

  • TCP
IPv4

Bilanciatore del carico di rete proxy interno tra regioni

  • TCP
IPv4

Bilanciatore del carico di rete proxy esterno regionale

  • TCP
IPv4

Bilanciatore del carico di rete proxy esterno globale

Per associare questo bilanciatore del carico a un NEG di Private Service Connect, utilizza Google Cloud CLI o invia una richiesta API.

Nota:Network Load Balancer proxy classico non è supportato.

  • TCP/SSL
IPv4

Configurazione del produttore

Questa tabella descrive la configurazione dei bilanciatori del carico dei producer supportati dai backend Private Service Connect per i servizi pubblicati.

Configurazione Bilanciatore del carico dei produttori
Bilanciatore del carico di rete passthrough interno Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico di rete proxy interno regionale
Backend del produttore supportati
  • NEG a livello di zona GCE_VM_IP
  • Gruppi di istanze
  • NEG a livello di zona GCE_VM_IP_PORT
  • NEG ibride
  • NEG serverless
  • NEG Private Service Connect
  • Gruppi di istanze
  • NEG a livello di zona GCE_VM_IP_PORT
  • NEG ibride
  • NEG serverless
  • NEG Private Service Connect
  • Gruppi di istanze
Protocolli delle regole di forwarding
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Porte delle regole di forwarding Ti consigliamo di utilizzare una singola porta. Consulta la sezione Configurazione della porta del produttore Supporta una singola porta Supporta una singola porta
Protocollo PROXY
Versione IP IPv4 IPv4 IPv4

I servizi pubblicati presentano le seguenti limitazioni:

Per problemi e soluzioni alternative, consulta Problemi noti.

Per un esempio di configurazione del backend che utilizza un bilanciatore del carico delle applicazioni esterno globale, consulta Accedere ai servizi pubblicati tramite i backend.

Per pubblicare un servizio, consulta Pubblicare servizi.

Endpoint e API di Google globali

Questa tabella riassume le funzionalità supportate dagli endpoint utilizzati per accedere alle API di Google.

Per creare questa configurazione, consulta Accedere alle API di Google tramite endpoint.

Configurazione Dettagli
Configurazione del consumatore (endpoint)
Copertura globale Utilizza un indirizzo IP globale interno
Traffico di interconnessione
Traffico Cloud VPN
Configurazione DNS automatica
Versione IP IPv4
Produttore
Servizi supportati API di Google globali supportate

Backend e API Google globali

Questa tabella descrive quali bilanciatori del carico possono utilizzare un backend Private Service Connect per un'API Google globale.

Configurazione Dettagli
Configurazione del consumer (backend di Private Service Connect)
Bilanciatori del carico per i consumatori supportati
  • Bilanciatore del carico delle applicazioni esterno globale

    Nota:il bilanciatore del carico delle applicazioni classico non è supportato.

  • Bilanciatore del carico delle applicazioni interno tra regioni

Versione IP IPv4
Produttore
Servizi supportati

Endpoint e API di Google regionali

Puoi utilizzare un endpoint Private Service Connect per accedere a una singola API di Google regionale. Per un elenco delle API regionali supportate, consulta Endpoint di servizio a livello di area geografica.

Backend e API di Google regionali

Questa tabella descrive quali bilanciatori del carico possono utilizzare un backend di Private Service Connect per accedere alle API di Google regionali.

Per un esempio di configurazione del backend che utilizza un bilanciatore del carico delle applicazioni interno, consulta Accedere alle API di Google regionali tramite i backend.

Configurazione Dettagli
Configurazione del consumer (backend di Private Service Connect)
Bilanciatori del carico per i consumatori supportati
  • Bilanciatore del carico delle applicazioni interno

    Protocolli: HTTPS

  • Bilanciatore del carico delle applicazioni esterno regionale

    Protocolli: HTTPS

Versione IP IPv4
Produttore
Servizi supportati API di Google regionali supportate

Passaggi successivi