Private Service Connect 兼容性

服务

您可以使用 Private Service Connect 访问以下服务。

Google 发布的服务

Google 服务	提供的访问权限
AlloyDB for PostgreSQL	可让您连接到 AlloyDB for PostgreSQL 实例。
Apigee	允许您在互联网上公开 Apigee 管理的 API。还允许您以非公开方式从 Apigee 连接到后端目标服务。
BigQuery 连接 SAP Datasphere	让您可以在使用 BigQuery 向 SAP Datasphere 发送查询时提高安全性。
BigQuery Data Transfer Service	让您可以使用适用于 Oracle 的 BigQuery Data Transfer Service。
Blockchain Node Engine	让您可以访问 Blockchain Node Engine 节点。
Chrome 企业进阶版	允许 Identity-Aware Proxy 访问 App Connector Gateway。
Cloud Data Fusion	允许您将 Cloud Data Fusion 实例连接到 VPC 网络中的资源。
Cloud Composer 2	允许您访问 Cloud Composer 租户项目。
Cloud Composer 3	允许您访问 Cloud Composer 租户项目。
Cloud SQL	允许您以非公开方式访问 Cloud SQL 数据库。让您可以通过服务连接自动化自动创建与 Cloud SQL 实例的连接。
Cloud Workstations	允许您访问专用工作站集群。
Database Migration Service	让您可以将数据迁移到 Google Cloud。
Dataproc Metastore	允许您访问 Dataproc Metastore 服务。
Eventarc	允许您接收来自 Eventarc 的事件。
Google Cloud Contact Center as a Service (CCaaS)	让您的代理和监督程序能够通过专用访问通道访问 Google Cloud Contact Center as a Service 接口。让您的 Google Cloud Contact Center as a Service 实例能够通过 VPC 网络使用专用访问通道访问其他系统。
Google Cloud Managed Service for Apache Kafka	让您可以访问 Managed Service for Apache Kafka 集群。
Google Kubernetes Engine (GKE) 公共集群和专用集群	允许您以非公开方式连接公共或专用集群的节点和控制平面。
Integration Connectors	让 Integration Connectors 以私密方式访问您的代管式服务。
Looker (Google Cloud Core)	让您可以访问 Looker (Google Cloud Core) 实例。
Memorystore for Redis Cluster	让您可以通过服务连接自动化自动创建与 Memorystore for Redis Cluster 实例的连接。
Memorystore for Valkey	让您可以通过服务连接自动化自动创建到 Memorystore for Valkey 实例的连接。
Ray on Vertex AI	让您可以访问 Ray 集群。
Vertex AI Pipelines	让您可以创建流水线运行。
Vertex AI Training	让您可以访问自定义作业和永久性资源。
Vertex AI Vector Search	让您可以通过服务连接自动化自动创建与向量搜索端点的连接。
Vertex AI 预测	让您可以访问 Vertex AI Online Prediction。

第三方发布的服务

第三方服务	提供的访问权限
Aiven	提供 Aiven Kafka 集群的专用访问通道。
Axoflow	提供到 Axoflow 平台的专用访问通道。
Citrix DaaS	提供针对 Citrix DaaS 的专用访问通道。
ClickHouse	提供针对 ClickHouse 服务的专用访问通道。
Confluent Cloud	提供 Confluent Cloud 集群的专用访问通道。
Couchbase	提供到 Capella 集群的专用访问通道。
Databricks	提供 Databricks 集群的专用访问通道。
Datadog	提供 Datadog 接收服务的专用访问通道。
Datastax Astra	提供 Datastax Astra DB 数据库的专用访问通道。
Elasticsearch	提供 Elastic Cloud 的专用访问通道。
Groq	提供到 Groq Cloud 的专用访问通道。
JFrog	提供 JFrog SaaS 实例的专用访问通道。
MongoDB Atlas	提供 MongoDB Atlas 的专用访问通道。
Neo4j Aura	提供 Neo4j Aura 的专用访问通道。
Pega Cloud	提供对 Pega Cloud 的专用访问通道。
Redis Enterprise Cloud	提供 Redis Enterprise 集群的专用访问通道。
Redpanda	提供 Redpanda Cloud 的专用访问通道。
Snowflake	提供 Snowflake 的专用访问通道。
Striim	提供对 Striim Cloud 的专用访问通道。
Zenoss	提供到 Zenoss Cloud 的专用访问通道。

自行管理的已发布服务

服务来源	服务提供方配置	服务使用方配置
Cloud Load Balancing	发布服务	创建端点以访问已发布服务创建后端以访问已发布服务
Google Kubernetes Engine (GKE)	发布服务：通过内部 `LoadBalancer` 服务将请求路由到您的服务，并通过 `ServiceAttachment` 发布服务	创建端点以访问已发布服务创建后端以访问已发布服务
Cloud Run 和 Cloud Run functions（第 2 代）	请按以下方式之一操作： `run.app` 网址：您无需进行其他配置 `cloudfunctions.net` 网址（仅适用于 Cloud Run functions）：您无需进行其他配置已发布服务：通过具有无服务器 NEG 的负载均衡器将请求路由到您的服务，并发布服务	选择与服务提供方配置对应的使用方选项： `cloudfunctions.net` 和 `run.app` 网址：创建端点以访问这些网址已发布服务：创建端点以访问已发布服务创建后端以访问已发布服务
Cloud Run functions（第 1 代）	`cloudfunctions.net` 网址：您无需进行其他配置	创建端点以访问 `cloudfunctions.net` 网址
App Engine	您无需进行其他配置	创建端点以访问 `appspot.com` 网址

全球 Google API

端点可以定位一组全球 Google API 或单个区域级 Google API。后端可以定位单个全球 Google API 或单个区域级 Google API。

全球 Google API 包

您可以使用 Private Service Connect 端点将流量发送到一组 Google API。

创建端点以访问 Google API 和服务时，您可选择需要访问的 API 软件包 — 所有 API (all-apis) 或 VPC-SC (vpc-sc)：

all-apis 软件包提供了对包括所有 *.googleapis.com 服务端点在内的大多数 Google API 和服务的访问权限。
vpc-sc 软件包提供了对支持 VPC Service Controls 的 API 和服务的访问权限。

注意：这些软件包提供了对通过专用 Google 访问通道 VIP 提供的相同 API 的访问权限 — all-apis 等同于 private.googleapis.com，vpc-sc 等同于 restricted.googleapis.com。

API 软件包仅支持 TCP 上基于 HTTP 的协议（HTTP、HTTPS 和 HTTP/2）。不支持所有其他协议，包括 MQTT 和 ICMP。

API 软件包支持的服务用法示例

API 软件包	支持的服务	用法示例
`all-apis`	启用对大多数 Google API 和服务的 API 访问权限，无论这些 Google API 和服务是否受 VPC Service Controls 支持。包括对 Google 地图、Google Ads、 Google Cloud以及大多数其他 Google API（包括以下列表）的 API 访问权限。不支持 Gmail 和 Google 文档等 Google Workspace Web 应用。不支持任何交互式网站。与以下域名匹配的域名： `accounts.google.com`（仅支持服务账号 OAuth 身份验证所需的路径；用户账号身份验证是交互式身份验证，不受支持） `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` 或 `.gcr.io` `.googleapis.com` `.gke.goog` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` 或 `.pkg.dev` `pki.goog` 或 `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	在以下情况下选择 `all-apis`：您没有使用 VPC Service Controls。您正在使用 VPC Service Controls，但还需要访问 VPC Service Controls 不支持的 Google API 和服务。 ¹
`vpc-sc`	启用对 VPC Service Controls 所支持的 Google API 和服务的 API 访问权限。阻止对不支持 VPC Service Controls 的 Google API 和服务进行访问。不支持 Google Workspace API 或 Google Workspace Web 应用（例如 Gmail 和 Google 文档）。	如果您只需要访问 VPC Service Controls 支持的 Google API 和服务，请选择 `vpc-sc`。`vpc-sc` 软件包不允许访问不支持 VPC Service Controls 的 Google API 和服务。¹

all-apis

启用对大多数 Google API 和服务的 API 访问权限，无论这些 Google API 和服务是否受 VPC Service Controls 支持。包括对 Google 地图、Google Ads、 Google Cloud以及大多数其他 Google API（包括以下列表）的 API 访问权限。不支持 Gmail 和 Google 文档等 Google Workspace Web 应用。不支持任何交互式网站。

与以下域名匹配的域名：

accounts.google.com（仅支持服务账号 OAuth 身份验证所需的路径；用户账号身份验证是交互式身份验证，不受支持）
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io 或 *.gcr.io
*.googleapis.com
*.gke.goog
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev 或 *.pkg.dev
pki.goog 或 *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

在以下情况下选择 all-apis：

您没有使用 VPC Service Controls。
您正在使用 VPC Service Controls，但还需要访问 VPC Service Controls 不支持的 Google API 和服务。 ¹

vpc-sc

启用对 VPC Service Controls 所支持的 Google API 和服务的 API 访问权限。

阻止对不支持 VPC Service Controls 的 Google API 和服务进行访问。不支持 Google Workspace API 或 Google Workspace Web 应用（例如 Gmail 和 Google 文档）。

如果您只需要访问 VPC Service Controls 支持的 Google API 和服务，请选择 vpc-sc。vpc-sc 软件包不允许访问不支持 VPC Service Controls 的 Google API 和服务。¹

¹ 如果您需要将用户限制为只可使用支持 VPC Service Controls 的 Google API 和服务，请使用 vpc-sc，因为它会针对数据渗漏提供额外的风险缓释措施。使用 vpc-sc 可拒绝对 VPC Service Controls 不支持的 Google API 和服务的访问权限。如需了解详情，请参阅 VPC Service Controls 文档中的设置专用连接。

单一全球 Google API

您可以使用 Private Service Connect 后端向单个受支持的全球 Google API 发送请求。支持以下 API：

Bigtable：bigtable.googleapis.com 和 bigtableadmin.googleapis.com
Cloud Logging：logging.googleapis.com
Spanner：spanner.googleapis.com
Cloud Storage：storage.googleapis.com
Pub/Sub：pubsub.googleapis.com

区域级 Google API

您可以使用端点或后端访问区域级 Google API。如需查看支持的区域 Google API 列表，请参阅区域服务端点。

类型

下表总结了不同 Private Service Connect 配置的兼容性信息。

在下表中，对勾标记表示某功能受支持，否定符号表示某功能不受支持。

端点和已发布服务

本部分汇总了使用端点访问发布服务时可供使用方和提供方使用的配置选项。

使用方配置

下表根据目标提供方类型总结了访问已发布服务的端点支持的配置选项和功能。

目标提供方	使用方配置（端点）
目标提供方	使用方全球访问权限	混合访问权限	自动 DNS 配置（仅限 IPv4）	VPC 网络对等互连访问权限	Network Connectivity Center 连接传播（仅限 IPv4）	IPv4 端点支持的目标服务	IPv6 端点支持的目标服务
跨区域内部应用负载均衡器（预览版）						IPv4 服务	IPv4 服务
内部直通式网络负载均衡器	仅当在负载均衡器上启用全球访问权限时（已知问题）					IPv4 服务	IPv4 服务 IPv6 服务
内部协议转发（目标实例）	仅当在提供方转发规则上启用全球访问权限时（已知问题）					IPv4 服务	IPv4 服务 IPv6 服务
端口映射服务	仅当在提供方转发规则上启用全球访问权限时					IPv4 服务	IPv4 服务 IPv6 服务
区域级内部应用负载均衡器	仅当创建服务连接之前在负载均衡器上启用全球访问权限时					IPv4 服务	IPv4 服务
区域级内部代理网络负载均衡器	仅当创建服务连接之前在负载均衡器上启用全球访问权限时					IPv4 服务	IPv4 服务
安全 Web 代理						IPv4 服务	IPv4 服务

访问已发布服务的端点具有以下限制：

您不能在您要访问的已发布服务所在的同一 VPC 网络中创建端点。
数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
并非所有具有负载均衡器下一个跃点的静态路由都受 Private Service Connect 支持。如需了解详情，请参阅具有负载均衡器下一个跃点的静态路由。
Connectivity Tests 无法测试 IPv6 端点与已发布服务之间的连接。

提供方配置

下表总结了端点访问的已发布服务支持的配置选项和功能。

提供方类型	提供方配置（已发布服务）
提供方类型	支持的提供方后端	PROXY 协议（仅限 TCP 流量）	会话亲和性模式	IP 版本
跨区域内部应用负载均衡器（预览版）	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG 无服务器 NEG Private Service Connect NEG 实例组		不适用	IPv4
内部直通式网络负载均衡器	GCE_VM_IP 可用区级 NEG 实例组		无（5 元组） CLIENT_IP_PORT_PROTO	IPv4 IPv6
内部协议转发（目标实例）	不适用		不适用	IPv4 IPv6
端口映射服务	端口映射 NEG		不适用	IPv4 IPv6
区域级内部应用负载均衡器	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG 无服务器 NEG Private Service Connect NEG 实例组		不适用	IPv4
区域级内部代理网络负载均衡器	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG Private Service Connect NEG 实例组		不适用	IPv4
安全 Web 代理	不适用		不适用	IPv4

已发布服务具有以下限制：

不支持使用多个协议（协议设置为 L3_DEFAULT）配置的负载均衡器。
数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
您必须使用 Google Cloud CLI 或 API 创建指向用于内部协议转发的转发规则的服务连接。

如需了解问题和解决方法，请参阅已知问题。

不同的负载均衡器支持不同的端口配置：有些负载均衡器支持单个端口，有些支持一系列端口，有些支持所有端口。如需了解详情，请参阅端口规范。

后端和已发布服务

已发布服务的 Private Service Connect 后端需要两个负载均衡器：使用方负载均衡器和提供方负载均衡器。本部分汇总了使用后端访问发布服务时可供使用方和提供方使用的配置选项。

使用方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的使用方负载均衡器，包括可与每个使用方负载均衡器搭配使用的后端服务协议。使用方负载均衡器可以访问在受支持的提供方负载均衡器上托管的已发布服务。

使用方负载均衡器	协议	IP 版本
跨区域内部应用负载均衡器	HTTP HTTPS HTTP2	IPv4
跨区域内部代理网络负载均衡器	TCP	IPv4
全球外部应用负载均衡器（支持多个区域）注意：不支持传统版应用负载均衡器。	HTTP HTTPS HTTP2	IPv4
全球外部代理网络负载均衡器如需将此负载均衡器与 Private Service Connect NEG 关联，请使用 Google Cloud CLI 或发送 API 请求。注意：不支持传统代理网络负载均衡器。	TCP/SSL	IPv4
区域级外部应用负载均衡器	HTTP HTTPS HTTP2	IPv4
区域级外部代理网络负载均衡器	TCP	IPv4
区域级内部应用负载均衡器	HTTP HTTPS HTTP2	IPv4
区域级内部代理网络负载均衡器	TCP	IPv4

提供方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的提供方负载均衡器配置。

提供方类型	提供方配置（已发布服务）
提供方类型	支持的提供方后端	转发规则协议	转发规则端口	PROXY 协议	IP 版本
跨区域内部应用负载均衡器（预览版）	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG 无服务器 NEG Private Service Connect NEG 实例组	TCP HTTP HTTPS HTTP/2 gRPC	支持一个、多个或所有端口		IPv4
内部直通式网络负载均衡器	GCE_VM_IP 可用区级 NEG 实例组	TCP	请参阅提供方端口配置		IPv4
区域级内部应用负载均衡器	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG 无服务器 NEG Private Service Connect NEG 实例组	HTTP HTTPS HTTP/2	支持单个端口		IPv4
区域级内部代理网络负载均衡器	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG Private Service Connect NEG 实例组	TCP	支持单个端口		IPv4
安全 Web 代理	不适用	不适用	不适用		IPv4

已发布服务具有以下限制：

不支持使用多个协议（协议设置为 L3_DEFAULT）配置的负载均衡器。
数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
您必须使用 Google Cloud CLI 或 API 创建指向用于内部协议转发的转发规则的服务连接。

如需了解问题和解决方法，请参阅已知问题。

如需查看使用全球外部应用负载均衡器的后端配置示例，请参阅通过后端访问已发布服务。

如需发布服务，请参阅发布服务。

端点和全球 Google API

下表总结了用于访问 Google API 的端点支持的功能。

如需创建此配置，请参阅通过端点访问 Google API。

配置	详细信息
使用方配置（端点）
全球可达性	使用内部全球 IP 地址
Cloud Interconnect 流量
Cloud VPN 流量
通过 VPC 网络对等互连进行访问
通过 Network Connectivity Center 进行连接传播
自动 DNS 配置
IP 版本	IPv4
提供方
支持的服务	支持的全球 Google API

后端和全球 Google API

下表介绍了哪些负载均衡器可以使用全球 Google API 的 Private Service Connect 后端。

配置	详细信息
使用方配置（Private Service Connect 后端）
支持的使用方负载均衡器	全球外部应用负载均衡器注意：不支持传统版应用负载均衡器。跨区域内部应用负载均衡器
IP 版本	IPv4
提供方
支持的服务	Bigtable：`bigtable.googleapis.com` 和 `bigtableadmin.googleapis.com` Cloud Logging：`logging.googleapis.com` Spanner：`spanner.googleapis.com` Cloud Storage：`storage.googleapis.com` Pub/Sub：`pubsub.googleapis.com`

端点和区域级 Google API

下表总结了用于访问区域级 Google API 的端点支持的功能。

配置	详细信息
使用方配置（端点）
全球可达性	如果启用了全球访问权限
Cloud Interconnect 流量
Cloud VPN 流量
通过 VPC 网络对等互连进行访问
通过 Network Connectivity Center 进行连接传播
DNS 配置	手动 DNS 配置
IP 版本	IPv4 或 IPv6
提供方
支持的服务	支持的区域级 Google API

后端和区域 Google API

下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问区域级 Google API。

如需查看使用内部应用负载均衡器的后端配置示例，请参阅通过后端访问区域级 Google API。

配置	详细信息
使用方配置（Private Service Connect 后端）
支持的使用方负载均衡器	内部应用负载均衡器协议：HTTPS 区域级外部应用负载均衡器协议：HTTPS
IP 版本	IPv4
提供方
支持的服务	支持的区域级 Google API

Private Service Connect 兼容性

服务

Google 发布的服务

第三方发布的服务

自行管理的已发布服务

全球 Google API

全球 Google API 包

单一全球 Google API

区域级 Google API

类型

端点和已发布服务

使用方配置

提供方配置

后端和已发布服务

使用方配置

提供方配置

端点和全球 Google API

后端和全球 Google API

端点和区域级 Google API

后端和区域 Google API

后续步骤