Private Service Connect 兼容性

服务

您可以使用 Private Service Connect 访问以下服务。

Google 发布的服务

Google 服务 提供的访问权限
AlloyDB for PostgreSQL 可让您连接到 AlloyDB for PostgreSQL 实例
Apigee 允许您在互联网上公开 Apigee 管理的 API。还允许您以非公开方式从 Apigee 连接到后端目标服务
BigQuery 连接 SAP Datasphere 让您在使用 BigQuery 向 SAP Datasphere 发送查询时提高安全性。
BigQuery Data Transfer Service 让您能够使用适用于 Oracle 的 BigQuery Data Transfer Service
Blockchain Node Engine 让您可以访问 Blockchain Node Engine 节点
Chrome Enterprise Premium 允许 Identity-Aware Proxy 访问 App Connector Gateway。
Cloud Data Fusion 允许您将 Cloud Data Fusion 实例连接到 VPC 网络中的资源
Cloud Composer 2 允许您访问 Cloud Composer 租户项目
Cloud Composer 3 允许您访问 Cloud Composer 租户项目
Cloud SQL 允许您以非公开方式访问 Cloud SQL 数据库
Cloud Workstations 允许您访问专用工作站集群
Database Migration Service 允许您将数据迁移到 Google Cloud
Dataproc Metastore 允许您访问 Dataproc Metastore 服务
Eventarc 允许您接收来自 Eventarc 的事件
Google Cloud Managed Service for Apache Kafka 可让您访问 Managed Service for Apache Kafka 集群
Google Kubernetes Engine (GKE) 公共集群和专用集群 允许您以非公开方式连接公共或专用集群的节点和控制平面
Integration Connectors 让 Integration Connectors 以私密方式访问您的代管式服务
Looker (Google Cloud Core) 可让您访问 Looker (Google Cloud Core) 实例
Memorystore for Redis Cluster 允许您访问 Memorystore for Redis Cluster 实例
Memorystore for Valkey 允许您访问 Memorystore for Valkey 实例
Vertex AI Vector Search 让您访问向量搜索端点
Vertex AI 预测 让您能够访问 Vertex AI Online Prediction

第三方发布的服务

第三方服务 提供的访问权限
Aiven 提供 Aiven Kafka 集群的专用访问通道
Citrix DaaS 提供针对 Citrix DaaS 的专用访问通道
ClickHouse 提供针对 ClickHouse 服务的专用访问通道
Confluent Cloud 提供 Confluent Cloud 集群的专用访问通道
Databricks 提供 Databricks 集群的专用访问通道
Datadog 提供 Datadog 接收服务的专用访问通道
Datastax Astra 提供 Datastax Astra DB 数据库的专用访问通道
Elasticsearch 提供 Elastic Cloud 的专用访问通道
JFrog 提供 JFrog SaaS 实例的专用访问通道
MongoDB Atlas 提供 MongoDB Atlas 的专用访问通道
Neo4j Aura 提供 Neo4j Aura 的专用访问通道
Pega Cloud 提供对 Pega Cloud 的专用访问通道
Redis Enterprise Cloud 提供 Redis Enterprise 集群的专用访问通道
Redpanda 提供 Redpanda Cloud 的专用访问通道
Snowflake 提供 Snowflake 的专用访问通道
Striim 提供对 Striim Cloud 的专用访问通道

全球 Google API

端点可以定位一组全球 Google API 或单个区域级 Google API。后端可以定位单个全球 Google API 或单个区域级 Google API。

全球 Google API 包

您可以使用 Private Service Connect 端点将流量发送到一组 Google API。

创建端点以访问 Google API 和服务时,您可选择需要访问的 API 软件包 — 所有 API (all-apis) 或 VPC-SC (vpc-sc):

API 软件包仅支持 TCP 上基于 HTTP 的协议(HTTP、HTTPS 和 HTTP/2)。不支持所有其他协议,包括 MQTT 和 ICMP。

API 软件包 支持的服务 用法示例
all-apis

启用对大多数 Google API 和服务的 API 访问权限,无论这些 Google API 和服务是否受 VPC Service Controls 支持。包括对 Google 地图、Google Ads、Google Cloud 以及大多数其他 Google API(包括以下列表)的 API 访问权限。不支持 Gmail 和 Google 文档等 Google Workspace Web 应用。不支持任何交互式网站。

与以下域名匹配的域名:

  • accounts.google.com(只有 OAuth 身份验证所需的路径)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io*.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev*.pkg.dev
  • pki.goog*.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

在以下情况下选择 all-apis

  • 您没有使用 VPC Service Controls。
  • 您正在使用 VPC Service Controls,但还需要访问 VPC Service Controls 不支持的 Google API 和服务。 1

vpc-sc

启用对 VPC Service Controls 所支持的 Google API 和服务的 API 访问权限。

阻止对不支持 VPC Service Controls 的 Google API 和服务进行访问。不支持 Google Workspace API 或 Google Workspace Web 应用(例如 Gmail 和 Google 文档)。

如果您需要访问 VPC Service Controls 支持的 Google API 和服务,请选择 vpc-scvpc-sc 软件包不允许访问不支持 VPC Service Controls 的 Google API 和服务。1

1 如果您需要将用户限制为只可使用支持 VPC Service Controls 的 Google API 和服务,请使用 vpc-sc,因为它会针对数据渗漏提供额外的风险缓释措施。使用 vpc-sc 可拒绝对 VPC Service Controls 不支持的 Google API 和服务的访问权限。如需了解详情,请参阅 VPC Service Controls 文档中的设置专用连接

单一全球 Google API

您可以使用 Private Service Connect 后端向单个受支持的全球 Google API 发送请求。支持以下 API:

区域级 Google API

您可以使用端点或后端访问区域级 Google API。如需查看支持的区域 Google API 列表,请参阅区域服务端点

类型

下表总结了不同 Private Service Connect 配置的兼容性信息。

在下表中, 对勾标记表示某功能受支持, 否定符号表示某功能不受支持。

端点和已发布服务

本部分汇总了使用端点访问发布服务时可供使用方和提供方使用的配置选项。

使用方配置

下表总结了访问已发布服务的端点支持的配置选项和功能。

使用方配置(端点) 提供方负载均衡器
内部直通式网络负载均衡器 区域级内部应用负载均衡器 区域级内部代理网络负载均衡器 内部协议转发(目标实例)
使用方全球访问权限

与负载均衡器上的全球访问权限设置无关

仅当创建服务连接之前在负载均衡器上启用全球访问权限

仅当创建服务连接之前在负载均衡器上启用全球访问权限

与负载均衡器上的全球访问权限设置无关

Interconnect 流量

Cloud VPN 流量
自动 DNS 配置 仅限 IPv4 仅限 IPv4 仅限 IPv4 仅限 IPv4
连接传播 仅限 IPv4 仅限 IPv4 仅限 IPv4 仅限 IPv4
IPv4 端点
  • IPv4 提供方转发规则
  • IPv4 提供方转发规则
  • IPv4 提供方转发规则
  • IPv4 提供方转发规则
IPv6 端点
  • IPv4 提供方转发规则
  • IPv6 提供方转发规则
  • IPv4 提供方转发规则
  • IPv4 提供方转发规则
  • IPv4 提供方转发规则
  • IPv6 提供方转发规则

访问已发布服务的端点具有以下限制:

提供方配置

下表总结了端点访问的已发布服务支持的配置选项和功能。

提供方配置(已发布服务) 提供方负载均衡器
内部直通式网络负载均衡器 区域级内部应用负载均衡器 区域级内部代理网络负载均衡器 内部协议转发(目标实例)

支持的提供方后端:

  • GCE_VM_IP 可用区级 NEG
  • 实例组
  • 端口映射 NEG
  • GCE_VM_IP_PORT 可用区级 NEG
  • 混合 NEG
  • 无服务器 NEG
  • Private Service Connect NEG
  • 实例组
  • GCE_VM_IP_PORT 可用区级 NEG
  • 混合 NEG
  • 无服务器 NEG
  • Private Service Connect NEG
  • 实例组
不适用
PROXY 协议 仅限 TCP 流量 仅限 TCP 流量
会话亲和性模式 无(5 元组)
CLIENT_IP_PORT_PROTO
不适用 不适用 不适用
IP 版本
  • IPv4 提供方转发规则
  • IPv6 提供方转发规则
  • IPv4 提供方转发规则
  • IPv4 提供方转发规则
  • IPv4 提供方转发规则
  • IPv6 提供方转发规则

已发布服务具有以下限制:

如需了解问题和解决方法,请参阅已知问题

不同的负载均衡器支持不同的端口配置:有些负载均衡器支持单个端口,有些支持一系列端口,有些支持所有端口。如需了解详情,请参阅端口规范

后端和已发布服务

已发布服务的 Private Service Connect 后端需要两个负载均衡器:使用方负载均衡器和提供方负载均衡器。本部分汇总了使用后端访问发布服务时可供使用方和提供方使用的配置选项。

使用方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的使用方负载均衡器,包括可与每个使用方负载均衡器搭配使用的后端服务协议。使用方负载均衡器可以访问在受支持的提供方负载均衡器上托管的已发布服务。

使用方负载均衡器 协议 IP 版本

全球外部应用负载均衡器(支持多个区域

注意:不支持传统版应用负载均衡器。

  • HTTP
  • HTTPS
  • HTTP2
IPv4

区域级外部应用负载均衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

区域级内部应用负载均衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

跨区域内部应用负载均衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

区域级内部代理网络负载均衡器

  • TCP
IPv4

跨区域内部代理网络负载均衡器

  • TCP
IPv4

区域级外部代理网络负载均衡器

  • TCP
IPv4

全球外部代理网络负载均衡器

如需将此负载均衡器与 Private Service Connect NEG 关联,请使用 Google Cloud CLI 或发送 API 请求。

注意:不支持传统代理网络负载均衡器。

  • TCP/SSL
IPv4

提供方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的提供方负载均衡器配置。

配置 提供方负载均衡器
内部直通式网络负载均衡器 区域级内部应用负载均衡器 区域级内部代理网络负载均衡器
支持的提供方后端
  • GCE_VM_IP 可用区级 NEG
  • 实例组
  • GCE_VM_IP_PORT 可用区级 NEG
  • 混合 NEG
  • 无服务器 NEG
  • Private Service Connect NEG
  • 实例组
  • GCE_VM_IP_PORT 可用区级 NEG
  • 混合 NEG
  • 无服务器 NEG
  • Private Service Connect NEG
  • 实例组
转发规则协议
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
转发规则端口 建议使用单个端口,请参阅提供方端口配置 支持单个端口 支持单个端口
PROXY 协议
IP 版本 IPv4 IPv4 IPv4

已发布服务具有以下限制:

如需了解问题和解决方法,请参阅已知问题

如需查看使用全球外部应用负载均衡器的后端配置示例,请参阅通过后端访问已发布服务

如需发布服务,请参阅发布服务

端点和全球 Google API

下表总结了用于访问 Google API 的端点支持的功能。

如需创建此配置,请参阅通过端点访问 Google API

配置 详细信息
使用方配置(端点)
全球可达性 使用内部全球 IP 地址
Interconnect 流量
Cloud VPN 流量
自动 DNS 配置
IP 版本 IPv4
提供方
支持的服务 支持的全球 Google API

后端和全球 Google API

下表介绍了哪些负载均衡器可以使用全球 Google API 的 Private Service Connect 后端。

配置 详细信息
使用方配置(Private Service Connect 后端)
支持的使用方负载均衡器
  • 全球外部应用负载均衡器

    注意:不支持传统版应用负载均衡器。

  • 跨区域内部应用负载均衡器

IP 版本 IPv4
提供方
支持的服务

端点和区域级 Google API

您可以使用 Private Service Connect 端点访问单个区域级 Google API。如需查看支持的区域级 API 的列表,请参阅区域服务端点

后端和区域 Google API

下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问区域级 Google API。

如需查看使用内部应用负载均衡器的后端配置示例,请参阅通过后端访问区域级 Google API

配置 详细信息
使用方配置(Private Service Connect 后端)
支持的使用方负载均衡器
  • 内部应用负载均衡器

    协议:HTTPS

  • 区域级外部应用负载均衡器

    协议:HTTPS

IP 版本 IPv4
提供方
支持的服务 支持的区域级 Google API

后续步骤