Private Service Connect 相容性
服務
您可以使用 Private Service Connect 存取下列服務。
Google 發布的服務
第三方發布的服務
自行管理的已發布服務
| 服務來源 | 服務供應者設定 | 服務用戶設定 |
|---|---|---|
| Cloud Load Balancing | 發布服務 | |
| Google Kubernetes Engine (GKE) |
發布服務:透過內部 LoadBalancer 服務將要求轉送至服務,並透過 ServiceAttachment 發布服務 |
|
| Cloud Run 和 Cloud Run 函式 (第 2 代) | 選擇下列其中一個選項:
|
請選擇與服務供應端設定相對應的消費者選項: |
| Cloud Run 函式 (第 1 代) | cloudfunctions.net 網址:不需要額外設定 |
建立端點,以便存取 cloudfunctions.net 網址
|
| App Engine | 您不需要額外設定。 |
建立端點,以便存取 appspot.com 網址 |
全域 Google API
端點可以指定一組全球 Google API 或單一區域 Google API。後端可指定單一全球 Google API 或單一區域 Google API。
全球 Google API 套件
您可以使用 Private Service Connect 端點,將流量傳送至 Google API 套件。
建立端點以存取 Google API 和服務時,請選擇要存取哪些 API 組合:所有 API (all-apis) 或 VPC-SC (vpc-sc):
all-apis套件可提供大多數 Google API 和服務的存取權,包括所有*.googleapis.com服務端點。vpc-sc套件可提供 API 和服務的存取權,這些 API 和服務支援 VPC Service Controls。
這些 API 套件只支援透過 TCP 的 HTTP 通訊協定 (HTTP、HTTPS 和 HTTP/2)。系統不支援其他通訊協定,包括 MQTT 和 ICMP。
| API 套件 | 支援的服務 | 應用實例 |
|---|---|---|
all-apis |
啟用 API 存取權,可存取大多數 Google API 和服務,無論這些服務是否支援 VPC Service Controls。包括 Google 地圖、Google Ads、 Google Cloud和大多數其他 Google API 的 API 存取權,包括下列清單。不支援 Gmail 和 Google 文件等 Google Workspace 網頁應用程式。不支援任何互動式網站。 符合下列條件的網域名稱:
|
在下列情況下,請選擇
|
vpc-sc
| 啟用 API 存取權,可存取 VPC Service Controls 支援的 Google API 和服務。 封鎖對不支援 VPC Service Controls 的 Google API 和服務的存取權。不支援 Google Workspace API 或 Google Workspace 網頁應用程式,例如 Gmail 和 Google 文件。 |
如果您只需要存取 VPC Service Controls 支援的 Google API 和服務,請選擇 |
vpc-sc,因為這可進一步降低資料外洩的風險。使用 vpc-sc 可拒絕存取 VPC Service Controls 不支援的 Google API 和服務。詳情請參閱 VPC Service Controls 說明文件中的「設定私人連線」。單一全球 Google API
您可以使用 Private Service Connect 後端,將要求傳送至單一支援的全球 Google API。支援下列 API:
- Bigtable:
bigtable.googleapis.com和bigtableadmin.googleapis.com - Cloud Logging:
logging.googleapis.com - Spanner:
spanner.googleapis.com - Cloud Storage:
storage.googleapis.com - Pub/Sub:
pubsub.googleapis.com
區域性 Google API
您可以使用端點或後端存取區域 Google API。如需支援的區域性 Google API 清單,請參閱「區域服務端點」。
類型
下表列出不同 Private Service Connect 設定的相容性資訊。
在下表中,勾號表示支援功能,無符號則表示不支援功能。
端點和已發布的服務
本節將概述消費者和生產者使用端點存取發布服務時,可用的設定選項。
消費者設定
下表根據目標產生器類型,列出端點支援的設定選項和功能,可用於存取已發布服務。
| 目標製作人 | 消費者設定 (端點) | ||||||
|---|---|---|---|---|---|---|---|
| 全球消費者存取權 | 混合式存取 | 自動 DNS 設定 (僅限 IPv4) |
虛擬私有雲網路對等互連存取權 | Network Connectivity Center 連線傳播 (僅限 IPv4) | 支援的 IPv4 端點目標服務 | 支援的 IPv6 端點目標服務 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
|||||
| 內部直通式網路負載平衡器 | 僅限負載平衡器已啟用全域存取權 (已知問題) |
|
|
||||
| 內部通訊協定轉送 (目標執行個體) | 只有在生產端轉送規則已啟用全域存取權時才會發生 (已知問題) |
|
|
||||
| 通訊埠對應服務 | 只有在生產端轉送規則已啟用全域存取權的情況下 |
|
|
||||
| 區域性內部應用程式負載平衡器 | 只有在服務附件建立前,在負載平衡器上啟用全域存取權的情況下 |
|
|
||||
| 區域性內部 Proxy 網路負載平衡器 | 只有在服務附件建立前,在負載平衡器上啟用全域存取權的情況下 |
|
|
||||
| Secure Web Proxy |
|
|
|||||
存取已發布服務的端點有以下限制:
您無法在與您要存取的已發布服務相同的 VPC 網路中建立端點。
封包鏡像無法為 Private Service Connect 發布的服務流量鏡像封包。
Private Service Connect 不支援所有具有負載平衡器下一個躍點的靜態路徑。詳情請參閱「含有負載平衡器下一個躍點的靜態路徑」。
連線能力測試無法測試 IPv6 端點與已發布服務之間的連線能力。
Producer 設定
下表列出端點存取的已發布服務支援的設定選項和功能。
| 製作人類型 | 生產端設定 (已發布服務) | |||
|---|---|---|---|---|
| 支援的製作者後端 | PROXY 通訊協定 (僅限 TCP 流量) | 工作階段相依性模式 | IP 版本 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
不適用 |
|
|
| 內部直通式網路負載平衡器 |
|
NONE (5 組合) CLIENT_IP_PORT_PROTO |
|
|
| 內部通訊協定轉送 (目標執行個體) |
|
不適用 |
|
|
| 通訊埠對應服務 |
|
不適用 |
|
|
| 區域性內部應用程式負載平衡器 |
|
不適用 |
|
|
| 區域性內部 Proxy 網路負載平衡器 |
|
不適用 |
|
|
| Secure Web Proxy |
|
不適用 |
|
|
發布的服務有下列限制:
- 系統不支援以
多個通訊協定設定的負載平衡器 (通訊協定設為
L3_DEFAULT)。 - 封包鏡像無法為 Private Service Connect 發布的服務流量鏡像封包。
- 您必須使用 Google Cloud CLI 或 API 建立服務附件,指向用於內部通訊協定轉送的轉送規則。
如要瞭解問題和解決方法,請參閱「已知問題」。
不同的負載平衡器支援不同的通訊埠設定;有些負載平衡器支援單一通訊埠,有些支援一系列通訊埠,有些則支援所有通訊埠。詳情請參閱「連接埠規格」。
後端和發布的服務
已發布服務的 Private Service Connect 後端需要兩個負載平衡器:消費者負載平衡器和供應者負載平衡器。本節將概述使用後端存取發布服務時,消費者和生產者可用的設定選項。
消費者設定
下表說明 Private Service Connect 後端支援的已發布服務用戶負載平衡器,包括可與各個用戶負載平衡器搭配使用的後端服務通訊協定。消費者負載平衡器可以存取由支援的供應端負載平衡器代管的發布服務。
| 消費者負載平衡器 | 通訊協定 | IP 版本 |
|---|---|---|
|
IPv4 | |
|
IPv4 | |
|
注意:不支援 Classic Application Load Balancer。 |
|
IPv4 |
|
如要將這個負載平衡器與 Private Service Connect NEG 建立關聯,請使用 Google Cloud CLI 或傳送 API 要求。 注意:系統不支援傳統 Proxy Network Load Balancer。 |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 |
Producer 設定
下表說明 Private Service Connect 後端支援的供應者負載平衡器設定,適用於已發布的服務。
| 製作人類型 | 生產端設定 (已發布服務) | ||||
|---|---|---|---|---|---|
| 支援的製作者後端 | 轉送規則通訊協定 | 轉送規則通訊埠 | PROXY 通訊協定 | IP 版本 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
支援一個、多個或所有通訊埠 | IPv4 | |
| 內部直通式網路負載平衡器 |
|
|
請參閱「供應者通訊埠設定」 | IPv4 | |
| 區域性內部應用程式負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | |
| 區域性內部 Proxy 網路負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | |
| Secure Web Proxy |
|
|
不適用 | IPv4 | |
發布的服務有下列限制:
- 系統不支援以
多個通訊協定設定的負載平衡器 (通訊協定設為
L3_DEFAULT)。 - 封包鏡像無法為 Private Service Connect 發布的服務流量鏡像封包。
- 您必須使用 Google Cloud CLI 或 API 建立服務附件,指向用於內部通訊協定轉送的轉送規則。
如要瞭解問題和解決方法,請參閱「已知問題」。
如需使用全域外部應用程式負載平衡器的後端設定範例,請參閱「透過後端存取已發布服務」。
如要發布服務,請參閱「發布服務」。
端點和全球 Google API
下表列出 用於存取 Google API 的端點支援的功能。
如要建立這項設定,請參閱「透過端點存取 Google API」。
| 設定 | 詳細資料 |
|---|---|
| 消費者設定 (端點) | |
| 全球可達性 | 使用內部全域 IP 位址 |
| Cloud Interconnect 流量 | |
| Cloud VPN 流量 | |
| 透過虛擬私有雲網路對等互連存取 | |
| 透過 Network Connectivity Center 傳播連線 | |
| 自動 DNS 設定 | |
| IP 版本 | IPv4 |
| 製作人 | |
| 支援的服務 | 支援的全域 Google API |
後端和全球 Google API
下表說明哪些負載平衡器可使用 Private Service Connect 後端,連線至全球 Google API。
| 設定 | 詳細資料 |
|---|---|
| 消費者設定 (Private Service Connect 後端) | |
| 支援的消費者負載平衡器 |
|
| IP 版本 | IPv4 |
| Producer | |
| 支援的服務 |
|
端點和區域性 Google API
下表列出用於存取區域 Google API 的端點支援的功能。
| 設定 | 詳細資料 |
|---|---|
| 消費者設定 (端點) | |
| 全球可達性 | 如果已啟用 全域存取權 |
| Cloud Interconnect 流量 | |
| Cloud VPN 流量 | |
| 透過虛擬私有雲網路對等互連存取 | |
| 透過 Network Connectivity Center 進行連線傳播 | |
| DNS 設定 | 手動設定 DNS |
| IP 版本 | IPv4 或 IPv6 |
| 製作人 | |
| 支援的服務 | 支援的區域性 Google API |
後端和區域性 Google API
本表說明哪些負載平衡器可使用 Private Service Connect 後端存取區域性 Google API。
如需使用內部應用程式負載平衡器的後端設定範例,請參閱「透過後端存取區域性 Google API」。
| 設定 | 詳細資料 |
|---|---|
| 消費者設定 (Private Service Connect 後端) | |
| 支援的消費者負載平衡器 |
|
| IP 版本 | IPv4 |
| Producer | |
| 支援的服務 | 支援的區域性 Google API |
後續步驟
- 瞭解如何透過端點存取已發布的服務。
- 瞭解如何透過端點存取全球 Google API。
- 瞭解如何透過端點存取區域性 Google API。
- 瞭解後端。
- 瞭解發布服務。