本頁面中的部分或全部資訊可能不適用於 Trusted Cloud by S3NS。

本頁面由 Cloud Translation API 翻譯而成。

透過端點存取 Google API

本文概要說明用於存取 Google API 的 Private Service Connect 端點。

根據預設，如果應用程式使用 Google 服務 (例如 Cloud Storage)，應用程式會連線至該服務的預設 DNS 名稱，例如 storage.googleapis.com。Google 服務的預設 DNS 名稱會解析為可公開路由傳送的 IP 位址。不過，從Trusted Cloud by S3NS 資源傳送到這些 IP 位址的流量仍會留在 Google 的網路內。

透過 Private Service Connect，您可以使用虛擬私有雲網路中的全域內部 IP 位址建立私人端點。您可以將 DNS 名稱指派給這些內部 IP 位址，並使用有意義的名稱，例如 storage-vialink1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com。這些名稱和 IP 位址是虛擬私有雲網路的內部名稱和 IP 位址，以及透過 Cloud VPN 通道或 VLAN 連結連線至虛擬私有雲網路的任何內部部署網路。您可以控管哪些流量傳至哪個端點，並證實這些流量會留在 Trusted Cloud by S3NS中。

這個選項可讓您存取API 套裝組合中的所有 Google API 和服務。

**圖 1.** Private Service Connect 可讓您使用虛擬私有雲網路專屬的端點，將流量傳送至 Google API (按一下即可放大)。

功能和相容性

下表彙整了用於存取 Google API 的端點所支援的功能。

設定	詳細資料
消費者設定 (端點)
全球可達性	使用內部全域 IP 位址
Cloud Interconnect 流量
Cloud VPN 流量
透過虛擬私有雲網路對等互連存取
透過 Network Connectivity Center 傳播連線
自動 DNS 設定
IP 版本	IPv4
製作人
支援的服務	支援的全球 Google API

內部部署存取

您可從支援的連線內部部署主機，存取用於存取 Google API 的 Private Service Connect 端點。詳情請參閱「透過地端部署主機存取端點」。

Private Service Connect 和 Service Directory

端點已在 Service Directory 中註冊。Service Directory 是可讓您儲存、管理及發布服務的平台。建立端點來存取 Google API 和服務時，請選取 Service Directory 區域和 Service Directory 命名空間。

Service Directory 區域

Service Directory 是區域服務，您選取的區域會決定 Service Directory 控制層所在的區域。各個區域的功能沒有差異，但您可能基於管理原因而偏好特定區域。

在虛擬私有雲網路中為 Google API 建立第一個端點時，所選區域會做為該網路中所有後續端點的預設區域。如果尚未為聯播網設定區域，且您未指定區域，系統會將區域設為 us-central1。網路中的所有端點都必須使用相同的 Service Directory 區域。

Service Directory 命名空間

在虛擬私有雲網路中為 Google API 建立第一個端點時，您選取的命名空間會做為該網路中所有後續建立端點的預設命名空間。如果尚未為聯播網設定命名空間，且您未指定命名空間，系統會使用自動產生的命名空間。網路中的所有端點都必須使用相同的服務目錄命名空間。您選擇的命名空間只能用於存取 Google API 的端點。您可以在多個網路中使用相同的端點命名空間。

建立端點時，系統會建立下列 DNS 設定：

系統會為 p.googleapis.com 建立 Service Directory 私人 DNS 區域
DNS 記錄會在 p.googleapis.com 中建立，適用於一些常用的 Google API 和服務，這些 API 和服務可透過 Private Service Connect 使用，且預設 DNS 名稱結尾為 googleapis.com。

如要為 p.googleapis.com 中沒有 DNS 記錄的 API 和服務建立 DNS 記錄，請參閱建立 DNS 記錄。

可用的服務會因您選取 all-apis 或 vpc-sc API 套裝組合而異。

系統會為每個包含端點的 VPC 網路建立一個 Service Directory DNS 區域。

端點的 DNS 名稱可在虛擬私有雲網路的所有區域存取。

支援的 API

建立端點以存取 Google API 和服務時，請選擇要存取的 API 套裝組合，即「所有 API」 (all-apis) 或「VPC-SC」 (vpc-sc)：

all-apis 套裝組合可提供大多數 Google API 和服務的存取權，包括所有 *.googleapis.com 服務端點。
vpc-sc 套裝組合提供 VPC Service Controls 支援的 API 和服務存取權。

注意：注意：這些套件提供的 API 與私人 Google 存取權 VIP 提供的 API 相同。all-apis 等同於 private.googleapis.com，而 vpc-sc 等同於 restricted.googleapis.com。

API 組合僅支援透過 TCP 的 HTTP 式通訊協定 (HTTP、HTTPS 和 HTTP/2)。系統不支援其他通訊協定，包括 MQTT 和 ICMP。

API 套裝組合支援的服務應用實例

API 套裝組合	支援的服務	應用實例
`all-apis`	無論是否支援 VPC Service Controls，都能存取大多數 Google API 和服務。包括 Google 地圖、Google Ads、 Trusted Cloud和大多數其他 Google API 的 API 存取權，包括下列清單。不支援 Google Workspace 網頁應用程式，例如 Gmail 和 Google 文件。不支援任何互動式網站。相符的網域名稱： `accounts.google.com` (僅支援服務帳戶 OAuth 驗證所需的路徑；使用者帳戶驗證為互動式，因此不支援) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io`或`.gcr.io` `.googleapis.com` `.gke.goog` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` 或 `.pkg.dev` `pki.goog`或`.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	在下列情況下選擇 `all-apis`：您未使用 VPC Service Controls。您使用 VPC Service Controls，但需要存取 VPC Service Controls 不支援的 Google API 和服務。 ¹
`vpc-sc`	啟用 VPC Service Controls 支援的 Google API 和服務存取權。禁止存取不支援 VPC Service Controls 的 Google API 和服務。不支援 Google Workspace API 或 Google Workspace 網頁應用程式，例如 Gmail 和 Google 文件。	如果只需要存取 VPC Service Controls 支援的 Google API 和服務，請選擇 `vpc-sc`。`vpc-sc` 套裝組合不允許存取不支援 VPC Service Controls 的 Google API 和服務。¹

all-apis

無論是否支援 VPC Service Controls，都能存取大多數 Google API 和服務。包括 Google 地圖、Google Ads、 Trusted Cloud和大多數其他 Google API 的 API 存取權，包括下列清單。不支援 Google Workspace 網頁應用程式，例如 Gmail 和 Google 文件。不支援任何互動式網站。

相符的網域名稱：

accounts.google.com (僅支援服務帳戶 OAuth 驗證所需的路徑；使用者帳戶驗證為互動式，因此不支援)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io或*.gcr.io
*.googleapis.com
*.gke.goog
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev 或 *.pkg.dev
pki.goog或*.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

在下列情況下選擇 all-apis：

您未使用 VPC Service Controls。
您使用 VPC Service Controls，但需要存取 VPC Service Controls 不支援的 Google API 和服務。 ¹

vpc-sc

啟用 VPC Service Controls 支援的 Google API 和服務存取權。

禁止存取不支援 VPC Service Controls 的 Google API 和服務。不支援 Google Workspace API 或 Google Workspace 網頁應用程式，例如 Gmail 和 Google 文件。

如果只需要存取 VPC Service Controls 支援的 Google API 和服務，請選擇 vpc-sc。vpc-sc 套裝組合不允許存取不支援 VPC Service Controls 的 Google API 和服務。¹

¹ 如要限制使用者只能存取支援 VPC Service Controls 的 Google API 和服務，請使用 vpc-sc，因為這項功能可進一步降低資料外洩風險。使用 vpc-sc 會拒絕存取 VPC Service Controls 不支援的 Google API 和服務。詳情請參閱 VPC Service Controls 說明文件中的設定私人連線。

IP 位址規定

在虛擬私有雲網路設定 Private Service Connect 時，您需要提供端點使用的 IP 位址。

這個位址會計入專案的全域內部 IP 位址配額。

IP 位址必須符合下列規格：

必須是單一 IP 位址，而非位址範圍。
必須是有效的 IPv4 位址。可以是 RFC 1918 位址或非 RFC 1918 位址。Private Service Connect 不支援 IPv6 位址。
不得位於虛擬私有雲網路中設定的子網路範圍內。
不得位於虛擬私有雲網路中任何子網路的主要或次要 IP 位址範圍內，也不得位於透過虛擬私有雲網路對等互連連線至虛擬私有雲網路的網路中。
不能與本機虛擬私有雲網路中的/32自訂靜態路徑重疊。舉例來說，如果虛擬私有雲網路有 10.10.10.10/32 的自訂靜態路徑，您就無法為 Private Service Connect 預留 10.10.10.10 位址。
如果已將對等互連網路設為匯出自訂路徑，且已將虛擬私有雲網路設為匯入自訂路徑，則該路徑不得與/32對等互連自訂靜態路徑重疊。
如果本機虛擬私有雲網路是自動模式網路，或是與自動模式網路對等互連，則不得位於任何自動模式 IP 範圍 (位於 10.128.0.0/9)。
不得位於本機虛擬私有雲網路的已分配 IP 範圍內。不過，該位址可以位於對等互連虛擬私有雲網路的已分配 IP 範圍內。
如果端點與目的地為相同 /32 的自訂動態路徑重疊，系統會優先採用端點。
如果端點 IP 位址位於本機靜態路徑、本機動態路徑或對等互連自訂路徑的目的地範圍內，且該路徑的子網路遮罩短於 /32，則端點的優先順序較高。

用途

您可以在同一個 VPC 網路中建立多個端點。傳送至特定端點的總頻寬沒有限制。由於端點使用全域內部 IP 位址，因此虛擬私有雲網路中的任何資源，或使用 Cloud VPN 通道或 Cloud Interconnect 附件連線的內部部署網路，都可以使用這些端點。

使用多個端點時，您可以透過 Cloud Router 和防火牆規則指定不同的網路路徑。

您可以建立防火牆規則，禁止部分 VM 透過端點存取 Google API，同時允許其他 VM 存取。
您可以在 VM 執行個體上設定防火牆規則，禁止所有網際網路流量；傳送至 Private Service Connect 端點的流量仍會抵達 Google。
如果內部部署主機透過 Cloud VPN 通道或 VLAN 連結連線至虛擬私有雲，您可以透過通道或 VLAN 傳送部分要求，同時透過公用網際網路傳送其他要求。這項設定可讓您略過通道或 VLAN，存取私人 Google 存取權不支援的服務，例如 Google 圖書。

如要建立這項設定，請建立 Private Service Connect 端點，使用 Cloud Router 自訂路徑通告通告端點 IP 位址，並啟用 Cloud DNS 輸入轉送政策。應用程式可使用端點名稱，透過 Cloud VPN 通道或 VLAN 連結傳送部分要求，並使用預設 DNS 名稱，透過網際網路傳送其他要求。
如果您使用多個 VLAN 連結將地端部署網路連線至虛擬私有雲網路，可以透過一個 VLAN 從地端部署網路傳送部分流量，其餘流量則透過其他 VLAN 傳送，如圖 2 所示。這樣一來，您就能使用自己的廣域網路，而非 Google 的網路，並控管資料移動，以符合地理位置規定。

如要建立這項設定，請建立兩個端點。在管理第一個 VLAN 的 Cloud Router 的 BGP 工作階段中，為第一個端點建立自訂路徑通告；在管理第二個 VLAN 的 Cloud Router 的 BGP 工作階段中，為第二個端點建立不同的自訂路徑通告。設定為使用端點名稱的內部部署主機，會透過對應的 VLAN 連結傳送流量。
您也可以在主動/主動拓撲中使用多個 VLAN 連結。如果您使用自訂路徑通告，為管理 VLAN 的 Cloud Router 上的 BGP 工作階段通告相同的端點 IP 位址，則從內部部署系統傳送至端點的封包會使用 ECMP，透過 VLAN 轉送。

圖 2. 設定 Private Service Connect、Cloud Router 和內部部署主機後，您就能控管要使用哪個 VLAN 連結將流量傳送至 Google API (按一下即可放大)。

定價

Private Service Connect 的定價說明請見 VPC 定價頁面。

配額

您可以建立的 Private Service Connect 端點數量，取決於 PSC Google APIs Forwarding Rules per VPC Network 配額。詳情請參閱配額。

機構政策限制

機構政策管理員可以使用 constraints/compute.disablePrivateServiceConnectCreationForConsumers 限制，定義使用者無法建立轉送規則的端點類型組合。

如要瞭解如何建立使用這項限制的機構政策，請參閱「禁止消費者依連線類型部署端點」。

後續步驟

設定 Private Service Connect，存取 Google API 和服務