Private Service Connect-Kompatibilität

Dienste

Sie können über Private Service Connect auf die folgenden Dienste zugreifen.

Veröffentlichte Google-Dienste

Google-Dienst Zugriff gewährt
AlloyDB for PostgreSQL Ermöglicht Ihnen, Verbindungen zu AlloyDB for PostgreSQL-Instanzen herzustellen.
Apigee Ermöglicht, von Apigee verwaltete APIs im Internet verfügbar zu machen. Ermöglicht auch eine private Verbindung von Apigee zu Backend-Zieldiensten.
BigQuery-Verbindungen SAP Datasphere Ermöglicht eine höhere Sicherheit, wenn BigQuery zum Senden von Abfragen an SAP Datasphere verwendet wird.
BigQuery Data Transfer Service Ermöglicht die Verwendung von BigQuery Data Transfer Service für Oracle.
Blockchain Node Engine Ermöglicht den Zugriff auf Blockchain Node Engine-Knoten.
Chrome Enterprise Premium Ermöglicht dem Identity-Aware Proxy Zugriff auf das App-Connector-Gateway.
Cloud Data Fusion Ermöglicht es Ihnen, Cloud Data Fusion-Instanzen mit Ressourcen in VPC-Netzwerken zu verbinden.
Cloud Composer 2 Ermöglicht den Zugriff auf das Cloud Composer-Mandantenprojekt.
Cloud Composer 3 Ermöglicht den Zugriff auf das Cloud Composer-Mandantenprojekt.
Cloud SQL Ermöglicht den Zugriff auf Ihre Cloud SQL-Datenbank.

Ermöglicht Ihnen, Verbindungen zu Cloud SQL-Instanzen über die Automatisierung von Dienstverbindungen zu erstellen.

Cloud Workstations Ermöglicht den Zugriff auf private Workstation-Cluster.
Database Migration Service Damit können Sie Ihre Daten in Trusted Cloud by S3NS migrieren.
Dataproc Metastore Ermöglicht den Zugriff auf Dataproc Metastore-Dienste.
Eventarc Ermöglicht das Empfangen von Ereignissen von Eventarc.
Google Cloud Contact Center as a Service (CCaaS)

Ermöglicht Ihren Kundenservicemitarbeitern und Vorgesetzten den privaten Zugriff auf die Google Cloud Contact Center as a Service-Benutzeroberfläche.

Ermöglicht Ihrer Google Cloud Contact Center as a Service-Instanz, privat über ein VPC-Netzwerk auf andere Systeme zuzugreifen.

Google Cloud Managed Service for Apache Kafka Ermöglicht den Zugriff auf Managed Service for Apache Kafka-Cluster.
Öffentliche Google Kubernetes Engine-Cluster (GKE) und private Cluster Ermöglicht die private Verbindung von Knoten und der Steuerungsebene für einen öffentlichen oder privaten Cluster.
Integration Connectors Ermöglicht Integration Connectors den privaten Zugriff auf Ihre verwalteten Dienste.
Looker (Google Cloud Core) Ermöglicht den Zugriff auf Looker (Google Cloud Core)-Instanzen.
Memorystore for Redis Cluster Ermöglicht Ihnen, Verbindungen zu Memorystore for Redis-Clusterinstanzen zu automatisieren.
Memorystore for Valkey Ermöglicht die Automatisierung von Verbindungen zu Memorystore for Valkey-Instanzen über die Automatisierung von Dienstverbindungen.
Ray in Vertex AI Ermöglicht den Zugriff auf Ray-Cluster.
Vertex AI Pipelines Ermöglicht das Erstellen von Pipelineausführungen.
Vertex AI Training Ermöglicht den Zugriff auf benutzerdefinierte Jobs und nichtflüchtige Ressourcen.
Vertex AI Vektorsuche Ermöglicht Ihnen, Verbindungen zu Vektorsuch-Endpunkten über die Automatisierung von Dienstverbindungen zu automatisieren.
Vertex AI-Vorhersagen Ermöglicht den Zugriff auf Vertex AI-Onlinevorhersagen.

Veröffentlichte Dienste von Drittanbietern

Dienstleistungen von Drittanbietern Zugriff gewährt
Aiven Ermöglicht privaten Zugriff auf Aiven Kafka-Cluster
Axoflow Ermöglicht privaten Zugriff auf die Axoflow Platform.
Citrix-DaaS Ermöglicht privaten Zugriff auf Citrix DaaS
ClickHouse Ermöglicht privaten Zugriff auf ClickHouse-Dienste
Confluent Cloud Ermöglicht privaten Zugriff auf Confluent Cloud-Cluster
Couchbase Ermöglicht privaten Zugriff auf Capella-Cluster
Databricks Ermöglicht privaten Zugriff auf Databricks-Cluster
Datadog Ermöglicht privaten Zugriff auf Datadog-Aufnahmedienste
Datastax Astra Ermöglicht privaten Zugriff auf Datastax Astra DB-Datenbanken
Elasticsearch Ermöglicht privaten Zugriff auf Elastic Cloud
Groq Ermöglicht privaten Zugriff auf Groq Cloud.
JFrog Privater Zugriff auf JFrog SaaS-Instanzen
MongoDB Atlas Ermöglicht privaten Zugriff auf MongoDB Atlas
Neo4j Aura Ermöglicht privaten Zugriff auf Neo4j Aura.
Pega Cloud Bietet Privaten Zugriff auf Pega Cloud
Redis Enterprise Cloud Ermöglicht privaten Zugriff auf Redis Enterprise-Cluster
Roter Panda Ermöglicht privaten Zugriff auf Redpanda Cloud.
Snowflake Ermöglicht privaten Zugriff auf Snowflake
Striim Privaten Zugriff auf Striim Cloud.
Zenoss Ermöglicht privaten Zugriff auf Zenoss Cloud.

Selbstverwaltete veröffentlichte Dienste

Quelle Ihres Dienstes Diensterstellerkonfiguration Konfiguration von Dienstnutzern
Cloud Load Balancing Dienst veröffentlichen
Google Kubernetes Engine (GKE) Dienst veröffentlichen:Leiten Sie Anfragen über einen internen LoadBalancer-Dienst an Ihren Dienst weiter und veröffentlichen Sie den Dienst über einen ServiceAttachment.
Cloud Run und Cloud Run Functions (2. Generation)

Wählen Sie eine der folgenden Optionen aus:

Wählen Sie die Consumer-Option aus, die der Konfiguration des Diensterstellers entspricht:

Cloud Run-Funktionen (1. Generation) cloudfunctions.net URL: Keine zusätzliche Konfiguration erforderlich Endpunkt erstellen, um auf cloudfunctions.net-URLs zuzugreifen
App Engine Keine zusätzliche Konfiguration erforderlich Endpunkt erstellen, um auf appspot.com-URLs zuzugreifen

Globale Google APIs

Endpunkte können auf ein Bundle mit globalen Google APIs oder auf eine einzelne regionale Google API ausgerichtet sein. Backends können auf eine einzelne globale oder regionale Google API ausgerichtet sein.

Bündel globaler Google APIs

Sie können Private Service Connect-Endpunkte verwenden, um Traffic an ein Bundle von Google APIs zu senden.

Wenn Sie einen Endpunkt für den Zugriff auf Google APIs und Google-Dienste erstellen, wählen Sie aus, auf welches API-Bundle Sie zugreifen müssen: Alle APIs (all-apis) oder VPC-SC (vpc-sc).

Die API-Bundles unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

API-Bundle Unterstützte Dienste Nutzungsbeispiel
all-apis

Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Google Maps, Google Ads, Trusted Cloudund die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen wie Gmail und Google Docs. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:

  • accounts.google.com (unterstützt nur Pfade, die für die OAuth-Authentifizierung von Dienstkonten erforderlich sind; die Authentifizierung von Nutzerkonten ist interaktiv und wird nicht unterstützt)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io oder *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev oder *.pkg.dev
  • pki.goog oder *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Wählen Sie unter folgenden Umständen all-apis aus:

  • Sie verwenden VPC Service Controls nicht.
  • Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden. 1

vpc-sc

Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace APIs oder Google Workspace-Webanwendungen wie Gmail und Google Docs.

Wählen Sie vpc-sc aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. Das vpc-sc-Bundle erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.1

1Hinweis: Wenn Sie Nutzer auf die Google APIs und Google-Dienste beschränken müssen, die VPC Service Controls unterstützen, verwenden Sie vpc-sc. Es bietet eine zusätzliche Risikominderung bei der Daten-Exfiltration. Die Verwendung von vpc-sc verweigert den Zugriff auf Google APIs und Google-Dienste, die nicht von VPC Service Controls unterstützt werden. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Einzelne globale Google API

Sie können Private Service Connect-Backends verwenden, um Anfragen an eine einzelne unterstützte globale Google API zu senden. Die folgenden APIs werden unterstützt:

Regionale Google APIs

Sie können Endpunkte oder Back-Ends für den Zugriff auf regionale Google APIs verwenden. Eine Liste der unterstützten regionalen Google APIs finden Sie unter Regionale Dienstendpunkte.

Typen

Die folgenden Tabellen enthalten eine Übersicht über die Kompatibilitätsinformationen für verschiedene Private Service Connect-Konfigurationen.

Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Endpunkte und veröffentlichte Dienste

In diesem Abschnitt sind die Konfigurationsoptionen zusammengefasst, die Nutzern und Produzenten zur Verfügung stehen, wenn sie Endpunkte zum Zugriff auf veröffentlichte Dienste verwenden.

Nutzerkonfiguration

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und -funktionen von Endpunkten, die auf veröffentlichte Dienste zugreifen, nach Zielerstellertyp zusammengefasst.

Ziel-Producer Nutzerkonfiguration (Endpunkt)
Globaler Nutzerzugriff Hybridzugriff Automatische DNS-Konfiguration
(nur IPv4)
VPC-Netzwerk-Peering-Zugriff Verbindungsweitergabe im Network Connectivity Center (nur IPv4) Unterstützte Zieldienste für IPv4-Endpunkte Unterstützte Zieldienste für IPv6-Endpunkte
Regionenübergreifender interner Application Load Balancer (Vorschau)
  • IPv4-Dienste
  • IPv4-Dienste
Interner Passthrough-Network Load Balancer Nur wenn globaler Zugriff auf dem Load Balancer aktiviert ist (bekanntes Problem)
  • IPv4-Dienste
  • IPv4-Dienste
  • IPv6-Dienste
Interne Protokollweiterleitung (Zielinstanz) Nur wenn globaler Zugriff auf der Weiterleitungsregel des Produzenten aktiviert ist (bekanntes Problem)
  • IPv4-Dienste
  • IPv4-Dienste
  • IPv6-Dienste
Portzuordnungsdienste Nur wenn globaler Zugriff für die Weiterleitungsregel des Erstellers aktiviert ist
  • IPv4-Dienste
  • IPv4-Dienste
  • IPv6-Dienste
Regionaler interner Application Load Balancer Nur wenn globaler Zugriff auf dem Load Balancer aktiviert ist, bevor der Dienstanhang erstellt wird
  • IPv4-Dienste
  • IPv4-Dienste
Regionaler interner Proxy-Network Load Balancer Nur wenn globaler Zugriff auf dem Load Balancer aktiviert ist, bevor der Dienstanhang erstellt wird
  • IPv4-Dienste
  • IPv4-Dienste
Sicherer Web-Proxy
  • IPv4-Dienste
  • IPv4-Dienste

Für Endpunkte, die auf einen veröffentlichten Dienst zugreifen, gelten die folgenden Einschränkungen:

Erstellerkonfiguration

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.

Produzententyp Erstellerkonfiguration (veröffentlichter Dienst)
Unterstützte Ersteller-Back-Ends PROXY-Protokoll (nur TCP-Traffic) IP-Version
Regionenübergreifender interner Application Load Balancer (Vorschau)
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • IPv4
Interner Passthrough-Network Load Balancer
  • Zonale GCE_VM_IP-NEGs
  • Instanzgruppen
  • IPv4
  • IPv6
Interne Protokollweiterleitung (Zielinstanz)
  • Nicht zutreffend
  • IPv4
  • IPv6
Portzuordnungsdienste
  • NEG für Portzuordnung
  • IPv4
  • IPv6
Regionaler interner Application Load Balancer
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • IPv4
Regionaler interner Proxy-Network Load Balancer
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • IPv4
Sicherer Web-Proxy
  • Nicht zutreffend
  • IPv4

Für veröffentlichte Dienste gelten folgende Einschränkungen:

  • Load Balancer, die mit mehreren Protokollen konfiguriert sind – das Protokoll ist auf L3_DEFAULT festgelegt –, werden nicht unterstützt.
  • Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
  • Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.

Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.

Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.

Back-Ends und veröffentlichte Dienste

Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In diesem Abschnitt sind die Konfigurationsoptionen zusammengefasst, die Nutzern und Erstellern zur Verfügung stehen, wenn sie Back-Ends zum Zugriff auf veröffentlichte Dienste verwenden.

Nutzerkonfiguration

In dieser Tabelle werden die Nutzer-Load Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden. Außerdem wird angegeben, welche Back-End-Dienstprotokolle mit jedem Nutzer-Load Balancer verwendet werden können. Die Nutzer-Load Balancer können auf veröffentlichte Dienste zugreifen, die auf unterstützten Ersteller-Load Balancern gehostet werden.

Nutzer-Load Balancer Protokolle IP-Version

Regionsübergreifender interner Application Load Balancer

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Regionsübergreifender interner Proxy-Network Load Balancer

  • TCP
IPv4

Globaler externer Application Load Balancer (unterstützt mehrere Regionen)

Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Globaler externer Proxy-Network Load Balancer

Wenn Sie diesen Load Balancer mit einer Private Service Connect-NEG verknüpfen möchten, verwenden Sie die Google Cloud CLI oder senden Sie eine API-Anfrage.

Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt.

  • TCP/SSL
IPv4

Regionaler externer Application Load Balancer

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Regionaler externer Proxy-Network-Load-Balancer

  • TCP
IPv4

Regionaler interner Application Load Balancer

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Regionaler interner Proxy-Network Load Balancer

  • TCP
IPv4

Erstellerkonfiguration

In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden.

Produzententyp Erstellerkonfiguration (veröffentlichter Dienst)
Unterstützte Ersteller-Back-Ends Weiterleitungsregelprotokolle Weiterleitungsregelports Proxyprotokoll IP-Version
Regionenübergreifender interner Application Load Balancer (Vorschau)
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • gRPC
Unterstützt einen, mehrere oder alle Ports IPv4
Interner Passthrough-Network Load Balancer
  • Zonale GCE_VM_IP-NEGs
  • Instanzgruppen
  • TCP
Weitere Informationen findest du unter Konfiguration des Producer-Ports. IPv4
Regionaler interner Application Load Balancer
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • HTTP
  • HTTPS
  • HTTP/2
Unterstützt einen einzelnen Anschluss IPv4
Regionaler interner Proxy-Network Load Balancer
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • TCP
Unterstützt einen einzelnen Anschluss IPv4
Sicherer Web-Proxy
  • Nicht zutreffend
  • Nicht zutreffend
IPv4

Für veröffentlichte Dienste gelten folgende Einschränkungen:

  • Load Balancer, die mit mehreren Protokollen konfiguriert sind – das Protokoll ist auf L3_DEFAULT festgelegt –, werden nicht unterstützt.
  • Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
  • Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.

Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.

Eine Beispiel-Back-End-Konfiguration, die einen globalen externen Application Load Balancer verwendet, finden Sie unter Zugriff auf veröffentlichte Dienste über Back-Ends.

Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.

Endpunkte und globale Google APIs

In dieser Tabelle sind die Features zusammengefasst, die von Endpunkten für den Zugriff auf Google APIs unterstützt werden.

Informationen zum Erstellen dieser Konfiguration finden Sie unter Zugriff auf Google APIs über Endpunkte.

Konfiguration Details
Nutzerkonfiguration (Endpunkt)
Globale Reichweite Verwendet eine interne globale IP-Adresse
Cloud Interconnect-Traffic
Cloud VPN-Traffic
Zugriff über VPC-Netzwerk-Peering
Verbindungsweitergabe über Network Connectivity Center
Automatische DNS-Konfiguration
IP-Version IPv4
Ersteller
Unterstützte Dienste Unterstützte globale Google APIs

Backends und globale Google APIs

In dieser Tabelle wird beschrieben, welche Load Balancer ein Private Service Connect-Backend auf eine globale Google API verwenden können.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer
  • Globaler externer Application Load Balancer

    Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.

  • Regionsübergreifender interner Application Load Balancer

IP-Version IPv4
Ersteller
Unterstützte Dienste

Endpunkte und regionale Google APIs

In dieser Tabelle sind die Funktionen zusammengefasst, die von Endpunkten unterstützt werden, die für den Zugriff auf regionale Google APIs verwendet werden.

Konfiguration Details
Nutzerkonfiguration (Endpunkt)
Globale Reichweite Wenn der globale Zugriff aktiviert ist
Cloud Interconnect-Traffic
Cloud VPN-Traffic
Zugriff über VPC-Netzwerk-Peering
Verbindungsweitergabe über das Network Connectivity Center
DNS-Konfiguration Manuelle DNS-Konfiguration
IP-Version IPv4 oder IPv6
Ersteller
Unterstützte Dienste Unterstützte regionale Google APIs

Backends und regionale Google APIs

In dieser Tabelle wird beschrieben, welche Load-Balancer ein Private Service Connect-Backend für den Zugriff auf regionale Google APIs verwenden können.

Eine Beispielkonfiguration für einen Backend, der einen internen Application Load Balancer verwendet, finden Sie unter Über Google-Backends auf regionale Google APIs zugreifen.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer
  • Interner Application Load Balancer

    Protokolle: HTTPS

  • Regionaler externer Application Load Balancer

    Protokolle: HTTPS

IP-Version IPv4
Ersteller
Unterstützte Dienste Unterstützte regionale Google APIs

Nächste Schritte