このページの一部またはすべての情報は、S3NS の Trusted Cloud に適用されない場合があります。

Private Service Connect の互換性

サービス

Private Service Connect を使用すると、次のサービスにアクセスできます。

Google 公開サービス

Google サービス	提供されるアクセス権
AlloyDB for PostgreSQL	AlloyDB for PostgreSQL インスタンスに接続できます。
Apigee	Apigee が管理する API をインターネットに公開できます。また、Apigee からバックエンドターゲットサービスにプライベート接続することもできます。
BigQuery 接続 SAP Datasphere	BigQuery を使用して SAP Datasphere にクエリを送信する際のセキュリティを強化できます。
BigQuery Data Transfer Service	Oracle 用 BigQuery Data Transfer Service を使用できます。
ブロックチェーンノードエンジン	ブロックチェーンノードエンジンノードにアクセスできます。
Chrome Enterprise Premium	Identity-Aware Proxy が App Connector Gateway にアクセスできるようにします。
Cloud Data Fusion	Cloud Data Fusion インスタンスを VPC ネットワーク内のリソースに接続できます。
Cloud Composer 2	Cloud Composer テナントプロジェクトにアクセスできます。
Cloud Composer 3	Cloud Composer テナントプロジェクトにアクセスできます。
Cloud SQL	Cloud SQL データベースにプライベートでアクセスできます。サービス接続の自動化により、Cloud SQL インスタンスへの接続の作成を自動化できます。
Cloud Workstations	限定公開のワークステーションクラスタにアクセスできます。
Database Migration Service	Trusted Cloud by S3NSにデータを移行できます。
Dataproc Metastore	Dataproc Metastore サービスにアクセスできます。
Eventarc	Eventarc からイベントを受信できます。
Google Cloud Managed Service for Apache Kafka	Managed Service for Apache Kafka クラスタにアクセスできます。
Google Kubernetes Engine（GKE）の一般公開クラスタと限定公開クラスタ	パブリッククラスタまたはプライベートクラスタのノードとコントロールプレーンをプライベート接続できます。
Integration Connectors	Integration Connectors がマネージドサービスに非公開でアクセスできるようにします。
Looker（Google Cloud コア）	Looker（Google Cloud コア）インスタンスにアクセスできます。
Memorystore for Redis Cluster	サービス接続の自動化により、Memorystore for Redis Cluster インスタンスへの接続の作成を自動化できます。
Memorystore for Valkey	サービス接続の自動化により、Memorystore for Valkey インスタンスへの接続の作成を自動化できます。
Ray on Vertex AI	Ray クラスタにアクセスできます。
Vertex AI Pipelines	パイプライン実行を作成できます。
Vertex AI Training	カスタムジョブと永続リソースにアクセスできます。
Vertex AI Vector Search	サービス接続の自動化により、Vector Search エンドポイントへの接続の作成を自動化できます。
Vertex AI Predictions	Vertex AI オンライン予測にアクセスできます。

サードパーティの公開サービス

サードパーティのサービス	提供されるアクセス権
Aiven	Aiven Kafka クラスタへのプライベートアクセスを提供します。
Axoflow	Axoflow Platform へのプライベートアクセスを提供します。
Citrix DaaS	Citrix DaaS へのプライベートアクセスを提供します。
ClickHouse	ClickHouse サービスへのプライベートアクセスを提供します。
Confluent Cloud	Confluent Cloud クラスタへのプライベートアクセスを提供します。
Couchbase	Capella クラスタへのプライベートアクセスを提供します。
Databricks	Databricks クラスタへのプライベートアクセスを提供します。
Datadog	Datadog の intake サービスへのプライベートアクセスを提供します。
Datastax Astra	Datastax Astra DB データベースへのプライベートアクセスを提供します。
Elasticsearch	Elastic Cloud へのプライベートアクセスを提供します。
Groq	Groq Cloud へのプライベートアクセスを提供します。
JFrog	JFrog SaaS インスタンスへのプライベートアクセスを提供します。
MongoDB Atlas	MongoDB Atlas へのプライベートアクセスを提供します。
Neo4j Aura	Neo4j Aura へのプライベートアクセスを提供します。
Pega Cloud	Pega Cloud へのプライベートアクセスを提供します。
Redis Enterprise Cloud	Redis Enterprise クラスタへのプライベートアクセスを提供します。
Redpanda	Redpanda Cloud へのプライベートアクセスを提供します。
Snowflake	Snowflake へのプライベートアクセスを提供します。
Striim	Striim Cloud へのプライベートアクセスを提供します。
Zenoss	Zenoss Cloud へのプライベートアクセスを提供します。

セルフマネージドの公開サービス

サービスのソース	サービスプロデューサーの構成	サービスコンシューマーの構成
Cloud Load Balancing	サービスを公開する	公開サービスにアクセスするエンドポイントを作成する公開サービスにアクセスするバックエンドを作成する
Google Kubernetes Engine（GKE）	サービスを公開する: 内部 `LoadBalancer` サービスを介してサービスにリクエストを転送し、`ServiceAttachment` を介してサービスを公開します。	公開サービスにアクセスするエンドポイントを作成する公開サービスにアクセスするバックエンドを作成する
Cloud Run と Cloud Run functions（第 2 世代）	次のいずれかを選択します。 `run.app` URL: 追加の構成は必要ありません `cloudfunctions.net` URL（Cloud Run functions のみ）: 追加の構成は必要ありません。公開サービス: サーバーレス NEG を使用したロードバランサを介してサービスにリクエストを転送し、サービスを公開します。	サービスプロデューサーの構成に対応するコンシューマーオプションを選択します。 `cloudfunctions.net` と `run.app` の URL: これらの URL にアクセスするためのエンドポイントを作成します。公開サービス公開サービスにアクセスするエンドポイントを作成する公開サービスにアクセスするバックエンドを作成する
Cloud Run functions（第 1 世代）	`cloudfunctions.net` URL: 追加の構成は必要ありません	`cloudfunctions.net` URL にアクセスするためのエンドポイントを作成する
App Engine	追加の構成は必要ありません	`appspot.com` URL にアクセスするためのエンドポイントを作成する

グローバル Google API

エンドポイントは、グローバル Google API のバンドルまたは単一のリージョン Google API をターゲットにできます。バックエンドは、単一のグローバル Google API または単一のリージョン Google API をターゲットにできます。

グローバル Google API のバンドル

Private Service Connect エンドポイントを使用して、Google API のバンドルにトラフィックを送信できます。

Google API とサービスにアクセスするエンドポイントを作成するときに、すべての API（all-apis）または VPC-SC（vpc-sc）にアクセスするために必要な API のバンドルを選択します。

all-apis バンドルを使用すると、すべての *.googleapis.com サービスエンドポイントを含む、ほとんどの Google API とサービスにアクセスできます。
vpc-sc バンドルを使用すると、VPC Service Controls をサポートする API とサービスにアクセスできます。

注: これらのバンドルは、プライベート Google アクセス VIP 経由で利用可能な API にアクセスできます。all-apis は private.googleapis.com と同等で、vpc-sc は restricted.googleapis.com と同等です。

API バンドルは、TCP 上の HTTP ベースのプロトコル（HTTP、HTTPS、HTTP/2）のみをサポートしています。MQTT や ICMP などの他のプロトコルはサポートされていません。

API バンドルサポート対象のサービス使用例

API バンドル	サポート対象のサービス	使用例
`all-apis`	VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、 Trusted Cloud、以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。一致するドメイン名: `accounts.google.com`（サービスアカウントの OAuth 認証に必要なパスのみをサポートします。ユーザーアカウントの認証はインタラクティブであり、サポートされていません） `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` または `.gcr.io` `.googleapis.com` `.gke.goog` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` または `.pkg.dev` `pki.goog` または `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	次の状況では `all-apis` を選択します。 VPC Service Controls を使用しない。 VPC Service Controls を使用するものの、VPC Service Controls でサポートされていない Google API とサービスにもアクセスする必要がある¹。
`vpc-sc`	VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。 VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。	VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ `vpc-sc` を選択します。`vpc-sc` バンドルは VPC Service Controls をサポートしていない Google API とサービスへのアクセスを許可しません¹。

all-apis

VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、 Trusted Cloud、以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。

一致するドメイン名:

accounts.google.com（サービスアカウントの OAuth 認証に必要なパスのみをサポートします。ユーザーアカウントの認証はインタラクティブであり、サポートされていません）
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io または *.gcr.io
*.googleapis.com
*.gke.goog
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev または *.pkg.dev
pki.goog または *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

次の状況では all-apis を選択します。

VPC Service Controls を使用しない。
VPC Service Controls を使用するものの、VPC Service Controls でサポートされていない Google API とサービスにもアクセスする必要がある¹。

vpc-sc

VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。

VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。

VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ vpc-sc を選択します。vpc-sc バンドルは VPC Service Controls をサポートしていない Google API とサービスへのアクセスを許可しません¹。

¹ ユーザーがアクセスできる対象を、VPC Service Controls をサポートする Google API とサービスのみに制限する必要がある場合は、vpc-sc を使用します。これにより、データ引き出しのリスクがさらに軽減されます。vpc-sc を使用すると、VPC Service Controls でサポートされていない Google API とサービスへのアクセスは拒否されます。詳細については、VPC Service Controls に関するドキュメントのプライベート接続の設定をご覧ください。

単一のグローバル Google API

Private Service Connect バックエンドを使用して、サポートされている単一のグローバル Google API にリクエストを送信できます。次の API がサポートされています。

Bigtable: bigtable.googleapis.com、bigtableadmin.googleapis.com
Cloud Logging: logging.googleapis.com
Spanner: spanner.googleapis.com
Cloud Storage: storage.googleapis.com
Pub/Sub: pubsub.googleapis.com

リージョン Google API

エンドポイントまたはバックエンドを使用して、リージョン Google API にアクセスできます。サポートされているリージョン Google API のリストを表示するには、リージョンサービスエンドポイントをご覧ください。

種類

次の表は、Private Service Connect の各構成の互換性情報をまとめたものです。

次の表で、は機能がサポートされていることを示し、は機能がサポートされていないことを示します。

エンドポイントと公開サービス

このセクションでは、エンドポイントを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。

コンシューマーの構成

次の表は、ターゲットプロデューサータイプに基づいて、公開サービスにアクセスするエンドポイントでサポートされる構成オプションと機能をまとめたものです。

ターゲットプロデューサー	コンシューマーの構成（エンドポイント）
ターゲットプロデューサー	コンシューマーのグローバルアクセス	ハイブリッドアクセス	DNS の自動構成（IPv4 のみ）	VPC ネットワークピアリングアクセス	Network Connectivity Center 接続の伝播（IPv4 のみ）	IPv4 エンドポイントでサポートされているターゲットサービス	IPv6 エンドポイントでサポートされているターゲットサービス
クロスリージョン内部アプリケーションロードバランサ（プレビュー）						IPv4 サービス	IPv4 サービス
内部パススルーネットワークロードバランサ	ロードバランサでグローバルアクセスが有効になっている場合のみ（既知の問題）					IPv4 サービス	IPv4 サービス IPv6 サービス
内部プロトコル転送（ターゲットインスタンス）	プロデューサー転送ルールでグローバルアクセスが有効になっている場合のみ（既知の問題）					IPv4 サービス	IPv4 サービス IPv6 サービス
ポートマッピングサービス	プロデューサー転送ルールでグローバルアクセスが有効になっている場合のみ					IPv4 サービス	IPv4 サービス IPv6 サービス
リージョン内部アプリケーションロードバランサ	サービスアタッチメントの作成前にロードバランサでグローバルアクセスが有効になっている場合のみ					IPv4 サービス	IPv4 サービス
リージョン内部プロキシネットワークロードバランサ	サービスアタッチメントの作成前にロードバランサでグローバルアクセスが有効になっている場合のみ					IPv4 サービス	IPv4 サービス
安全なウェブプロキシ						IPv4 サービス	IPv4 サービス

公開サービスにアクセスするエンドポイントには、次の制限があります。

アクセスしている公開サービスと同じ VPC ネットワークにエンドポイントを作成することはできません。
Packet Mirroring では、Private Service Connect の公開サービストラフィックのパケットはミラーリングできません。
ロードバランサのネクストホップを使用するすべての静的ルートが Private Service Connect でサポートされているわけではありません。詳細については、ロードバランサのネクストホップを使用する静的ルートをご覧ください。
接続テストでは、IPv6 エンドポイントと公開サービス間の接続をテストできません。

プロデューサーの構成

この表は、エンドポイントがアクセスする公開サービスでサポートされる構成オプションと機能をまとめたものです。

プロデューサーの種類	プロデューサーの構成（公開サービス）
プロデューサーの種類	サポートされるプロデューサーバックエンド	PROXY プロトコル（TCP トラフィックのみ）	セッションアフィニティモード	IP バージョン
クロスリージョン内部アプリケーションロードバランサ（プレビュー）	GCE_VM_IP_PORT ゾーン NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ		該当なし	IPv4
内部パススルーネットワークロードバランサ	GCE_VM_IP ゾーン NEG インスタンスグループ		なし（5 タプル） CLIENT_IP_PORT_PROTO	IPv4 IPv6
内部プロトコル転送（ターゲットインスタンス）	該当なし		該当なし	IPv4 IPv6
ポートマッピングサービス	ポートマッピングの NEG		該当なし	IPv4 IPv6
リージョン内部アプリケーションロードバランサ	GCE_VM_IP_PORT ゾーン NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ		該当なし	IPv4
リージョン内部プロキシネットワークロードバランサ	GCE_VM_IP_PORT ゾーン NEG ハイブリッド NEG Private Service Connect NEG インスタンスグループ		該当なし	IPv4
安全なウェブプロキシ	該当なし		該当なし	IPv4

公開サービスには次の制限があります。

複数のプロトコル（プロトコルが L3_DEFAULT に設定されている）で構成されたロードバランサはサポートされていません。
Packet Mirroring では、Private Service Connect の公開サービストラフィックのパケットはミラーリングできません。
Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービスアタッチメントを作成する必要があります。

問題と回避策については、既知の問題をご覧ください。

サポートされるポート構成は、ロードバランサによって異なります。ロードバランサには、単一のポートをサポートするものと、ポートの範囲をサポートするものと、すべてのポートをサポートするものがあります。詳細については、ポートの仕様をご覧ください。

バックエンドと公開サービス

公開サービス用の Private Service Connect バックエンドには、コンシューマーロードバランサとプロデューサーロードバランサという 2 つのロードバランサが必要です。このセクションでは、バックエンドを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。

コンシューマーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされているコンシューマーロードバランサを示します。各コンシューマーロードバランサで使用できるバックエンドサービスプロトコルも示します。コンシューマーロードバランサは、サポートされているプロデューサーロードバランサでホストされている公開サービスにアクセスできます。

コンシューマーロードバランサ	プロトコル	IP バージョン
クロスリージョン内部アプリケーションロードバランサ	HTTP HTTPS HTTP2	IPv4
クロスリージョン内部プロキシネットワークロードバランサ	TCP	IPv4
グローバル外部アプリケーションロードバランサ（複数のリージョンをサポート）注: 従来のアプリケーションロードバランサはサポートされていません。	HTTP HTTPS HTTP2	IPv4
グローバル外部プロキシネットワークロードバランサこのロードバランサを Private Service Connect NEG に関連付けるには、Google Cloud CLI を使用するか、API リクエストを送信します。注: 従来のプロキシネットワークロードバランサはサポートされていません。	TCP / SSL	IPv4
リージョン外部アプリケーションロードバランサ	HTTP HTTPS HTTP2	IPv4
リージョン外部プロキシネットワークロードバランサ	TCP	IPv4
リージョン内部アプリケーションロードバランサ	HTTP HTTPS HTTP2	IPv4
リージョン内部プロキシネットワークロードバランサ	TCP	IPv4

プロデューサーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされるプロデューサーロードバランサの構成を示します。

プロデューサーの種類	プロデューサーの構成（公開サービス）
プロデューサーの種類	サポートされるプロデューサーバックエンド	転送ルールプロトコル	転送ルールのポート	PROXY プロトコル	IP バージョン
クロスリージョン内部アプリケーションロードバランサ（プレビュー）	GCE_VM_IP_PORT ゾーン NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	TCP HTTP HTTPS HTTP/2 gRPC	1 つ、複数、またはすべてのポートをサポート		IPv4
内部パススルーネットワークロードバランサ	GCE_VM_IP ゾーン NEG インスタンスグループ	TCP	プロデューサーポートの構成をご覧ください。		IPv4
リージョン内部アプリケーションロードバランサ	GCE_VM_IP_PORT ゾーン NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	HTTP HTTPS HTTP/2	単一のポートをサポート		IPv4
リージョン内部プロキシネットワークロードバランサ	GCE_VM_IP_PORT ゾーン NEG ハイブリッド NEG Private Service Connect NEG インスタンスグループ	TCP	単一のポートをサポート		IPv4
安全なウェブプロキシ	該当なし	該当なし	該当なし		IPv4

公開サービスには次の制限があります。

複数のプロトコル（プロトコルが L3_DEFAULT に設定されている）で構成されたロードバランサはサポートされていません。
Packet Mirroring では、Private Service Connect の公開サービストラフィックのパケットはミラーリングできません。
Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービスアタッチメントを作成する必要があります。

問題と回避策については、既知の問題をご覧ください。

グローバル外部アプリケーションロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。

サービスを公開するには、サービスを公開するをご覧ください。

エンドポイントとグローバル Google API

次の表は、Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。

この構成を作成するには、エンドポイントを介して Google API にアクセスするをご覧ください。

構成	詳細
コンシューマーの構成（エンドポイント）
グローバルなネットワーク到達性	内部グローバル IP アドレスを使用
Cloud Interconnect のトラフィック
Cloud VPN のトラフィック
VPC ネットワークピアリングによるアクセス
Network Connectivity Center を介した接続の伝播
DNS の自動構成
IP バージョン	IPv4
プロデューサー
サポート対象のサービス	サポートされているグローバル Google API

バックエンドとグローバル Google API

次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。

構成	詳細
コンシューマの構成（Private Service Connect バックエンド）
サポートされているコンシューマーロードバランサ	グローバル外部アプリケーションロードバランサ注: 従来のアプリケーションロードバランサはサポートされていません。クロスリージョン内部アプリケーションロードバランサ
IP バージョン	IPv4
プロデューサー
サポート対象のサービス	Bigtable: `bigtable.googleapis.com`、`bigtableadmin.googleapis.com` Cloud Logging: `logging.googleapis.com` Spanner: `spanner.googleapis.com` Cloud Storage: `storage.googleapis.com` Pub/Sub: `pubsub.googleapis.com`

エンドポイントとリージョン Google API

次の表は、リージョン Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。

構成	詳細
コンシューマーの構成（エンドポイント）
グローバルなネットワーク到達性	グローバルアクセスが有効な場合
Cloud Interconnect のトラフィック
Cloud VPN のトラフィック
VPC ネットワークピアリングによるアクセス
Network Connectivity Center を介した接続の伝播
DNS 構成	DNS の手動構成
IP バージョン	IPv4 または IPv6
プロデューサー
サポート対象のサービス	サポートされているリージョンの Google API

バックエンドとリージョン Google API

次の表では、Private Service Connect バックエンドを使用してリージョン Google API にアクセスできるロードバランサについて説明します。

内部アプリケーションロードバランサを使用するバックエンド構成例については、バックエンド経由でリージョン Google API にアクセスするをご覧ください。

構成	詳細
コンシューマの構成（Private Service Connect バックエンド）
サポートされているコンシューマーロードバランサ	内部アプリケーションロードバランサプロトコル: HTTPS リージョン外部アプリケーションロードバランサプロトコル: HTTPS
IP バージョン	IPv4
プロデューサー
サポート対象のサービス	サポートされているリージョンの Google API

次のステップ

エンドポイントを介した公開サービスへのアクセスについて確認する。
エンドポイントを介したグローバル Google API へのアクセスについて確認する。
エンドポイントを介したリージョン Google API へのアクセスについて確認する。
バックエンドについて確認する。
公開サービスについて確認する。