Private Service Connect の互換性

サービス

Private Service Connect を使用すると、次のサービスにアクセスできます。

Google 公開サービス

Google サービス 提供されるアクセス権
AlloyDB for PostgreSQL AlloyDB for PostgreSQL インスタンスに接続できます。
Apigee Apigee が管理する API をインターネットに公開できます。また、Apigee からバックエンド ターゲット サービスにプライベート接続することもできます。
BigQuery 接続 SAP Datasphere BigQuery を使用して SAP Datasphere にクエリを送信する際のセキュリティを強化できます。
BigQuery Data Transfer Service Oracle 用 BigQuery Data Transfer Service を使用できます。
ブロックチェーン ノード エンジン ブロックチェーン ノード エンジン ノードにアクセスできます。
Chrome Enterprise Premium Identity-Aware Proxy が App Connector Gateway にアクセスできるようにします。
Cloud Data Fusion Cloud Data Fusion インスタンスを VPC ネットワーク内のリソースに接続できます。
Cloud Composer 2 Cloud Composer テナント プロジェクトにアクセスできます。
Cloud Composer 3 Cloud Composer テナント プロジェクトにアクセスできます。
Cloud SQL Cloud SQL データベースにプライベートでアクセスできます。

サービス接続の自動化により、Cloud SQL インスタンスへの接続の作成を自動化できます。

Cloud Workstations 限定公開のワークステーション クラスタにアクセスできます。
Database Migration Service Trusted Cloud by S3NSにデータを移行できます。
Dataproc Metastore Dataproc Metastore サービスにアクセスできます。
Eventarc Eventarc からイベントを受信できます。
Google Cloud Managed Service for Apache Kafka Managed Service for Apache Kafka クラスタにアクセスできます。
Google Kubernetes Engine(GKE)の一般公開クラスタと限定公開クラスタ パブリック クラスタまたはプライベート クラスタのノードとコントロール プレーンをプライベート接続できます。
Integration Connectors Integration Connectors がマネージド サービスに非公開でアクセスできるようにします。
Looker(Google Cloud コア) Looker(Google Cloud コア)インスタンスにアクセスできます。
Memorystore for Redis Cluster サービス接続の自動化により、Memorystore for Redis Cluster インスタンスへの接続の作成を自動化できます。
Memorystore for Valkey サービス接続の自動化により、Memorystore for Valkey インスタンスへの接続の作成を自動化できます。
Ray on Vertex AI Ray クラスタにアクセスできます。
Vertex AI Pipelines パイプライン実行を作成できます。
Vertex AI Training カスタムジョブと永続リソースにアクセスできます。
Vertex AI Vector Search サービス接続の自動化により、Vector Search エンドポイントへの接続の作成を自動化できます。
Vertex AI Predictions Vertex AI オンライン予測にアクセスできます。

サードパーティの公開サービス

サードパーティのサービス 提供されるアクセス権
Aiven Aiven Kafka クラスタへのプライベート アクセスを提供します。
Axoflow Axoflow Platform へのプライベート アクセスを提供します。
Citrix DaaS Citrix DaaS へのプライベート アクセスを提供します。
ClickHouse ClickHouse サービスへのプライベート アクセスを提供します。
Confluent Cloud Confluent Cloud クラスタへのプライベート アクセスを提供します。
Couchbase Capella クラスタへのプライベート アクセスを提供します。
Databricks Databricks クラスタへのプライベート アクセスを提供します。
Datadog Datadog の intake サービスへのプライベート アクセスを提供します。
Datastax Astra Datastax Astra DB データベースへのプライベート アクセスを提供します。
Elasticsearch Elastic Cloud へのプライベート アクセスを提供します。
Groq Groq Cloud へのプライベート アクセスを提供します。
JFrog JFrog SaaS インスタンスへのプライベート アクセスを提供します。
MongoDB Atlas MongoDB Atlas へのプライベート アクセスを提供します。
Neo4j Aura Neo4j Aura へのプライベート アクセスを提供します。
Pega Cloud Pega Cloud へのプライベート アクセスを提供します。
Redis Enterprise Cloud Redis Enterprise クラスタへのプライベート アクセスを提供します。
Redpanda Redpanda Cloud へのプライベート アクセスを提供します。
Snowflake Snowflake へのプライベート アクセスを提供します。
Striim Striim Cloud へのプライベート アクセスを提供します。
Zenoss Zenoss Cloud へのプライベート アクセスを提供します。

セルフマネージドの公開サービス

サービスのソース サービス プロデューサーの構成 サービス コンシューマーの構成
Cloud Load Balancing サービスを公開する
Google Kubernetes Engine(GKE) サービスを公開する: 内部 LoadBalancer サービスを介してサービスにリクエストを転送し、ServiceAttachment を介してサービスを公開します。
Cloud RunCloud Run functions(第 2 世代)

次のいずれかを選択します。

サービス プロデューサーの構成に対応するコンシューマー オプションを選択します。

Cloud Run functions(第 1 世代) cloudfunctions.net URL: 追加の構成は必要ありません cloudfunctions.net URL にアクセスするためのエンドポイントを作成する
App Engine 追加の構成は必要ありません appspot.com URL にアクセスするためのエンドポイントを作成する

グローバル Google API

エンドポイントは、グローバル Google API のバンドルまたは単一のリージョン Google API をターゲットにできます。バックエンドは、単一のグローバル Google API または単一のリージョン Google API をターゲットにできます。

グローバル Google API のバンドル

Private Service Connect エンドポイントを使用して、Google API のバンドルにトラフィックを送信できます。

Google API とサービスにアクセスするエンドポイントを作成するときに、すべての APIall-apis)または VPC-SCvpc-sc)にアクセスするために必要な API のバンドルを選択します。

  • all-apis バンドルを使用すると、すべての *.googleapis.com サービス エンドポイントを含む、ほとんどの Google API とサービスにアクセスできます。

  • vpc-sc バンドルを使用すると、VPC Service Controls をサポートする API とサービスにアクセスできます。

API バンドルは、TCP 上の HTTP ベースのプロトコル(HTTP、HTTPS、HTTP/2)のみをサポートしています。MQTT や ICMP などの他のプロトコルはサポートされていません。

API バンドル サポート対象のサービス 使用例
all-apis

VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、 Trusted Cloud、以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。

一致するドメイン名:

  • accounts.google.com(サービス アカウントの OAuth 認証に必要なパスのみをサポートします。ユーザー アカウントの認証はインタラクティブであり、サポートされていません)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io または *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev または *.pkg.dev
  • pki.goog または *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

次の状況では all-apis を選択します。

  • VPC Service Controls を使用しない。
  • VPC Service Controls を使用するものの、VPC Service Controls でサポートされていない Google API とサービスにもアクセスする必要がある1

vpc-sc

VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。

VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。

VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ vpc-sc を選択します。vpc-sc バンドルは VPC Service Controls をサポートしていない Google API とサービスへのアクセスを許可しません1

1 ユーザーがアクセスできる対象を、VPC Service Controls をサポートする Google API とサービスのみに制限する必要がある場合は、vpc-sc を使用します。これにより、データ引き出しのリスクがさらに軽減されます。vpc-sc を使用すると、VPC Service Controls でサポートされていない Google API とサービスへのアクセスは拒否されます。詳細については、VPC Service Controls に関するドキュメントのプライベート接続の設定をご覧ください。

単一のグローバル Google API

Private Service Connect バックエンドを使用して、サポートされている単一のグローバル Google API にリクエストを送信できます。次の API がサポートされています。

リージョン Google API

エンドポイントまたはバックエンドを使用して、リージョン Google API にアクセスできます。サポートされているリージョン Google API のリストを表示するには、リージョン サービス エンドポイントをご覧ください。

種類

次の表は、Private Service Connect の各構成の互換性情報をまとめたものです。

次の表で、 は機能がサポートされていることを示し、 は機能がサポートされていないことを示します。

エンドポイントと公開サービス

このセクションでは、エンドポイントを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。

コンシューマーの構成

次の表は、ターゲット プロデューサー タイプに基づいて、公開サービスにアクセスするエンドポイントでサポートされる構成オプションと機能をまとめたものです。

ターゲット プロデューサー コンシューマーの構成(エンドポイント)
コンシューマーのグローバル アクセス ハイブリッド アクセス DNS の自動構成
(IPv4 のみ)
VPC ネットワーク ピアリング アクセス Network Connectivity Center 接続の伝播(IPv4 のみ) IPv4 エンドポイントでサポートされているターゲット サービス IPv6 エンドポイントでサポートされているターゲット サービス
クロスリージョン内部アプリケーション ロードバランサプレビュー
  • IPv4 サービス
  • IPv4 サービス
内部パススルー ネットワーク ロードバランサ ロードバランサでグローバル アクセスが有効になっている場合のみ(既知の問題
  • IPv4 サービス
  • IPv4 サービス
  • IPv6 サービス
内部プロトコル転送(ターゲット インスタンス) プロデューサー転送ルールでグローバル アクセスが有効になっている場合のみ(既知の問題
  • IPv4 サービス
  • IPv4 サービス
  • IPv6 サービス
ポート マッピング サービス プロデューサー転送ルールでグローバル アクセスが有効になっている場合のみ
  • IPv4 サービス
  • IPv4 サービス
  • IPv6 サービス
リージョン内部アプリケーション ロードバランサ サービス アタッチメントの作成前にロードバランサでグローバル アクセスが有効になっている場合のみ
  • IPv4 サービス
  • IPv4 サービス
リージョン内部プロキシ ネットワーク ロードバランサ サービス アタッチメントの作成前にロードバランサでグローバル アクセスが有効になっている場合のみ
  • IPv4 サービス
  • IPv4 サービス
安全なウェブプロキシ
  • IPv4 サービス
  • IPv4 サービス

公開サービスにアクセスするエンドポイントには、次の制限があります。

  • アクセスしている公開サービスと同じ VPC ネットワークにエンドポイントを作成することはできません。

  • Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。

  • ロードバランサのネクストホップを使用するすべての静的ルートが Private Service Connect でサポートされているわけではありません。詳細については、ロードバランサのネクストホップを使用する静的ルートをご覧ください。

  • 接続テストでは、IPv6 エンドポイントと公開サービス間の接続をテストできません。

プロデューサーの構成

この表は、エンドポイントがアクセスする公開サービスでサポートされる構成オプションと機能をまとめたものです。

プロデューサーの種類 プロデューサーの構成(公開サービス)
サポートされるプロデューサー バックエンド PROXY プロトコル(TCP トラフィックのみ) セッション アフィニティ モード IP バージョン
クロスリージョン内部アプリケーション ロードバランサプレビュー
  • GCE_VM_IP_PORT ゾーン NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
該当なし
  • IPv4
内部パススルー ネットワーク ロードバランサ
  • GCE_VM_IP ゾーン NEG
  • インスタンス グループ
なし(5 タプル)
CLIENT_IP_PORT_PROTO
  • IPv4
  • IPv6
内部プロトコル転送(ターゲット インスタンス)
  • 該当なし
該当なし
  • IPv4
  • IPv6
ポート マッピング サービス
  • ポート マッピングの NEG
該当なし
  • IPv4
  • IPv6
リージョン内部アプリケーション ロードバランサ
  • GCE_VM_IP_PORT ゾーン NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
該当なし
  • IPv4
リージョン内部プロキシ ネットワーク ロードバランサ
  • GCE_VM_IP_PORT ゾーン NEG
  • ハイブリッド NEG
  • Private Service Connect NEG
  • インスタンス グループ
該当なし
  • IPv4
安全なウェブプロキシ
  • 該当なし
該当なし
  • IPv4

公開サービスには次の制限があります。

  • 複数のプロトコル(プロトコルが L3_DEFAULT に設定されている)で構成されたロードバランサはサポートされていません。
  • Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
  • Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービス アタッチメントを作成する必要があります。

問題と回避策については、既知の問題をご覧ください。

サポートされるポート構成は、ロードバランサによって異なります。ロードバランサには、単一のポートをサポートするものと、ポートの範囲をサポートするものと、すべてのポートをサポートするものがあります。詳細については、ポートの仕様をご覧ください。

バックエンドと公開サービス

公開サービス用の Private Service Connect バックエンドには、コンシューマー ロードバランサとプロデューサー ロードバランサという 2 つのロードバランサが必要です。このセクションでは、バックエンドを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。

コンシューマーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされているコンシューマー ロードバランサを示します。各コンシューマー ロードバランサで使用できるバックエンド サービス プロトコルも示します。コンシューマー ロードバランサは、サポートされているプロデューサー ロードバランサでホストされている公開サービスにアクセスできます。

コンシューマー ロードバランサ プロトコル IP バージョン

クロスリージョン内部アプリケーション ロードバランサ

  • HTTP
  • HTTPS
  • HTTP2
IPv4

クロスリージョン内部プロキシ ネットワーク ロードバランサ

  • TCP
IPv4

グローバル外部アプリケーション ロードバランサ複数のリージョンをサポート)

注: 従来のアプリケーション ロードバランサはサポートされていません。

  • HTTP
  • HTTPS
  • HTTP2
IPv4

グローバル外部プロキシ ネットワーク ロードバランサ

このロードバランサを Private Service Connect NEG に関連付けるには、Google Cloud CLI を使用するか、API リクエストを送信します。

注: 従来のプロキシ ネットワーク ロードバランサはサポートされていません。

  • TCP / SSL
IPv4

リージョン外部アプリケーション ロードバランサ

  • HTTP
  • HTTPS
  • HTTP2
IPv4

リージョン外部プロキシ ネットワーク ロードバランサ

  • TCP
IPv4

リージョン内部アプリケーション ロードバランサ

  • HTTP
  • HTTPS
  • HTTP2
IPv4

リージョン内部プロキシ ネットワーク ロードバランサ

  • TCP
IPv4

プロデューサーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされるプロデューサー ロードバランサの構成を示します。

プロデューサーの種類 プロデューサーの構成(公開サービス)
サポートされるプロデューサー バックエンド 転送ルール プロトコル 転送ルールのポート PROXY プロトコル IP バージョン
クロスリージョン内部アプリケーション ロードバランサプレビュー
  • GCE_VM_IP_PORT ゾーン NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • gRPC
1 つ、複数、またはすべてのポートをサポート IPv4
内部パススルー ネットワーク ロードバランサ
  • GCE_VM_IP ゾーン NEG
  • インスタンス グループ
  • TCP
プロデューサー ポートの構成をご覧ください。 IPv4
リージョン内部アプリケーション ロードバランサ
  • GCE_VM_IP_PORT ゾーン NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
  • HTTP
  • HTTPS
  • HTTP/2
単一のポートをサポート IPv4
リージョン内部プロキシ ネットワーク ロードバランサ
  • GCE_VM_IP_PORT ゾーン NEG
  • ハイブリッド NEG
  • Private Service Connect NEG
  • インスタンス グループ
  • TCP
単一のポートをサポート IPv4
安全なウェブプロキシ
  • 該当なし
  • 該当なし
該当なし IPv4

公開サービスには次の制限があります。

  • 複数のプロトコル(プロトコルが L3_DEFAULT に設定されている)で構成されたロードバランサはサポートされていません。
  • Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
  • Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービス アタッチメントを作成する必要があります。

問題と回避策については、既知の問題をご覧ください。

グローバル外部アプリケーション ロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。

サービスを公開するには、サービスを公開するをご覧ください。

エンドポイントとグローバル Google API

次の表は、Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。

この構成を作成するには、エンドポイントを介して Google API にアクセスするをご覧ください。

構成 詳細
コンシューマーの構成(エンドポイント)
グローバルなネットワーク到達性 内部グローバル IP アドレスを使用
Cloud Interconnect のトラフィック
Cloud VPN のトラフィック
VPC ネットワーク ピアリングによるアクセス
Network Connectivity Center を介した接続の伝播
DNS の自動構成
IP バージョン IPv4
プロデューサー
サポート対象のサービス サポートされているグローバル Google API

バックエンドとグローバル Google API

次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。

構成 詳細
コンシューマの構成(Private Service Connect バックエンド)
サポートされているコンシューマー ロードバランサ
  • グローバル外部アプリケーション ロードバランサ

    注: 従来のアプリケーション ロードバランサはサポートされていません。

  • クロスリージョン内部アプリケーション ロードバランサ

IP バージョン IPv4
プロデューサー
サポート対象のサービス

エンドポイントとリージョン Google API

次の表は、リージョン Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。

構成 詳細
コンシューマーの構成(エンドポイント)
グローバルなネットワーク到達性 グローバル アクセスが有効な場合
Cloud Interconnect のトラフィック
Cloud VPN のトラフィック
VPC ネットワーク ピアリングによるアクセス
Network Connectivity Center を介した接続の伝播
DNS 構成DNS の手動構成
IP バージョン IPv4 または IPv6
プロデューサー
サポート対象のサービス サポートされているリージョンの Google API

バックエンドとリージョン Google API

次の表では、Private Service Connect バックエンドを使用してリージョン Google API にアクセスできるロードバランサについて説明します。

内部アプリケーション ロードバランサを使用するバックエンド構成例については、バックエンド経由でリージョン Google API にアクセスするをご覧ください。

構成 詳細
コンシューマの構成(Private Service Connect バックエンド)
サポートされているコンシューマー ロードバランサ
  • 内部アプリケーション ロードバランサ

    プロトコル: HTTPS

  • リージョン外部アプリケーション ロードバランサ

    プロトコル: HTTPS

IP バージョン IPv4
プロデューサー
サポート対象のサービス サポートされているリージョンの Google API

次のステップ