Private Service Connect 相容性

服務

您可以使用 Private Service Connect 存取下列服務。

Google 發布的服務

Google 服務 已提供存取權
PostgreSQL 適用的 AlloyDB 連線至 PostgreSQL 適用的 AlloyDB 執行個體
Apigee 向網際網路公開 Apigee 管理的 API。此外,您也可以從 Apigee 私下連線至後端目標服務
BigQuery 連線 SAP Datasphere 使用 BigQuery 將查詢傳送至 SAP Datasphere 時,可提高安全性。
BigQuery 資料移轉服務 可讓您使用 Oracle 適用的 BigQuery 資料移轉服務
Blockchain Node Engine 可讓您存取 Blockchain Node Engine 節點
Chrome Enterprise Premium 允許 Identity-Aware Proxy 存取應用程式連接器閘道。
Cloud Data Fusion 可讓您將 Cloud Data Fusion 執行個體連線至虛擬私有雲網路中的資源
Cloud Composer 2 可讓您存取 Cloud Composer 租戶專案
Cloud Composer 3 可讓您存取 Cloud Composer 租戶專案
Cloud SQL 可讓您私下存取 Cloud SQL 資料庫

透過服務連線自動化功能, 自動建立與 Cloud SQL 執行個體的連線

Cloud Workstations 可讓您存取私人工作站叢集
資料庫遷移服務 可將資料遷移至 Trusted Cloud by S3NS
Dataproc Metastore 可讓您存取 Dataproc Metastore 服務
Eventarc 可讓您接收來自 Eventarc 的事件
Google Cloud Contact Center as a Service (CCaaS)

讓服務專員和主管私下存取 Google Cloud Contact Center as a Service 介面

讓 Google Cloud Contact Center as a Service 執行個體透過虛擬私有雲網路私下存取其他系統

Google Cloud Managed Service for Apache Kafka 可讓您存取 Managed Service for Apache Kafka 叢集
Google Kubernetes Engine (GKE) 公開和私人叢集 可讓您 私下連結節點和公用或私人叢集的控制層
Integration Connectors 讓 Integration Connectors 以私密方式存取代管服務
Looker (Google Cloud Core) 存取 Looker (Google Cloud Core) 執行個體
Memorystore for Redis Cluster 透過服務連線自動化功能,自動建立與 Memorystore for Redis Cluster 執行個體的連線
Memorystore for Valkey 透過服務連線自動化功能,自動建立與 Memorystore for Valkey 執行個體的連線
Vertex AI 上的 Ray 可讓你存取 Ray 叢集
Vertex AI Pipelines 可讓您建立管道執行作業
Vertex AI 訓練 存取自訂工作和持續性資源
Vertex AI Vector Search 透過服務連線自動化,自動建立與 Vector Search 端點的連線
Vertex AI 預測 可存取 Vertex AI 線上預測

第三方發布的服務

第三方服務 已提供存取權
Aiven 提供Aiven Kafka 叢集的私人存取權
Axoflow 提供 Axoflow Platform 的私人存取權
Citrix DaaS 提供 Citrix DaaS 的私人存取權
ClickHouse 提供 ClickHouse 服務的私人存取權
Confluent Cloud 提供 Confluent Cloud 叢集的私人存取權
Couchbase 提供Capella 叢集的私人存取權
Databricks 提供Databricks 叢集的私人存取權
Datadog 提供 Datadog 擷取服務的私人存取權
Datastax Astra 提供 Datastax Astra DB 資料庫的私有存取權
Elasticsearch 提供 Elastic Cloud 的私人存取權
Groq 提供 Groq Cloud 的私人存取權
JFrog 提供 JFrog SaaS 執行個體的私人存取權
MongoDB Atlas 提供 MongoDB Atlas 的私有存取權
Neo4j Aura 提供對 Neo4j Aura 的私人存取權
Pega Cloud 提供 Pega Cloud 的私有存取權
Redis Enterprise Cloud 提供 Redis Enterprise 叢集的私人存取權
Redpanda 提供 Redpanda Cloud 的私有存取權
雪花 提供 Snowflake 的私人存取權
Striim 提供 Striim Cloud 的私人存取權
Zenoss 提供 Zenoss Cloud 的私人存取權

自行管理的已發布服務

服務來源 服務供應商設定 服務消費者設定
Cloud Load Balancing 發布服務
Google Kubernetes Engine (GKE) 發布服務:透過內部 LoadBalancer 服務將要求轉送至服務,並透過 ServiceAttachment 發布服務。
Cloud Run Cloud Run functions (第 2 代)

選擇下列其中一個選項:

  • run.app 網址:無須額外設定
  • cloudfunctions.net 網址 (僅適用於 Cloud Run 函式): 不需要額外設定
  • 已發布的服務:透過無伺服器 NEG 負載平衡器將要求轉送至服務,並發布服務

請根據服務生產端設定選擇對應的消費者選項:

Cloud Run functions (第 1 代) cloudfunctions.net 網址:無須額外設定 建立端點,存取 cloudfunctions.net 網址
App Engine 您不需要額外設定 建立端點,存取 appspot.com 網址

全域 Google API

端點可指定一組全域 Google API,或單一區域性 Google API。後端可指定單一全域 Google API 或單一區域 Google API。

全域 Google API 套裝組合

您可以使用 Private Service Connect 端點,將流量傳送至 Google API 套件。

建立端點以存取 Google API 和服務時,請選擇要存取的 API 套裝組合,即「所有 API」 (all-apis) 或「VPC-SC」 (vpc-sc):

  • all-apis 套裝組合可提供大多數 Google API 和服務的存取權,包括所有 *.googleapis.com 服務端點。

  • vpc-sc 套裝組合提供 VPC Service Controls 支援的 API 和服務存取權。

API 組合僅支援透過 TCP 的 HTTP 式通訊協定 (HTTP、HTTPS 和 HTTP/2)。系統不支援其他通訊協定,包括 MQTT 和 ICMP。

API 套裝組合 支援的服務 應用實例
all-apis

無論是否支援 VPC Service Controls,都能存取大多數 Google API 和服務。包括 Google 地圖、Google Ads、 Trusted Cloud和大多數其他 Google API 的 API 存取權,包括下列清單。不支援 Google Workspace 網頁應用程式,例如 Gmail 和 Google 文件。不支援任何互動式網站。

相符的網域名稱:

  • accounts.google.com (僅支援服務帳戶 OAuth 驗證所需的路徑;使用者帳戶驗證是互動式,因此不支援)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io*.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev*.pkg.dev
  • pki.goog*.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

在下列情況下選擇 all-apis

  • 您未使用 VPC Service Controls。
  • 您使用 VPC Service Controls,但需要存取 VPC Service Controls 不支援的 Google API 和服務。 1

vpc-sc

啟用 VPC Service Controls 支援的 Google API 和服務存取權。

禁止存取不支援 VPC Service Controls 的 Google API 和服務。 不支援 Google Workspace API 或 Google Workspace 網頁應用程式,例如 Gmail 和 Google 文件。

如果需要存取 VPC Service Controls 支援的 Google API 和服務,請選擇 vpc-scvpc-sc 套裝組合不允許存取不支援 VPC Service Controls 的 Google API 和服務。1

1 如要限制使用者只能存取支援 VPC Service Controls 的 Google API 和服務,請使用 vpc-sc,因為這項功能可進一步降低資料外洩風險。使用 vpc-sc 會拒絕存取 VPC Service Controls 不支援的 Google API 和服務。詳情請參閱 VPC Service Controls 說明文件中的設定私人連線

單一全域 Google API

您可以使用 Private Service Connect 後端,將要求傳送至單一支援的全球 Google API。系統支援下列 API:

區域性 Google API

您可以使用端點或後端存取區域 Google API。如需支援的區域性 Google API 清單,請參閱「區域服務端點」。

類型

下表摘要說明不同 Private Service Connect 設定的相容性資訊。

下表中的勾號表示支援該功能,無符號則表示不支援。

端點和發布的服務

本節將摘要說明消費者和生產者使用端點存取發布服務時可用的設定選項。

消費者設定

下表根據目標生產者類型,摘要列出支援的設定選項和功能,這些選項和功能適用於存取已發布服務的端點。

目標製作人 消費者設定 (端點)
全球消費者存取權 混合存取 自動設定 DNS
(僅限 IPv4)
虛擬私有雲網路對等互連存取權 Network Connectivity Center 連線傳播 (僅限 IPv4) IPv4 端點支援的目標服務 IPv6 端點支援的目標服務
跨區域內部應用程式負載平衡器 (預先發布版)
  • IPv4 服務
  • IPv4 服務
內部直通式網路負載平衡器 只有在負載平衡器啟用全域存取權時 (已知問題)
  • IPv4 服務
  • IPv4 服務
  • IPv6 服務
內部通訊協定轉送 (目標執行個體) 只有在供應商轉送規則啟用全域存取權時 (已知問題)
  • IPv4 服務
  • IPv4 服務
  • IPv6 服務
通訊埠對應服務 只有在生產端轉送規則啟用全域存取權時,才能執行這項操作
  • IPv4 服務
  • IPv4 服務
  • IPv6 服務
區域性內部應用程式負載平衡器 只有在建立服務連結前,先在負載平衡器上啟用全域存取權時,才能使用這項功能
  • IPv4 服務
  • IPv4 服務
區域性內部 Proxy 網路負載平衡器 只有在建立服務連結前,先在負載平衡器上啟用全域存取權時,才能使用這項功能
  • IPv4 服務
  • IPv4 服務
Secure Web Proxy
  • IPv4 服務
  • IPv4 服務

存取已發布服務的端點有以下限制:

製作人設定

下表彙整了透過端點存取的已發布服務支援的設定選項和功能。

製作人類型 生產端設定 (已發布的服務)
支援的製作人後端 PROXY 通訊協定 (僅限 TCP 流量) IP 版本
跨區域內部應用程式負載平衡器 (預先發布版)
  • GCE_VM_IP_PORT 區域性 NEG
  • 混合式 NEG
  • 無伺服器網路端點群組 (NEG)
  • Private Service Connect NEG
  • 執行個體群組
  • IPv4
內部直通式網路負載平衡器
  • GCE_VM_IP 區域性 NEG
  • 執行個體群組
  • IPv4
  • IPv6
內部通訊協定轉送 (目標執行個體)
  • 不適用
  • IPv4
  • IPv6
通訊埠對應服務
  • 通訊埠對應 NEG
  • IPv4
  • IPv6
區域性內部應用程式負載平衡器
  • GCE_VM_IP_PORT 區域性 NEG
  • 混合式 NEG
  • 無伺服器網路端點群組 (NEG)
  • Private Service Connect NEG
  • 執行個體群組
  • IPv4
區域性內部 Proxy 網路負載平衡器
  • GCE_VM_IP_PORT 區域性 NEG
  • 混合式 NEG
  • Private Service Connect NEG
  • 執行個體群組
  • IPv4
Secure Web Proxy
  • 不適用
  • IPv4

發布的服務有下列限制:

  • 系統不支援設定 多個通訊協定的負載平衡器 (通訊協定設為 L3_DEFAULT)。
  • 封包鏡像無法鏡像處理 Private Service Connect 已發布服務的流量封包。
  • 如要建立指向轉送規則的服務附件,並用於內部通訊協定轉送,則必須使用 Google Cloud CLI 或 API。

如要瞭解相關問題和解決方法,請參閱已知問題

不同的負載平衡器支援不同的通訊埠設定;部分負載平衡器支援單一通訊埠,部分支援通訊埠範圍,部分則支援所有通訊埠。詳情請參閱「連接埠規格」。

後端和發布的服務

已發布服務的 Private Service Connect 後端需要兩個負載平衡器,分別是消費者負載平衡器和生產者負載平衡器。本節將摘要說明消費者和生產者使用後端存取發布服務時可用的設定選項。

消費者設定

下表說明已發布服務的 Private Service Connect 後端支援哪些用戶負載平衡器,包括每個用戶負載平衡器可使用的後端服務通訊協定。消費者負載平衡器可以存取支援的生產者負載平衡器上託管的已發布服務。

消費者負載平衡器 通訊協定 IP 版本

跨區域內部應用程式負載平衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

跨區域內部 Proxy 網路負載平衡器

  • TCP
IPv4

全域外部應用程式負載平衡器 (支援多個區域)

注意:不支援 Classic Application Load Balancer。

  • HTTP
  • HTTPS
  • HTTP2
IPv4

全域外部 Proxy 網路負載平衡器

如要將這個負載平衡器與 Private Service Connect NEG 建立關聯,請使用 Google Cloud CLI 或傳送 API 要求。

注意:系統不支援傳統 Proxy 網路負載平衡器。

  • TCP/SSL
IPv4

區域性外部應用程式負載平衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

區域性外部 Proxy 網路負載平衡器

  • TCP
IPv4

區域性內部應用程式負載平衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

區域性內部 Proxy 網路負載平衡器

  • TCP
IPv4

製作人設定

下表說明 Private Service Connect 後端支援的生產者負載平衡器設定,適用於已發布的服務。

製作人類型 生產端設定 (已發布的服務)
支援的製作人後端 轉送規則通訊協定 轉送規則通訊埠 PROXY 通訊協定 IP 版本
跨區域內部應用程式負載平衡器 (預先發布版)
  • GCE_VM_IP_PORT 區域性 NEG
  • 混合式 NEG
  • 無伺服器網路端點群組 (NEG)
  • Private Service Connect NEG
  • 執行個體群組
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • gRPC
支援單一、多個或所有通訊埠 IPv4
內部直通式網路負載平衡器
  • GCE_VM_IP 區域性 NEG
  • 執行個體群組
  • TCP
請參閱「供應商通訊埠設定 IPv4
區域性內部應用程式負載平衡器
  • GCE_VM_IP_PORT 區域性 NEG
  • 混合式 NEG
  • 無伺服器網路端點群組 (NEG)
  • Private Service Connect NEG
  • 執行個體群組
  • HTTP
  • HTTPS
  • HTTP/2
支援單一通訊埠 IPv4
區域性內部 Proxy 網路負載平衡器
  • GCE_VM_IP_PORT 區域性 NEG
  • 混合式 NEG
  • Private Service Connect NEG
  • 執行個體群組
  • TCP
支援單一通訊埠 IPv4
Secure Web Proxy
  • 不適用
  • 不適用
不適用 IPv4

發布的服務有下列限制:

  • 系統不支援設定 多個通訊協定的負載平衡器 (通訊協定設為 L3_DEFAULT)。
  • 封包鏡像無法鏡像處理 Private Service Connect 已發布服務的流量封包。
  • 如要建立指向轉送規則的服務附件,並用於內部通訊協定轉送,則必須使用 Google Cloud CLI 或 API。

如要瞭解相關問題和解決方法,請參閱已知問題

如需使用全域外部應用程式負載平衡器的後端設定範例,請參閱「透過後端存取已發布的服務」。

如要發布服務,請參閱「發布服務」。

Endpoints 和全域 Google API

下表彙整了用於存取 Google API 的端點支援的功能。

如要建立這項設定,請參閱「透過端點存取 Google API」。

設定 詳細資料
消費者設定 (端點)
全球可達性 使用內部全域 IP 位址
Cloud Interconnect 流量
Cloud VPN 流量
透過虛擬私有雲網路對等互連存取
透過 Network Connectivity Center 傳播連線
自動 DNS 設定
IP 版本 IPv4
製作人
支援的服務 支援的全球 Google API

後端和全球 Google API

下表說明哪些負載平衡器可使用 Private Service Connect 後端連線至全域 Google API。

設定 詳細資料
消費者設定 (Private Service Connect 後端)
支援的消費者負載平衡器
  • 全域外部應用程式負載平衡器

    注意:系統不支援 Classic Application Load Balancer。

  • 跨區域內部應用程式負載平衡器

IP 版本 IPv4
製作人
支援的服務

Endpoints 和區域性 Google API

下表摘要說明用於存取區域性 Google API 的端點支援的功能。

設定 詳細資料
消費者設定 (端點)
全球可達性 如果 已啟用全域存取權
Cloud Interconnect 流量
Cloud VPN 流量
透過虛擬私有雲網路對等互連存取
透過 Network Connectivity Center 傳播連線
DNS 設定 手動設定 DNS
IP 版本 IPv4 或 IPv6
製作人
支援的服務 支援的區域性 Google API

後端和區域性 Google API

下表說明哪些負載平衡器可使用Private Service Connect 後端存取區域 Google API。

如需使用內部應用程式負載平衡器的後端設定範例,請參閱透過後端存取區域性 Google API

設定 詳細資料
消費者設定 (Private Service Connect 後端)
支援的消費者負載平衡器
  • 內部應用程式負載平衡器

    通訊協定:HTTPS

  • 區域性外部應用程式負載平衡器

    通訊協定:HTTPS

IP 版本 IPv4
製作人
支援的服務 支援的區域性 Google API

後續步驟