Private Service Connect 相容性
服務
您可以使用 Private Service Connect 存取下列服務。
Google 發布的服務
第三方發布的服務
自行管理的已發布服務
服務來源 | 服務供應商設定 | 服務消費者設定 |
---|---|---|
Cloud Load Balancing | 發布服務 | |
Google Kubernetes Engine (GKE) |
發布服務:透過內部 LoadBalancer 服務將要求轉送至服務,並透過 ServiceAttachment 發布服務。 |
|
Cloud Run 和 Cloud Run functions (第 2 代) | 選擇下列其中一個選項:
|
請根據服務生產端設定選擇對應的消費者選項: |
Cloud Run functions (第 1 代) | cloudfunctions.net 網址:無須額外設定 |
建立端點,存取 cloudfunctions.net 網址
|
App Engine | 您不需要額外設定 |
建立端點,存取 appspot.com 網址 |
全域 Google API
端點可指定一組全域 Google API,或單一區域性 Google API。後端可指定單一全域 Google API 或單一區域 Google API。
全域 Google API 套裝組合
您可以使用 Private Service Connect 端點,將流量傳送至 Google API 套件。
建立端點以存取 Google API 和服務時,請選擇要存取的 API 套裝組合,即「所有 API」 (all-apis
) 或「VPC-SC」 (vpc-sc
):
all-apis
套裝組合可提供大多數 Google API 和服務的存取權,包括所有*.googleapis.com
服務端點。vpc-sc
套裝組合提供 VPC Service Controls 支援的 API 和服務存取權。
API 組合僅支援透過 TCP 的 HTTP 式通訊協定 (HTTP、HTTPS 和 HTTP/2)。系統不支援其他通訊協定,包括 MQTT 和 ICMP。
API 套裝組合 | 支援的服務 | 應用實例 |
---|---|---|
all-apis |
無論是否支援 VPC Service Controls,都能存取大多數 Google API 和服務。包括 Google 地圖、Google Ads、 Trusted Cloud和大多數其他 Google API 的 API 存取權,包括下列清單。不支援 Google Workspace 網頁應用程式,例如 Gmail 和 Google 文件。不支援任何互動式網站。 相符的網域名稱:
|
在下列情況下選擇
|
vpc-sc
| 啟用 VPC Service Controls 支援的 Google API 和服務存取權。 禁止存取不支援 VPC Service Controls 的 Google API 和服務。 不支援 Google Workspace API 或 Google Workspace 網頁應用程式,例如 Gmail 和 Google 文件。 |
如果只需要存取 VPC Service Controls 支援的 Google API 和服務,請選擇 |
vpc-sc
,因為這項功能可進一步降低資料外洩風險。使用 vpc-sc
會拒絕存取 VPC Service Controls 不支援的 Google API 和服務。詳情請參閱 VPC Service Controls 說明文件中的設定私人連線。單一全域 Google API
您可以使用 Private Service Connect 後端,將要求傳送至單一支援的全球 Google API。系統支援下列 API:
- Bigtable:
bigtable.googleapis.com
和bigtableadmin.googleapis.com
- Cloud Logging:
logging.googleapis.com
- Spanner:
spanner.googleapis.com
- Cloud Storage:
storage.googleapis.com
- Pub/Sub:
pubsub.googleapis.com
區域性 Google API
您可以使用端點或後端存取區域 Google API。如需支援的區域性 Google API 清單,請參閱「區域服務端點」。
類型
下表摘要說明不同 Private Service Connect 設定的相容性資訊。
下表中的勾號表示支援該功能,無符號則表示不支援。
端點和發布的服務
本節將摘要說明消費者和生產者使用端點存取發布服務時可用的設定選項。
消費者設定
下表根據目標生產者類型,摘要列出支援的設定選項和功能,這些選項和功能適用於存取已發布服務的端點。
目標製作人 | 消費者設定 (端點) | ||||||
---|---|---|---|---|---|---|---|
全球消費者存取權 | 混合存取 | 自動設定 DNS (僅限 IPv4) |
虛擬私有雲網路對等互連存取權 | Network Connectivity Center 連線傳播 (僅限 IPv4) | IPv4 端點支援的目標服務 | IPv6 端點支援的目標服務 | |
跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
|||||
內部直通式網路負載平衡器 | 只有在負載平衡器啟用全域存取權時 (已知問題) |
|
|
||||
內部通訊協定轉送 (目標執行個體) | 只有在供應商轉送規則啟用全域存取權時 (已知問題) |
|
|
||||
通訊埠對應服務 | 只有在生產端轉送規則啟用全域存取權時,才能執行這項操作 |
|
|
||||
區域性內部應用程式負載平衡器 | 只有在建立服務連結前,先在負載平衡器上啟用全域存取權時,才能使用這項功能 |
|
|
||||
區域性內部 Proxy 網路負載平衡器 | 只有在建立服務連結前,先在負載平衡器上啟用全域存取權時,才能使用這項功能 |
|
|
||||
Secure Web Proxy |
|
|
存取已發布服務的端點有以下限制:
您無法在與要存取的已發布服務相同的虛擬私有雲網路中建立端點。
封包鏡像無法鏡像處理 Private Service Connect 已發布服務的流量封包。
Private Service Connect 不支援所有以負載平衡器為下一個躍點的靜態路徑。詳情請參閱「靜態路徑與負載平衡器下一個躍點」。
連線測試無法測試 IPv6 端點與已發布服務之間的連線。
製作人設定
下表彙整了透過端點存取的已發布服務支援的設定選項和功能。
製作人類型 | 生產端設定 (已發布的服務) | |||
---|---|---|---|---|
支援的製作人後端 | PROXY 通訊協定 (僅限 TCP 流量) | IP 版本 | ||
跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
||
內部直通式網路負載平衡器 |
|
|
||
內部通訊協定轉送 (目標執行個體) |
|
|
||
通訊埠對應服務 |
|
|
||
區域性內部應用程式負載平衡器 |
|
|
||
區域性內部 Proxy 網路負載平衡器 |
|
|
||
Secure Web Proxy |
|
|
發布的服務有下列限制:
- 系統不支援設定
多個通訊協定的負載平衡器 (通訊協定設為
L3_DEFAULT
)。 - 封包鏡像無法鏡像處理 Private Service Connect 已發布服務的流量封包。
- 如要建立指向轉送規則的服務附件,並用於內部通訊協定轉送,則必須使用 Google Cloud CLI 或 API。
如要瞭解相關問題和解決方法,請參閱已知問題。
不同的負載平衡器支援不同的通訊埠設定;部分負載平衡器支援單一通訊埠,部分支援通訊埠範圍,部分則支援所有通訊埠。詳情請參閱「連接埠規格」。
後端和發布的服務
已發布服務的 Private Service Connect 後端需要兩個負載平衡器,分別是消費者負載平衡器和生產者負載平衡器。本節將摘要說明消費者和生產者使用後端存取發布服務時可用的設定選項。
消費者設定
下表說明已發布服務的 Private Service Connect 後端支援哪些用戶負載平衡器,包括每個用戶負載平衡器可使用的後端服務通訊協定。消費者負載平衡器可以存取支援的生產者負載平衡器上託管的已發布服務。
消費者負載平衡器 | 通訊協定 | IP 版本 |
---|---|---|
|
IPv4 | |
|
IPv4 | |
注意:不支援 Classic Application Load Balancer。 |
|
IPv4 |
如要將這個負載平衡器與 Private Service Connect NEG 建立關聯,請使用 Google Cloud CLI 或傳送 API 要求。 注意:系統不支援傳統 Proxy 網路負載平衡器。 |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 |
製作人設定
下表說明 Private Service Connect 後端支援的生產者負載平衡器設定,適用於已發布的服務。
製作人類型 | 生產端設定 (已發布的服務) | ||||
---|---|---|---|---|---|
支援的製作人後端 | 轉送規則通訊協定 | 轉送規則通訊埠 | PROXY 通訊協定 | IP 版本 | |
跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
支援單一、多個或所有通訊埠 | IPv4 | |
內部直通式網路負載平衡器 |
|
|
請參閱「供應商通訊埠設定」 | IPv4 | |
區域性內部應用程式負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | |
區域性內部 Proxy 網路負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | |
Secure Web Proxy |
|
|
不適用 | IPv4 |
發布的服務有下列限制:
- 系統不支援設定
多個通訊協定的負載平衡器 (通訊協定設為
L3_DEFAULT
)。 - 封包鏡像無法鏡像處理 Private Service Connect 已發布服務的流量封包。
- 如要建立指向轉送規則的服務附件,並用於內部通訊協定轉送,則必須使用 Google Cloud CLI 或 API。
如要瞭解相關問題和解決方法,請參閱已知問題。
如需使用全域外部應用程式負載平衡器的後端設定範例,請參閱「透過後端存取已發布的服務」。
如要發布服務,請參閱「發布服務」。
Endpoints 和全域 Google API
下表彙整了用於存取 Google API 的端點支援的功能。
如要建立這項設定,請參閱「透過端點存取 Google API」。
設定 | 詳細資料 |
---|---|
消費者設定 (端點) | |
全球可達性 | 使用內部全域 IP 位址 |
Cloud Interconnect 流量 | |
Cloud VPN 流量 | |
透過虛擬私有雲網路對等互連存取 | |
透過 Network Connectivity Center 傳播連線 | |
自動 DNS 設定 | |
IP 版本 | IPv4 |
製作人 | |
支援的服務 | 支援的全球 Google API |
後端和全球 Google API
下表說明哪些負載平衡器可使用 Private Service Connect 後端連線至全域 Google API。
設定 | 詳細資料 |
---|---|
消費者設定 (Private Service Connect 後端) | |
支援的消費者負載平衡器 |
|
IP 版本 | IPv4 |
製作人 | |
支援的服務 |
|
Endpoints 和區域性 Google API
下表摘要說明用於存取區域性 Google API 的端點支援的功能。
設定 | 詳細資料 |
---|---|
消費者設定 (端點) | |
全球可達性 | 如果 已啟用全域存取權 |
Cloud Interconnect 流量 | |
Cloud VPN 流量 | |
透過虛擬私有雲網路對等互連存取 | |
透過 Network Connectivity Center 傳播連線 | |
DNS 設定 | 手動設定 DNS |
IP 版本 | IPv4 或 IPv6 |
製作人 | |
支援的服務 | 支援的區域性 Google API |
後端和區域性 Google API
下表說明哪些負載平衡器可使用Private Service Connect 後端存取區域 Google API。
如需使用內部應用程式負載平衡器的後端設定範例,請參閱透過後端存取區域性 Google API。
設定 | 詳細資料 |
---|---|
消費者設定 (Private Service Connect 後端) | |
支援的消費者負載平衡器 |
|
IP 版本 | IPv4 |
製作人 | |
支援的服務 | 支援的區域性 Google API |
後續步驟
- 瞭解如何透過端點存取已發布的服務。
- 瞭解如何透過端點存取全球 Google API。
- 瞭解如何透過端點存取區域性 Google API。
- 瞭解後端。
- 瞭解發布服務。