Compatibilité avec Private Service Connect

Services

Vous pouvez accéder aux services suivants à l'aide de Private Service Connect.

Services publiés par Google

Service Google	Accès fourni
Apigee	Permet d'exposer les API gérées par Apigee sur Internet. Permet également de se connecter en mode privé à partir d'Apigee aux services de backend cibles.
BeyondCorp Enterprise	Permet à Identity-Aware Proxy d'accéder à la passerelle du connecteur d'application.
Cloud Data Fusion	Vous permet de connecter des instances Cloud Data Fusion aux ressources des réseaux VPC.
Cloud Composer 2	Permet d'accéder au projet locataire Cloud Composer.
Cloud SQL	Permet d'accéder à votre base de données Cloud SQL de manière privée.
Cloud Workstations	Permet d'accéder aux clusters de postes de travail privés.
Database Migration Service	Permet de migrer vos données vers Google Cloud.
Dataproc Metastore	Permet d'accéder aux services Dataproc Metastore.
Eventarc	Permet de recevoir des événements provenant d'Eventarc.
Clusters publics et clusters privés Google Kubernetes Engine (GKE)	Permet de connecter en mode privé les nœuds et le plan de contrôle d'un cluster public ou privé.
Integration Connectors	Permet à Integration Connectors d'accéder en privé à vos services gérés.
Memorystore for Redis Cluster	Permet d'accéder aux instances Memorystore for Redis Cluster.
Vertex AI Vector Search	Fournit un accès privé aux points de terminaison Vector Searc.

Services publiés tiers

Service tiers	Accès fourni
Aiven	Fournit un accès privé aux clusters Aiven Kafka.
DaaS de Citrix	Fournit un accès privé à Citrix DaaS.
ClickHouse	Fournit un accès privé aux services ClickHouse.
Confluent Cloud	Fournit un accès privé aux clusters Confluent Cloud.
Databricks	Fournit un accès privé aux clusters Databricks.
Datadog	Fournit un accès privé aux services d'entrée Datadog.
Datastax Astra	Fournit un accès privé aux bases de données DataStax Astra.
Elasticsearch	Fournit un accès privé à Elastic Cloud.
JFrog	Fournit un accès privé aux instances SaaS JFrog.
MongoDB Atlas	Fournit un accès privé à MongoDB Atlas.
Neo4j Aura	Fournit un accès privé à Neo4j Aura.
Pega Cloud	Fournit un accès privé à Pega Cloud.
Cloud Redis Enterprise	Fournit un accès privé aux clusters Redis Enterprise.
Snowflake	Fournit un accès privé à Snowflake.
Striim	Fournit un accès privé à Striim Cloud.

API Google globales

Les points de terminaison peuvent cibler un groupe d'API Google globales. Les backends peuvent cibler une seule API Google globale.

Groupes d'API Google globales

Vous pouvez utiliser des points de terminaison Private Service Connect pour envoyer du trafic vers un groupe d'API Google. Les backends Private Service Connect vous permettent d'envoyer du trafic vers une API Google individuelle.

Lorsque vous créez un point de terminaison pour accéder aux API et services Google, vous choisissez le groupe d'API auquel vous avez besoin d'accéder : Toutes les API (all-apis) ou VPC-SC (vpc-sc) :

Le groupe all-apis permet d'accéder à la plupart des API et services Google, y compris tous les points de terminaison de service *.googleapis.com.
Le groupe vpc-sc permet d'accéder aux API et services compatibles avec VPC Service Controls.

Remarque : Ces groupes donnent accès aux mêmes API que celles disponibles via les VIP de l'accès privé à Google : all-apis équivaut à private.googleapis.com et vpc-sc équivaut à restricted.googleapis.com.

Les bundles d'API n'acceptent que les protocoles HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.

Bundle d'API Services compatibles Exemple d'utilisation

Bundle d'API	Services compatibles	Exemple d'utilisation
`all-apis`	Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès des API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste ci-dessous. Non compatible avec les applications Web Google Workspace, telles que Gmail et Google Docs. Non compatible avec les sites Web interactifs. Noms de domaine correspondant à : `accounts.google.com` (uniquement les chemins d'accès nécessaires à l'authentification OAuth) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` ou `.gcr.io` `.googleapis.com` `.gstatic.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` ou `.pkg.dev` `pki.goog` ou `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	Choisissez `all-apis` dans les cas suivants : Vous n'utilisez pas VPC Service Controls. Vous utilisez VPC Service Controls, mais vous devez également accéder aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. ¹
`vpc-sc`	Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls. Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les API Google Workspace ni avec les applications Web Google Workspace telles que Gmail et Google Docs.	Choisissez `vpc-sc` si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls. Le bundle `vpc-sc` n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.¹

all-apis

Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès des API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste ci-dessous. Non compatible avec les applications Web Google Workspace, telles que Gmail et Google Docs. Non compatible avec les sites Web interactifs.

Noms de domaine correspondant à :

accounts.google.com (uniquement les chemins d'accès nécessaires à l'authentification OAuth)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io ou *.gcr.io
*.googleapis.com
*.gstatic.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev ou *.pkg.dev
pki.goog ou *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Choisissez all-apis dans les cas suivants :

Vous n'utilisez pas VPC Service Controls.
Vous utilisez VPC Service Controls, mais vous devez également accéder aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. ¹

vpc-sc

Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls.

Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les API Google Workspace ni avec les applications Web Google Workspace telles que Gmail et Google Docs.

Choisissez vpc-sc si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls. Le bundle vpc-sc n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.¹

¹ Si vous devez limiter les utilisateurs aux API et services Google compatibles avec VPC Service Controls, utilisez vpc-sc. Bien que VPC Service Controls s'applique aux services compatibles et configurés, quel que soit le bundle que vous utilisez, vpc-sc offre une atténuation des risques supplémentaire pour l'exfiltration de données. Utiliser vpc-sc permet de refuser l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la page Configurer une connectivité privée dans la documentation VPC Service Controls.

API Google globale unique

Vous pouvez utiliser des backends Private Service Connect pour envoyer des requêtes à une seule API Google globale compatible. Les API suivantes sont compatibles :

Bigtable : bigtable.googleapis.com et bigtableadmin.googleapis.com
Cloud Logging : logging.googleapis.com
Spanner : spanner.googleapis.com
Cloud Storage : storage.googleapis.com
Pub/Sub : pubsub.googleapis.com

API Google utilisant la localisation

Pour obtenir la liste des API Google compatibles utilisant la localisation, consultez la page Points de terminaison de service localisés.

Types

Les tableaux suivants récapitulent les informations de compatibilité pour différentes configurations de Private Service Connect.

Dans les tableaux suivants, une coche indique qu'une fonctionnalité est disponible, et un symbole "no" indique qu'une fonctionnalité n'est pas compatible.

Points de terminaison et services publiés

Ce tableau récapitule les options et les fonctionnalités de configuration compatibles avec les points de terminaison qui accèdent aux services publiés.

Configuration du client (point de terminaison)	Équilibreur de charge de producteur
Configuration du client (point de terminaison)	Équilibreur de charge réseau passthrough interne	Équilibreur de charge d'application interne régional	Équilibreur de charge réseau proxy interne régional	Transfert de protocole interne (instance cible)
Accès mondial du client	Indépendant du paramètre d'accès mondial sur l'équilibreur de charge	Seulement si l' accès mondial est activé sur l'équilibreur de charge	Seulement si l' accès mondial est activé sur l'équilibreur de charge	Indépendant du paramètre d'accès mondial sur l'équilibreur de charge
Trafic d'interconnexion
Trafic Cloud VPN
Configuration DNS automatique
Pile d'adresses IP	IPv4	IPv4	IPv4	IPv4

Les limites suivantes s'appliquent aux points de terminaison qui accèdent à un service publié :

Vous ne pouvez pas créer de point de terminaison dans le même réseau VPC que le service publié auquel vous accédez.
Les points de terminaison ne sont pas accessibles à partir des réseaux VPC appairés.
La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
Les routes statiques avec des sauts suivants de l'équilibreur de charge ne sont pas toutes compatibles avec Private Service Connect. Pour en savoir plus, consultez la section Routes statiques avec sauts suivants de l'équilibreur de charge.

Ce tableau récapitule les options de configuration et les capacités compatibles avec les services publiés auxquels les points de terminaison ont accès.

Configuration du producteur (service publié)	Équilibreur de charge de producteur
Configuration du producteur (service publié)	Équilibreur de charge réseau passthrough interne	Équilibreur de charge d'application interne régional	Équilibreur de charge réseau proxy interne régional	Transfert de protocole interne (instance cible)
Backends de producteur compatibles	NEG GCE_VM_IP Groupes d'instances	NEG GCE_VM_IP_PORT NEG hybrides NEG sans serveur NEG Private Service Connect Groupes d'instances	NEG GCE_VM_IP_PORT NEG hybrides NEG sans serveur NEG Private Service Connect Groupes d'instances	Non applicable
Protocole PROXY	Trafic TCP uniquement			Trafic TCP uniquement
Modes d'affinité de session	NONE (quintuple) CLIENT_IP_PORT_PROTO	Non applicable	Non applicable	Non applicable

Les limites suivantes s'appliquent aux services publiés :

Les équilibreurs de charge du producteur ne sont pas compatibles avec les fonctionnalités suivantes :

Règles de transfert multiples utilisant une adresse IP partagée (SHARED_LOADBALANCER_VIP)
Sous-paramètre du backend

La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
Vous devez utiliser Google Cloud CLI ou l'API pour créer un rattachement de service pointant vers une règle de transfert utilisée pour le transfert de protocole interne.
Les types d'équilibreurs de charge suivants ne fournissent pas de valeurs pour les métriques BETA. Les valeurs sont 0 ou manquantes :
- Équilibreur de charge d'application interne régional
- Équilibreur de charge réseau proxy interne régional
Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.

Différents équilibreurs de charge acceptent différentes configurations de port. Certains équilibreurs de charge acceptent un seul port, d'autres une plage de ports, d'autres tous les ports. Pour en savoir plus, consultez la section Spécifications de ports.

Backends et services publiés

Un backend Private Service Connect pour les services publiés nécessite deux équilibreurs de charge : un équilibreur de charge du client et un équilibreur de charge du producteur. Ce tableau décrit la compatibilité entre différents types d'équilibreurs de charge client et producteur, y compris les protocoles de service de backend pouvant être utilisés avec chaque équilibreur de charge client. Chaque ligne représente un type d'équilibreur de charge client, et chaque colonne représente un type d'équilibreur de charge producteur.

Équilibreur de charge client et protocoles de service de backend compatibles	Équilibreur de charge de producteur
	Équilibreur de charge réseau passthrough interne	Équilibreur de charge d'application interne régional	Équilibreur de charge réseau proxy interne régional
Équilibreur de charge d'application externe global (compatible avec plusieurs régions) Protocoles : HTTPS, HTTP2 Remarque : L'équilibreur de charge d'application classique n'est pas compatible.
Équilibreur de charge d'application externe régional Protocoles : HTTP, HTTPS, HTTP2
Équilibreur de charge d'application interne régional Protocoles : HTTP, HTTPS, HTTP2
Équilibreur de charge d'application interne interrégional (preview) Protocoles : HTTPS, HTTP2
Équilibreur de charge réseau proxy interne régional Protocol (Protocole) : TCP
Équilibreur de charge réseau interne interrégional Protocol (Protocole) : TCP
Équilibreur de charge réseau proxy externe régional Protocol (Protocole) : TCP
Équilibreur de charge réseau proxy externe global (preview) Protocole : TCP/SSL Remarque : L'équilibreur de charge réseau classique n'est pas compatible.

Ce tableau décrit la configuration des équilibreurs de charge producteur compatibles avec les backends Private Service Connect pour les services publiés.

Configuration	Équilibreur de charge de producteur
Configuration	Équilibreur de charge réseau passthrough interne	Équilibreur de charge d'application interne régional	Équilibreur de charge réseau proxy interne régional
Backends de producteur compatibles	NEG GCE_VM_IP Groupes d'instances	NEG GCE_VM_IP_PORT NEG hybrides NEG sans serveur NEG Private Service Connect Groupes d'instances	NEG GCE_VM_IP_PORT NEG hybrides NEG sans serveur NEG Private Service Connect Groupes d'instances
Protocoles de règles de transfert	TCP	HTTP HTTPS HTTP/2	TCP
Ports de règle de transfert	La règle de transfert doit faire référence à un seul port.	La règle de transfert doit faire référence à un seul port.	La règle de transfert doit faire référence à un seul port.
Protocole PROXY

Les limites suivantes s'appliquent aux services publiés :

Les équilibreurs de charge du producteur ne sont pas compatibles avec les fonctionnalités suivantes :

Règles de transfert multiples utilisant une adresse IP partagée (SHARED_LOADBALANCER_VIP)
Sous-paramètre du backend

La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
Vous devez utiliser Google Cloud CLI ou l'API pour créer un rattachement de service pointant vers une règle de transfert utilisée pour le transfert de protocole interne.
Les types d'équilibreurs de charge suivants ne fournissent pas de valeurs pour les métriques BETA. Les valeurs sont 0 ou manquantes :
- Équilibreur de charge d'application interne régional
- Équilibreur de charge réseau proxy interne régional
Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge HTTP(S) externe global, consultez la page Accéder aux services publiés via des backends.

Pour publier un service, consultez la page Publier des services.

Points de terminaison et API Google globales

Ce tableau récapitule les fonctionnalités compatibles avec les points de terminaison permettant d'accéder aux API Google.

Pour créer cette configuration, consultez la section Accéder aux API Google via des points de terminaison.

Configuration	Détails
Configuration du client (point de terminaison)
Joignabilité globale	Utilise une adresse IP interne globale
Trafic d'interconnexion
Trafic Cloud VPN
Configuration DNS automatique
Pile d'adresses IP	IPv4
Producteur
Services compatibles	API Google globales compatibles

Backends et API Google globales

Ce tableau décrit les équilibreurs de charge qui peuvent utiliser un backend Private Service Connect vers une API Google globale.

Configuration	Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles	Équilibreur de charge d'application externe global Remarque : L'équilibreur de charge d'application classique n'est pas compatible.
Producteur
Services compatibles	Bigtable : `bigtable.googleapis.com` et `bigtableadmin.googleapis.com` Cloud Logging : `logging.googleapis.com` Spanner : `spanner.googleapis.com` Cloud Storage : `storage.googleapis.com` Pub/Sub : `pubsub.googleapis.com`

Backends et API Google utilisant la localisation

Ce tableau décrit les équilibreurs de charge qui peuvent accéder aux API Google utilisant la localisation à l'aide d'un backend Private Service Connect.

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge d'application interne, consultez la page Accéder aux API Google utilisant la localisation via des backends.

Configuration	Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles	Équilibreur de charge d'application interne Protocole : HTTPS Équilibreur de charge d'application externe régional Protocole : HTTPS
Producteur
Services compatibles	API Google compatibles utilisant la localisation

Étapes suivantes

Découvrez comment accéder aux services publiés via des points de terminaison.
Découvrez comment accéder aux API Google via des points de terminaison.
En savoir plus sur les backends.
Découvrez comment publier des services.