Private Service Connect-Kompatibilität

Dienste

Sie können mit Private Service Connect auf die folgenden Dienste zugreifen.

Veröffentlichte Google-Dienste

Google-Dienst	Zugriff gewährt
AlloyDB for PostgreSQL	Ermöglicht die Verbindung zu AlloyDB for PostgreSQL-Instanzen.
Apigee	Ermöglicht, von Apigee verwaltete APIs im Internet verfügbar zu machen. Ermöglicht auch eine private Verbindung von Apigee zu Backend-Zieldiensten.
Chrome Enterprise Premium	Ermöglicht dem Identity-Aware Proxy Zugriff auf das App-Connector-Gateway.
Cloud Data Fusion	Ermöglicht die Verbindung von Cloud Data Fusion-Instanzen mit Ressourcen in VPC-Netzwerken.
Cloud Composer 2	Ermöglicht den Zugriff auf das Cloud Composer-Mandantenprojekt.
Cloud SQL	Ermöglicht den Zugriff auf Ihre Cloud SQL-Datenbank.
Cloud Workstations	Ermöglicht den Zugriff auf private Workstation-Cluster.
Database Migration Service	Ermöglicht die Migration Ihrer Daten zu Google Cloud.
Dataproc Metastore	Ermöglicht den Zugriff auf Dataproc Metastore-Dienste.
Eventarc	Ermöglicht das Empfangen von Ereignissen von Eventarc.
Öffentliche Google Kubernetes Engine-Cluster (GKE) und private Cluster	Ermöglicht die private Verbindung von Knoten und der Steuerungsebene für einen öffentlichen oder privaten Cluster.
Integration Connectors	Ermöglicht Integration Connectors den privaten Zugriff auf Ihre verwalteten Dienste.
Memorystore for Redis Cluster	Ermöglicht den Zugriff auf Memorystore for Redis-Clusterinstanzen.
Vertex AI Vektorsuche	Bietet privaten Zugriff auf Vektorsuchendpunkte.
Vertex AI-Vorhersagen	Bietet privaten Zugriff auf Vertex AI-Onlinevorhersagen.

Veröffentlichte Dienste von Drittanbietern

Dienstleistungen von Drittanbietern	Zugriff gewährt
Aiven	Ermöglicht privaten Zugriff auf Aiven Kafka-Cluster
Citrix-DaaS	Ermöglicht privaten Zugriff auf Citrix DaaS
ClickHouse	Ermöglicht privaten Zugriff auf ClickHaus-Dienste
Confluent Cloud	Ermöglicht privaten Zugriff auf Confluent Cloud-Cluster
Databricks	Ermöglicht privaten Zugriff auf Databricks-Cluster
Datadog	Ermöglicht privaten Zugriff auf Datadog-Aufnahmedienste
Datastax Astra	Ermöglicht privaten Zugriff auf Datastax Astra DB-Datenbanken
Elasticsearch	Ermöglicht privaten Zugriff auf Elastic Cloud
JFrog	Privater Zugriff auf JFrog SaaS-Instanzen
MongoDB Atlas	Ermöglicht privaten Zugriff auf MongoDB Atlas
Neo4j Aura	Ermöglicht privaten Zugriff auf Neo4j Aura.
Pega Cloud	Bietet Privaten Zugriff auf Pega Cloud
Redis Enterprise Cloud	Ermöglicht privaten Zugriff auf Redis Enterprise-Cluster
Snowflake	Ermöglicht privaten Zugriff auf Snowflake
Striim	Privaten Zugriff auf Striim Cloud.

Globale Google APIs

Endpunkte können auf ein Bundle mit globalen Google APIs ausgerichtet sein. Backends können auf eine einzelne globale Google API abzielen.

Sets globaler Google APIs

Sie können Private Service Connect-Endpunkte verwenden, um Traffic an ein Bundle von Google APIs zu senden. Mit Private Service Connect-Back-Ends können Sie Traffic an eine einzelne Google API senden.

Wenn Sie einen Endpunkt für den Zugriff auf Google APIs und Google-Dienste erstellen, wählen Sie aus, auf welches API-Bundle Sie zugreifen müssen: Alle APIs (all-apis) oder VPC-SC (vpc-sc).

Das all-apis-Bundle bietet Zugriff auf die meisten Google APIs und Google-Dienste, einschließlich aller *.googleapis.com-Dienstendpunkte.
Das vpc-sc-Bundle bietet Zugriff auf APIs und Dienste, die VPC Service Controls unterstützen.

Hinweis: Diese Bundles bieten Zugriff auf dieselben APIs, die über VIPs für privaten Google-Zugriff verfügbar sind: all-apis entspricht private.googleapis.com und vpc-sc entspricht restricted.googleapis.com.

Die API-Bundles unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

API-Bundle Unterstützte Dienste Nutzungsbeispiel

API-Bundle	Unterstützte Dienste	Nutzungsbeispiel
`all-apis`	Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Google Maps, Google Ads, Google Cloud und die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen wie Gmail und Google Docs. Interaktive Websites werden nicht unterstützt. Domainnamen, die übereinstimmen: `accounts.google.com` (nur die für die OAuth-Authentifizierung benötigten Pfade) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` oder `.gcr.io` `.googleapis.com` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` oder `.pkg.dev` `pki.goog` oder `.pki.goog` `*.run.app` `source.developers.google.com` `storage.cloud.google.com`	Wählen Sie unter folgenden Umständen `all-apis` aus: Sie verwenden VPC Service Controls nicht. Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden. ¹
`vpc-sc`	Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden. Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace APIs oder Google Workspace-Webanwendungen wie Gmail und Google Docs.	Wählen Sie `vpc-sc` aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. Das `vpc-sc`-Bundle erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.¹

all-apis

Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Google Maps, Google Ads, Google Cloud und die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen wie Gmail und Google Docs. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:

accounts.google.com (nur die für die OAuth-Authentifizierung benötigten Pfade)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io oder *.gcr.io
*.googleapis.com
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev oder *.pkg.dev
pki.goog oder *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Wählen Sie unter folgenden Umständen all-apis aus:

Sie verwenden VPC Service Controls nicht.
Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden. ¹

vpc-sc

Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace APIs oder Google Workspace-Webanwendungen wie Gmail und Google Docs.

Wählen Sie vpc-sc aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. Das vpc-sc-Bundle erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.¹

¹Hinweis: Wenn Sie Nutzer auf die Google APIs und Google-Dienste beschränken müssen, die VPC Service Controls unterstützen, verwenden Sie vpc-sc. Obwohl VPC Service Controls unabhängig von dem verwendeten Bundle für kompatible und konfigurierte Dienste erzwungen wird, bietet vpc-sc eine zusätzliche Risikominderung bei der Daten-Exfiltration. Die Verwendung von vpc-sc verweigert den Zugriff auf Google APIs und Google-Dienste, die nicht von VPC Service Controls unterstützt werden. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Einzelne globale Google API

Sie können Private Service Connect-Backends verwenden, um Anfragen an eine einzelne unterstützte globale Google API zu senden. Die folgenden APIs werden unterstützt:

Bigtable: bigtable.googleapis.com und bigtableadmin.googleapis.com
Cloud Logging: logging.googleapis.com
Cloud Spanner: spanner.googleapis.com
Cloud Storage: storage.googleapis.com
Pub/Sub: pubsub.googleapis.com

Standortbezogene Google APIs

Eine Liste der unterstützten standortbezogenen Google APIs finden Sie unter Standortbezogene Dienstendpunkte.

Typen

Die folgenden Tabellen enthalten eine Übersicht über die Kompatibilitätsinformationen für verschiedene Private Service Connect-Konfigurationen.

In den folgenden Tabellen weist ein Häkchen darauf hin, dass ein Feature unterstützt wird, und ein Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Endpunkte und veröffentlichte Dienste

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und -funktionen von Endpunkten, die auf veröffentlichte Dienste zugreifen, zusammengefasst.

Nutzerkonfiguration (Endpunkt)	Ersteller-LoadBalancer
Nutzerkonfiguration (Endpunkt)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Globaler Nutzerzugriff	Unabhängig von der globalen Zugriffseinstellung auf dem Load-Balancer	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Unabhängig von der globalen Zugriffseinstellung auf dem Load Balancer
Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration	Nur IPv4	Nur IPv4	Nur IPv4	Nur IPv4
IPv4-Endpunkte	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln
IPv6-Endpunkte (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau) IPv6-Ersteller-Weiterleitungsregeln (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau) IPv6-Ersteller-Weiterleitungsregeln (Vorschau)

Für Endpunkte, die auf einen veröffentlichten Dienst zugreifen, gelten die folgenden Einschränkungen:

Sie können keinen Endpunkt im selben VPC-Netzwerk wie der veröffentlichte Dienst erstellen, auf den Sie zugreifen.
Endpunkte sind über Peering-VPC-Netzwerke nicht erreichbar.
Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
Nicht alle statischen Routen mit Load-Balancern als nächste Hops werden mit Private Service Connect unterstützt. Weitere Informationen finden Sie unter Statische Routen mit Load-Balancern als nächste Hops.
Konnektivitätstests können nicht die Konnektivität zwischen einem IPv6-Endpunkt und einem veröffentlichten Dienst testen.

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.

Erstellerkonfiguration (veröffentlichter Dienst)	Ersteller-LoadBalancer
Erstellerkonfiguration (veröffentlichter Dienst)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Unterstützte Ersteller-Back-Ends	GCE_VM_IP-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	Nicht zutreffend
Proxyprotokoll	Nur TCP-Traffic			Nur TCP-Traffic
Sitzungsaffinitätsmodi	NONE (5-Tupel) CLIENT_IP_PORT_PROTO	Nicht zutreffend	Nicht zutreffend	Nicht zutreffend
IP-Version	IPv4-Ersteller-Weiterleitungsregeln IPv6-Ersteller-Weiterleitungsregeln (Vorschau)	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln IPv6-Ersteller-Weiterleitungsregeln (Vorschau)

Für veröffentlichte Dienste gelten folgende Einschränkungen:

Producer-Load Balancer unterstützen die folgenden Features nicht:

Mehrere Weiterleitungsregeln, die eine gemeinsam genutzte IP-Adresse verwenden (SHARED_LOADBALANCER_VIP)
Backend-Teilmengeneinstellung

Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.
Die folgenden Load-Balancer-Typen bieten keine Werte für BETA Messwerte. Die Werte sind 0 oder fehlen:
- Regionaler interner Application Load Balancer
- Regionaler interner Proxy-Network Load Balancer

Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.

Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.

Back-Ends und veröffentlichte Dienste

Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In dieser Tabelle wird die Kompatibilität zwischen verschiedenen Arten von Nutzer-Load-Balancern und Ersteller-Load-Balancern beschrieben, einschließlich der Back-End-Dienstprotokolle, die mit jedem Nutzer-Load-Balancer verwendet werden können. Jede Zeile stellt einen Typ von Nutzer-Load-Balancer und jede Spalte einen Typ von Ersteller-Load-Balancern dar.

Nutzer-Load-Balancer und unterstützte Nutzer-Back-End-Dienstprotokolle	Ersteller-LoadBalancer
	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer
Globaler externer Application Load Balancer (unterstützt mehrere Regionen) Protokolle: HTTPS, HTTP2 IP-Version: IPv4 Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.
Regionaler externer Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2 IP-Version: IPv4
Regionaler interner Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2 IP-Version: IPv4
Regionenübergreifender interner Application Load Balancer (Vorschau) Protokolle: HTTPS, HTTP2 IP-Version: IPv4
Regionaler interner Proxy-Network Load Balancer Protokoll: TCP IP-Version: IPv4
Regionsübergreifender interner Proxy-Network Load Balancer Protokoll: TCP IP-Version: IPv4
Regionaler externer Proxy-Network-Load-Balancer Protokoll: TCP IP-Version: IPv4
Globaler externer Proxy-Network Load Balancer (Vorschau) Protokoll: TCP/SSL IP-Version: IPv4 Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt.

In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden.

Konfiguration	Ersteller-LoadBalancer
Konfiguration	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer
Unterstützte Ersteller-Back-Ends	GCE_VM_IP-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen
Weiterleitungsregelprotokolle	TCP	HTTP HTTPS HTTP/2	TCP
Weiterleitungsregelports	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.
Proxyprotokoll
IP-Version	IPv4	IPv4	IPv4

Für veröffentlichte Dienste gelten folgende Einschränkungen:

Producer-Load Balancer unterstützen die folgenden Features nicht:

Mehrere Weiterleitungsregeln, die eine gemeinsam genutzte IP-Adresse verwenden (SHARED_LOADBALANCER_VIP)
Backend-Teilmengeneinstellung

Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.
Die folgenden Load-Balancer-Typen bieten keine Werte für BETA Messwerte. Die Werte sind 0 oder fehlen:
- Regionaler interner Application Load Balancer
- Regionaler interner Proxy-Network Load Balancer

Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.

Eine Beispiel-Back-End-Konfiguration, die einen globalen externen Application Load Balancer verwendet, finden Sie unter Zugriff auf veröffentlichte Dienste über Back-Ends.

Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.

Endpunkte und globale Google APIs

In dieser Tabelle sind die Features zusammengefasst, die von Endpunkten für den Zugriff auf Google APIs unterstützt werden.

Informationen zum Erstellen dieser Konfiguration finden Sie unter Zugriff auf Google APIs über Endpunkte.

Konfiguration	Details
Nutzerkonfiguration (Endpunkt)
Globale Erreichbarkeit	Verwendet eine interne globale IP-Adresse
Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration
IP-Version	IPv4
Ersteller
Unterstützte Dienste	Unterstützte globale Google APIs

Backends und globale Google APIs

In dieser Tabelle wird beschrieben, welche Load Balancer ein Private Service Connect-Backend auf eine globale Google API verwenden können.

Konfiguration	Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer	Globaler externer Application Load Balancer Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.
IP-Version	IPv4
Ersteller
Unterstützte Dienste	Bigtable: `bigtable.googleapis.com` und `bigtableadmin.googleapis.com` Cloud Logging: `logging.googleapis.com` Cloud Spanner: `spanner.googleapis.com` Cloud Storage: `storage.googleapis.com` Pub/Sub: `pubsub.googleapis.com`

Backends und Standort-Google APIs

In dieser Tabelle wird beschrieben, welche Load-Balancer ein Private Service Connect-Backend für den Zugriff auf Google APIs verwenden können.

Eine Beispielkonfiguration für einen Backend, der einen internen Application Load Balancer verwendet, finden Sie unter Über Google-Backends auf Google APIs zugreifen.

Konfiguration	Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer	Interner Application Load Balancer Protokolle: HTTPS Regionaler externer Application Load Balancer Protokolle: HTTPS
IP-Version	IPv4
Ersteller
Unterstützte Dienste	Unterstützte Standort-Google APIs

Private Service Connect-Kompatibilität

Dienste

Veröffentlichte Google-Dienste

Veröffentlichte Dienste von Drittanbietern

Globale Google APIs

Sets globaler Google APIs

Einzelne globale Google API

Standortbezogene Google APIs

Typen

Endpunkte und veröffentlichte Dienste

Back-Ends und veröffentlichte Dienste

Endpunkte und globale Google APIs

Backends und globale Google APIs

Backends und Standort-Google APIs

Nächste Schritte