Compatibilité avec Private Service Connect

Services

Vous pouvez accéder aux services suivants à l'aide de Private Service Connect.

Services publiés par Google

Service Google Accès fourni
AlloyDB pour PostgreSQL Vous permet de vous connecter à des instances AlloyDB pour PostgreSQL.
Apigee Permet d'exposer les API gérées par Apigee sur Internet. Permet également de se connecter en mode privé à partir d'Apigee aux services de backend cibles.
Connexions BigQuery SAP Datasphere Vous permet de renforcer la sécurité lorsque vous utilisez BigQuery pour envoyer des requêtes à SAP Datasphere.
Service de transfert de données BigQuery Vous permet d'utiliser le service de transfert de données BigQuery pour Oracle.
Blockchain Node Engine Vous permet d'accéder aux nœuds Blockchain Node Engine.
Chrome Enterprise Premium Permet à Identity-Aware Proxy d'accéder à la passerelle du connecteur d'application.
Cloud Data Fusion Vous permet de connecter des instances Cloud Data Fusion aux ressources des réseaux VPC.
Cloud Composer 2 Permet d'accéder au projet locataire Cloud Composer.
Cloud Composer 3 Permet d'accéder au projet locataire Cloud Composer.
Cloud SQL Permet d'accéder à votre base de données Cloud SQL de manière privée.
Cloud Workstations Permet d'accéder aux clusters de postes de travail privés.
Database Migration Service Permet de migrer vos données vers Google Cloud.
Dataproc Metastore Permet d'accéder aux services Dataproc Metastore.
Eventarc Permet de recevoir des événements provenant d'Eventarc.
Google Cloud Managed Service pour Apache Kafka Vous permet d'accéder aux clusters Managed Service pour Apache Kafka.
Clusters publics et clusters privés Google Kubernetes Engine (GKE) Permet de connecter en mode privé les nœuds et le plan de contrôle d'un cluster public ou privé.
Integration Connectors Permet à Integration Connectors d'accéder en privé à vos services gérés.
Looker (Google Cloud Core) Vous permet d'accéder aux instances Looker (Google Cloud Core).
Memorystore for Redis Cluster Permet d'accéder aux instances Memorystore for Redis Cluster.
Memorystore pour Valkey Permet d'accéder aux instances Memorystore pour Valkey.
Vertex AI Vector Search Vous permet d'accéder aux points de terminaison Vector Search.
Prédictions Vertex AI Vous permet d'accéder à la prédiction en ligne Vertex AI.

Services publiés tiers

Service tiers Accès fourni
Aiven Fournit un accès privé aux clusters Aiven Kafka.
DaaS de Citrix Fournit un accès privé à Citrix DaaS.
ClickHouse Fournit un accès privé aux services ClickHouse.
Confluent Cloud Fournit un accès privé aux clusters Confluent Cloud.
Databricks Fournit un accès privé aux clusters Databricks.
Datadog Fournit un accès privé aux services d'ingestion Datadog.
Datastax Astra Fournit un accès privé aux bases de données DataStax Astra.
Elasticsearch Fournit un accès privé à Elastic Cloud.
JFrog Fournit un accès privé aux instances SaaS JFrog.
MongoDB Atlas Fournit un accès privé à MongoDB Atlas.
Neo4j Aura Fournit un accès privé à Neo4j Aura.
Pega Cloud Fournit un accès privé à Pega Cloud.
Cloud Redis Enterprise Fournit un accès privé aux clusters Redis Enterprise.
Redpanda Fournit un accès privé à Redpanda Cloud.
Snowflake Fournit un accès privé à Snowflake.
Striim Fournit un accès privé à Striim Cloud.

API Google globales

Les points de terminaison peuvent cibler un groupe d'API Google globales ou une seule API Google régionale. Les backends peuvent cibler une seule API Google globale ou une seule API Google régionale.

Groupes d'API Google globales

Vous pouvez utiliser des points de terminaison Private Service Connect pour envoyer du trafic vers un groupe d'API Google.

Lorsque vous créez un point de terminaison pour accéder aux API et services Google, vous choisissez le groupe d'API auquel vous avez besoin d'accéder : Toutes les API (all-apis) ou VPC-SC (vpc-sc) :

Les bundles d'API n'acceptent que les protocoles HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.

Bundle d'API Services compatibles Exemple d'utilisation
all-apis

Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès des API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste ci-dessous. Non compatible avec les applications Web Google Workspace, telles que Gmail et Google Docs. Non compatible avec les sites Web interactifs.

Noms de domaine correspondant à :

  • accounts.google.com (uniquement les chemins d'accès nécessaires à l'authentification OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io ou *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Choisissez all-apis dans les cas suivants :

  • Vous n'utilisez pas VPC Service Controls.
  • Vous utilisez VPC Service Controls, mais vous devez également accéder aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. 1

vpc-sc

Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls.

Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les API Google Workspace ni avec les applications Web Google Workspace telles que Gmail et Google Docs.

Choisissez vpc-sc si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls. Le bundle vpc-sc n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.1

1 Si vous devez limiter les utilisateurs aux API et services Google compatibles avec VPC Service Controls, utilisez vpc-sc, car il permet de réduire les risques d'exfiltration de données. Utiliser vpc-sc permet de refuser l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la page Configurer une connectivité privée dans la documentation VPC Service Controls.

API Google globale unique

Vous pouvez utiliser des backends Private Service Connect pour envoyer des requêtes à une seule API Google globale compatible. Les API suivantes sont compatibles :

API Google régionales

Vous pouvez utiliser des points de terminaison ou des backends pour accéder aux API Google régionales. Pour obtenir la liste des API Google régionales compatibles, consultez la section Points de terminaison de service régionaux.

Types

Les tableaux suivants récapitulent les informations de compatibilité pour différentes configurations de Private Service Connect.

Dans les tableaux suivants, une coche indique qu'une fonctionnalité est disponible, et un symbole "no" indique qu'une fonctionnalité n'est pas compatible.

Points de terminaison et services publiés

Cette section récapitule les options de configuration disponibles pour les clients et les producteurs lorsqu'ils utilisent des points de terminaison pour accéder aux services de publication.

Configuration du client

Ce tableau récapitule les options et les capacités compatibles avec les points de terminaison qui accèdent à des services publiés.

Configuration du client (point de terminaison) Équilibreur de charge de producteur
Équilibreur de charge réseau passthrough interne Équilibreur de charge d'application interne régional Équilibreur de charge réseau proxy interne régional Transfert de protocole interne (instance cible)
Accès mondial du client

Indépendant du paramètre d'accès mondial sur l'équilibreur de charge

Uniquement si l'accès global est activé sur l'équilibreur de charge avant la création du rattachement de service

Uniquement si l'accès global est activé sur l'équilibreur de charge avant la création du rattachement de service

Indépendant du paramètre d'accès mondial sur l'équilibreur de charge

Trafic d'interconnexion

Trafic Cloud VPN
Configuration DNS automatique IPv4 uniquement IPv4 uniquement IPv4 uniquement IPv4 uniquement
Propagation des connexions IPv4 uniquement IPv4 uniquement IPv4 uniquement IPv4 uniquement
Points de terminaison IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
Points de terminaison IPv6
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv6
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv6

Les limites suivantes s'appliquent aux points de terminaison qui accèdent à un service publié :

  • Vous ne pouvez pas créer de point de terminaison dans le même réseau VPC que le service publié auquel vous accédez.

  • Les points de terminaison ne sont pas accessibles à partir des réseaux VPC appairés.

  • La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.

  • Les routes statiques avec des sauts suivants de l'équilibreur de charge ne sont pas toutes compatibles avec Private Service Connect. Pour en savoir plus, consultez la section Routes statiques avec sauts suivants de l'équilibreur de charge.

  • Les tests de connectivité ne peuvent pas tester la connectivité entre un point de terminaison IPv6 et un service publié.

Configuration du producteur

Ce tableau récapitule les options de configuration et les capacités compatibles avec les services publiés auxquels les points de terminaison ont accès.

Configuration du producteur (service publié) Équilibreur de charge de producteur
Équilibreur de charge réseau passthrough interne Équilibreur de charge d'application interne régional Équilibreur de charge réseau proxy interne régional Transfert de protocole interne (instance cible)

Backends de producteur compatibles :

  • NEG zonaux GCE_VM_IP
  • Groupes d'instances
  • NEG de mappage de port
  • NEG zonaux GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
  • NEG zonaux GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
Non applicable
Protocole PROXY  Trafic TCP uniquement  Trafic TCP uniquement
Modes d'affinité de session NONE (quintuple)
CLIENT_IP_PORT_PROTO
Non applicable Non applicable Non applicable
Version IP
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv6
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv6

Les limites suivantes s'appliquent aux services publiés :

Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.

Différents équilibreurs de charge prennent en charge différentes configurations de port. Certains équilibreurs de charge acceptent un seul port, d'autres sont compatibles avec une plage de ports et d'autres acceptent tous les ports. Pour en savoir plus, consultez la section Spécifications de ports.

Backends et services publiés

Un backend Private Service Connect pour les services publiés nécessite deux équilibreurs de charge : un équilibreur de charge du client et un équilibreur de charge du producteur. Cette section récapitule les options de configuration disponibles pour les clients et les producteurs lorsqu'ils utilisent des backends pour accéder aux services de publication.

Configuration du client

Ce tableau décrit les équilibreurs de charge client compatibles avec les backends Private Service Connect pour les services publiés, y compris les protocoles de service de backend pouvant être utilisés avec chaque équilibreur de charge du client. Les équilibreurs de charge du client peuvent accéder aux services publiés qui sont hébergés sur des équilibreurs de charge du producteur compatibles.

Équilibreur de charge du client Protocoles Version IP

Équilibreur de charge d'application externe global (compatible avec plusieurs régions)

Remarque : L'équilibreur de charge d'application classique n'est pas compatible.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application externe régional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application interne régional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application interne interrégional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge réseau proxy interne régional

  • TCP
IPv4

Équilibreur de charge réseau interne interrégional

  • TCP
IPv4

Équilibreur de charge réseau proxy externe régional

  • TCP
IPv4

Équilibreur de charge réseau proxy externe global

Pour associer cet équilibreur de charge à un NEG Private Service Connect, utilisez la Google Cloud CLI ou envoyez une requête API.

Remarque : L'équilibreur de charge réseau classique n'est pas compatible.

  • TCP/SSL
IPv4

Configuration du producteur

Ce tableau décrit la configuration des équilibreurs de charge de producteur compatibles avec les backends Private Service Connect des services publiés.

Configuration Équilibreur de charge de producteur
Équilibreur de charge réseau passthrough interne Équilibreur de charge d'application interne régional Équilibreur de charge réseau proxy interne régional
Backends de producteur compatibles
  • NEG zonaux GCE_VM_IP
  • Groupes d'instances
  • NEG zonaux GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
  • NEG zonaux GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
Protocoles de règles de transfert
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Ports de règle de transfert Nous vous recommandons d'utiliser un seul port. Pour en savoir plus, consultez la section Configuration du port du producteur. Prend en charge un seul port Prend en charge un seul port
Protocole PROXY
Version IP IPv4 IPv4 IPv4

Les limites suivantes s'appliquent aux services publiés :

Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge HTTP(S) externe global, consultez la page Accéder aux services publiés via des backends.

Pour publier un service, consultez la page Publier des services.

Points de terminaison et API Google globales

Ce tableau récapitule les fonctionnalités compatibles avec les points de terminaison permettant d'accéder aux API Google.

Pour créer cette configuration, consultez la section Accéder aux API Google via des points de terminaison.

Configuration Détails
Configuration du client (point de terminaison)
Joignabilité globale  Utilise une adresse IP interne globale
Trafic d'interconnexion
Trafic Cloud VPN
Configuration DNS automatique
Version IP IPv4
Producteur
Services compatibles API Google globales compatibles

Backends et API Google globales

Ce tableau décrit les équilibreurs de charge qui peuvent utiliser un backend Private Service Connect vers une API Google globale.

Configuration Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles
  • Équilibreur de charge d'application externe global

    Remarque : L'équilibreur de charge d'application classique n'est pas compatible.

  • Équilibreur de charge d'application interne interrégional

Version IP IPv4
Producteur
Services compatibles

Points de terminaison et API Google régionales

Vous pouvez utiliser un point de terminaison Private Service Connect pour accéder à une seule API Google régionale. Pour obtenir la liste des API régionales compatibles, consultez la section Points de terminaison de service régionaux.

Backends et API Google régionales

Ce tableau décrit les équilibreurs de charge qui peuvent accéder aux API Google régionales à l'aide d'un backend Private Service Connect.

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge d'application interne, consultez la page Accéder aux API Google régionales via des backends.

Configuration Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles
  • Équilibreur de charge d'application interne

    Protocole : HTTPS

  • Équilibreur de charge d'application externe régional

    Protocole : HTTPS

Version IP IPv4
Producteur
Services compatibles API Google régionales compatibles

Étapes suivantes