Private Service Connect の互換性
サービス
Private Service Connect を使用すると、次のサービスにアクセスできます。
Google 公開サービス
サードパーティの公開サービス
サードパーティのサービス | 提供されるアクセス権 |
---|---|
Aiven | Aiven Kafka クラスタへのプライベート アクセスを提供します。 |
Citrix DaaS | Citrix DaaS へのプライベート アクセスを提供します。 |
ClickHouse | ClickHouse サービスへのプライベート アクセスを提供します。 |
Confluent Cloud | Confluent Cloud クラスタへのプライベート アクセスを提供します。 |
Databricks | Databricks クラスタへのプライベート アクセスを提供します。 |
Datadog | Datadog の intake サービスへのプライベート アクセスを提供します。 |
Datastax Astra | Datastax Astra DB データベースへのプライベート アクセスを提供します。 |
Elasticsearch | Elastic Cloud へのプライベート アクセスを提供します。 |
JFrog | JFrog SaaS インスタンスへのプライベート アクセスを提供します。 |
MongoDB Atlas | MongoDB Atlas へのプライベート アクセスを提供します。 |
Neo4j Aura | Neo4j Aura へのプライベート アクセスを提供します。 |
Pega Cloud | Pega Cloud へのプライベート アクセスを提供します。 |
Redis Enterprise Cloud | Redis Enterprise クラスタへのプライベート アクセスを提供します。 |
Redpanda | Redpanda Cloud へのプライベート アクセスを提供します。 |
Snowflake | Snowflake へのプライベート アクセスを提供します。 |
Striim | Striim Cloud へのプライベート アクセスを提供します。 |
グローバル Google API
エンドポイントは、グローバル Google API のバンドルまたは単一のリージョン Google API をターゲットにできます。バックエンドは、単一のグローバル Google API または単一のリージョン Google API をターゲットにできます。
グローバル Google API のバンドル
Private Service Connect エンドポイントを使用して、Google API のバンドルにトラフィックを送信できます。
Google API とサービスにアクセスするエンドポイントを作成するときに、すべての API(all-apis
)または VPC-SC(vpc-sc
)にアクセスするために必要な API のバンドルを選択します。
all-apis
バンドルを使用すると、すべての*.googleapis.com
サービス エンドポイントを含む、ほとんどの Google API とサービスにアクセスできます。vpc-sc
バンドルを使用すると、VPC Service Controls をサポートする API とサービスにアクセスできます。
API バンドルは、TCP 上の HTTP ベースのプロトコル(HTTP、HTTPS、HTTP/2)のみをサポートしています。MQTT や ICMP などの他のプロトコルはサポートされていません。
API バンドル | サポート対象のサービス | 使用例 |
---|---|---|
all-apis |
VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、Google Cloud、さらに以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。 一致するドメイン名:
|
次の状況では |
vpc-sc
| VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。 VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。 |
VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ |
vpc-sc
を使用します。これにより、データ引き出しのリスクがさらに軽減されます。vpc-sc
を使用すると、VPC Service Controls でサポートされていない Google API とサービスへのアクセスは拒否されます。詳細については、VPC Service Controls に関するドキュメントのプライベート接続の設定をご覧ください。単一のグローバル Google API
Private Service Connect バックエンドを使用して、サポートされている単一のグローバル Google API にリクエストを送信できます。次の API がサポートされています。
- Bigtable:
bigtable.googleapis.com
、bigtableadmin.googleapis.com
- Cloud Logging:
logging.googleapis.com
- Spanner:
spanner.googleapis.com
- Cloud Storage:
storage.googleapis.com
- Pub/Sub:
pubsub.googleapis.com
リージョン Google API
エンドポイントまたはバックエンドを使用して、リージョン Google API にアクセスできます。サポートされているリージョン Google API のリストを表示するには、リージョン サービス エンドポイントをご覧ください。
種類
次の表は、Private Service Connect の各構成の互換性情報をまとめたものです。
次の表で、 は機能がサポートされていることを示し、 は機能がサポートされていないことを示します。
エンドポイントと公開サービス
このセクションでは、エンドポイントを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。
コンシューマーの構成
次の表は、公開サービスにアクセスするエンドポイントでサポートされる構成オプションと機能をまとめたものです。
コンシューマーの構成(エンドポイント) | プロデューサー ロードバランサ | |||
---|---|---|---|---|
内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | 内部プロトコル転送(ターゲット インスタンス) | |
コンシューマーのグローバル アクセス |
ロードバランサのグローバル アクセス設定に依存しない |
サービス アタッチメントの作成前にロードバランサでグローバル アクセスが有効になっている場合のみ |
サービス アタッチメントの作成前にロードバランサでグローバル アクセスが有効になっている場合のみ |
ロードバランサのグローバル アクセス設定に依存しない |
Cloud VPN のトラフィック | ||||
DNS の自動構成 | IPv4 のみ | IPv4 のみ | IPv4 のみ | IPv4 のみ |
接続の伝播 | IPv4 のみ | IPv4 のみ | IPv4 のみ | IPv4 のみ |
IPv4 エンドポイント |
|
|
|
|
IPv6 エンドポイント |
|
|
|
|
公開サービスにアクセスするエンドポイントには、次の制限があります。
アクセスしている公開サービスと同じ VPC ネットワークにエンドポイントを作成することはできません。
エンドポイントは、ピアリングされた VPC ネットワークからアクセスできません。
Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
ロードバランサのネクストホップを使用するすべての静的ルートが Private Service Connect でサポートされているわけではありません。詳細については、ロードバランサのネクストホップを使用する静的ルートをご覧ください。
接続テストでは、IPv6 エンドポイントと公開サービス間の接続をテストできません。
プロデューサーの構成
この表は、エンドポイントがアクセスする公開サービスでサポートされる構成オプションと機能をまとめたものです。
プロデューサーの構成(公開サービス) | プロデューサー ロードバランサ | |||
---|---|---|---|---|
内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | 内部プロトコル転送(ターゲット インスタンス) | |
サポートされるプロデューサー バックエンド |
|
|
|
該当なし |
PROXY プロトコル | TCP トラフィックのみ | TCP トラフィックのみ | ||
セッション アフィニティ モード | なし(5 タプル) CLIENT_IP_PORT_PROTO |
該当なし | 該当なし | 該当なし |
IP バージョン |
|
|
|
|
公開サービスには次の制限があります。
- プロデューサー ロードバランサは、次の機能をサポートしていません。
- 共有 IP アドレスを使用する複数の転送ルール(
SHARED_LOADBALANCER_VIP
) - バックエンドのサブセット化
- Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
- Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービス アタッチメントを作成する必要があります。
問題と回避策については、既知の問題をご覧ください。
サポートされるポート構成は、ロードバランサによって異なります。ロードバランサには、単一のポートをサポートするものと、ポートの範囲をサポートするものと、すべてのポートをサポートするものがあります。詳細については、ポートの仕様をご覧ください。
バックエンドと公開サービス
公開サービス用の Private Service Connect バックエンドには、コンシューマー ロードバランサとプロデューサー ロードバランサという 2 つのロードバランサが必要です。このセクションでは、バックエンドを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。
コンシューマーの構成
次の表に、公開サービス用の Private Service Connect バックエンドでサポートされているコンシューマー ロードバランサを示します。各コンシューマー ロードバランサで使用できるバックエンド サービス プロトコルも示します。コンシューマー ロードバランサは、サポートされているプロデューサー ロードバランサでホストされている公開サービスにアクセスできます。
コンシューマー ロードバランサ | プロトコル | IP バージョン |
---|---|---|
グローバル外部アプリケーション ロードバランサ(複数のリージョンをサポート) 注: 従来のアプリケーション ロードバランサはサポートされていません。 |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
このロードバランサを Private Service Connect NEG に関連付けるには、Google Cloud CLI を使用するか、API リクエストを送信します。 注: 従来のプロキシ ネットワーク ロードバランサはサポートされていません。 |
|
IPv4 |
プロデューサーの構成
次の表に、公開サービス用の Private Service Connect バックエンドでサポートされるプロデューサー ロードバランサの構成を示します。
構成 | プロデューサー ロードバランサ | ||
---|---|---|---|
内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | |
サポートされるプロデューサー バックエンド |
|
|
|
転送ルール プロトコル |
|
|
|
転送ルールのポート | 単一ポートを使用することをおすすめします。プロデューサー ポートの構成をご覧ください。 | 単一のポートをサポート | 単一のポートをサポート |
PROXY プロトコル | |||
IP バージョン | IPv4 | IPv4 | IPv4 |
公開サービスには次の制限があります。
- プロデューサー ロードバランサは、次の機能をサポートしていません。
- 共有 IP アドレスを使用する複数の転送ルール(
SHARED_LOADBALANCER_VIP
) - バックエンドのサブセット化
- Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
- Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービス アタッチメントを作成する必要があります。
問題と回避策については、既知の問題をご覧ください。
グローバル外部アプリケーション ロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。
サービスを公開するには、サービスを公開するをご覧ください。
エンドポイントとグローバル Google API
次の表は、Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。
この構成を作成するには、エンドポイントを介して Google API にアクセスするをご覧ください。
構成 | 詳細 |
---|---|
コンシューマーの構成(エンドポイント) | |
グローバルなネットワーク到達性 | 内部グローバル IP アドレスを使用 |
相互接続のトラフィック | |
Cloud VPN のトラフィック | |
DNS の自動構成 | |
IP バージョン | IPv4 |
プロデューサー | |
サポート対象のサービス | サポートされているグローバル Google API |
バックエンドとグローバル Google API
次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。
構成 | 詳細 |
---|---|
コンシューマの構成(Private Service Connect バックエンド) | |
サポートされているコンシューマー ロードバランサ |
|
IP バージョン | IPv4 |
プロデューサー | |
サポート対象のサービス |
|
エンドポイントとリージョン Google API
Private Service Connect エンドポイントを使用して、単一のリージョン Google API にアクセスできます。サポートされているリージョン API のリストを表示するには、リージョン サービス エンドポイントをご覧ください。
バックエンドとリージョン Google API
次の表では、Private Service Connect バックエンドを使用してリージョン Google API にアクセスできるロードバランサについて説明します。
内部アプリケーション ロードバランサを使用するバックエンド構成例については、バックエンド経由でリージョン Google API にアクセスするをご覧ください。
構成 | 詳細 |
---|---|
コンシューマの構成(Private Service Connect バックエンド) | |
サポートされているコンシューマー ロードバランサ |
|
IP バージョン | IPv4 |
プロデューサー | |
サポート対象のサービス | サポートされているリージョンの Google API |
次のステップ
- エンドポイントを介した公開サービスへのアクセスについて確認する。
- エンドポイントを介したグローバル Google API へのアクセスについて確認する。
- エンドポイントを介したリージョン Google API へのアクセスについて確認する。
- バックエンドについて確認する。
- 公開サービスについて確認する。