Private Service Connect-Kompatibilität

Dienste

Sie können mit Private Service Connect auf die folgenden Dienste zugreifen.

Veröffentlichte Google-Dienste

Google-Dienst Zugriff gewährt
AlloyDB for PostgreSQL Ermöglicht die Verbindung zu AlloyDB for PostgreSQL-Instanzen.
Apigee Ermöglicht, von Apigee verwaltete APIs im Internet verfügbar zu machen. Ermöglicht auch eine private Verbindung von Apigee zu Backend-Zieldiensten.
Chrome Enterprise Premium Ermöglicht dem Identity-Aware Proxy Zugriff auf das App-Connector-Gateway.
Cloud Data Fusion Ermöglicht die Verbindung von Cloud Data Fusion-Instanzen mit Ressourcen in VPC-Netzwerken.
Cloud Composer 2 Ermöglicht den Zugriff auf das Cloud Composer-Mandantenprojekt.
Cloud SQL Ermöglicht den Zugriff auf Ihre Cloud SQL-Datenbank.
Cloud Workstations Ermöglicht den Zugriff auf private Workstation-Cluster.
Database Migration Service Ermöglicht die Migration Ihrer Daten zu Google Cloud.
Dataproc Metastore Ermöglicht den Zugriff auf Dataproc Metastore-Dienste.
Eventarc Ermöglicht das Empfangen von Ereignissen von Eventarc.
Öffentliche Google Kubernetes Engine-Cluster (GKE) und private Cluster Ermöglicht die private Verbindung von Knoten und der Steuerungsebene für einen öffentlichen oder privaten Cluster.
Integration Connectors Ermöglicht Integration Connectors den privaten Zugriff auf Ihre verwalteten Dienste.
Memorystore for Redis Cluster Ermöglicht den Zugriff auf Memorystore for Redis-Clusterinstanzen.
Vertex AI Vektorsuche Bietet privaten Zugriff auf Vektorsuchendpunkte.
Vertex AI-Vorhersagen Bietet privaten Zugriff auf Vertex AI-Onlinevorhersagen.

Veröffentlichte Dienste von Drittanbietern

Dienstleistungen von Drittanbietern Zugriff gewährt
Aiven Ermöglicht privaten Zugriff auf Aiven Kafka-Cluster
Citrix-DaaS Ermöglicht privaten Zugriff auf Citrix DaaS
ClickHouse Ermöglicht privaten Zugriff auf ClickHaus-Dienste
Confluent Cloud Ermöglicht privaten Zugriff auf Confluent Cloud-Cluster
Databricks Ermöglicht privaten Zugriff auf Databricks-Cluster
Datadog Ermöglicht privaten Zugriff auf Datadog-Aufnahmedienste
Datastax Astra Ermöglicht privaten Zugriff auf Datastax Astra DB-Datenbanken
Elasticsearch Ermöglicht privaten Zugriff auf Elastic Cloud
JFrog Privater Zugriff auf JFrog SaaS-Instanzen
MongoDB Atlas Ermöglicht privaten Zugriff auf MongoDB Atlas
Neo4j Aura Ermöglicht privaten Zugriff auf Neo4j Aura.
Pega Cloud Bietet Privaten Zugriff auf Pega Cloud
Redis Enterprise Cloud Ermöglicht privaten Zugriff auf Redis Enterprise-Cluster
Redpanda Ermöglicht privaten Zugriff auf Redpanda Cloud.
Snowflake Ermöglicht privaten Zugriff auf Snowflake
Striim Privaten Zugriff auf Striim Cloud.

Globale Google APIs

Endpunkte können auf ein Bundle mit globalen Google APIs oder auf eine einzelne regionale Google API ausgerichtet sein. Backends können auf eine einzelne globale oder regionale Google API ausgerichtet sein.

Bündel globaler Google APIs

Sie können Private Service Connect-Endpunkte verwenden, um Traffic an ein Bundle von Google APIs zu senden.

Wenn Sie einen Endpunkt für den Zugriff auf Google APIs und Google-Dienste erstellen, wählen Sie aus, auf welches API-Bundle Sie zugreifen müssen: Alle APIs (all-apis) oder VPC-SC (vpc-sc).

Die API-Bundles unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

API-Bundle Unterstützte Dienste Nutzungsbeispiel
all-apis

Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Google Maps, Google Ads, Google Cloud und die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen wie Gmail und Google Docs. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:

  • accounts.google.com (nur die für die OAuth-Authentifizierung benötigten Pfade)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io oder *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev oder *.pkg.dev
  • pki.goog oder *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Wählen Sie unter folgenden Umständen all-apis aus:

  • Sie verwenden VPC Service Controls nicht.
  • Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden. 1
vpc-sc

Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace APIs oder Google Workspace-Webanwendungen wie Gmail und Google Docs.

Wählen Sie vpc-sc aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. Das vpc-sc-Bundle erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.1
1Hinweis: Wenn Sie Nutzer auf die Google APIs und Google-Dienste beschränken müssen, die VPC Service Controls unterstützen, verwenden Sie vpc-sc. Es bietet eine zusätzliche Risikominderung bei der Daten-Exfiltration. Die Verwendung von vpc-sc verweigert den Zugriff auf Google APIs und Google-Dienste, die nicht von VPC Service Controls unterstützt werden. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Einzelne globale Google API

Sie können Private Service Connect-Backends verwenden, um Anfragen an eine einzelne unterstützte globale Google API zu senden. Die folgenden APIs werden unterstützt:

Regionale Google APIs

Sie können Endpunkte oder Back-Ends für den Zugriff auf regionale Google APIs verwenden. Eine Liste der unterstützten regionalen Google APIs finden Sie unter Regionale Dienstendpunkte.

Typen

Die folgenden Tabellen enthalten eine Übersicht über die Kompatibilitätsinformationen für verschiedene Private Service Connect-Konfigurationen.

Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Endpunkte und veröffentlichte Dienste

In diesem Abschnitt sind die Konfigurationsoptionen zusammengefasst, die Nutzern und Produzenten zur Verfügung stehen, wenn sie Endpunkte zum Zugriff auf veröffentlichte Dienste verwenden.

Nutzerkonfiguration

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und -funktionen von Endpunkten, die auf veröffentlichte Dienste zugreifen, zusammengefasst.

Nutzerkonfiguration (Endpunkt) Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer Interne Protokollweiterleitung (Zielinstanz)
Globaler Nutzerzugriff

Unabhängig von der globalen Zugriffseinstellung auf dem Load-Balancer

Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist, bevor der Dienst-Anhang erstellt wird

Nur wenn globaler Zugriff auf dem Load Balancer aktiviert ist, bevor der Dienst-Anhang erstellt wird

Unabhängig von der globalen Zugriffseinstellung auf dem Load Balancer

Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration Nur IPv4 Nur IPv4 Nur IPv4 Nur IPv4
IPv4-Endpunkte
  • IPv4-Ersteller-Weiterleitungsregeln
  • IPv4-Ersteller-Weiterleitungsregeln
  • IPv4-Ersteller-Weiterleitungsregeln
  • Weiterleitungsregeln des IPv4-Erstellers

Für Endpunkte, die auf einen veröffentlichten Dienst zugreifen, gelten die folgenden Einschränkungen:

  • Sie können keinen Endpunkt im selben VPC-Netzwerk wie der veröffentlichte Dienst erstellen, auf den Sie zugreifen.

  • Endpunkte sind über Peering-VPC-Netzwerke nicht erreichbar.

  • Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.

  • Nicht alle statischen Routen mit Load-Balancern als nächste Hops werden mit Private Service Connect unterstützt. Weitere Informationen finden Sie unter Statische Routen mit Load-Balancern als nächste Hops.

Erstellerkonfiguration

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.

Erstellerkonfiguration (veröffentlichter Dienst) Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer Interne Protokollweiterleitung (Zielinstanz)

Unterstützte Ersteller-Back-Ends
  • Zonale GCE_VM_IP-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
 Nicht zutreffend
Proxyprotokoll Nur TCP-Traffic Nur TCP-Traffic
Sitzungsaffinitätsmodi NONE (5-Tupel)
CLIENT_IP_PORT_PROTO		 Nicht zutreffend Nicht zutreffend Nicht zutreffend
IP-Version
  • Weiterleitungsregeln des IPv4-Erstellers
  • Weiterleitungsregeln des IPv4-Erstellers
  • IPv4-Ersteller-Weiterleitungsregeln
  • Weiterleitungsregeln des IPv4-Erstellers

Für veröffentlichte Dienste gelten folgende Einschränkungen:

Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.

Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.

Back-Ends und veröffentlichte Dienste

Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In diesem Abschnitt sind die Konfigurationsoptionen zusammengefasst, die Nutzern und Erstellern zur Verfügung stehen, wenn sie Back-Ends zum Zugriff auf veröffentlichte Dienste verwenden.

Nutzerkonfiguration

In dieser Tabelle werden die Nutzer-Load Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden. Außerdem wird angegeben, welche Back-End-Dienstprotokolle mit jedem Nutzer-Load Balancer verwendet werden können. Die Nutzer-Load Balancer können auf veröffentlichte Dienste zugreifen, die auf unterstützten Ersteller-Load Balancern gehostet werden.

Nutzer-Load Balancer Protokolle IP-Version

Globaler externer Application Load Balancer (unterstützt mehrere Regionen)

Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

Regionaler externer Application Load Balancer
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

Regionaler interner Application Load Balancer
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

Cross-region internal Application Load Balancer
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

Regionaler interner Proxy-Network Load Balancer
  • TCP
 IPv4

Regionsübergreifender interner Proxy-Network Load Balancer
  • TCP
 IPv4

Regionaler externer Proxy-Network-Load-Balancer
  • TCP
 IPv4

Globaler externer Proxy-Network Load Balancer

Wenn Sie diesen Load Balancer mit einer Private Service Connect-NEG verknüpfen möchten, verwenden Sie die Google Cloud CLI oder senden Sie eine API-Anfrage.

Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt.
  • TCP/SSL
 IPv4

Erstellerkonfiguration

In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden.

Konfiguration Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer
Unterstützte Ersteller-Back-Ends
  • Zonale GCE_VM_IP-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
Weiterleitungsregelprotokolle
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Weiterleitungsregelports Wir empfehlen, einen einzelnen Port zu verwenden. Weitere Informationen findest du unter Konfiguration des Producer-Ports. Unterstützt einen einzelnen Anschluss Unterstützt einen einzelnen Anschluss
Proxyprotokoll
IP-Version IPv4 IPv4 IPv4

Für veröffentlichte Dienste gelten folgende Einschränkungen:

Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.

Eine Beispiel-Back-End-Konfiguration, die einen globalen externen Application Load Balancer verwendet, finden Sie unter Zugriff auf veröffentlichte Dienste über Back-Ends.

Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.

Endpunkte und globale Google APIs

In dieser Tabelle sind die Features zusammengefasst, die von Endpunkten für den Zugriff auf Google APIs unterstützt werden.

Informationen zum Erstellen dieser Konfiguration finden Sie unter Zugriff auf Google APIs über Endpunkte.

Konfiguration Details
Nutzerkonfiguration (Endpunkt)
Globale Erreichbarkeit Verwendet eine interne globale IP-Adresse
Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration
IP-Version IPv4
Ersteller
Unterstützte Dienste Unterstützte globale Google APIs

Backends und globale Google APIs

In dieser Tabelle wird beschrieben, welche Load Balancer ein Private Service Connect-Backend auf eine globale Google API verwenden können.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer

  • Globaler externer Application Load Balancer

    Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.

  • Regionsübergreifender interner Application Load Balancer
IP-Version IPv4
Ersteller
Unterstützte Dienste

Endpunkte und regionale Google APIs

Sie können einen Private Service Connect-Endpunkt verwenden, um auf eine einzelne regionale Google API zuzugreifen. Eine Liste der unterstützten regionalen APIs finden Sie unter Regionale Dienstendpunkte.

Backends und regionale Google APIs

In dieser Tabelle wird beschrieben, welche Load-Balancer ein Private Service Connect-Backend für den Zugriff auf regionale Google APIs verwenden können.

Eine Beispielkonfiguration für einen Backend, der einen internen Application Load Balancer verwendet, finden Sie unter Über Google-Backends auf regionale Google APIs zugreifen.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer

  • Interner Application Load Balancer

    Protokolle: HTTPS

  • Regionaler externer Application Load Balancer

    Protokolle: HTTPS
IP-Version IPv4
Ersteller
Unterstützte Dienste Unterstützte regionale Google APIs

Nächste Schritte