Compatibilidade com o Private Service Connect

Serviços

É possível acessar os seguintes serviços usando o Private Service Connect.

Serviços publicados pelo Google

Serviço do Google	Acesso fornecido
Apigee	Permite expor as APIs gerenciadas pela Apigee na Internet. Também permite que você se conecte de maneira privada a partir da Apigee com serviços de back-end de destino.
BeyondCorp Enterprise	Permite que o Identity-Aware Proxy acesse o gateway do conector de app.
Cloud Data Fusion	Permite conectar instâncias do Cloud Data Fusion a recursos em redes VPC.
Cloud Composer 2	Permite acessar o projeto de locatário do Cloud Composer.
Cloud SQL	Permite acessar seu banco de dados do Cloud SQL.
Cloud Workstations	Permite acessar clusters de estações de trabalho particulares.
Database Migration Service	Permite migrar seus dados para o Google Cloud.
Metastore do Dataproc	Permite acessar os serviços do metastore do Dataproc.
Eventarc	Permite que você receba eventos do Eventarc.
Clusters públicos e clusters particulares do Google Kubernetes Engine (GKE)	É possível conectar nós e o plano de controle de maneira particular para um cluster público ou particular.
Conectores de integração	Permite que os conectores de integração acessem seus serviços gerenciados de forma particular.
Cluster do Memorystore para Redis	Permite acessar instâncias de cluster do Memorystore para Redis.
Vector Search da Vertex AI	Fornece acesso particular a endpoints de pesquisa de vetor.

Serviços publicados de terceiros

Serviço de terceiros	Acesso fornecido
Aiven	Dá acesso particular aos clusters do Aiven Kafka.
DaaS Citrix	Dá acesso particular ao DaaS Citrix.
ClickHouse	Dá acesso particular aos serviços da ClickHouse.
Confluent Cloud	Dá acesso particular aos clusters do Confluent Cloud.
Databricks	Dá acesso particular aos clusters do Databricks.
Datadog	Dá acesso particular aos serviços de entrada do Datadog.
Datastax Astra	Dá acesso particular aos bancos de dados do Datastax Astra DB.
Elasticsearch	Dá acesso particular ao Elastic Cloud.
JFrog	Dá acesso particular às instâncias de SaaS do JFrog.
MongoDB Atlas	Dá acesso particular ao MongoDB Atlas.
Neo4j Aura	Dá acesso particular ao Neo4j Aura.
Nuvem Pega	Fornece acesso particular à Pega Cloud.
Redis Enterprise Cloud	Dá acesso particular aos clusters do Redis Enterprise.
Snowflake	Dá acesso particular ao Snowflake.
Striim	Dá acesso particular ao Striim Cloud.

APIs globais do Google

Os endpoints podem segmentar um pacote de APIs globais do Google. Os back-ends podem segmentar uma única API global do Google.

Pacotes de APIs globais do Google

É possível usar endpoints do Private Service Connect para enviar tráfego a um pacote de APIs do Google. Com os back-ends do Private Service Connect, é possível enviar tráfego para uma API individual do Google.

Ao criar um endpoint para acessar APIs e serviços do Google, você escolhe qual pacote de APIs precisa ser acessado: Todas as APIs (all-apis) ou VPC-SC (vpc-sc):

O pacote all-apis fornece acesso à maioria das APIs e serviços do Google, incluindo todos os endpoints de serviço *.googleapis.com.
O pacote vpc-sc fornece acesso a APIs e serviços compatíveis com o VPC Service Controls.

Observação: esses pacotes fornecem acesso às mesmas APIs disponíveis na página VIPs Acesso privado do Google: all-apis é equivalente a private.googleapis.com e vpc-sc é equivalente a restricted.googleapis.com.

Os pacotes de API são compatíveis apenas com protocolos baseados em HTTP sobre TCP (HTTP, HTTPS e HTTP/2). Todos os outros protocolos, incluindo MQTT e ICMP, não são compatíveis.

Pacote de API Serviços compatíveis Exemplo de uso

Pacote de API	Serviços compatíveis	Exemplo de uso
`all-apis`	Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Google Maps, Google Ads, Google Cloud e à maioria das outras APIs do Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google. Não é compatível com sites interativos. Nomes de domínio que correspondem: `accounts.google.com` (somente os caminhos necessários para a autenticação do OAuth) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` ou `.gcr.io` `.googleapis.com` `.gstatic.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` ou `.pkg.dev` `pki.goog` ou `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	Escolha `all-apis` nestas circunstâncias: Você não usa o VPC Service Controls. Você usa o VPC Service Controls, mas também precisa acessar APIs e serviços do Google que não são compatíveis com o VPC Service Controls. ¹
`vpc-sc`	Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls. Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com APIs do Google Workspace ou aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google.	Escolha `vpc-sc` quando você só precisar de acesso a APIs e serviços do Google compatíveis com o VPC Service Controls. O pacote `vpc-sc` não permite acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. ¹

all-apis

Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Google Maps, Google Ads, Google Cloud e à maioria das outras APIs do Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google. Não é compatível com sites interativos.

Nomes de domínio que correspondem:

accounts.google.com (somente os caminhos necessários para a autenticação do OAuth)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io ou *.gcr.io
*.googleapis.com
*.gstatic.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev ou *.pkg.dev
pki.goog ou *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Escolha all-apis nestas circunstâncias:

Você não usa o VPC Service Controls.
Você usa o VPC Service Controls, mas também precisa acessar APIs e serviços do Google que não são compatíveis com o VPC Service Controls. ¹

vpc-sc

Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls.

Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com APIs do Google Workspace ou aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google.

Escolha vpc-sc quando você só precisar de acesso a APIs e serviços do Google compatíveis com o VPC Service Controls. O pacote vpc-sc não permite acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. ¹

¹ Se você precisar restringir usuários apenas às APIs e aos serviços do Google compatíveis com o VPC Service Controls, use vpc-sc. Embora o VPC Service Controls seja aplicado a serviços compatíveis e configurados, independentemente do pacote usado, o vpc-sc fornece mitigação de risco adicional para exfiltração de dados. O uso de vpc-sc nega acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Consulte Como configurar a conectividade privada na documentação do VPC Service Controls para mais detalhes.

API única global do Google

É possível usar os back-ends do Private Service Connect para enviar solicitações a uma única API global compatível do Google. Há suporte para as seguintes APIs:

Bigtable: bigtable.googleapis.com e bigtableadmin.googleapis.com
Cloud Logging: logging.googleapis.com
Spanner: spanner.googleapis.com
Cloud Storage: storage.googleapis.com
Pub/Sub: pubsub.googleapis.com

APIs locais do Google

Para ver uma lista de APIs de localização do Google compatíveis, consulte Endpoints do serviço de localização.

Tipos

As tabelas a seguir resumem as informações de compatibilidade para diferentes configurações do Private Service Connect.

Nas tabelas abaixo, uma marca de seleção indica que um recurso tem suporte, e o símbolo "sem" indica que um recurso não tem suporte.

Endpoints e serviços publicados

Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos endpoints que acessam serviços publicados.

Configuração do consumidor (endpoint)	Balanceador de carga do produtor
Configuração do consumidor (endpoint)	Balanceador de carga de rede de passagem interna	Balanceador de carga de aplicativo interno regional	Balanceador de carga de rede de proxy interno regional	Encaminhamento de protocolo interno (instância de destino)
Acesso global do consumidor	Independentemente da configuração de acesso global no balanceador de carga	Somente se o acesso global estiver ativado no balanceador de carga	Somente se o acesso global estiver ativado no balanceador de carga	Independente da configuração de acesso global no balanceador de carga
Interconectar tráfego
Tráfego do Cloud VPN
Configuração automática de DNS
Pilha de IP	IPv4	IPv4	IPv4	IPv4

Os endpoints que acessam um serviço publicado têm as seguintes limitações:

Não é possível criar um endpoint na mesma rede VPC que o serviço publicado que está acessando.
Os endpoints não podem ser acessados em redes VPC com peering.
O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.
Nem todas as rotas estáticas com próximos saltos do balanceador de carga são compatíveis com o Private Service Connect. Para mais informações, consulte Rotas estáticas com próximos saltos do balanceador de carga.

Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos serviços publicados que são acessados por endpoints.

Configuração do produtor (serviço publicado)	Balanceador de carga do produtor
Configuração do produtor (serviço publicado)	Balanceador de carga de rede de passagem interna	Balanceador de carga de aplicativo interno regional	Balanceador de carga de rede de proxy interno regional	Encaminhamento de protocolo interno (instância de destino)
Back-ends de produtor compatíveis	NEGs de GCE_VM_IP Grupos de instâncias	NEGs de GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias	NEGs de GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias	Não relevante
Protocolo de proxy	Somente tráfego TCP			Somente tráfego TCP
Modos de afinidade de sessão	NONE (5 tuplas) CLIENT_IP_PORT_PROTO	Não relevante	Não relevante	Não relevante

Os serviços publicados têm as seguintes limitações:

Os balanceadores de carga do produtor não são compatíveis com os seguintes recursos:

Várias regras de encaminhamento que usam um endereço IP compartilhado (SHARED_LOADBALANCER_VIP)
Subconfiguração de back-ends

O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.
Use a Google Cloud CLI ou a API para criar um anexo de serviço que aponte para uma regra de encaminhamento usada no encaminhamento de protocolo interno.
Os tipos de balanceador de carga a seguir não fornecem valores para as métricas BETA. Os valores são 0 ou estão ausentes:
- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de rede de proxy interno regional
Para problemas e soluções alternativas, consulte Problemas conhecidos.

Diferentes balanceadores de carga oferecem suporte a diversas configurações de porta; alguns balanceadores de carga aceitam uma única porta, alguns aceitam uma variedade de portas e alguns aceitam todas as portas. Para mais informações, consulte Especificações de porta.

Back-ends e serviços publicados

Um back-end do Private Service Connect para serviços publicados requer dois balanceadores de carga: um do consumidor e um do produtor. Nesta tabela, descrevemos a compatibilidade entre diferentes tipos de balanceadores de carga de consumidores e produtores, incluindo quais protocolos de serviço de back-end podem ser usados com cada balanceador de carga de consumidor. Cada linha representa um tipo de balanceador de carga do consumidor, e cada coluna representa um tipo de balanceador de carga do produtor.

Balanceador de carga do consumidor e protocolos de serviço de back-end do consumidor compatíveis	Balanceador de carga do produtor
	Balanceador de carga de rede de passagem interna	Balanceador de carga de aplicativo interno regional	Balanceador de carga de rede de proxy interno regional
Balanceador de carga de aplicativo externo global (compatível com várias regiões) Protocolos: HTTPS e HTTP2 Observação: o balanceador de carga de aplicativo clássico não é compatível.
Balanceador de carga de aplicativo externo regional Protocolos: HTTP, HTTPS, HTTP2
Balanceador de carga de aplicativo interno regional Protocolos: HTTP, HTTPS, HTTP2
Balanceador de carga de aplicativo interno entre regiões (pré-lançamento) Protocolos: HTTPS e HTTP2
Balanceador de carga de rede de proxy interno regional Protocolo: TCP
Balanceador de carga de rede de proxy interno entre regiões Protocolo: TCP
Balanceador de carga de rede de proxy externo regional Protocolo: TCP
Balanceador de carga de rede de proxy externo global (pré-lançamento) Protocolo: TCP/SSL Observação: o balanceador de carga de rede de proxy clássico não é compatível.

Nesta tabela, descrevemos a configuração dos balanceadores de carga do produtor que são compatíveis com os back-ends do Private Service Connect para serviços publicados.

Configuração	Balanceador de carga do produtor
Configuração	Balanceador de carga de rede de passagem interna	Balanceador de carga de aplicativo interno regional	Balanceador de carga de rede de proxy interno regional
Back-ends de produtor compatíveis	NEGs de GCE_VM_IP Grupos de instâncias	NEGs de GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias	NEGs de GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias
Protocolos da regra de encaminhamento	TCP	HTTP HTTPS HTTP/2	TCP
Portas da regra de encaminhamento	A regra de encaminhamento precisa se referir a uma única porta.	A regra de encaminhamento precisa se referir a uma única porta.	A regra de encaminhamento precisa se referir a uma única porta.
Protocolo de proxy

Os serviços publicados têm as seguintes limitações:

Os balanceadores de carga do produtor não são compatíveis com os seguintes recursos:

Várias regras de encaminhamento que usam um endereço IP compartilhado (SHARED_LOADBALANCER_VIP)
Subconfiguração de back-ends

O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.
Use a Google Cloud CLI ou a API para criar um anexo de serviço que aponte para uma regra de encaminhamento usada no encaminhamento de protocolo interno.
Os tipos de balanceador de carga a seguir não fornecem valores para as métricas BETA. Os valores são 0 ou estão ausentes:
- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de rede de proxy interno regional
Para problemas e soluções alternativas, consulte Problemas conhecidos.

Para ver um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo externo global, consulte Acessar serviços publicados por meio de back-ends.

Para publicar um serviço, consulte Publicar serviços.

Endpoints e APIs globais do Google

Esta tabela resume os recursos compatíveis com os endpoints usados para acessar as APIs do Google.

Para criar essa configuração, consulte Acessar APIs do Google por meio de endpoints.

Configuração	Detalhes
Configuração do consumidor (endpoint)
Acessibilidade global	Usa um endereço IP global interno
Interconectar tráfego
Tráfego do Cloud VPN
Configuração automática de DNS
Pilha de IP	IPv4
Produtor
Serviços compatíveis	APIs globais compatíveis do Google

Back-ends e APIs globais do Google

Confira nesta tabela quais balanceadores de carga podem usar um back-end do Private Service Connect para uma API global do Google.

Configuração	Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis	Balanceador de carga de aplicativo externo global Observação: o balanceador de carga de aplicativo clássico não é compatível.
Produtor
Serviços compatíveis	Bigtable: `bigtable.googleapis.com` e `bigtableadmin.googleapis.com` Cloud Logging: `logging.googleapis.com` Spanner: `spanner.googleapis.com` Cloud Storage: `storage.googleapis.com` Pub/Sub: `pubsub.googleapis.com`

Back-ends e APIs locais do Google

Esta tabela descreve quais balanceadores de carga podem usar um back-end do Private Service Connect para acessar APIs locais do Google.

Para ver um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo interno, consulte Acessar APIs locais do Google por meio de back-ends.

Configuração	Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis	Balanceador de carga de aplicativo interno Protocolos: HTTPS Balanceador de carga de aplicativo externo regional Protocolos: HTTPS
Produtor
Serviços compatíveis	APIs locais do Google compatíveis

A seguir

Veja mais sobre como acessar os serviços publicados por endpoints.
Saiba mais sobre como acessar APIs do Google por endpoints.
Saiba mais sobre back-ends.
Saiba mais sobre serviços de publicação.