Compatibilidade com o Private Service Connect
Serviços
É possível acessar os seguintes serviços usando o Private Service Connect.
Serviços publicados pelo Google
Serviços publicados de terceiros
APIs globais do Google
Os endpoints podem segmentar um pacote de APIs globais do Google. Os back-ends podem segmentar uma única API global do Google.
Pacotes de APIs globais do Google
É possível usar endpoints do Private Service Connect para enviar tráfego a um pacote de APIs do Google. Com os back-ends do Private Service Connect, é possível enviar tráfego para uma API individual do Google.
Ao criar um endpoint para acessar APIs e serviços do Google, você escolhe qual pacote de APIs precisa ser acessado: Todas as APIs (all-apis
) ou
VPC-SC (vpc-sc
):
O pacote
all-apis
fornece acesso à maioria das APIs e serviços do Google, incluindo todos os endpoints de serviço*.googleapis.com
.O pacote
vpc-sc
fornece acesso a APIs e serviços compatíveis com o VPC Service Controls.
Os pacotes de API são compatíveis apenas com protocolos baseados em HTTP sobre TCP (HTTP, HTTPS e HTTP/2). Todos os outros protocolos, incluindo MQTT e ICMP, não são compatíveis.
Pacote de API | Serviços compatíveis | Exemplo de uso |
---|---|---|
all-apis |
Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Google Maps, Google Ads, Google Cloud e à maioria das outras APIs do Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google. Não é compatível com sites interativos. Nomes de domínio que correspondem:
|
Escolha
|
vpc-sc
| Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls. Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com APIs do Google Workspace ou aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google. |
Escolha |
vpc-sc
. Embora o VPC Service Controls seja aplicado a serviços compatíveis e configurados, independentemente do pacote usado, o vpc-sc
fornece mitigação de risco adicional para exfiltração de dados. O uso de vpc-sc
nega acesso a APIs e serviços
do Google que não são compatíveis com o VPC Service Controls. Consulte Como configurar a conectividade privada na documentação do VPC Service Controls para mais detalhes.
API única global do Google
É possível usar os back-ends do Private Service Connect para enviar solicitações a uma única API global compatível do Google. Há suporte para as seguintes APIs:
- Bigtable:
bigtable.googleapis.com
ebigtableadmin.googleapis.com
- Cloud Logging:
logging.googleapis.com
- Spanner:
spanner.googleapis.com
- Cloud Storage:
storage.googleapis.com
- Pub/Sub:
pubsub.googleapis.com
APIs locais do Google
Para ver uma lista de APIs de localização do Google compatíveis, consulte Endpoints do serviço de localização.
Tipos
As tabelas a seguir resumem as informações de compatibilidade para diferentes configurações do Private Service Connect.
Nas tabelas abaixo, uma marca de seleção indica que um recurso tem suporte, e o símbolo "sem" indica que um recurso não tem suporte.
Endpoints e serviços publicados
Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos endpoints que acessam serviços publicados.
Configuração do consumidor (endpoint) | Balanceador de carga do produtor | |||
---|---|---|---|---|
Balanceador de carga de rede de passagem interna | Balanceador de carga de aplicativo interno regional | Balanceador de carga de rede de proxy interno regional | Encaminhamento de protocolo interno (instância de destino) | |
Acesso global do consumidor |
Independentemente da configuração de acesso global no balanceador de carga |
Somente se o acesso global estiver ativado no balanceador de carga |
Somente se o acesso global estiver ativado no balanceador de carga |
Independente da configuração de acesso global no balanceador de carga |
Tráfego do Cloud VPN | ||||
Configuração automática de DNS | ||||
Pilha de IP | IPv4 | IPv4 | IPv4 | IPv4 |
Os endpoints que acessam um serviço publicado têm as seguintes limitações:
Não é possível criar um endpoint na mesma rede VPC que o serviço publicado que está acessando.
Os endpoints não podem ser acessados em redes VPC com peering.
O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.
- Nem todas as rotas estáticas com próximos saltos do balanceador de carga são compatíveis com o Private Service Connect. Para mais informações, consulte Rotas estáticas com próximos saltos do balanceador de carga.
Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos serviços publicados que são acessados por endpoints.
Configuração do produtor (serviço publicado) | Balanceador de carga do produtor | |||
---|---|---|---|---|
Balanceador de carga de rede de passagem interna | Balanceador de carga de aplicativo interno regional | Balanceador de carga de rede de proxy interno regional | Encaminhamento de protocolo interno (instância de destino) | |
Back-ends de produtor compatíveis |
|
|
|
Não relevante |
Protocolo de proxy | Somente tráfego TCP | Somente tráfego TCP | ||
Modos de afinidade de sessão | NONE (5 tuplas) CLIENT_IP_PORT_PROTO |
Não relevante | Não relevante | Não relevante |
Os serviços publicados têm as seguintes limitações:
- Os balanceadores de carga do produtor não são compatíveis com os seguintes recursos:
- Várias regras de encaminhamento que usam um endereço IP compartilhado (
SHARED_LOADBALANCER_VIP
) - Subconfiguração de back-ends
- O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.
- Use a Google Cloud CLI ou a API para criar um anexo de serviço que aponte para uma regra de encaminhamento usada no encaminhamento de protocolo interno.
- Os tipos de balanceador de carga a seguir não fornecem valores para as
métricas
BETA
. Os valores são0
ou estão ausentes:- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de rede de proxy interno regional
- Para problemas e soluções alternativas, consulte Problemas conhecidos.
Diferentes balanceadores de carga oferecem suporte a diversas configurações de porta; alguns balanceadores de carga aceitam uma única porta, alguns aceitam uma variedade de portas e alguns aceitam todas as portas. Para mais informações, consulte Especificações de porta.
Back-ends e serviços publicados
Um back-end do Private Service Connect para serviços publicados requer dois balanceadores de carga: um do consumidor e um do produtor. Nesta tabela, descrevemos a compatibilidade entre diferentes tipos de balanceadores de carga de consumidores e produtores, incluindo quais protocolos de serviço de back-end podem ser usados com cada balanceador de carga de consumidor. Cada linha representa um tipo de balanceador de carga do consumidor, e cada coluna representa um tipo de balanceador de carga do produtor.
Nesta tabela, descrevemos a configuração dos balanceadores de carga do produtor que são compatíveis com os back-ends do Private Service Connect para serviços publicados.
Configuração | Balanceador de carga do produtor | ||
---|---|---|---|
Balanceador de carga de rede de passagem interna | Balanceador de carga de aplicativo interno regional | Balanceador de carga de rede de proxy interno regional | |
Back-ends de produtor compatíveis |
|
|
|
Protocolos da regra de encaminhamento |
|
|
|
Portas da regra de encaminhamento | A regra de encaminhamento precisa se referir a uma única porta. | A regra de encaminhamento precisa se referir a uma única porta. | A regra de encaminhamento precisa se referir a uma única porta. |
Protocolo de proxy |
Os serviços publicados têm as seguintes limitações:
- Os balanceadores de carga do produtor não são compatíveis com os seguintes recursos:
- Várias regras de encaminhamento que usam um endereço IP compartilhado (
SHARED_LOADBALANCER_VIP
) - Subconfiguração de back-ends
- O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.
- Use a Google Cloud CLI ou a API para criar um anexo de serviço que aponte para uma regra de encaminhamento usada no encaminhamento de protocolo interno.
- Os tipos de balanceador de carga a seguir não fornecem valores para as
métricas
BETA
. Os valores são0
ou estão ausentes:- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de rede de proxy interno regional
- Para problemas e soluções alternativas, consulte Problemas conhecidos.
Para ver um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo externo global, consulte Acessar serviços publicados por meio de back-ends.
Para publicar um serviço, consulte Publicar serviços.
Endpoints e APIs globais do Google
Esta tabela resume os recursos compatíveis com os endpoints usados para acessar as APIs do Google.
Para criar essa configuração, consulte Acessar APIs do Google por meio de endpoints.
Configuração | Detalhes |
---|---|
Configuração do consumidor (endpoint) | |
Acessibilidade global | Usa um endereço IP global interno |
Interconectar tráfego | |
Tráfego do Cloud VPN | |
Configuração automática de DNS | |
Pilha de IP | IPv4 |
Produtor | |
Serviços compatíveis | APIs globais compatíveis do Google |
Back-ends e APIs globais do Google
Confira nesta tabela quais balanceadores de carga podem usar um back-end do Private Service Connect para uma API global do Google.
Configuração | Detalhes |
---|---|
Configuração do consumidor (back-end do Private Service Connect) | |
Balanceadores de carga de consumidores compatíveis |
Balanceador de carga de aplicativo externo global Observação: o balanceador de carga de aplicativo clássico não é compatível. |
Produtor | |
Serviços compatíveis |
|
Back-ends e APIs locais do Google
Esta tabela descreve quais balanceadores de carga podem usar um back-end do Private Service Connect para acessar APIs locais do Google.
Para ver um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo interno, consulte Acessar APIs locais do Google por meio de back-ends.
Configuração | Detalhes |
---|---|
Configuração do consumidor (back-end do Private Service Connect) | |
Balanceadores de carga de consumidores compatíveis |
|
Produtor | |
Serviços compatíveis | APIs locais do Google compatíveis |
A seguir
- Veja mais sobre como acessar os serviços publicados por endpoints.
- Saiba mais sobre como acessar APIs do Google por endpoints.
- Saiba mais sobre back-ends.
- Saiba mais sobre serviços de publicação.