Private Service Connect の互換性

サービス

Private Service Connect を使用すると、次のサービスにアクセスできます。

Google 公開サービス

Google サービス	提供されるアクセス権
Apigee	Apigee が管理する API をインターネットに公開できます。また、Apigee からバックエンドターゲットサービスにプライベート接続することもできます。
BeyondCorp Enterprise	Identity-Aware Proxy が App Connector Gateway にアクセスできるようにします。
Cloud Data Fusion	Cloud Data Fusion インスタンスを VPC ネットワーク内のリソースに接続できます。
Cloud Composer 2	Cloud Composer テナントプロジェクトにアクセスできます。
Cloud SQL	Cloud SQL データベースにプライベートアクセスできます。
Cloud Workstations	限定公開のワークステーションクラスタにアクセスできます。
Database Migration Service	Google Cloud にデータを移行できます。
Dataproc Metastore	Dataproc Metastore サービスにアクセスできます。
Eventarc	Eventarc からイベントを受信できます。
Google Kubernetes Engine（GKE）の一般公開クラスタと限定公開クラスタ	一般公開クラスタまたは限定公開クラスタのノードとコントロールプレーンをプライベート接続できます。
Integration Connectors	Integration Connectors がマネージドサービスに非公開でアクセスできるようにします。
Memorystore for Redis Cluster	Memorystore for Redis Cluster インスタンスにアクセスできます。
ベクトル検索	ベクトル検索エンドポイントへのプライベートアクセスを提供します。

サードパーティの公開サービス

サードパーティのサービス	提供されるアクセス権
Aiven	Aiven Kafka クラスタへのプライベートアクセスを提供します。
Citrix DaaS	Citrix DaaS へのプライベートアクセスを提供します。
ClickHouse	ClickHouse サービスへのプライベートアクセスを提供します。
Confluent Cloud	Confluent Cloud クラスタへのプライベートアクセスを提供します。
Databricks	Databricks クラスタへのプライベートアクセスを提供します。
Datadog	Datadog の intake サービスへのプライベートアクセスを提供します。
Datastax Astra	Datastax Astra DB データベースへのプライベートアクセスを提供します。
Elasticsearch	Elastic Cloud へのプライベートアクセスを提供します。
JFrog	JFrog SaaS インスタンスへのプライベートアクセスを提供します。
MongoDB Atlas	MongoDB Atlas へのプライベートアクセスを提供します。
Neo4j Aura	Neo4j Aura へのプライベートアクセスを提供します。
Pega Cloud	Pega Cloud へのプライベートアクセスを提供します。
Redis Enterprise Cloud	Redis Enterprise クラスタへのプライベートアクセスを提供します。
Snowflake	Snowflake へのプライベートアクセスを提供します。
Striim	Striim Cloud へのプライベートアクセスを提供します。

グローバル Google API

エンドポイントは、グローバル Google API のバンドルをターゲットにできます。バックエンドは、単一のグローバル Google API をターゲットにできます。

グローバル Google API のバンドル

Private Service Connect エンドポイントを使用して、Google API のバンドルにトラフィックを送信できます。Private Service Connect バックエンドを使用すると、個々の Google API にトラフィックを送信できます。

Google API とサービスにアクセスするエンドポイントを作成するときに、すべての API（all-apis）または VPC-SC（vpc-sc）にアクセスするために必要な API のバンドルを選択します。

all-apis バンドルを使用すると、すべての *.googleapis.com サービスエンドポイントを含む、ほとんどの Google API とサービスにアクセスできます。
vpc-sc バンドルを使用すると、VPC Service Controls をサポートする API とサービスにアクセスできます。

注: これらのバンドルは、限定公開の Google アクセス VIP 経由で利用可能な API にアクセスできます。all-apis は private.googleapis.com と同等で、vpc-sc は restricted.googleapis.com と同等です。

API バンドルは、TCP 上の HTTP ベースのプロトコル（HTTP、HTTPS、HTTP/2）のみをサポートしています。MQTT や ICMP などの他のプロトコルはサポートされていません。

API バンドルサポート対象のサービス使用例

API バンドル	サポート対象のサービス	使用例
`all-apis`	VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、Google Cloud、さらに以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。一致するドメイン名: `accounts.google.com`（OAuth 認証に必要なパスのみ） `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` または `.gcr.io` `.googleapis.com` `.gstatic.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` または `.pkg.dev` `pki.goog` または `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	次の状況では `all-apis` を選択します。 VPC Service Controls を使用しない。 VPC Service Controls を使用するものの、VPC Service Controls でサポートされていない Google API とサービスにもアクセスする必要がある¹。
`vpc-sc`	VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。 VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。	VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ `vpc-sc` を選択します。`vpc-sc` バンドルは VPC Service Controls をサポートしていない Google API とサービスへのアクセスを許可しません¹。

all-apis

VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、Google Cloud、さらに以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。

一致するドメイン名:

accounts.google.com（OAuth 認証に必要なパスのみ）
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io または *.gcr.io
*.googleapis.com
*.gstatic.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev または *.pkg.dev
pki.goog または *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

次の状況では all-apis を選択します。

VPC Service Controls を使用しない。
VPC Service Controls を使用するものの、VPC Service Controls でサポートされていない Google API とサービスにもアクセスする必要がある¹。

vpc-sc

VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。

VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブアプリケーションはサポートされていません。

VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ vpc-sc を選択します。vpc-sc バンドルは VPC Service Controls をサポートしていない Google API とサービスへのアクセスを許可しません¹。

¹ ユーザーがアクセスできる対象を、VPC Service Controls をサポートする Google API とサービスのみに制限する必要がある場合は、vpc-sc を使用します。VPC Service Controls は、使用するバンドルに関係なく互換性のある構成済みのサービスに適用されますが、vpc-sc を使用するとデータの引き出しに関するリスクをさらに軽減できます。vpc-sc を使用すると、VPC Service Controls でサポートされていない Google API とサービスへのアクセスを拒否できます。詳細については、VPC Service Controls に関するドキュメントのプライベート接続の設定をご覧ください。

単一のグローバル Google API

Private Service Connect バックエンドを使用して、サポートされている単一のグローバル Google API にリクエストを送信できます。次の API がサポートされています。

Bigtable: bigtable.googleapis.com、bigtableadmin.googleapis.com
Cloud Logging: logging.googleapis.com
Spanner: spanner.googleapis.com
Cloud Storage: storage.googleapis.com
Pub/Sub: pubsub.googleapis.com

ロケーション Google API

サポートされているロケーション Google API のリストについては、ロケーションサービスエンドポイントをご覧ください。

タイプ

次の表は、Private Service Connect の各構成の互換性情報をまとめたものです。

次の表で、は機能がサポートされていることを示し、は機能がサポートされていないことを示します。

エンドポイントと公開サービス

次の表は、公開サービスにアクセスするエンドポイントでサポートされる構成オプションと機能をまとめたものです。

コンシューマーの構成（エンドポイント）	プロデューサーロードバランサ
コンシューマーの構成（エンドポイント）	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ	内部プロトコル転送（ターゲットインスタンス）
コンシューマーのグローバルアクセス	ロードバランサのグローバルアクセス設定に依存しない	ロードバランサでグローバルアクセスが有効になっている場合のみ	ロードバランサでグローバルアクセスが有効になっている場合のみ	ロードバランサのグローバルアクセス設定に依存しない
相互接続のトラフィック
Cloud VPN のトラフィック
DNS の自動構成
IP スタック	IPv4	IPv4	IPv4	IPv4

公開サービスにアクセスするエンドポイントには、次の制限があります。

アクセスしている公開サービスと同じ VPC ネットワークにエンドポイントを作成することはできません。
エンドポイントは、ピアリングされた VPC ネットワークからアクセスできません。
Packet Mirroring では、Private Service Connect の公開サービストラフィックのパケットはミラーリングできません。
ロードバランサのネクストホップを使用するすべての静的ルートが Private Service Connect でサポートされているわけではありません。詳細については、ロードバランサのネクストホップを使用する静的ルートをご覧ください。

この表は、エンドポイントがアクセスする公開サービスでサポートされる構成オプションと機能をまとめたものです。

プロデューサーの構成（公開サービス）	プロデューサーロードバランサ
プロデューサーの構成（公開サービス）	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ	内部プロトコル転送（ターゲットインスタンス）
サポートされるプロデューサーバックエンド	GCE_VM_IP NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	該当なし
PROXY プロトコル	TCP トラフィックのみ			TCP トラフィックのみ
セッションアフィニティモード	なし（5 タプル） CLIENT_IP_PORT_PROTO	該当なし	該当なし	該当なし

公開サービスには次の制限があります。

プロデューサーロードバランサは、次の機能をサポートしていません。

共有 IP アドレスを使用する複数の転送ルール（SHARED_LOADBALANCER_VIP）
バックエンドのサブセット化

Packet Mirroring では、Private Service Connect の公開サービストラフィックのパケットはミラーリングできません。
Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービスアタッチメントを作成する必要があります。
次のロードバランサタイプでは、BETA指標の値が提供されません。値が 0 になっているか、値がありません。
- リージョン内部アプリケーションロードバランサ
- リージョン内部プロキシネットワークロードバランサ
問題と回避策については、既知の問題をご覧ください。

サポートされるポート構成は、ロードバランサによって異なります。ロードバランサには、単一のポートをサポートするものと、ポートの範囲をサポートするものと、すべてのポートをサポートするものがあります。詳細については、ポートの仕様をご覧ください。

バックエンドと公開サービス

公開サービス用の Private Service Connect バックエンドには、コンシューマーロードバランサとプロデューサーロードバランサという 2 つのロードバランサが必要です。次の表に、コンシューマーロードバランサとプロデューサーロードバランサの互換性を示します。また、各コンシューマーロードバランサで使用できるバックエンドサービスプロトコルについても説明します。各行はコンシューマーロードバランサのタイプを表し、各列はプロデューサーロードバランサのタイプを表します。

コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	プロデューサーロードバランサ
コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ
グローバル外部アプリケーションロードバランサ（複数のリージョンをサポート）プロトコル: HTTPS、HTTP2 注: 従来のアプリケーションロードバランサはサポートされていません。
リージョン外部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
リージョン内部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
クロスリージョン内部アプリケーションロードバランサ（プレビュー）プロトコル: HTTPS、HTTP2
リージョン内部プロキシネットワークロードバランサプロトコル: TCP
クロスリージョン内部プロキシネットワークロードバランサプロトコル: TCP
リージョン外部プロキシネットワークロードバランサプロトコル: TCP
グローバル外部プロキシネットワークロードバランサ（プレビュー）プロトコル: TCP / SSL 注: 従来のプロキシネットワークロードバランサはサポートされていません。

次の表に、公開サービスの Private Service Connect バックエンドでサポートされるプロデューサーロードバランサの構成を示します。

構成	プロデューサーロードバランサ
構成	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ
サポートされるプロデューサーバックエンド	GCE_VM_IP NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ
転送ルールプロトコル	TCP	HTTP HTTPS HTTP/2	TCP
転送ルールのポート	転送ルールは 1 つのポートを参照する必要があります。	転送ルールは 1 つのポートを参照する必要があります。	転送ルールは 1 つのポートを参照する必要があります。
PROXY プロトコル

公開サービスには次の制限があります。

プロデューサーロードバランサは、次の機能をサポートしていません。

共有 IP アドレスを使用する複数の転送ルール（SHARED_LOADBALANCER_VIP）
バックエンドのサブセット化

Packet Mirroring では、Private Service Connect の公開サービストラフィックのパケットはミラーリングできません。
Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービスアタッチメントを作成する必要があります。
次のロードバランサタイプでは、BETA指標の値が提供されません。値が 0 になっているか、値がありません。
- リージョン内部アプリケーションロードバランサ
- リージョン内部プロキシネットワークロードバランサ
問題と回避策については、既知の問題をご覧ください。

グローバル外部アプリケーションロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。

サービスを公開するには、サービスを公開するをご覧ください。

エンドポイントとグローバル Google API

次の表は、Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。

この構成を作成するには、エンドポイントを介して Google API にアクセスするをご覧ください。

構成	詳細
コンシューマの構成（エンドポイント）
グローバルなネットワーク到達性	内部グローバル IP アドレスを使用
相互接続のトラフィック
Cloud VPN のトラフィック
DNS の自動構成
IP スタック	IPv4
プロデューサー
サポート対象のサービス	サポートされているグローバル Google API

バックエンドとグローバル Google API

次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。

構成	詳細
コンシューマの構成（Private Service Connect バックエンド）
サポートされているコンシューマーロードバランサ	グローバル外部アプリケーションロードバランサ注: 従来のアプリケーションロードバランサはサポートされていません。
プロデューサー
サポート対象のサービス	Bigtable: `bigtable.googleapis.com`、`bigtableadmin.googleapis.com` Cloud Logging: `logging.googleapis.com` Spanner: `spanner.googleapis.com` Cloud Storage: `storage.googleapis.com` Pub/Sub: `pubsub.googleapis.com`

バックエンドとロケーション Google API

次の表では、Private Service Connect バックエンドを使用してロケーション Google API にアクセスできるロードバランサについて説明します。

内部アプリケーションロードバランサを使用するバックエンド構成例については、バックエンド経由でロケーション Google API にアクセスするをご覧ください。

構成	詳細
コンシューマの構成（Private Service Connect バックエンド）
サポートされているコンシューマーロードバランサ	内部アプリケーションロードバランサプロトコル: HTTPS リージョン外部アプリケーションロードバランサプロトコル: HTTPS
プロデューサー
サポート対象のサービス	サポートされているロケーション Google API

次のステップ

エンドポイントを介した公開サービスへのアクセスについて確認する。
エンドポイントを介した Google API へのアクセスについて確認する。
バックエンドについて確認する。
公開サービスについて確認する。

コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	プロデューサーロードバランサ
コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ
グローバル外部アプリケーションロードバランサ（複数のリージョンをサポート）プロトコル: HTTPS、HTTP2 注: 従来のアプリケーションロードバランサはサポートされていません。
リージョン外部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
リージョン内部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
クロスリージョン内部アプリケーションロードバランサ（プレビュー）プロトコル: HTTPS、HTTP2
リージョン内部プロキシネットワークロードバランサプロトコル: TCP
クロスリージョン内部プロキシネットワークロードバランサプロトコル: TCP
リージョン外部プロキシネットワークロードバランサプロトコル: TCP
グローバル外部プロキシネットワークロードバランサ（プレビュー）プロトコル: TCP / SSL 注: 従来のプロキシネットワークロードバランサはサポートされていません。