Compatibilidad con Private Service Connect

Servicios

Puedes acceder a los siguientes servicios mediante Private Service Connect.

Servicios publicados por Google

Google service (Servicio de Google) Acceso proporcionado
AlloyDB para PostgreSQL Te permite conectarte a instancias de AlloyDB para PostgreSQL.
Apigee Te permite exponer las APIs administradas por Apigee a Internet. También te permite conectarte de forma privada desde Apigee a servicios de destino de backend.
BeyondCorp Enterprise Permite que Identity-Aware Proxy acceda a la puerta de enlace del conector de apps.
Cloud Data Fusion Te permite conectar instancias de Cloud Data Fusion a recursos en redes de VPC.
Cloud Composer 2 Te permite acceder al proyecto de usuario de Cloud Composer.
Cloud SQL Te permite acceder a tu base de datos de Cloud SQL.
Cloud Workstations Te permite acceder a clústeres de estaciones de trabajo privados.
Database Migration Service Te permite migrar tus datos a Google Cloud.
Dataproc Metastore Te permite acceder a los servicios de Dataproc Metastore.
Eventarc Te permite recibir eventos de Eventarc.
Clústeres públicos y privados de Google Kubernetes Engine (GKE) Te permite conectar de forma privada los nodos y el plano de control de un clúster público o privado.
Conectores de Integration Permite que Integration Connectors acceda a tus servicios administrados de forma privada.
Memorystore for Redis Cluster Te permite acceder a instancias de Memorystore for Redis Cluster.
Vector Search de Vertex AI Proporciona acceso privado a los extremos de Vector Search.

Servicios publicados por terceros

Servicio de terceros Acceso proporcionado
Aiven Proporciona acceso privado a los clústeres de Aiven Kafka.
Citrix DaaS Proporciona acceso privado a Citrix DaaS.
ClickHouse Proporciona acceso privado a los servicios de ClickHouse.
Confluent Cloud Proporciona acceso privado a Confluent Cloud Clusters.
Databricks Proporciona acceso privado a los clústeres de Databricks.
Datadog Proporciona acceso privado a los servicios de entrada de Datadog.
Datastax Astra Proporciona acceso privado a las bases de datos de Datastax Astra DB.
Elasticsearch Proporciona acceso privado a Elastic Cloud.
JFrog Proporciona acceso privado a instancias de SaaS de JFrog.
MongoDB Atlas Proporciona acceso privado a MongoDB Atlas.
Neo4j Aura Proporciona acceso privado a Neo4j Aura.
Pega Cloud Proporciona acceso privado a Pega Cloud.
Redis Enterprise Cloud Proporciona acceso privado a clústeres de Redis Enterprise.
Snowflake Proporciona acceso privado a Snowflake.
Striim Proporciona acceso privado a Striim Cloud.

APIs de Google globales

Los endpoints pueden apuntar a un conjunto de APIs de Google globales. Los backends pueden orientarse a una sola API de Google global.

Paquetes de APIs de Google globales

Puedes usar extremos de Private Service Connect para enviar tráfico a un paquete de APIs de Google. Con los backends de Private Service Connect, puedes enviar tráfico a una API de Google individual.

Cuando creas un extremo para acceder a las APIs y los servicios de Google, debes elegir a qué paquete de APIs necesitas acceder: Todas las APIs (all-apis) o VPC-SC (vpc-sc):

Los paquetes de API solo admiten protocolos basados en HTTP mediante TCP (HTTP, HTTPS y HTTP/2) No se admiten todos los demás protocolos, incluidos ICMP y MQTT.

Paquete de API Servicios compatibles Ejemplo de uso
all-apis

Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo.

Nombres de dominio que coinciden:

  • accounts.google.com (solo las rutas de acceso necesarias para la autenticación OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Elige all-apis en estas circunstancias:

  • Si no usas los Controles del servicio de VPC.
  • Debes usar los Controles del servicio de VPC, pero también debes acceder a los servicios y las API de Google que no son compatibles con estos controles. 1

vpc-sc

Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google.

Elige vpc-sc cuando solo necesites acceso a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. El paquete de vpc-sc no permite el acceso a los servicios ni las APIs de Google que no son compatibles con los Controles del servicio de VPC.1

1 Si necesitas restringir los usuarios solo a los servicios y las API de Google que admiten los Controles del servicio de VPC, usa vpc-sc. Aunque los Controles del servicio de VPC se aplican a los servicios compatibles y configurados, sin importar el paquete que uses, vpc-sc ofrece una mitigación adicional de riesgos para el robo de datos. Usar vpc-sc rechaza el acceso a los servicios y a las API de Google que no son compatibles con los Controles del servicio de VPC. Consulta Configura una conectividad privada en la documentación de los Controles del servicio de VPC para obtener más información.

API de Google global única

Puedes usar los backends de Private Service Connect para enviar solicitudes a una API de Google global única compatible. Se admiten las siguientes APIs:

APIs de Google de ubicación

Para obtener una lista de las APIs de Google de ubicación compatibles, consulta Extremos de servicios locales.

Tipos

En las siguientes tablas, se resume la información de compatibilidad para diferentes configuraciones de Private Service Connect.

En las siguientes tablas, una marca de verificación indica que una función es compatible, y un símbolo no indica que la función no es compatible.

Extremos y servicios publicados

En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.

Configuración del consumidor (extremo) Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional Reenvío de protocolo interno (instancia de destino)
Acceso global al consumidor

Independientemente de la configuración de acceso global en el balanceador de cargas

Solo si el acceso global está habilitado en el balanceador de cargas

Solo si el acceso global está habilitado en el balanceador de cargas

Independientemente de la configuración de acceso global en el balanceador de cargas

Tráfico interconectado

Tráfico de Cloud VPN
Configuración de DNS automática Solo IPv4 Solo IPv4 Solo IPv4 Solo IPv4
Extremos IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
Extremos de IPv6 (vista previa)

Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:

En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.

Configuración del productor (servicio publicado) Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional Reenvío de protocolo interno (instancia de destino)
Backends de productores compatibles
  • NEG de GCE_VM_IP
  • Grupos de instancias
  • NEG de GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
  • NEG de GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
No aplicable
Protocolo PROXY Solo el tráfico de TCP Solo el tráfico de TCP
Modos de afinidad de sesión NINGUNO (5 tuplas)
CLIENT_IP_PORT_PROTO
No aplicable No aplicable No aplicable
Versión de IP
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6 (vista previa)
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6 (vista previa)

Los servicios publicados tienen las siguientes limitaciones:

  • Los balanceadores de cargas de productores no admiten las siguientes funciones:
  • Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
  • Debes usar Google Cloud CLI o la API a fin de crear un adjunto de servicio que apunte a una regla de reenvío que se usa para el reenvío de protocolos internos.
  • Los siguientes tipos de balanceadores de cargas no proporcionan valores para las métricas BETA; los valores son 0 o faltan:
    • Balanceador de cargas de aplicaciones interno regional
    • Balanceador de cargas de red del proxy interno regional

Para obtener información sobre problemas y soluciones alternativas, consulta Problemas conocidos.

Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.

Backends y servicios publicados

Un backend de Private Service Connect para servicios publicados requiere dos balanceadores de cargas: un balanceador de cargas del consumidor y un balanceador de cargas del productor. En esta tabla, se describe la compatibilidad entre los diferentes tipos de balanceadores de cargas de consumidores y productores, incluidos los protocolos de servicios de backend que se pueden usar con cada balanceador de cargas de consumidores. Cada fila representa un tipo de balanceador de cargas del consumidor, y cada columna representa un tipo de balanceador de cargas del productor.

Balanceador de cargas de consumidores y protocolos de servicio de backend para consumidores compatibles Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional

Balanceador de cargas de aplicaciones externo global (admite varias regiones)

Protocolos: HTTPS, HTTP2

Versión de IP: IPv4

Nota: No se admite el balanceador de cargas de aplicaciones clásico.

Balanceador de cargas de aplicaciones externo regional

Protocolos: HTTP, HTTPS, HTTP2

Versión de IP: IPv4

Balanceador de cargas de aplicaciones interno regional

Protocolos: HTTP, HTTPS, HTTP2

Versión de IP: IPv4

Balanceador de cargas de aplicaciones interno entre regiones (vista previa)

Protocolos: HTTPS, HTTP2

Versión de IP: IPv4

Balanceador de cargas de red del proxy interno regional

Protocolo: TCP

Versión de IP: IPv4

Balanceador de cargas de red del proxy interno entre regiones

Protocolo: TCP

Versión de IP: IPv4

Balanceador de cargas de red del proxy externo regional

Protocolo: TCP

Versión de IP: IPv4

Balanceador de cargas de red del proxy externo global (vista previa)

Protocolo: TCP/SSL

Versión de IP: IPv4

Nota: No se admite el balanceador de cargas de red del proxy clásico.

En esta tabla, se describe la configuración de los balanceadores de cargas del productor que son compatibles con los backends de Private Service Connect para servicios publicados.

Configuración Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional
Backends de productores compatibles
  • NEG de GCE_VM_IP
  • Grupos de instancias
  • NEG de GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
  • NEG de GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
Protocolos de reglas de reenvío
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Puertos de regla de reenvío La regla de reenvío debe hacer referencia a un solo puerto. La regla de reenvío debe hacer referencia a un solo puerto. La regla de reenvío debe hacer referencia a un solo puerto.
Protocolo PROXY
Versión de IP IPv4 IPv4 IPv4

Los servicios publicados tienen las siguientes limitaciones:

  • Los balanceadores de cargas de productores no admiten las siguientes funciones:
  • Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
  • Debes usar Google Cloud CLI o la API a fin de crear un adjunto de servicio que apunte a una regla de reenvío que se usa para el reenvío de protocolos internos.
  • Los siguientes tipos de balanceadores de cargas no proporcionan valores para las métricas BETA; los valores son 0 o faltan:
    • Balanceador de cargas de aplicaciones interno regional
    • Balanceador de cargas de red del proxy interno regional

Para obtener información sobre problemas y soluciones alternativas, consulta Problemas conocidos.

Para ver una configuración de backend de ejemplo que usa un balanceador de cargas de aplicaciones externo global, consulta Accede a los servicios publicados a través de backends.

Para publicar un servicio, consulta Publica servicios.

Extremos y API de Google globales

En esta tabla, se resumen las características que admiten los extremos que se usan para acceder a las APIs de Google.

Para crear esta configuración, consulta Accede a las APIs de Google a través de extremos.

Configuración Detalles
Configuración del consumidor (extremo)
Accesibilidad global Usa una dirección IP global interna
Tráfico interconectado
Tráfico de Cloud VPN
Configuración de DNS automática
Versión de IP IPv4
Productor
Servicios compatibles APIs globales de Google compatibles

Backends y API de Google globales

En esta tabla, se describe qué balanceadores de cargas pueden usar un backend de Private Service Connect en una API de Google global.

Configuración Detalles
Configuración del consumidor (backend de Private Service Connect)
Balanceadores de cargas de consumidores compatibles

Balanceador de cargas de aplicaciones externo global

Nota: No se admite el balanceador de cargas de aplicaciones clásico.

Versión de IP IPv4
Productor
Servicios compatibles

Backends y APIs de Google de ubicación

En esta tabla, se describe qué balanceadores de cargas pueden usar un backend de Private Service Connect para acceder a APIs de Google de ubicación.

Para ver un ejemplo de configuración de backend que usa un balanceador de cargas de aplicaciones interno, consulta Accede a las APIs de Google de ubicación a través de backends.

Configuración Detalles
Configuración del consumidor (backend de Private Service Connect)
Balanceadores de cargas de consumidores compatibles
  • Balanceador de cargas de aplicaciones interno

    Protocolos: HTTPS

  • Balanceador de cargas de aplicaciones externo regional

    Protocolos: HTTPS

Versión de IP IPv4
Productor
Servicios compatibles APIs de Google de ubicación compatibles

¿Qué sigue?