Compatibilidad con Private Service Connect

Servicios

Puedes acceder a los siguientes servicios mediante Private Service Connect.

Servicios publicados por Google

Servicio de Google	Acceso proporcionado
AlloyDB para PostgreSQL	Te permite conectarte a instancias de AlloyDB para PostgreSQL.
Apigee	Te permite exponer las APIs administradas por Apigee a Internet. También te permite conectarte de forma privada desde Apigee a servicios de destino de backend.
Chrome Enterprise Premium	Permite que Identity-Aware Proxy acceda a la puerta de enlace del conector de apps.
Cloud Data Fusion	Te permite conectar instancias de Cloud Data Fusion a recursos en redes de VPC.
Cloud Composer 2	Te permite acceder al proyecto de usuario de Cloud Composer.
Cloud SQL	Te permite acceder a tu base de datos de Cloud SQL.
Cloud Workstations	Te permite acceder a clústeres de estaciones de trabajo privados.
Database Migration Service	Te permite migrar tus datos a Google Cloud.
Dataproc Metastore	Te permite acceder a los servicios de Dataproc Metastore.
Eventarc	Te permite recibir eventos de Eventarc.
Clústeres públicos y privados de Google Kubernetes Engine (GKE)	Te permite conectar de forma privada los nodos y el plano de control de un clúster público o privado.
Conectores de Integration	Permite que Integration Connectors acceda a tus servicios administrados de forma privada.
Memorystore for Redis Cluster	Te permite acceder a instancias de Memorystore for Redis Cluster.
Vector Search de Vertex AI	Proporciona acceso privado a los extremos de Vector Search.
Predicciones de Vertex AI	Proporciona acceso privado a la predicción en línea de Vertex AI.

Servicios publicados por terceros

Servicio de terceros	Acceso proporcionado
Aiven	Proporciona acceso privado a los clústeres de Aiven Kafka.
Citrix DaaS	Proporciona acceso privado a Citrix DaaS.
ClickHouse	Proporciona acceso privado a los servicios de ClickHouse.
Confluent Cloud	Proporciona acceso privado a Confluent Cloud Clusters.
Databricks	Proporciona acceso privado a los clústeres de Databricks.
Datadog	Proporciona acceso privado a los servicios de entrada de Datadog.
Datastax Astra	Proporciona acceso privado a las bases de datos de Datastax Astra DB.
Elasticsearch	Proporciona acceso privado a Elastic Cloud.
JFrog	Proporciona acceso privado a las instancias de SaaS de JFrog.
MongoDB Atlas	Proporciona acceso privado a MongoDB Atlas.
Neo4j Aura	Proporciona acceso privado a Neo4j Aura.
Pega Cloud	Proporciona acceso privado a Pega Cloud.
Redis Enterprise Cloud	Proporciona acceso privado a clústeres de Redis Enterprise.
Redpanda	Proporciona acceso privado a Redpanda Cloud.
Snowflake	Proporciona acceso privado a Snowflake.
Striim	Proporciona acceso privado a Striim Cloud.

APIs de Google globales

Los endpoints pueden apuntar a un conjunto de APIs de Google globales o a una sola API de Google regional. Los backends pueden orientarse a una sola API de Google global o a una sola API de Google regional.

Paquetes de APIs de Google globales

Puedes usar extremos de Private Service Connect para enviar tráfico a un paquete de APIs de Google.

Cuando creas un extremo para acceder a las APIs y los servicios de Google, debes elegir a qué paquete de APIs necesitas acceder: Todas las APIs (all-apis) o VPC-SC (vpc-sc):

El paquete all-apis proporciona acceso a la mayoría de los servicios y las APIs de Google, incluidos todos los extremos del servicio *.googleapis.com.
El paquete vpc-sc proporciona acceso a las APIs y los servicios compatibles con los Controles del servicio de VPC.

Nota: Estos paquetes proporcionan acceso a las mismas APIs que están disponibles a través de los VIP del Acceso privado a Google: all-apis equivale a private.googleapis.com y vpc-sc es equivalente a restricted.googleapis.com.

Los paquetes de API solo admiten protocolos basados en HTTP mediante TCP (HTTP, HTTPS y HTTP/2) No se admiten todos los demás protocolos, incluidos ICMP y MQTT.

Paquete de API Servicios compatibles Ejemplo de uso

Paquete de API	Servicios compatibles	Ejemplo de uso
`all-apis`	Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo. Nombres de dominio que coinciden: `accounts.google.com` (solo las rutas de acceso necesarias para la autenticación OAuth) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` o `.gcr.io` `.googleapis.com` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` o `.pkg.dev`. `pki.goog` o `.pki.goog` `*.run.app` `source.developers.google.com` `storage.cloud.google.com`	Elige `all-apis` en estas circunstancias: Si no usas los Controles del servicio de VPC. Debes usar los Controles del servicio de VPC, pero también debes acceder a los servicios y las API de Google que no son compatibles con estos controles. ¹
`vpc-sc`	Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google.	Elige `vpc-sc` cuando solo necesites acceso a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. El paquete de `vpc-sc` no permite el acceso a los servicios ni las APIs de Google que no son compatibles con los Controles del servicio de VPC.¹

all-apis

Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo.

Nombres de dominio que coinciden:

accounts.google.com (solo las rutas de acceso necesarias para la autenticación OAuth)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io o *.gcr.io
*.googleapis.com
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev o *.pkg.dev.
pki.goog o *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Elige all-apis en estas circunstancias:

Si no usas los Controles del servicio de VPC.
Debes usar los Controles del servicio de VPC, pero también debes acceder a los servicios y las API de Google que no son compatibles con estos controles. ¹

vpc-sc

Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google.

Elige vpc-sc cuando solo necesites acceso a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. El paquete de vpc-sc no permite el acceso a los servicios ni las APIs de Google que no son compatibles con los Controles del servicio de VPC.¹

^1. Si necesitas restringir los usuarios solo a los servicios y las APIs de Google compatibles con los Controles del servicio de VPC, usa vpc-sc, ya que proporciona una mitigación de riesgos adicional para el robo de datos. Usar vpc-sc rechaza el acceso a los servicios y a las APIs de Google que no son compatibles con los Controles del servicio de VPC. Consulta Configura una conectividad privada en la documentación de los Controles del servicio de VPC para obtener más información.

API de Google global única

Puedes usar los backends de Private Service Connect para enviar solicitudes a una API de Google global única compatible. Se admiten las siguientes APIs:

Bigtable: bigtable.googleapis.com y bigtableadmin.googleapis.com
Cloud Logging: logging.googleapis.com
Spanner: spanner.googleapis.com
Cloud Storage: storage.googleapis.com
Pub/Sub: pubsub.googleapis.com

APIs regionales de Google

Puedes usar extremos o backends para acceder a las APIs regionales de Google. Para obtener una lista de las APIs regionales de Google compatibles, consulta Extremos de servicios regionales.

Tipos

En las siguientes tablas, se resume la información de compatibilidad para diferentes configuraciones de Private Service Connect.

En las siguientes tablas, una marca de verificación indica que una función es compatible y un símbolo "no" indica que una función no es compatible.

Extremos y servicios publicados

En esta sección, se resumen las opciones de configuración que están disponibles para consumidores y productores cuando usan extremos para acceder a servicios de publicación.

Configuración del consumidor

En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.

Configuración del consumidor (extremo)	Balanceador de cargas del productor
Configuración del consumidor (extremo)	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional	Reenvío de protocolo interno (instancia de destino)
Acceso global al consumidor	Independientemente de la configuración de acceso global en el balanceador de cargas	Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio	Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio	Independientemente de la configuración de acceso global en el balanceador de cargas
Tráfico interconectado
Tráfico de Cloud VPN
Configuración de DNS automática	Solo IPv4	Solo IPv4	Solo IPv4	Solo IPv4
Propagación de conexiones	Solo IPv4	Solo IPv4	Solo IPv4	Solo IPv4
Extremos IPv4	Reglas de reenvío del productor IPv4	Reglas de reenvío del productor IPv4	Reglas de reenvío del productor IPv4	Reglas de reenvío del productor IPv4
Extremos IPv6	Reglas de reenvío del productor IPv4 Reglas de reenvío del productor IPv6	Reglas de reenvío del productor IPv4	Reglas de reenvío del productor IPv4	Reglas de reenvío del productor IPv4 Reglas de reenvío del productor IPv6

Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:

No puedes crear un extremo en la misma red de VPC que el servicio publicado al que accedes.
No se puede acceder a los extremos desde redes de VPC con intercambio de tráfico.
Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
No todas las rutas estáticas con siguientes saltos del balanceador de cargas son compatibles con Private Service Connect. Para obtener más información, consulta Rutas estáticas con siguientes saltos del balanceador de cargas.
Las pruebas de conectividad no pueden probar la conectividad entre un extremo IPv6 y un servicio publicado.

Configuración del productor

En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.

Configuración del productor (servicio publicado)	Balanceador de cargas del productor
Configuración del productor (servicio publicado)	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional	Reenvío de protocolo interno (instancia de destino)
Backends de productores compatibles: Grupos de extremos de red (NEG) Grupos de instancias	NEG zonales de GCE_VM_IP Grupos de instancias NEGs de asignación de puertos	NEG zonales GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	NEG zonales GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	No aplicable
Protocolo PROXY	Solo el tráfico de TCP			Solo el tráfico de TCP
Modos de afinidad de sesión	NINGUNO (5 tuplas) CLIENT_IP_PORT_PROTO	No aplicable	No aplicable	No aplicable
Versión de IP	Reglas de reenvío del productor IPv4 Reglas de reenvío del productor IPv6	Reglas de reenvío del productor IPv4	Reglas de reenvío del productor IPv4	Reglas de reenvío del productor IPv4 Reglas de reenvío del productor IPv6

Los servicios publicados tienen las siguientes limitaciones:

Los balanceadores de cargas de productores no admiten las siguientes funciones:

Varias reglas de reenvío que usan una dirección IP compartida (SHARED_LOADBALANCER_VIP)
Subconjuntos de backend

Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
Debes usar Google Cloud CLI o la API a fin de crear un adjunto de servicio que apunte a una regla de reenvío que se usa para el reenvío de protocolos internos.

Para obtener información sobre problemas y soluciones alternativas, consulta Problemas conocidos.

Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.

Backends y servicios publicados

Un backend de Private Service Connect para servicios publicados requiere dos balanceadores de cargas: un balanceador de cargas del consumidor y un balanceador de cargas del productor. En esta sección, se resumen las opciones de configuración que están disponibles para consumidores y productores cuando usan backends para acceder a servicios de publicación.

Configuración del consumidor

En esta tabla, se describen los balanceadores de cargas de consumidores que son compatibles con los backends de Private Service Connect para servicios publicados, incluidos los protocolos de servicios de backend que se pueden usar con cada balanceador de cargas de consumidores. Los balanceadores de cargas de consumidores pueden acceder a los servicios publicados que se alojan en balanceadores de cargas de productores compatibles.

Balanceador de cargas del consumidor	Protocolos	Versión de IP
Balanceador de cargas de aplicaciones externo global (admite varias regiones) Nota: No se admite el balanceador de cargas de aplicaciones clásico.	HTTP HTTPS HTTP2	IPv4
Balanceador de cargas de aplicaciones externo regional	HTTP HTTPS HTTP2	IPv4
Balanceador de cargas de aplicaciones interno regional	HTTP HTTPS HTTP2	IPv4
Balanceador de cargas de aplicaciones interno entre regiones	HTTP HTTPS HTTP2	IPv4
Balanceador de cargas de red del proxy interno regional	TCP	IPv4
Balanceador de cargas de red del proxy interno entre regiones	TCP	IPv4
Balanceador de cargas de red del proxy externo regional	TCP	IPv4
Balanceador de cargas de red del proxy externo global Para asociar este balanceador de cargas con un NEG de Private Service Connect, usa Google Cloud CLI o envía una solicitud a la API. Nota: No se admite el balanceador de cargas de red del proxy clásico.	TCP/SSL	IPv4

Configuración del productor

En esta tabla, se describe la configuración de los balanceadores de cargas del productor que son compatibles con los backends de Private Service Connect para servicios publicados.

Configuración	Balanceador de cargas del productor
Configuración	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional
Backends de productores compatibles	NEG zonales de GCE_VM_IP Grupos de instancias	NEG zonales GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	NEG zonales GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias
Protocolos de reglas de reenvío	TCP	HTTP HTTPS HTTP/2	TCP
Puertos de regla de reenvío	Se recomienda usar un solo puerto, consulta Configuración de puertos del productor	Admite un solo puerto	Admite un solo puerto
Protocolo PROXY
Versión de IP	IPv4	IPv4	IPv4

Los servicios publicados tienen las siguientes limitaciones:

Los balanceadores de cargas de productores no admiten las siguientes funciones:

Varias reglas de reenvío que usan una dirección IP compartida (SHARED_LOADBALANCER_VIP)
Subconjuntos de backend

Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
Debes usar Google Cloud CLI o la API a fin de crear un adjunto de servicio que apunte a una regla de reenvío que se usa para el reenvío de protocolos internos.

Para obtener información sobre problemas y soluciones alternativas, consulta Problemas conocidos.

Para ver una configuración de backend de ejemplo que usa un balanceador de cargas de aplicaciones externo global, consulta Accede a los servicios publicados a través de backends.

Para publicar un servicio, consulta Publica servicios.

Extremos y APIs de Google globales

En esta tabla, se resumen las características que admiten los extremos que se usan para acceder a las APIs de Google.

Para crear esta configuración, consulta Accede a las APIs de Google a través de extremos.

Configuración	Detalles
Configuración del consumidor (extremo)
Accesibilidad global	Usa una dirección IP global interna
Tráfico interconectado
Tráfico de Cloud VPN
Configuración de DNS automática
Versión de IP	IPv4
Productor
Servicios compatibles	APIs globales de Google compatibles

Backends y APIs de Google globales

En esta tabla, se describe qué balanceadores de cargas pueden usar un backend de Private Service Connect en una API de Google global.

Configuración	Detalles
Configuración del consumidor (backend de Private Service Connect)
Balanceadores de cargas de consumidores compatibles	Balanceador de cargas de aplicaciones externo global Nota: No se admite el balanceador de cargas de aplicaciones clásico. Balanceador de cargas de aplicaciones interno entre regiones
Versión de IP	IPv4
Productor
Servicios compatibles	Bigtable: `bigtable.googleapis.com` y `bigtableadmin.googleapis.com` Cloud Logging: `logging.googleapis.com` Spanner: `spanner.googleapis.com` Cloud Storage: `storage.googleapis.com` Pub/Sub: `pubsub.googleapis.com`

Extremos y APIs regionales de Google

Puedes usar un extremo de Private Service Connect para acceder a una sola API de Google regional. Para obtener una lista de las APIs regionales, consulta Extremos de servicios regionales.

Backends y APIs regionales de Google

En esta tabla, se describe qué balanceadores de cargas pueden usar un backend de Private Service Connect para acceder a APIs de Google regionales.

Para ver un ejemplo de configuración de backend que usa un balanceador de cargas de aplicaciones interno, consulta Accede a las APIs de Google de ubicación a través de backends.

Configuración	Detalles
Configuración del consumidor (backend de Private Service Connect)
Balanceadores de cargas de consumidores compatibles	Balanceador de cargas de aplicaciones interno Protocolos: HTTPS Balanceador de cargas de aplicaciones externo regional Protocolos: HTTPS
Versión de IP	IPv4
Productor
Servicios compatibles	API de Google regionales compatibles

¿Qué sigue?

Información sobre el acceso a los servicios publicados a través de extremos.
Información sobre el acceso a las APIs de Google globales a través de extremos.
Información sobre el acceso a las APIs de Google regionales a través de extremos.
Obtén más información sobre backends.
Obtén más información sobre cómo publicar servicios.