Private Service Connect の互換性
サービス
Private Service Connect を使用すると、次のサービスにアクセスできます。
Google 公開サービス
Google サービス | 提供されるアクセス権 |
---|---|
AlloyDB for PostgreSQL | AlloyDB for PostgreSQL インスタンスに接続できます。 |
Apigee | Apigee が管理する API をインターネットに公開できます。また、Apigee からバックエンド ターゲット サービスにプライベート接続することもできます。 |
Chrome Enterprise Premium | Identity-Aware Proxy が App Connector Gateway にアクセスできるようにします。 |
Cloud Data Fusion | Cloud Data Fusion インスタンスを VPC ネットワーク内のリソースに接続できます。 |
Cloud Composer 2 | Cloud Composer テナント プロジェクトにアクセスできます。 |
Cloud SQL | Cloud SQL データベースにプライベート アクセスできます。 |
Cloud Workstations | 限定公開のワークステーション クラスタにアクセスできます。 |
Database Migration Service | Google Cloud にデータを移行できます。 |
Dataproc Metastore | Dataproc Metastore サービスにアクセスできます。 |
Eventarc | Eventarc からイベントを受信できます。 |
Google Kubernetes Engine(GKE)の一般公開クラスタと限定公開クラスタ | 一般公開クラスタまたは限定公開クラスタのノードとコントロール プレーンをプライベート接続できます。 |
Integration Connectors | Integration Connectors がマネージド サービスに非公開でアクセスできるようにします。 |
Memorystore for Redis Cluster | Memorystore for Redis Cluster インスタンスにアクセスできます。 |
Vertex AI Vector Search | ベクトル検索エンドポイントへのプライベート アクセスを提供します。 |
Vertex AI Predictions | Vertex AI オンライン予測へのプライベート アクセスを提供します。 |
サードパーティの公開サービス
サードパーティのサービス | 提供されるアクセス権 |
---|---|
Aiven | Aiven Kafka クラスタへのプライベート アクセスを提供します。 |
Citrix DaaS | Citrix DaaS へのプライベート アクセスを提供します。 |
ClickHouse | ClickHouse サービスへのプライベート アクセスを提供します。 |
Confluent Cloud | Confluent Cloud クラスタへのプライベート アクセスを提供します。 |
Databricks | Databricks クラスタへのプライベート アクセスを提供します。 |
Datadog | Datadog の intake サービスへのプライベート アクセスを提供します。 |
Datastax Astra | Datastax Astra DB データベースへのプライベート アクセスを提供します。 |
Elasticsearch | Elastic Cloud へのプライベート アクセスを提供します。 |
JFrog | JFrog SaaS インスタンスへのプライベート アクセスを提供します。 |
MongoDB Atlas | MongoDB Atlas へのプライベート アクセスを提供します。 |
Neo4j Aura | Neo4j Aura へのプライベート アクセスを提供します。 |
Pega Cloud | Pega Cloud へのプライベート アクセスを提供します。 |
Redis Enterprise Cloud | Redis Enterprise クラスタへのプライベート アクセスを提供します。 |
Snowflake | Snowflake へのプライベート アクセスを提供します。 |
Striim | Striim Cloud へのプライベート アクセスを提供します。 |
グローバル Google API
エンドポイントは、グローバル Google API のバンドルをターゲットにできます。バックエンドは、単一のグローバル Google API をターゲットにできます。
グローバル Google API のバンドル
Private Service Connect エンドポイントを使用して、Google API のバンドルにトラフィックを送信できます。Private Service Connect バックエンドを使用すると、個々の Google API にトラフィックを送信できます。
Google API とサービスにアクセスするエンドポイントを作成するときに、すべての API(all-apis
)または VPC-SC(vpc-sc
)にアクセスするために必要な API のバンドルを選択します。
all-apis
バンドルを使用すると、すべての*.googleapis.com
サービス エンドポイントを含む、ほとんどの Google API とサービスにアクセスできます。vpc-sc
バンドルを使用すると、VPC Service Controls をサポートする API とサービスにアクセスできます。
API バンドルは、TCP 上の HTTP ベースのプロトコル(HTTP、HTTPS、HTTP/2)のみをサポートしています。MQTT や ICMP などの他のプロトコルはサポートされていません。
API バンドル | サポート対象のサービス | 使用例 |
---|---|---|
all-apis |
VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、Google Cloud、さらに以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。 一致するドメイン名:
|
次の状況では |
vpc-sc
| VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。 VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。 |
VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ |
vpc-sc
を使用します。VPC Service Controls は、使用するバンドルに関係なく互換性のある構成済みのサービスに適用されますが、vpc-sc
を使用するとデータの引き出しに関するリスクをさらに軽減できます。vpc-sc
を使用すると、VPC Service Controls でサポートされていない Google API とサービスへのアクセスを拒否できます。詳細については、VPC Service Controls に関するドキュメントのプライベート接続の設定をご覧ください。単一のグローバル Google API
Private Service Connect バックエンドを使用して、サポートされている単一のグローバル Google API にリクエストを送信できます。次の API がサポートされています。
- Bigtable:
bigtable.googleapis.com
、bigtableadmin.googleapis.com
- Cloud Logging:
logging.googleapis.com
- Spanner:
spanner.googleapis.com
- Cloud Storage:
storage.googleapis.com
- Pub/Sub:
pubsub.googleapis.com
ロケーション Google API
サポートされているロケーション Google API のリストについては、ロケーション サービス エンドポイントをご覧ください。
タイプ
次の表は、Private Service Connect の各構成の互換性情報をまとめたものです。
次の表で、 は機能がサポートされていることを示し、 は機能がサポートされていないことを示します。
エンドポイントと公開サービス
次の表は、公開サービスにアクセスするエンドポイントでサポートされる構成オプションと機能をまとめたものです。
コンシューマーの構成(エンドポイント) | プロデューサー ロードバランサ | |||
---|---|---|---|---|
内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | 内部プロトコル転送(ターゲット インスタンス) | |
コンシューマーのグローバル アクセス |
ロードバランサのグローバル アクセス設定に依存しない |
ロードバランサでグローバル アクセスが有効になっている場合のみ |
ロードバランサでグローバル アクセスが有効になっている場合のみ |
ロードバランサのグローバル アクセス設定に依存しない |
Cloud VPN のトラフィック | ||||
DNS の自動構成 | IPv4 のみ | IPv4 のみ | IPv4 のみ | IPv4 のみ |
IPv4 エンドポイント |
|
|
|
|
IPv6 エンドポイント(プレビュー) |
|
|
公開サービスにアクセスするエンドポイントには、次の制限があります。
アクセスしている公開サービスと同じ VPC ネットワークにエンドポイントを作成することはできません。
エンドポイントは、ピアリングされた VPC ネットワークからアクセスできません。
Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
ロードバランサのネクストホップを使用するすべての静的ルートが Private Service Connect でサポートされているわけではありません。詳細については、ロードバランサのネクストホップを使用する静的ルートをご覧ください。
接続テストでは、IPv6 エンドポイントと公開サービス間の接続をテストできません。
この表は、エンドポイントがアクセスする公開サービスでサポートされる構成オプションと機能をまとめたものです。
プロデューサーの構成(公開サービス) | プロデューサー ロードバランサ | |||
---|---|---|---|---|
内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | 内部プロトコル転送(ターゲット インスタンス) | |
サポートされるプロデューサー バックエンド |
|
|
|
該当なし |
PROXY プロトコル | TCP トラフィックのみ | TCP トラフィックのみ | ||
セッション アフィニティ モード | なし(5 タプル) CLIENT_IP_PORT_PROTO |
該当なし | 該当なし | 該当なし |
IP バージョン |
|
|
|
|
公開サービスには次の制限があります。
- プロデューサー ロードバランサは、次の機能をサポートしていません。
- 共有 IP アドレスを使用する複数の転送ルール(
SHARED_LOADBALANCER_VIP
) - バックエンドのサブセット化
- Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
- Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービス アタッチメントを作成する必要があります。
- 次のロードバランサ タイプでは、
BETA
指標の値が提供されません。値が0
になっているか、値がありません。- リージョン内部アプリケーション ロードバランサ
- リージョン内部プロキシ ネットワーク ロードバランサ
問題と回避策については、既知の問題をご覧ください。
サポートされるポート構成は、ロードバランサによって異なります。ロードバランサには、単一のポートをサポートするものと、ポートの範囲をサポートするものと、すべてのポートをサポートするものがあります。詳細については、ポートの仕様をご覧ください。
バックエンドと公開サービス
公開サービス用の Private Service Connect バックエンドには、コンシューマー ロードバランサとプロデューサー ロードバランサという 2 つのロードバランサが必要です。次の表に、コンシューマー ロードバランサとプロデューサー ロードバランサの互換性を示します。また、各コンシューマー ロードバランサで使用できるバックエンド サービス プロトコルについても説明します。各行はコンシューマー ロードバランサのタイプを表し、各列はプロデューサー ロードバランサのタイプを表します。
コンシューマー ロードバランサとサポートされているコンシューマー バックエンド サービス プロトコル | プロデューサー ロードバランサ | ||
---|---|---|---|
内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | |
グローバル外部アプリケーション ロードバランサ(複数のリージョンをサポート) プロトコル: HTTPS、HTTP2 IP バージョン: IPv4 注: 従来のアプリケーション ロードバランサはサポートされていません。 |
|||
プロトコル: HTTP、HTTPS、HTTP2 IP バージョン: IPv4 |
|||
プロトコル: HTTP、HTTPS、HTTP2 IP バージョン: IPv4 |
|||
クロスリージョン内部アプリケーション ロードバランサ(プレビュー) プロトコル: HTTPS、HTTP2 IP バージョン: IPv4 |
|||
プロトコル: TCP IP バージョン: IPv4 |
|||
プロトコル: TCP IP バージョン: IPv4 |
|||
プロトコル: TCP IP バージョン: IPv4 |
|||
グローバル外部プロキシ ネットワーク ロードバランサ(プレビュー) プロトコル: TCP / SSL IP バージョン: IPv4 注: 従来のプロキシ ネットワーク ロードバランサはサポートされていません。 |
次の表に、公開サービスの Private Service Connect バックエンドでサポートされるプロデューサー ロードバランサの構成を示します。
構成 | プロデューサー ロードバランサ | ||
---|---|---|---|
内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | |
サポートされるプロデューサー バックエンド |
|
|
|
転送ルール プロトコル |
|
|
|
転送ルールのポート | 転送ルールは 1 つのポートを参照する必要があります。 | 転送ルールは 1 つのポートを参照する必要があります。 | 転送ルールは 1 つのポートを参照する必要があります。 |
PROXY プロトコル | |||
IP バージョン | IPv4 | IPv4 | IPv4 |
公開サービスには次の制限があります。
- プロデューサー ロードバランサは、次の機能をサポートしていません。
- 共有 IP アドレスを使用する複数の転送ルール(
SHARED_LOADBALANCER_VIP
) - バックエンドのサブセット化
- Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。
- Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービス アタッチメントを作成する必要があります。
- 次のロードバランサ タイプでは、
BETA
指標の値が提供されません。値が0
になっているか、値がありません。- リージョン内部アプリケーション ロードバランサ
- リージョン内部プロキシ ネットワーク ロードバランサ
問題と回避策については、既知の問題をご覧ください。
グローバル外部アプリケーション ロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。
サービスを公開するには、サービスを公開するをご覧ください。
エンドポイントとグローバル Google API
次の表は、Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。
この構成を作成するには、エンドポイントを介して Google API にアクセスするをご覧ください。
構成 | 詳細 |
---|---|
コンシューマーの構成(エンドポイント) | |
グローバルなネットワーク到達性 | 内部グローバル IP アドレスを使用 |
相互接続のトラフィック | |
Cloud VPN のトラフィック | |
DNS の自動構成 | |
IP バージョン | IPv4 |
プロデューサー | |
サポート対象のサービス | サポートされているグローバル Google API |
バックエンドとグローバル Google API
次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。
構成 | 詳細 |
---|---|
コンシューマの構成(Private Service Connect バックエンド) | |
サポートされているコンシューマー ロードバランサ |
グローバル外部アプリケーション ロードバランサ 注: 従来のアプリケーション ロードバランサはサポートされていません。 |
IP バージョン | IPv4 |
プロデューサー | |
サポート対象のサービス |
|
バックエンドとロケーション Google API
次の表では、Private Service Connect バックエンドを使用してロケーション Google API にアクセスできるロードバランサについて説明します。
内部アプリケーション ロードバランサを使用するバックエンド構成例については、バックエンド経由でロケーション Google API にアクセスするをご覧ください。
構成 | 詳細 |
---|---|
コンシューマの構成(Private Service Connect バックエンド) | |
サポートされているコンシューマー ロードバランサ |
|
IP バージョン | IPv4 |
プロデューサー | |
サポート対象のサービス | サポートされているロケーション Google API |
次のステップ
- エンドポイントを介した公開サービスへのアクセスについて確認する。
- エンドポイントを介した Google API へのアクセスについて確認する。
- バックエンドについて確認する。
- 公開サービスについて確認する。