Private Service Connect 兼容性
服务
您可以使用 Private Service Connect 访问以下服务。
Google 发布的服务
| Google 服务 | 提供的访问权限 |
|---|---|
| AlloyDB for PostgreSQL | 可让您连接到 AlloyDB for PostgreSQL 实例。 |
| Apigee | 允许您在互联网上公开 Apigee 管理的 API。还允许您以非公开方式从 Apigee 连接到后端目标服务。 |
| Chrome Enterprise Premium | 允许 Identity-Aware Proxy 访问 App Connector Gateway。 |
| Cloud Data Fusion | 允许您将 Cloud Data Fusion 实例连接到 VPC 网络中的资源。 |
| Cloud Composer 2 | 允许您访问 Cloud Composer 租户项目。 |
| Cloud SQL | 允许您以非公开方式访问 Cloud SQL 数据库。 |
| Cloud Workstations | 允许您访问专用工作站集群。 |
| Database Migration Service | 允许您将数据迁移到 Google Cloud。 |
| Dataproc Metastore | 允许您访问 Dataproc Metastore 服务。 |
| Eventarc | 允许您接收来自 Eventarc 的事件。 |
| Google Kubernetes Engine (GKE) 公共集群和专用集群 | 允许您以非公开方式连接公共或专用集群的节点和控制平面。 |
| Integration Connectors | 让 Integration Connectors 以私密方式访问您的代管式服务。 |
| Memorystore for Redis Cluster | 允许您访问 Memorystore for Redis Cluster 实例。 |
| Vertex AI Vector Search | 提供对向量搜索端点的专用访问通道。 |
| Vertex AI 预测 | 提供对 Vertex AI Online Prediction 的专用访问通道。 |
第三方发布的服务
全球 Google API
端点可以定位一组全球 Google API。后端可以定位单一全球 Google API。
全球 Google API 包
您可以使用 Private Service Connect 端点将流量发送到一组 Google API。通过 Private Service Connect 后端,您可以将流量发送到单个 Google API。
创建端点以访问 Google API 和服务时,您可选择需要访问的 API 软件包 — 所有 API (all-apis) 或 VPC-SC (vpc-sc):
all-apis软件包提供了对包括所有*.googleapis.com服务端点在内的大多数 Google API 和服务的访问权限。vpc-sc软件包提供了对支持 VPC Service Controls 的 API 和服务的访问权限。
API 软件包仅支持 TCP 上基于 HTTP 的协议(HTTP、HTTPS 和 HTTP/2)。不支持所有其他协议,包括 MQTT 和 ICMP。
| API 软件包 | 支持的服务 | 用法示例 |
|---|---|---|
all-apis |
启用对大多数 Google API 和服务的 API 访问权限,无论这些 Google API 和服务是否受 VPC Service Controls 支持。包括对 Google 地图、Google Ads、Google Cloud 以及大多数其他 Google API(包括以下列表)的 API 访问权限。不支持 Gmail 和 Google 文档等 Google Workspace Web 应用。不支持任何交互式网站。 与以下域名匹配的域名:
|
在以下情况下选择
|
vpc-sc
| 启用对 VPC Service Controls 所支持的 Google API 和服务的 API 访问权限。 阻止对不支持 VPC Service Controls 的 Google API 和服务进行访问。不支持 Google Workspace API 或 Google Workspace Web 应用(例如 Gmail 和 Google 文档)。 |
如果您只需要访问 VPC Service Controls 支持的 Google API 和服务,请选择 |
vpc-sc。虽然 VPC Service Controls 是针对兼容和已配置的服务强制执行的,但无论您使用哪个软件包,vpc-sc 都会针对数据渗漏提供额外的风险缓释措施。使用 vpc-sc 会拒绝对 VPC Service Controls 不支持的 Google API 和服务的访问权限。如需了解详情,请参阅 VPC Service Controls 文档中的设置专用连接。单一全球 Google API
您可以使用 Private Service Connect 后端向单个受支持的全球 Google API 发送请求。支持以下 API:
- Bigtable:
bigtable.googleapis.com和bigtableadmin.googleapis.com - Cloud Logging:
logging.googleapis.com - Spanner:
spanner.googleapis.com - Cloud Storage:
storage.googleapis.com - Pub/Sub:
pubsub.googleapis.com
位置 Google API
如需查看支持的位置 Google API 的列表,请参阅位置服务端点。
类型
下表总结了不同 Private Service Connect 配置的兼容性信息。
在下表中, 对勾标记表示支持该功能, 否定符号表示不支持该功能。
端点和已发布服务
下表总结了访问已发布服务的端点支持的配置选项和功能。
| 使用方配置(端点) | 提供方负载均衡器 | |||
|---|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | 内部协议转发(目标实例) | |
| 使用方全球访问权限 |
与负载均衡器上的全球访问权限设置无关 |
仅当负载均衡器上启用全球访问权限时 |
仅当负载均衡器上启用全球访问权限时 |
与负载均衡器上的全球访问权限设置无关 |
| Cloud VPN 流量 | ||||
| 自动 DNS 配置 | 仅限 IPv4 | 仅限 IPv4 | 仅限 IPv4 | 仅限 IPv4 |
| IPv4 端点 |
|
|
|
|
| IPv6 端点(预览版) |
|
|
||
访问已发布服务的端点具有以下限制:
您不能在您要访问的已发布服务所在的同一 VPC 网络中创建端点。
无法从对等互连的 VPC 网络访问端点。
数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
并非所有具有负载均衡器下一个跃点的静态路由都受 Private Service Connect 支持。如需了解详情,请参阅具有负载均衡器下一个跃点的静态路由。
Connectivity Tests 无法测试 IPv6 端点与已发布服务之间的连接。
下表总结了端点访问的已发布服务支持的配置选项和功能。
| 提供方配置(已发布服务) | 提供方负载均衡器 | |||
|---|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | 内部协议转发(目标实例) | |
| 支持的提供方后端 |
|
|
|
不适用 |
| PROXY 协议 | 仅限 TCP 流量 | 仅限 TCP 流量 | ||
| 会话亲和性模式 | 无(5 元组) CLIENT_IP_PORT_PROTO |
不适用 | 不适用 | 不适用 |
| IP 版本 |
|
|
|
|
已发布服务具有以下限制:
- 提供方负载均衡器不支持以下功能:
- 多条转发规则使用一个共享 IP 地址 (
SHARED_LOADBALANCER_VIP) - 后端子集
- 数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
- 您必须使用 Google Cloud CLI 或 API 创建指向用于内部协议转发的转发规则的服务连接。
- 以下负载均衡器类型不提供
BETA指标的值,值为0或缺失:- 区域级内部应用负载均衡器
- 区域级内部代理网络负载均衡器
如需了解问题和解决方法,请参阅已知问题。
不同的负载均衡器支持不同的端口配置:有些负载均衡器支持单个端口,有些支持一系列端口,有些支持所有端口。如需了解详情,请参阅端口规范。
后端和已发布服务
已发布服务的 Private Service Connect 后端需要两个负载均衡器:使用方负载均衡器和提供方负载均衡器。下表介绍了不同类型的使用方与提供方负载均衡器之间的兼容性,包括可与每个使用方负载均衡器搭配使用的后端服务协议。每行代表一种使用方负载均衡器,每列表示一种提供方负载均衡器。
| 使用方负载均衡器和支持的使用方后端服务协议 | 提供方负载均衡器 | ||
|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | |
|
全球外部应用负载均衡器(支持多个区域) 协议:HTTPS、HTTP2 IP 版本:IPv4 注意:不支持传统版应用负载均衡器。 |
|||
|
协议:HTTP、HTTPS、HTTP2 IP 版本:IPv4 |
|||
|
协议:HTTP、HTTPS、HTTP2 IP 版本:IPv4 |
|||
|
跨区域内部应用负载均衡器(预览版) 协议:HTTPS、HTTP2 IP 版本:IPv4 |
|||
|
协议:TCP IP 版本:IPv4 |
|||
|
协议:TCP IP 版本:IPv4 |
|||
|
协议:TCP IP 版本:IPv4 |
|||
|
全球外部代理网络负载均衡器(预览版) 协议:TCP/SSL IP 版本:IPv4 注意:不支持传统代理网络负载均衡器。 |
|||
下表介绍了已发布服务的 Private Service Connect 后端支持的提供方负载均衡器配置。
| 配置 | 提供方负载均衡器 | ||
|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | |
| 支持的提供方后端 |
|
|
|
| 转发规则协议 |
|
|
|
| 转发规则端口 | 转发规则必须引用单个端口。 | 转发规则必须引用单个端口。 | 转发规则必须引用单个端口。 |
| PROXY 协议 | |||
| IP 版本 | IPv4 | IPv4 | IPv4 |
已发布服务具有以下限制:
- 提供方负载均衡器不支持以下功能:
- 多条转发规则使用一个共享 IP 地址 (
SHARED_LOADBALANCER_VIP) - 后端子集
- 数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
- 您必须使用 Google Cloud CLI 或 API 创建指向用于内部协议转发的转发规则的服务连接。
- 以下负载均衡器类型不提供
BETA指标的值,值为0或缺失:- 区域级内部应用负载均衡器
- 区域级内部代理网络负载均衡器
如需了解问题和解决方法,请参阅已知问题。
如需查看使用全球外部应用负载均衡器的后端配置示例,请参阅通过后端访问已发布服务。
如需发布服务,请参阅发布服务。
端点和全球 Google API
下表总结了用于访问 Google API 的端点支持的功能。
如需创建此配置,请参阅通过端点访问 Google API。
| 配置 | 详情 |
|---|---|
| 使用方配置(端点) | |
| 全球可达性 | 使用内部全球 IP 地址 |
| Interconnect 流量 | |
| Cloud VPN 流量 | |
| 自动 DNS 配置 | |
| IP 版本 | IPv4 |
| 提供方 | |
| 支持的服务 | 支持的全球 Google API |
后端和全球 Google API
下表介绍了哪些负载均衡器可以使用全球 Google API 的 Private Service Connect 后端。
| 配置 | 详情 |
|---|---|
| 使用方配置(Private Service Connect 后端) | |
| 支持的使用方负载均衡器 |
全球外部应用负载均衡器 注意:不支持传统版应用负载均衡器。 |
| IP 版本 | IPv4 |
| 提供方 | |
| 支持的服务 |
|
后端和位置 Google API
下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问位置 Google API。
如需查看使用内部应用负载均衡器的后端配置示例,请参阅通过后端访问位置 Google API。
| 配置 | 详情 |
|---|---|
| 使用方配置(Private Service Connect 后端) | |
| 支持的使用方负载均衡器 |
|
| IP 版本 | IPv4 |
| 提供方 | |
| 支持的服务 | 支持的位置 Google API |
后续步骤
- 了解如何通过端点访问已发布的服务。
- 了解如何通过端点访问 Google API。
- 了解后端。
- 了解如何发布服务。