Compatibilidade com o Private Service Connect

Serviços

É possível acessar os seguintes serviços usando o Private Service Connect.

Serviços publicados pelo Google

Serviço do Google Acesso fornecido
AlloyDB para PostgreSQL Permite que você se conecte a instâncias do AlloyDB para PostgreSQL.
Apigee Permite expor as APIs gerenciadas pela Apigee na Internet. Também permite que você se conecte de maneira privada a partir da Apigee com serviços de back-end de destino.
Conexões do BigQuery SAP Datasphere Permite aumentar a segurança ao usar o BigQuery para enviar consultas ao SAP Datasphere.
Serviço de transferência de dados do BigQuery Permite usar o serviço de transferência de dados do BigQuery para Oracle.
Blockchain Node Engine Permite acessar nós do Blockchain Node Engine.
Chrome Enterprise Premium Permite que o Identity-Aware Proxy acesse o gateway do conector de app.
Cloud Data Fusion Permite conectar instâncias do Cloud Data Fusion a recursos em redes VPC.
Cloud Composer 2 Permite acessar o projeto de locatário do Cloud Composer.
Cloud Composer 3 Permite acessar o projeto de locatário do Cloud Composer.
Cloud SQL Permite acessar seu banco de dados do Cloud SQL.
Cloud Workstations Permite acessar clusters de estações de trabalho particulares.
Database Migration Service Permite migrar seus dados para o Google Cloud.
Metastore do Dataproc Permite acessar os serviços do metastore do Dataproc.
Eventarc Permite que você receba eventos do Eventarc.
Google Cloud Managed Service para Apache Kafka Permite acessar o serviço gerenciado para clusters do Apache Kafka.
Clusters públicos e clusters particulares do Google Kubernetes Engine (GKE) É possível conectar nós e o plano de controle de maneira particular para um cluster público ou particular.
Conectores de integração Permite que os conectores de integração acessem seus serviços gerenciados de forma particular.
Looker (Google Cloud Core) Permite acessar instâncias do Looker (Google Cloud Core).
Cluster do Memorystore para Redis Permite acessar instâncias de cluster do Memorystore para Redis.
Memorystore para Valkey Permite acessar instâncias do Memorystore para Valkey.
Vector Search da Vertex AI Permite acessar endpoints da Pesquisa de vetor.
Previsões da Vertex AI Permite acessar a previsão on-line da Vertex AI.

Serviços publicados de terceiros

Serviço de terceiros Acesso fornecido
Aiven acesso particular aos clusters do Aiven Kafka.
DaaS Citrix acesso particular ao DaaS Citrix.
ClickHouse acesso particular aos serviços da ClickHouse.
Confluent Cloud acesso particular aos clusters do Confluent Cloud.
Databricks acesso particular aos clusters do Databricks.
Datadog acesso particular aos serviços de entrada do Datadog.
Datastax Astra acesso particular aos bancos de dados do Datastax Astra DB.
Elasticsearch acesso particular ao Elastic Cloud.
JFrog acesso particular às instâncias de SaaS do JFrog.
MongoDB Atlas acesso particular ao MongoDB Atlas.
Neo4j Aura acesso particular ao Neo4j Aura.
Nuvem Pega Fornece acesso particular à Pega Cloud.
Redis Enterprise Cloud acesso particular aos clusters do Redis Enterprise.
Redpanda acesso particular ao Redpanda Cloud.
Snowflake acesso particular ao Snowflake.
Striim acesso particular ao Striim Cloud.

APIs globais do Google

Os endpoints podem segmentar um pacote de APIs globais do Google ou uma única região API. Os back-ends podem ter como alvo uma única API do Google global ou uma única região API.

Pacotes de APIs globais do Google

É possível usar endpoints do Private Service Connect para enviar tráfego a um pacote de APIs do Google.

Ao criar um endpoint para acessar APIs e serviços do Google, você escolhe qual pacote de APIs precisa ser acessado: Todas as APIs (all-apis) ou VPC-SC (vpc-sc):

Os pacotes de API são compatíveis apenas com protocolos baseados em HTTP sobre TCP (HTTP, HTTPS e HTTP/2). Todos os outros protocolos, incluindo MQTT e ICMP, não são compatíveis.

Pacote de API Serviços compatíveis Exemplo de uso
all-apis

Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Google Maps, Google Ads, Google Cloud e à maioria das outras APIs do Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google. Não é compatível com sites interativos.

Nomes de domínio que correspondem:

  • accounts.google.com (somente os caminhos necessários para a autenticação do OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io ou *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Escolha all-apis nestas circunstâncias:

  • Você não usa o VPC Service Controls.
  • Você usa o VPC Service Controls, mas também precisa acessar APIs e serviços do Google que não são compatíveis com o VPC Service Controls. 1

vpc-sc

Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls.

Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com APIs do Google Workspace ou aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google.

Escolha vpc-sc quando você precisar de acesso a APIs e serviços do Google compatíveis com o VPC Service Controls. O pacote vpc-sc não permite acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. 1

1 Se você precisar restringir usuários apenas às APIs e aos serviços do Google compatíveis com o VPC Service Controls, use vpc-sc, porque oferece redução de riscos adicionais para vazamento de dados. O uso de vpc-sc nega acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Consulte Como configurar a conectividade privada na documentação do VPC Service Controls para mais detalhes.

API única global do Google

É possível usar os back-ends do Private Service Connect para enviar solicitações a uma única API global compatível do Google. Há suporte para as seguintes APIs:

APIs regionais do Google

É possível usar endpoints ou back-ends para acessar APIs regionais do Google. Para uma lista de APIs regionais compatíveis do Google, consulte Endpoints de serviço regionais.

Tipos

As tabelas a seguir resumem as informações de compatibilidade para diferentes configurações do Private Service Connect.

Nas tabelas abaixo, uma marca de seleção indica que um recurso tem suporte, e o símbolo "sem" indica que um recurso não tem suporte.

Endpoints e serviços publicados

Esta seção resume as opções de configuração disponíveis para consumidores e produtores ao usar endpoints para acessar serviços de publicação.

Configuração do consumidor

Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos endpoints que acessam serviços publicados.

Configuração do consumidor (endpoint) Balanceador de carga do produtor
Balanceador de carga de rede de passagem interna Balanceador de carga de aplicativo interno regional Balanceador de carga de rede de proxy interno regional Encaminhamento de protocolo interno (instância de destino)
Acesso global do consumidor

Independente da configuração de acesso global no balanceador de carga

Somente se o acesso global seja ativado no balanceador de carga antes da criação do anexo de serviço.

Somente se o acesso global seja ativado no balanceador de carga antes da criação do anexo de serviço.

Independente da configuração de acesso global no balanceador de carga

Interconectar tráfego

Tráfego do Cloud VPN
Configuração automática de DNS Somente IPv4 Somente IPv4 Somente IPv4 Somente IPv4
Propagação da conexão Somente IPv4 Somente IPv4 Somente IPv4 Somente IPv4
Endpoints IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
Endpoints IPv6
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6

Os endpoints que acessam um serviço publicado têm as seguintes limitações:

Configuração do produtor

Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos serviços publicados que são acessados por endpoints.

Configuração do produtor (serviço publicado) Balanceador de carga do produtor
Balanceador de carga de rede de passagem interna Balanceador de carga de aplicativo interno regional Balanceador de carga de rede de proxy interno regional Encaminhamento de protocolo interno (instância de destino)

Back-ends de produtor compatíveis

  • NEGs zonais GCE_VM_IP
  • Grupos de instâncias
  • NEGs para mapeamento de portas
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
Não aplicável
Protocolo de proxy Somente tráfego TCP Somente tráfego TCP
Modos de afinidade de sessão NONE (5 tuplas)
CLIENT_IP_PORT_PROTO
Não aplicável Não aplicável Não aplicável
Versão IP
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6

Os serviços publicados têm as seguintes limitações:

Para problemas e soluções alternativas, consulte Problemas conhecidos.

Diferentes balanceadores de carga oferecem suporte a diversas configurações de porta; alguns balanceadores de carga aceitam uma única porta, alguns aceitam uma variedade de portas e alguns aceitam todas as portas. Para mais informações, consulte Especificações de porta.

Back-ends e serviços publicados

Um back-end do Private Service Connect para serviços publicados requer dois balanceadores de carga: um do consumidor e um do produtor. Esta seção resume as opções de configuração disponíveis para consumidores e produtores ao usar back-ends para acessar serviços de publicação.

Configuração do consumidor

Nesta tabela, descrevemos os balanceadores de carga do consumidor compatíveis com os back-ends do Private Service Connect para serviços publicados, incluindo quais protocolos de serviço de back-end podem ser usados com cada balanceador de carga do consumidor. Os balanceadores de carga do consumidor podem acessar serviços publicados hospedados em balanceadores de carga de produtor compatíveis.

Balanceador de carga do consumidor Protocolos Versão IP

Balanceador de carga de aplicativo externo global (compatível com várias regiões)

Observação: o balanceador de carga de aplicativo clássico não é compatível.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de aplicativo externo regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de aplicativo interno regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de aplicativo interno entre regiões

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de rede de proxy interno regional

  • TCP
IPv4

Balanceador de carga de rede de proxy interno entre regiões

  • TCP
IPv4

Balanceador de carga de rede de proxy externo regional

  • TCP
IPv4

Balanceador de carga de rede de proxy externo global

Para associar esse balanceador de carga a um NEG do Private Service Connect, use a CLI do Google Cloud ou envie uma solicitação de API.

Observação: o balanceador de carga de rede de proxy clássico não é compatível.

  • TCP/SSL
IPv4

Configuração do produtor

Nesta tabela, descrevemos a configuração dos balanceadores de carga do produtor que são compatíveis com os back-ends do Private Service Connect para serviços publicados.

Configuração Balanceador de carga do produtor
Balanceador de carga de rede de passagem interna Balanceador de carga de aplicativo interno regional Balanceador de carga de rede de proxy interno regional
Back-ends de produtor compatíveis
  • NEGs zonais GCE_VM_IP
  • Grupos de instâncias
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
Protocolos da regra de encaminhamento
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Portas da regra de encaminhamento O uso de uma única porta é recomendado. Consulte Configuração da porta do produtor Oferece suporte a uma única porta Oferece suporte a uma única porta
Protocolo de proxy
Versão IP IPv4 IPv4 IPv4

Os serviços publicados têm as seguintes limitações:

Para problemas e soluções alternativas, consulte Problemas conhecidos.

Para ver um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo externo global, consulte Acessar serviços publicados por meio de back-ends.

Para publicar um serviço, consulte Publicar serviços.

Endpoints e APIs globais do Google

Esta tabela resume os recursos compatíveis com os endpoints usados para acessar as APIs do Google.

Para criar essa configuração, consulte Acessar APIs do Google por meio de endpoints.

Configuração Detalhes
Configuração do consumidor (endpoint)
Acessibilidade global Usa um endereço IP global interno
Interconectar tráfego
Tráfego do Cloud VPN
Configuração automática de DNS
Versão IP IPv4
Produtor
Serviços compatíveis APIs globais compatíveis do Google

Back-ends e APIs globais do Google

Confira nesta tabela quais balanceadores de carga podem usar um back-end do Private Service Connect para uma API global do Google.

Configuração Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis
  • Balanceador de carga de aplicativo externo global

    Observação: o balanceador de carga de aplicativo clássico não é compatível.

  • Balanceador de carga de aplicativo interno entre regiões

Versão IP IPv4
Produtor
Serviços compatíveis

Endpoints e APIs regionais do Google

É possível usar um Private Service Connect endpoint para acessar um uma única API regional do Google. Para uma lista de APIs regionais compatíveis, consulte Endpoints de serviço regionais.

Back-ends e APIs regionais do Google

Esta tabela descreve quais balanceadores de carga podem usar um back-end do Private Service Connect para acessar as APIs regionais do Google.

Para ver um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo interno, consulte Acessar APIs regionais do Google por meio de back-ends.

Configuração Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis
  • Balanceador de carga de aplicativo interno

    Protocolos: HTTPS

  • Balanceador de carga de aplicativo externo regional

    Protocolos: HTTPS

Versão IP IPv4
Produtor
Serviços compatíveis APIs regionais do Google compatíveis

A seguir