Private Service Connect 兼容性
服务
您可以使用 Private Service Connect 访问以下服务。
Google 发布的服务
| Google 服务 | 提供的访问权限 |
|---|---|
| AlloyDB for PostgreSQL | 可让您连接到 AlloyDB for PostgreSQL 实例。 |
| Apigee | 允许您在互联网上公开 Apigee 管理的 API。还允许您以非公开方式从 Apigee 连接到后端目标服务。 |
| Chrome Enterprise Premium | 允许 Identity-Aware Proxy 访问 App Connector Gateway。 |
| Cloud Data Fusion | 允许您将 Cloud Data Fusion 实例连接到 VPC 网络中的资源。 |
| Cloud Composer 2 | 允许您访问 Cloud Composer 租户项目。 |
| Cloud SQL | 允许您以非公开方式访问 Cloud SQL 数据库。 |
| Cloud Workstations | 允许您访问专用工作站集群。 |
| Database Migration Service | 允许您将数据迁移到 Google Cloud。 |
| Dataproc Metastore | 允许您访问 Dataproc Metastore 服务。 |
| Eventarc | 允许您接收来自 Eventarc 的事件。 |
| Google Kubernetes Engine (GKE) 公共集群和专用集群 | 允许您以非公开方式连接公共或专用集群的节点和控制平面。 |
| Integration Connectors | 让 Integration Connectors 以私密方式访问您的代管式服务。 |
| Memorystore for Redis Cluster | 允许您访问 Memorystore for Redis Cluster 实例。 |
| Vertex AI Vector Search | 提供对向量搜索端点的专用访问通道。 |
| Vertex AI 预测 | 提供对 Vertex AI Online Prediction 的专用访问通道。 |
第三方发布的服务
全球 Google API
端点可以定位一组全球 Google API 或单个区域级 Google API。后端可以定位单个全球 Google API 或单个区域级 Google API。
全球 Google API 包
您可以使用 Private Service Connect 端点将流量发送到一组 Google API。
创建端点以访问 Google API 和服务时,您可选择需要访问的 API 软件包 — 所有 API (all-apis) 或 VPC-SC (vpc-sc):
all-apis软件包提供了对包括所有*.googleapis.com服务端点在内的大多数 Google API 和服务的访问权限。vpc-sc软件包提供了对支持 VPC Service Controls 的 API 和服务的访问权限。
API 软件包仅支持 TCP 上基于 HTTP 的协议(HTTP、HTTPS 和 HTTP/2)。不支持所有其他协议,包括 MQTT 和 ICMP。
| API 软件包 | 支持的服务 | 用法示例 |
|---|---|---|
all-apis |
启用对大多数 Google API 和服务的 API 访问权限,无论这些 Google API 和服务是否受 VPC Service Controls 支持。包括对 Google 地图、Google Ads、Google Cloud 以及大多数其他 Google API(包括以下列表)的 API 访问权限。不支持 Gmail 和 Google 文档等 Google Workspace Web 应用。不支持任何交互式网站。 与以下域名匹配的域名:
|
在以下情况下选择
|
vpc-sc
| 启用对 VPC Service Controls 所支持的 Google API 和服务的 API 访问权限。 阻止对不支持 VPC Service Controls 的 Google API 和服务进行访问。不支持 Google Workspace API 或 Google Workspace Web 应用(例如 Gmail 和 Google 文档)。 |
如果您只需要访问 VPC Service Controls 支持的 Google API 和服务,请选择 |
vpc-sc,因为它会针对数据渗漏提供额外的风险缓释措施。使用 vpc-sc 可拒绝对 VPC Service Controls 不支持的 Google API 和服务的访问权限。如需了解详情,请参阅 VPC Service Controls 文档中的设置专用连接。
单一全球 Google API
您可以使用 Private Service Connect 后端向单个受支持的全球 Google API 发送请求。支持以下 API:
- Bigtable:
bigtable.googleapis.com和bigtableadmin.googleapis.com - Cloud Logging:
logging.googleapis.com - Spanner:
spanner.googleapis.com - Cloud Storage:
storage.googleapis.com - Pub/Sub:
pubsub.googleapis.com
区域级 Google API
您可以使用端点或后端访问区域级 Google API。如需查看支持的区域 Google API 列表,请参阅区域服务端点。
类型
下表总结了不同 Private Service Connect 配置的兼容性信息。
在下表中, 对勾标记表示某功能受支持, 否定符号表示某功能不受支持。
端点和已发布服务
本部分汇总了使用端点访问发布服务时可供使用方和提供方使用的配置选项。
使用方配置
下表总结了访问已发布服务的端点支持的配置选项和功能。
| 使用方配置(端点) | 提供方负载均衡器 | |||
|---|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | 内部协议转发(目标实例) | |
| 使用方全球访问权限 |
与负载均衡器上的全球访问权限设置无关 |
仅当创建服务连接之前在负载均衡器上启用全球访问权限时 |
仅当创建服务连接之前在负载均衡器上启用全球访问权限时 |
与负载均衡器上的全球访问权限设置无关 |
| Cloud VPN 流量 | ||||
| 自动 DNS 配置 | 仅限 IPv4 | 仅限 IPv4 | 仅限 IPv4 | 仅限 IPv4 |
| 连接传播 | 仅限 IPv4 | 仅限 IPv4 | 仅限 IPv4 | 仅限 IPv4 |
| IPv4 端点 |
|
|
|
|
| IPv6 端点 |
|
|
|
|
访问已发布服务的端点具有以下限制:
您不能在您要访问的已发布服务所在的同一 VPC 网络中创建端点。
无法从对等互连的 VPC 网络访问端点。
数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
并非所有具有负载均衡器下一个跃点的静态路由都受 Private Service Connect 支持。如需了解详情,请参阅具有负载均衡器下一个跃点的静态路由。
Connectivity Tests 无法测试 IPv6 端点与已发布服务之间的连接。
提供方配置
下表总结了端点访问的已发布服务支持的配置选项和功能。
| 提供方配置(已发布服务) | 提供方负载均衡器 | |||
|---|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | 内部协议转发(目标实例) | |
支持的提供方后端: |
|
|
|
不适用 |
| PROXY 协议 | 仅限 TCP 流量 | 仅限 TCP 流量 | ||
| 会话亲和性模式 | 无(5 元组) CLIENT_IP_PORT_PROTO |
不适用 | 不适用 | 不适用 |
| IP 版本 |
|
|
|
|
已发布服务具有以下限制:
- 提供方负载均衡器不支持以下功能:
- 多条转发规则使用一个共享 IP 地址 (
SHARED_LOADBALANCER_VIP) - 后端子集
- 数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
- 您必须使用 Google Cloud CLI 或 API 创建指向用于内部协议转发的转发规则的服务连接。
如需了解问题和解决方法,请参阅已知问题。
不同的负载均衡器支持不同的端口配置:有些负载均衡器支持单个端口,有些支持一系列端口,有些支持所有端口。如需了解详情,请参阅端口规范。
后端和已发布服务
已发布服务的 Private Service Connect 后端需要两个负载均衡器:使用方负载均衡器和提供方负载均衡器。本部分汇总了使用后端访问发布服务时可供使用方和提供方使用的配置选项。
使用方配置
下表介绍了已发布服务的 Private Service Connect 后端支持的使用方负载均衡器,包括可与每个使用方负载均衡器搭配使用的后端服务协议。使用方负载均衡器可以访问在受支持的提供方负载均衡器上托管的已发布服务。
| 使用方负载均衡器 | 协议 | IP 版本 |
|---|---|---|
|
全球外部应用负载均衡器(支持多个区域) 注意:不支持传统版应用负载均衡器。 |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
如需将此负载均衡器与 Private Service Connect NEG 关联,请使用 Google Cloud CLI 或发送 API 请求。 注意:不支持传统代理网络负载均衡器。 |
|
IPv4 |
提供方配置
下表介绍了已发布服务的 Private Service Connect 后端支持的提供方负载均衡器配置。
| 配置 | 提供方负载均衡器 | ||
|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | |
| 支持的提供方后端 |
|
|
|
| 转发规则协议 |
|
|
|
| 转发规则端口 | 建议使用单个端口,请参阅提供方端口配置 | 支持单个端口 | 支持单个端口 |
| PROXY 协议 | |||
| IP 版本 | IPv4 | IPv4 | IPv4 |
已发布服务具有以下限制:
- 提供方负载均衡器不支持以下功能:
- 多条转发规则使用一个共享 IP 地址 (
SHARED_LOADBALANCER_VIP) - 后端子集
- 数据包镜像无法镜像 Private Service Connect 发布的服务流量的数据包。
- 您必须使用 Google Cloud CLI 或 API 创建指向用于内部协议转发的转发规则的服务连接。
如需了解问题和解决方法,请参阅已知问题。
如需查看使用全球外部应用负载均衡器的后端配置示例,请参阅通过后端访问已发布服务。
如需发布服务,请参阅发布服务。
端点和全球 Google API
下表总结了用于访问 Google API 的端点支持的功能。
如需创建此配置,请参阅通过端点访问 Google API。
| 配置 | 详细信息 |
|---|---|
| 使用方配置(端点) | |
| 全球可达性 | 使用内部全球 IP 地址 |
| Interconnect 流量 | |
| Cloud VPN 流量 | |
| 自动 DNS 配置 | |
| IP 版本 | IPv4 |
| 提供方 | |
| 支持的服务 | 支持的全球 Google API |
后端和全球 Google API
下表介绍了哪些负载均衡器可以使用全球 Google API 的 Private Service Connect 后端。
| 配置 | 详细信息 |
|---|---|
| 使用方配置(Private Service Connect 后端) | |
| 支持的使用方负载均衡器 |
|
| IP 版本 | IPv4 |
| 提供方 | |
| 支持的服务 |
|
端点和区域级 Google API
您可以使用 Private Service Connect 端点访问单个区域级 Google API。如需查看支持的区域级 API 的列表,请参阅区域服务端点。
后端和区域 Google API
下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问区域级 Google API。
如需查看使用内部应用负载均衡器的后端配置示例,请参阅通过后端访问区域级 Google API。
| 配置 | 详细信息 |
|---|---|
| 使用方配置(Private Service Connect 后端) | |
| 支持的使用方负载均衡器 |
|
| IP 版本 | IPv4 |
| 提供方 | |
| 支持的服务 | 支持的区域级 Google API |
后续步骤
- 了解如何通过端点访问已发布的服务。
- 了解如何通过端点访问全球 Google API。
- 了解如何通过端点访问区域级 Google API。
- 了解后端。
- 了解如何发布服务。