Compatibilidad con Private Service Connect

Servicios

Puedes acceder a los siguientes servicios mediante Private Service Connect.

Servicios publicados por Google

Google service (Servicio de Google)	Acceso proporcionado
Apigee	Te permite exponer las APIs administradas por Apigee a Internet. También te permite conectarte de forma privada desde Apigee a servicios de destino de backend.
BeyondCorp Enterprise	Permite que Identity-Aware Proxy acceda a la puerta de enlace del conector de apps.
Cloud Data Fusion	Te permite conectar instancias de Cloud Data Fusion a recursos en redes de VPC.
Cloud Composer 2	Te permite acceder al proyecto de usuario de Cloud Composer.
Cloud SQL	Te permite acceder a tu base de datos de Cloud SQL.
Cloud Workstations	Te permite acceder a clústeres de estaciones de trabajo privados.
Database Migration Service	Te permite migrar tus datos a Google Cloud.
Dataproc Metastore	Te permite acceder a los servicios de Dataproc Metastore.
Eventarc	Te permite recibir eventos de Eventarc.
Clústeres públicos y privados de Google Kubernetes Engine (GKE)	Te permite conectar de forma privada los nodos y el plano de control de un clúster público o privado.
Conectores de Integration	Permite que Integration Connectors acceda a tus servicios administrados de forma privada.
Memorystore for Redis Cluster	Te permite acceder a instancias de Memorystore for Redis Cluster.
Búsqueda de vectores	Proporciona acceso privado a los extremos de la búsqueda vectorial.

Servicios publicados por terceros

Servicio de terceros	Acceso proporcionado
Aiven	Proporciona acceso privado a los clústeres de Aiven Kafka.
Citrix DaaS	Proporciona acceso privado a Citrix DaaS.
ClickHouse	Proporciona acceso privado a los servicios de ClickHouse.
Confluent Cloud	Proporciona acceso privado a Confluent Cloud Clusters.
Databricks	Proporciona acceso privado a los clústeres de Databricks.
Datadog	Proporciona acceso privado a los servicios de entrada de Datadog.
Datastax Astra	Proporciona acceso privado a las bases de datos de Datastax Astra DB.
Elasticsearch	Proporciona acceso privado a Elastic Cloud.
JFrog	Proporciona acceso privado a instancias de SaaS de JFrog.
MongoDB Atlas	Proporciona acceso privado a MongoDB Atlas.
Neo4j Aura	Proporciona acceso privado a Neo4j Aura.
Pega Cloud	Proporciona acceso privado a Pega Cloud.
Redis Enterprise Cloud	Proporciona acceso privado a clústeres de Redis Enterprise.
Snowflake	Proporciona acceso privado a Snowflake.
Striim	Proporciona acceso privado a Striim Cloud.

APIs de Google globales

Los endpoints pueden apuntar a un conjunto de APIs de Google globales. Los backends pueden orientarse a una sola API de Google global.

Paquetes de APIs de Google globales

Puedes usar extremos de Private Service Connect para enviar tráfico a un paquete de APIs de Google. Con los backends de Private Service Connect, puedes enviar tráfico a una API de Google individual.

Cuando creas un extremo para acceder a las APIs y los servicios de Google, debes elegir a qué paquete de APIs necesitas acceder: Todas las APIs (all-apis) o VPC-SC (vpc-sc):

El paquete all-apis proporciona acceso a la mayoría de los servicios y las APIs de Google, incluidos todos los extremos del servicio *.googleapis.com.
El paquete vpc-sc proporciona acceso a las APIs y los servicios compatibles con los Controles del servicio de VPC.

Nota: Estos paquetes proporcionan acceso a las mismas APIs que están disponibles a través de los VIP del Acceso privado a Google: all-apis equivale a private.googleapis.com y vpc-sc es equivalente a restricted.googleapis.com.

Los paquetes de API solo admiten protocolos basados en HTTP mediante TCP (HTTP, HTTPS y HTTP/2) No se admiten todos los demás protocolos, incluidos ICMP y MQTT.

Paquete de API Servicios compatibles Ejemplo de uso

Paquete de API	Servicios compatibles	Ejemplo de uso
`all-apis`	Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo. Nombres de dominio que coinciden: `accounts.google.com` (solo las rutas de acceso necesarias para la autenticación OAuth) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` o `.gcr.io` `.googleapis.com` `.gstatic.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` o `.pkg.dev` `pki.goog` o `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	Elige `all-apis` en estas circunstancias: Si no usas los Controles del servicio de VPC. Debes usar los Controles del servicio de VPC, pero también debes acceder a los servicios y las API de Google que no son compatibles con estos controles. ¹
`vpc-sc`	Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google.	Elige `vpc-sc` cuando solo necesites acceso a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. El paquete de `vpc-sc` no permite el acceso a los servicios ni las APIs de Google que no son compatibles con los Controles del servicio de VPC.¹

all-apis

Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo.

Nombres de dominio que coinciden:

accounts.google.com (solo las rutas de acceso necesarias para la autenticación OAuth)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io o *.gcr.io
*.googleapis.com
*.gstatic.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev o *.pkg.dev
pki.goog o *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Elige all-apis en estas circunstancias:

Si no usas los Controles del servicio de VPC.
Debes usar los Controles del servicio de VPC, pero también debes acceder a los servicios y las API de Google que no son compatibles con estos controles. ¹

vpc-sc

Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google.

Elige vpc-sc cuando solo necesites acceso a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. El paquete de vpc-sc no permite el acceso a los servicios ni las APIs de Google que no son compatibles con los Controles del servicio de VPC.¹

¹ Si necesitas restringir los usuarios solo a los servicios y las API de Google que admiten los Controles del servicio de VPC, usa vpc-sc. Aunque los Controles del servicio de VPC se aplican a los servicios compatibles y configurados, sin importar el paquete que uses, vpc-sc ofrece una mitigación adicional de riesgos para el robo de datos. Usar vpc-sc rechaza el acceso a los servicios y a las API de Google que no son compatibles con los Controles del servicio de VPC. Consulta Configura una conectividad privada en la documentación de los Controles del servicio de VPC para obtener más información.

API de Google global única

Puedes usar los backends de Private Service Connect para enviar solicitudes a una API de Google global única compatible. Se admiten las siguientes APIs:

Bigtable: bigtable.googleapis.com y bigtableadmin.googleapis.com
Cloud Logging: logging.googleapis.com
Spanner: spanner.googleapis.com
Cloud Storage: storage.googleapis.com
Pub/Sub: pubsub.googleapis.com

APIs de Google de ubicación

Para obtener una lista de las APIs de Google de ubicación compatibles, consulta Extremos de servicios locales.

Tipos

En las siguientes tablas, se resume la información de compatibilidad para diferentes configuraciones de Private Service Connect.

En las siguientes tablas, una marca de verificación indica que una función es compatible, y un símbolo no indica que la función no es compatible.

Extremos y servicios publicados

En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.

Configuración del consumidor (extremo)	Balanceador de cargas del productor
Configuración del consumidor (extremo)	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional	Reenvío de protocolo interno (instancia de destino)
Acceso global al consumidor	Independientemente de la configuración de acceso global en el balanceador de cargas	Solo si el acceso global está habilitado en el balanceador de cargas	Solo si el acceso global está habilitado en el balanceador de cargas	Independientemente de la configuración de acceso global en el balanceador de cargas
Tráfico interconectado
Tráfico de Cloud VPN
Configuración de DNS automática
Pila de IP	IPv4	IPv4	IPv4	IPv4

Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:

No puedes crear un extremo en la misma red de VPC que el servicio publicado al que accedes.
No se puede acceder a los extremos desde redes de VPC con intercambio de tráfico.
Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
No todas las rutas estáticas con siguientes saltos del balanceador de cargas son compatibles con Private Service Connect. Para obtener más información, consulta Rutas estáticas con siguientes saltos del balanceador de cargas.

En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.

Configuración del productor (servicio publicado)	Balanceador de cargas del productor
Configuración del productor (servicio publicado)	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional	Reenvío de protocolo interno (instancia de destino)
Backends de productores compatibles	NEG de GCE_VM_IP Grupos de instancias	NEG de GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	NEG de GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	No aplicable
Protocolo PROXY	Solo el tráfico de TCP			Solo el tráfico de TCP
Modos de afinidad de sesión	NINGUNO (5 tuplas) CLIENT_IP_PORT_PROTO	No aplicable	No aplicable	No aplicable

Los servicios publicados tienen las siguientes limitaciones:

Los balanceadores de cargas de productores no admiten las siguientes funciones:

Varias reglas de reenvío que usan una dirección IP compartida (SHARED_LOADBALANCER_VIP)
Subconjuntos de backend

Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
Debes usar Google Cloud CLI o la API a fin de crear un adjunto de servicio que apunte a una regla de reenvío que se usa para el reenvío de protocolos internos.
Los siguientes tipos de balanceadores de cargas no proporcionan valores para las métricas BETA; los valores son 0 o faltan:
- Balanceador de cargas de aplicaciones interno regional
- Balanceador de cargas de red del proxy interno regional
Para obtener información sobre problemas y soluciones alternativas, consulta Problemas conocidos.

Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.

Backends y servicios publicados

Un backend de Private Service Connect para servicios publicados requiere dos balanceadores de cargas: un balanceador de cargas del consumidor y un balanceador de cargas del productor. En esta tabla, se describe la compatibilidad entre los diferentes tipos de balanceadores de cargas de consumidores y productores, incluidos los protocolos de servicios de backend que se pueden usar con cada balanceador de cargas de consumidores. Cada fila representa un tipo de balanceador de cargas del consumidor, y cada columna representa un tipo de balanceador de cargas del productor.

Balanceador de cargas de consumidores y protocolos de servicio de backend para consumidores compatibles	Balanceador de cargas del productor
	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional
Balanceador de cargas de aplicaciones externo global (admite varias regiones) Protocolos: HTTPS, HTTP2 Nota: No se admite el balanceador de cargas de aplicaciones clásico.
Balanceador de cargas de aplicaciones externo regional Protocolos: HTTP, HTTPS, HTTP2
Balanceador de cargas de aplicaciones interno regional Protocolos: HTTP, HTTPS, HTTP2
Balanceador de cargas de aplicaciones interno entre regiones (vista previa) Protocolos: HTTPS, HTTP2
Balanceador de cargas de red del proxy interno regional Protocolo: TCP
Balanceador de cargas de red del proxy interno entre regiones Protocolo: TCP
Balanceador de cargas de red del proxy externo regional Protocolo: TCP
Balanceador de cargas de red del proxy externo global (vista previa) Protocolo: TCP/SSL Nota: No se admite el balanceador de cargas de red del proxy clásico.

En esta tabla, se describe la configuración de los balanceadores de cargas del productor que son compatibles con los backends de Private Service Connect para servicios publicados.

Configuración	Balanceador de cargas del productor
Configuración	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional
Backends de productores compatibles	NEG de GCE_VM_IP Grupos de instancias	NEG de GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	NEG de GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias
Protocolos de reglas de reenvío	TCP	HTTP HTTPS HTTP/2	TCP
Puertos de regla de reenvío	La regla de reenvío debe hacer referencia a un solo puerto.	La regla de reenvío debe hacer referencia a un solo puerto.	La regla de reenvío debe hacer referencia a un solo puerto.
Protocolo PROXY

Los servicios publicados tienen las siguientes limitaciones:

Los balanceadores de cargas de productores no admiten las siguientes funciones:

Varias reglas de reenvío que usan una dirección IP compartida (SHARED_LOADBALANCER_VIP)
Subconjuntos de backend

Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
Debes usar Google Cloud CLI o la API a fin de crear un adjunto de servicio que apunte a una regla de reenvío que se usa para el reenvío de protocolos internos.
Los siguientes tipos de balanceadores de cargas no proporcionan valores para las métricas BETA; los valores son 0 o faltan:
- Balanceador de cargas de aplicaciones interno regional
- Balanceador de cargas de red del proxy interno regional
Para obtener información sobre problemas y soluciones alternativas, consulta Problemas conocidos.

Para ver una configuración de backend de ejemplo que usa un balanceador de cargas de aplicaciones externo global, consulta Accede a los servicios publicados a través de backends.

Para publicar un servicio, consulta Publica servicios.

Extremos y API de Google globales

En esta tabla, se resumen las características que admiten los extremos que se usan para acceder a las APIs de Google.

Para crear esta configuración, consulta Accede a las APIs de Google a través de extremos.

Configuración	Detalles
Configuración del consumidor (extremo)
Accesibilidad global	Usa una dirección IP global interna
Tráfico interconectado
Tráfico de Cloud VPN
Configuración de DNS automática
Pila de IP	IPv4
Productor
Servicios compatibles	APIs globales de Google compatibles

Backends y API de Google globales

En esta tabla, se describe qué balanceadores de cargas pueden usar un backend de Private Service Connect en una API de Google global.

Configuración	Detalles
Configuración del consumidor (backend de Private Service Connect)
Balanceadores de cargas de consumidores compatibles	Balanceador de cargas de aplicaciones externo global Nota: No se admite el balanceador de cargas de aplicaciones clásico.
Productor
Servicios compatibles	Bigtable: `bigtable.googleapis.com` y `bigtableadmin.googleapis.com` Cloud Logging: `logging.googleapis.com` Spanner: `spanner.googleapis.com` Cloud Storage: `storage.googleapis.com` Pub/Sub: `pubsub.googleapis.com`

Backends y APIs de Google de ubicación

En esta tabla, se describe qué balanceadores de cargas pueden usar un backend de Private Service Connect para acceder a APIs de Google de ubicación.

Para ver un ejemplo de configuración de backend que usa un balanceador de cargas de aplicaciones interno, consulta Accede a las APIs de Google de ubicación a través de backends.

Configuración	Detalles
Configuración del consumidor (backend de Private Service Connect)
Balanceadores de cargas de consumidores compatibles	Balanceador de cargas de aplicaciones interno Protocolos: HTTPS Balanceador de cargas de aplicaciones externo regional Protocolos: HTTPS
Productor
Servicios compatibles	APIs de Google de ubicación compatibles

¿Qué sigue?

Información sobre el acceso a los servicios publicados a través de extremos.
Información sobre el acceso a las APIs de Google a través de extremos.
Obtén más información sobre backends.
Obtén más información sobre cómo publicar servicios.