Private Service Connect の互換性

サービス

Private Service Connect を使用すると、次のサービスにアクセスできます。

Google 公開サービス

Google サービス 提供されるアクセス権
AlloyDB for PostgreSQL AlloyDB for PostgreSQL インスタンスに接続できます。
Apigee Apigee が管理する API をインターネットに公開できます。また、Apigee からバックエンド ターゲット サービスにプライベート接続することもできます。
Chrome Enterprise Premium Identity-Aware Proxy が App Connector Gateway にアクセスできるようにします。
Cloud Data Fusion Cloud Data Fusion インスタンスを VPC ネットワーク内のリソースに接続できます。
Cloud Composer 2 Cloud Composer テナント プロジェクトにアクセスできます。
Cloud SQL Cloud SQL データベースにプライベート アクセスできます。
Cloud Workstations 限定公開のワークステーション クラスタにアクセスできます。
Database Migration Service Google Cloud にデータを移行できます。
Dataproc Metastore Dataproc Metastore サービスにアクセスできます。
Eventarc Eventarc からイベントを受信できます。
Google Kubernetes Engine(GKE)の一般公開クラスタと限定公開クラスタ 一般公開クラスタまたは限定公開クラスタのノードとコントロール プレーンをプライベート接続できます。
Integration Connectors Integration Connectors がマネージド サービスに非公開でアクセスできるようにします。
Memorystore for Redis Cluster Memorystore for Redis Cluster インスタンスにアクセスできます。
Vertex AI Vector Search ベクトル検索エンドポイントへのプライベート アクセスを提供します。
Vertex AI Predictions Vertex AI オンライン予測へのプライベート アクセスを提供します。

サードパーティの公開サービス

サードパーティのサービス 提供されるアクセス権
Aiven Aiven Kafka クラスタへのプライベート アクセスを提供します。
Citrix DaaS Citrix DaaS へのプライベート アクセスを提供します。
ClickHouse ClickHouse サービスへのプライベート アクセスを提供します。
Confluent Cloud Confluent Cloud クラスタへのプライベート アクセスを提供します。
Databricks Databricks クラスタへのプライベート アクセスを提供します。
Datadog Datadog の intake サービスへのプライベート アクセスを提供します。
Datastax Astra Datastax Astra DB データベースへのプライベート アクセスを提供します。
Elasticsearch Elastic Cloud へのプライベート アクセスを提供します。
JFrog JFrog SaaS インスタンスへのプライベート アクセスを提供します。
MongoDB Atlas MongoDB Atlas へのプライベート アクセスを提供します。
Neo4j Aura Neo4j Aura へのプライベート アクセスを提供します。
Pega Cloud Pega Cloud へのプライベート アクセスを提供します。
Redis Enterprise Cloud Redis Enterprise クラスタへのプライベート アクセスを提供します。
Redpanda Redpanda Cloud へのプライベート アクセスを提供します。
Snowflake Snowflake へのプライベート アクセスを提供します。
Striim Striim Cloud へのプライベート アクセスを提供します。

グローバル Google API

エンドポイントは、グローバル Google API のバンドルまたは単一のリージョン Google API をターゲットにできます。バックエンドは、単一のグローバル Google API または単一のリージョン Google API をターゲットにできます。

グローバル Google API のバンドル

Private Service Connect エンドポイントを使用して、Google API のバンドルにトラフィックを送信できます。

Google API とサービスにアクセスするエンドポイントを作成するときに、すべての APIall-apis)または VPC-SCvpc-sc)にアクセスするために必要な API のバンドルを選択します。

  • all-apis バンドルを使用すると、すべての *.googleapis.com サービス エンドポイントを含む、ほとんどの Google API とサービスにアクセスできます。

  • vpc-sc バンドルを使用すると、VPC Service Controls をサポートする API とサービスにアクセスできます。

API バンドルは、TCP 上の HTTP ベースのプロトコル(HTTP、HTTPS、HTTP/2)のみをサポートしています。MQTT や ICMP などの他のプロトコルはサポートされていません。

API バンドル サポート対象のサービス 使用例
all-apis

VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。Google マップ、Google 広告、Google Cloud、さらに以下のリストを含む他のほとんどの Google API への API アクセスが含まれます。Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。インタラクティブなウェブサイトはサポートされていません。

一致するドメイン名:

  • accounts.google.com(OAuth 認証に必要なパスのみ)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io または *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev または *.pkg.dev
  • pki.goog または *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

次の状況では all-apis を選択します。

  • VPC Service Controls を使用しない。
  • VPC Service Controls を使用するものの、VPC Service Controls でサポートされていない Google API とサービスにもアクセスする必要がある1
vpc-sc

VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。

VPC Service Controls をサポートしない Google API とサービスへのアクセスをブロックします。Google Workspace API、または Gmail や Google ドキュメントなどの Google Workspace ウェブ アプリケーションはサポートされていません。

VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ vpc-sc を選択します。vpc-sc バンドルは VPC Service Controls をサポートしていない Google API とサービスへのアクセスを許可しません1
1 ユーザーがアクセスできる対象を、VPC Service Controls をサポートする Google API とサービスのみに制限する必要がある場合は、vpc-sc を使用します。これにより、データ引き出しのリスクがさらに軽減されます。vpc-sc を使用すると、VPC Service Controls でサポートされていない Google API とサービスへのアクセスは拒否されます。詳細については、VPC Service Controls に関するドキュメントのプライベート接続の設定をご覧ください。

単一のグローバル Google API

Private Service Connect バックエンドを使用して、サポートされている単一のグローバル Google API にリクエストを送信できます。次の API がサポートされています。

リージョン Google API

エンドポイントまたはバックエンドを使用して、リージョン Google API にアクセスできます。サポートされているリージョン Google API のリストを表示するには、リージョン サービス エンドポイントをご覧ください。

種類

次の表は、Private Service Connect の各構成の互換性情報をまとめたものです。

次の表で、 は機能がサポートされていることを示し、 は機能がサポートされていないことを示します。

エンドポイントと公開サービス

このセクションでは、エンドポイントを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。

コンシューマーの構成

次の表は、公開サービスにアクセスするエンドポイントでサポートされる構成オプションと機能をまとめたものです。

コンシューマーの構成(エンドポイント) プロデューサー ロードバランサ
内部パススルー ネットワーク ロードバランサ リージョン内部アプリケーション ロードバランサ リージョン内部プロキシ ネットワーク ロードバランサ 内部プロトコル転送(ターゲット インスタンス)
コンシューマーのグローバル アクセス

ロードバランサのグローバル アクセス設定に依存しない

サービス アタッチメントの作成前にロードバランサでグローバル アクセスが有効になっている場合のみ

サービス アタッチメントの作成前にロードバランサでグローバル アクセスが有効になっている場合のみ

ロードバランサのグローバル アクセス設定に依存しない

相互接続のトラフィック
Cloud VPN のトラフィック
DNS の自動構成 IPv4 のみ IPv4 のみ IPv4 のみ IPv4 のみ
接続の伝播 IPv4 のみ IPv4 のみ IPv4 のみ IPv4 のみ
IPv4 エンドポイント
  • IPv4 プロデューサーの転送ルール
  • IPv4 プロデューサーの転送ルール
  • IPv4 プロデューサーの転送ルール
  • IPv4 プロデューサーの転送ルール
IPv6 エンドポイント(プレビュー)

公開サービスにアクセスするエンドポイントには、次の制限があります。

  • アクセスしている公開サービスと同じ VPC ネットワークにエンドポイントを作成することはできません。

  • エンドポイントは、ピアリングされた VPC ネットワークからアクセスできません。

  • Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。

  • ロードバランサのネクストホップを使用するすべての静的ルートが Private Service Connect でサポートされているわけではありません。詳細については、ロードバランサのネクストホップを使用する静的ルートをご覧ください。

  • 接続テストでは、IPv6 エンドポイントと公開サービス間の接続をテストできません。

プロデューサーの構成

この表は、エンドポイントがアクセスする公開サービスでサポートされる構成オプションと機能をまとめたものです。

プロデューサーの構成(公開サービス) プロデューサー ロードバランサ
内部パススルー ネットワーク ロードバランサ リージョン内部アプリケーション ロードバランサ リージョン内部プロキシ ネットワーク ロードバランサ 内部プロトコル転送(ターゲット インスタンス)

サポートされるプロデューサー バックエンド
  • GCE_VM_IP NEG
  • インスタンス グループ
  • ポート マッピング NEG
  • GCE_VM_IP_PORT NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
  • GCE_VM_IP_PORT NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
 該当なし
PROXY プロトコル TCP トラフィックのみ TCP トラフィックのみ
セッション アフィニティ モード なし(5 タプル)
CLIENT_IP_PORT_PROTO		 該当なし 該当なし 該当なし
IP バージョン
  • IPv4 プロデューサーの転送ルール
  • IPv6 プロデューサーの転送ルール(プレビュー)
  • IPv4 プロデューサーの転送ルール
  • IPv4 プロデューサーの転送ルール
  • IPv4 プロデューサーの転送ルール
  • IPv6 プロデューサーの転送ルール(プレビュー)

公開サービスには次の制限があります。

問題と回避策については、既知の問題をご覧ください。

サポートされるポート構成は、ロードバランサによって異なります。ロードバランサには、単一のポートをサポートするものと、ポートの範囲をサポートするものと、すべてのポートをサポートするものがあります。詳細については、ポートの仕様をご覧ください。

バックエンドと公開サービス

公開サービス用の Private Service Connect バックエンドには、コンシューマー ロードバランサとプロデューサー ロードバランサという 2 つのロードバランサが必要です。このセクションでは、バックエンドを使用して公開サービスにアクセスするときに、コンシューマーとプロデューサーが使用できる構成オプションについて説明します。

コンシューマーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされているコンシューマー ロードバランサを示します。各コンシューマー ロードバランサで使用できるバックエンド サービス プロトコルも示します。コンシューマー ロードバランサは、サポートされているプロデューサー ロードバランサでホストされている公開サービスにアクセスできます。

コンシューマー ロードバランサ プロトコル IP バージョン

グローバル外部アプリケーション ロードバランサ複数のリージョンをサポート)

注: 従来のアプリケーション ロードバランサはサポートされていません。
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

リージョン外部アプリケーション ロードバランサ
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

リージョン内部アプリケーション ロードバランサ
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

クロスリージョン内部アプリケーション ロードバランサ
  • HTTP
  • HTTPS
  • HTTP2
 IPv4

リージョン内部プロキシ ネットワーク ロードバランサ
  • TCP
 IPv4

クロスリージョン内部プロキシ ネットワーク ロードバランサ
  • TCP
 IPv4

リージョン外部プロキシ ネットワーク ロードバランサ
  • TCP
 IPv4

グローバル外部プロキシ ネットワーク ロードバランサ

このロードバランサを Private Service Connect NEG に関連付けるには、Google Cloud CLI を使用するか、API リクエストを送信します。

注: 従来のプロキシ ネットワーク ロードバランサはサポートされていません。
  • TCP / SSL
 IPv4

プロデューサーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされるプロデューサー ロードバランサの構成を示します。

構成 プロデューサー ロードバランサ
内部パススルー ネットワーク ロードバランサ リージョン内部アプリケーション ロードバランサ リージョン内部プロキシ ネットワーク ロードバランサ
サポートされるプロデューサー バックエンド
  • GCE_VM_IP NEG
  • インスタンス グループ
  • GCE_VM_IP_PORT NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
  • GCE_VM_IP_PORT NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
転送ルール プロトコル
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
転送ルールのポート 単一ポートを使用することをおすすめします。プロデューサー ポートの構成をご覧ください。 単一のポートをサポート 単一のポートをサポート
PROXY プロトコル
IP バージョン IPv4 IPv4 IPv4

公開サービスには次の制限があります。

問題と回避策については、既知の問題をご覧ください。

グローバル外部アプリケーション ロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。

サービスを公開するには、サービスを公開するをご覧ください。

エンドポイントとグローバル Google API

次の表は、Google API へのアクセスに使用されるエンドポイントでサポートされている機能をまとめたものです。

この構成を作成するには、エンドポイントを介して Google API にアクセスするをご覧ください。

構成 詳細
コンシューマーの構成(エンドポイント)
グローバルなネットワーク到達性 内部グローバル IP アドレスを使用
相互接続のトラフィック
Cloud VPN のトラフィック
DNS の自動構成
IP バージョン IPv4
プロデューサー
サポート対象のサービス サポートされているグローバル Google API

バックエンドとグローバル Google API

次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。

構成 詳細
コンシューマの構成(Private Service Connect バックエンド)
サポートされているコンシューマー ロードバランサ

  • グローバル外部アプリケーション ロードバランサ

    注: 従来のアプリケーション ロードバランサはサポートされていません。

  • クロスリージョン内部アプリケーション ロードバランサ
IP バージョン IPv4
プロデューサー
サポート対象のサービス

エンドポイントとリージョン Google API

Private Service Connect エンドポイントを使用して、単一のリージョン Google API にアクセスできます。サポートされているリージョン API のリストを表示するには、リージョン サービス エンドポイントをご覧ください。

バックエンドとリージョン Google API

次の表では、Private Service Connect バックエンドを使用してリージョン Google API にアクセスできるロードバランサについて説明します。

内部アプリケーション ロードバランサを使用するバックエンド構成例については、バックエンド経由でリージョン Google API にアクセスするをご覧ください。

構成 詳細
コンシューマの構成(Private Service Connect バックエンド)
サポートされているコンシューマー ロードバランサ

  • 内部アプリケーション ロードバランサ

    プロトコル: HTTPS

  • リージョン外部アプリケーション ロードバランサ

    プロトコル: HTTPS
IP バージョン IPv4
プロデューサー
サポート対象のサービス サポートされているリージョンの Google API

次のステップ