Private Service Connect-Kompatibilität (original) (raw)
Mit Private Service Connect können Dienstnutzer private Verbindungen zu verwalteten Diensten herstellen, die von Diensterstellern bereitgestellt werden. Da es mehrere Arten von Private Service Connect-Verbindungen gibt, hilft es Ihnen, die Funktionen zu verstehen, um eine unterstützte Netzwerkarchitektur zu entwerfen, bevor Sie Private Service Connect als Nutzer oder Ersteller bereitstellen.
Informationen zu Google- und Drittanbieterdiensten, die Private Service Connect unterstützen, finden Sie in den Listen der unterstützten Google- und Drittanbieterdienste.
Informationen zur Kompatibilität und zu Optionen für verschiedene Arten von Private Service Connect-Verbindungen, einschließlich Details zu unterstützten Load Balancern, IP-Versionen, Protokollen und anderen Funktionen, finden Sie unter Unterstützte Verbindungstypen.
Dienste
Sie können über Private Service Connect auf die folgenden Dienste zugreifen.
Veröffentlichte Google-Dienste
Veröffentlichte Dienste von Drittanbietern
Selbstverwaltete veröffentlichte Dienste
| Quelle Ihres Dienstes | Diensterstellerkonfiguration | Konfiguration von Dienstnutzern |
|---|---|---|
| Cloud Load Balancing | Dienst veröffentlichen | Endpunkt für den Zugriff auf den veröffentlichten Dienst erstellen Backend für den Zugriff auf den veröffentlichten Dienst erstellen |
| Google Kubernetes Engine (GKE) | Dienst veröffentlichen:Leiten Sie Anfragen über einen internen LoadBalancer-Dienst an Ihren Dienst weiter und veröffentlichen Sie den Dienst über einen ServiceAttachment. | Endpunkt für den Zugriff auf den veröffentlichten Dienst erstellen Backend für den Zugriff auf den veröffentlichten Dienst erstellen |
| Cloud Run und Cloud Run Functions (2. Generation) | Wählen Sie eine der folgenden Optionen aus: run.app URL: Keine zusätzliche Konfiguration erforderlich cloudfunctions.net URL (nur für Cloud Run Functions): Keine zusätzliche Konfiguration erforderlich Veröffentlichter Dienst: Leiten Sie Anfragen über einen Load Balancer mit einer serverlosen NEG an Ihren Dienst weiter und veröffentlichen Sie den Dienst. | Wählen Sie die Nutzeroption aus, die der Konfiguration des Diensterstellers entspricht: cloudfunctions.net- und run.app-URLs: Endpunkt erstellen, um auf diese URLs zuzugreifen Veröffentlichter Dienst: Endpunkt für den Zugriff auf den veröffentlichten Dienst erstellen Backend für den Zugriff auf den veröffentlichten Dienst erstellen |
| Cloud Run Functions (1. Generation) | cloudfunctions.net URL: Keine zusätzliche Konfiguration erforderlich | Endpunkt erstellen, um auf cloudfunctions.net-URLs zuzugreifen |
| App Engine | Keine zusätzliche Konfiguration erforderlich | Endpunkt erstellen, um auf appspot.com-URLs zuzugreifen |
Globale Google APIs
Endpunkte können auf ein Bundle mit globalen Google APIs oder auf eine einzelne regionale Google API ausgerichtet sein. Backends können auf eine einzelne globale oder regionale Google API ausgerichtet sein.
Bündel globaler Google APIs
Sie können Private Service Connect-Endpunkte verwenden, um Traffic an ein Bundle von Google APIs zu senden.
Wenn Sie einen Endpunkt für den Zugriff auf Google APIs und Google-Dienste erstellen, wählen Sie aus, auf welches API-Bundle Sie zugreifen müssen: Alle APIs (all-apis) oder VPC-SC (vpc-sc).
- Das
all-apis-Bundle bietet Zugriff auf die meisten Google APIs und Google-Dienste, einschließlich aller*.googleapis.com-Dienstendpunkte. - Das
vpc-sc-Paket bietet Zugriff auf APIs und Dienste, die VPC Service Controls unterstützen.
Die API-Bundles unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.
| API-Bundle | Unterstützte Dienste | Nutzungsbeispiel |
|---|---|---|
| all-apis | Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Google Maps, Google Ads, Google Cloudund die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen wie Gmail und Google Docs. Interaktive Websites werden nicht unterstützt. Domainnamen, die übereinstimmen: accounts.google.com (unterstützt nur Pfade, die für die OAuth-Authentifizierung von Dienstkonten erforderlich sind; die Authentifizierung von Nutzerkonten ist interaktiv und wird nicht unterstützt) *.aiplatform-notebook.cloud.google.com *.aiplatform-notebook.googleusercontent.com appengine.google.com *.appspot.com *.backupdr.cloud.google.com backupdr.cloud.google.com *.backupdr.googleusercontent.com backupdr.googleusercontent.com *.cloudfunctions.net *.cloudproxy.app *.composer.cloud.google.com *.composer.googleusercontent.com *.datafusion.cloud.google.com *.datafusion.googleusercontent.com *.dataproc.cloud.google.com dataproc.cloud.google.com *.dataproc.googleusercontent.com dataproc.googleusercontent.com *.developerconnect.dev dl.google.com gcr.io oder *.gcr.io *.googleapis.com *.gke.goog gstatic.com oder *.gstatic.com *.kernels.googleusercontent.com *.ltsapis.goog *.notebooks.byoid.googleusercontent.com *.notebooks.cloud.google.com notebooks.cloud.google.com *.notebooks.googleusercontent.com packages.cloud.google.com pkg.dev oder *.pkg.dev pki.goog oder *.pki.goog *.run.app source.developers.google.com storage.cloud.google.com | Wählen Sie unter folgenden Umständen all-apis aus: Sie verwenden VPC Service Controls nicht. Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden.1 |
| vpc-sc | Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden. Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace APIs oder Google Workspace-Webanwendungen wie Gmail und Google Docs. | Wählen Sie vpc-sc aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. Das vpc-sc-Bundle erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.1 |
1Hinweis: Wenn Sie Nutzer auf die Google APIs und Google-Dienste beschränken müssen, die VPC Service Controls unterstützen, verwenden Sie vpc-sc. Es bietet eine zusätzliche Risikominderung bei der Daten-Exfiltration. Die Verwendung von vpc-sc verweigert den Zugriff auf Google APIs und Google-Dienste, die nicht von VPC Service Controls unterstützt werden. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Private Verbindung zu Google APIs und Google-Diensten einrichten.
Einzelne globale Google API
Sie können Private Service Connect-Backends verwenden, um Anfragen an eine einzelne unterstützte globale Google API zu senden. Die folgenden APIs werden unterstützt:
- Bigtable:
bigtable.googleapis.comundbigtableadmin.googleapis.com - Cloud Logging:
logging.googleapis.com - Cloud Spanner:
spanner.googleapis.com - Cloud Storage:
storage.googleapis.com - Pub/Sub:
pubsub.googleapis.com
Regionale Google APIs
Sie können Endpunkte oder Back-Ends für den Zugriff auf regionale Google APIs verwenden. Eine Liste der unterstützten regionalen Google APIs finden Sie unter Regionale Dienstendpunkte.
Typen
Die folgenden Tabellen enthalten eine Übersicht über die Kompatibilitätsinformationen für verschiedene Private Service Connect-Konfigurationen.
In den folgenden Tabellen weist ein Häkchen darauf hin, dass ein Feature unterstützt wird, und ein Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.
Endpunkte und veröffentlichte Dienste
In diesem Abschnitt sind die Konfigurationsoptionen zusammengefasst, die Nutzern und Erstellern zur Verfügung stehen, wenn sie Endpunkte zum Zugriff auf veröffentlichte Dienste verwenden.
Nutzerkonfiguration
In dieser Tabelle sind die unterstützten Konfigurationsoptionen und -funktionen von Endpunkten, die auf veröffentlichte Dienste zugreifen, nach Zielerstellertyp zusammengefasst.
Für Endpunkte, die auf einen veröffentlichten Dienst zugreifen, gelten die folgenden Einschränkungen:
- Sie können keinen Endpunkt im selben VPC-Netzwerk wie der veröffentlichte Dienst erstellen, auf den Sie zugreifen.
- Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
- Nicht alle statischen Routen mit Load-Balancern als nächste Hops werden mit Private Service Connect unterstützt. Weitere Informationen finden Sie unter Statische Routen mit Load-Balancern als nächste Hops.
- Konnektivitätstests können nicht die Konnektivität zwischen einem IPv6-Endpunkt und einem veröffentlichten Dienst testen.
Erstellerkonfiguration
In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.
| Produzententyp | Erstellerkonfiguration (veröffentlichter Dienst) | |
|---|---|---|
| Unterstützte Ersteller-Back-Ends | PROXY-Protokoll (nur TCP-Traffic) | IP-Version |
| Regionsübergreifender interner Application Load Balancer | Zonale GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen | IPv4 |
| Interner Passthrough-Network Load Balancer | Zonale GCE_VM_IP-NEGs Instanzgruppen | IPv4 IPv6 |
| Interne Protokollweiterleitung (Zielinstanz) | Nicht zutreffend | IPv4 IPv6 |
| Portzuordnungsdienste | NEG für Portzuordnung | IPv4 IPv6 |
| Regionaler interner Application Load Balancer | Zonale GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen Regionale Internet-NEGs | IPv4 |
| Regionaler interner Proxy-Network Load Balancer | Zonale GCE-VM_IP_PORT-NEGs Hybrid-NEGs Private Service Connect-NEGs Instanzgruppen | IPv4 |
| Sicherer Web-Proxy | Nicht zutreffend | IPv4 |
Für veröffentlichte Dienste gelten folgende Einschränkungen:
- Load Balancer, die mit mehreren Protokollen konfiguriert sind (Protokoll auf
L3_DEFAULTfestgelegt), werden nicht unterstützt. - Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
- Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.
Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.
Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.
Back-Ends und veröffentlichte Dienste
Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In diesem Abschnitt sind die Konfigurationsoptionen zusammengefasst, die Nutzern und Erstellern zur Verfügung stehen, wenn sie Back-Ends zum Zugriff auf veröffentlichte Dienste verwenden.
Nutzerkonfiguration
In dieser Tabelle werden die Nutzer-Load Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden. Außerdem wird angegeben, welche Back-End-Dienstprotokolle mit jedem Nutzer-Load Balancer verwendet werden können. Die Nutzer-Load Balancer können auf veröffentlichte Dienste zugreifen, die auf unterstützten Ersteller-Load Balancern gehostet werden.
| Nutzer-Load Balancer | Protokolle | IP-Version | Regionenübergreifende Failover |
|---|---|---|---|
| Regionsübergreifender interner Application Load Balancer | HTTP HTTPS HTTP2 | IPv4 | |
| Regionsübergreifender interner Proxy-Network Load Balancer | TCP | IPv4 | |
| Globaler externer Application Load Balancer Hinweis: Der klassische Application Load Balancer wird nicht unterstützt. Die Verbindung zu regionalen internen Proxy-Network Load Balancern des Producers wird nicht unterstützt. | HTTP HTTPS HTTP2 | IPv4 | |
| Globaler externer Proxy-Network Load Balancer Wenn Sie diesen Load Balancer mit einer Private Service Connect-NEG verknüpfen möchten, verwenden Sie die Google Cloud CLI oder senden Sie eine API-Anfrage. Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt. | TCP/SSL | IPv4 | |
| Regionaler externer Application Load Balancer | HTTP HTTPS HTTP2 | IPv4 | |
| Regionaler externer Proxy-Network-Load-Balancer | TCP | IPv4 | |
| Regionaler interner Application Load Balancer | HTTP HTTPS HTTP2 | IPv4 | |
| Regionaler interner Proxy-Network Load Balancer | TCP | IPv4 |
Erstellerkonfiguration
In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden.
| Produzententyp | Erstellerkonfiguration (veröffentlichter Dienst) | ||||
|---|---|---|---|---|---|
| Unterstützte Ersteller-Back-Ends | Weiterleitungsregelprotokolle | Weiterleitungsregelports | Proxyprotokoll | IP-Version | Unterstützung für zusammengesetzte Systemdiagnosen |
| Regionsübergreifender interner Application Load Balancer | Zonale GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen | TCP HTTP HTTPS HTTP/2 gRPC | Unterstützt einen, mehrere oder alle Ports | IPv4 | |
| Interner Passthrough-Network Load Balancer | Zonale GCE_VM_IP-NEGs Instanzgruppen | TCP | Weitere Informationen findest du unter Konfiguration des Producer-Ports. | IPv4 | |
| Regionaler interner Application Load Balancer | Zonale GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen | HTTP HTTPS HTTP/2 | Unterstützt einen einzelnen Anschluss | IPv4 | |
| Regionaler interner Proxy-Network Load Balancer Hinweis:Verbindungen von globalen externen Application Load Balancern für Verbraucher werden nicht unterstützt. | Zonale GCE-VM_IP_PORT-NEGs Hybrid-NEGs Private Service Connect-NEGs Instanzgruppen | TCP | Unterstützt einen einzelnen Anschluss | IPv4 | |
| Sicherer Web-Proxy | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | IPv4 |
Für veröffentlichte Dienste gelten folgende Einschränkungen:
- Load Balancer, die mit mehreren Protokollen konfiguriert sind – das Protokoll ist auf
L3_DEFAULTfestgelegt –, werden nicht unterstützt. - Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
- Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.
Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.
Eine Beispiel-Back-End-Konfiguration, die einen globalen externen Application Load Balancer verwendet, finden Sie unter Zugriff auf veröffentlichte Dienste über Back-Ends.
Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.
Endpunkte und globale Google APIs
In dieser Tabelle sind die Features zusammengefasst, die von Endpunkten für den Zugriff auf Google APIs unterstützt werden.
Informationen zum Erstellen dieser Konfiguration finden Sie unter Zugriff auf Google APIs über Endpunkte.
| Konfiguration | Details |
|---|---|
| Nutzerkonfiguration (Endpunkt) | |
| Globale Reichweite | Verwendet eine interne globale IP-Adresse |
| Cloud Interconnect-Traffic | |
| Cloud VPN-Traffic | |
| Zugriff über VPC-Netzwerk-Peering | |
| Verbindungsweitergabe über NCC | |
| Automatische DNS-Konfiguration | |
| IP-Version | IPv4 |
| Ersteller | |
| Unterstützte Dienste | Unterstützte globale Google APIs |
Backends und globale Google APIs
In dieser Tabelle wird beschrieben, welche Load Balancer ein Private Service Connect-Backend auf eine globale Google API verwenden können.
| Konfiguration | Details |
|---|---|
| Nutzerkonfiguration (Private Service Connect-Backend) | |
| Unterstützte Nutzer-Load-Balancer | Globaler externer Application Load Balancer Hinweis: Der klassische Application Load Balancer wird nicht unterstützt. Regionsübergreifender interner Application Load Balancer |
| IP-Version | IPv4 |
| Ersteller | |
| Unterstützte Dienste | Bigtable: bigtable.googleapis.com und bigtableadmin.googleapis.com Cloud Logging: logging.googleapis.com Cloud Spanner: spanner.googleapis.com Cloud Storage: storage.googleapis.com Pub/Sub: pubsub.googleapis.com |
Endpunkte und regionale Google APIs
In dieser Tabelle sind die Funktionen zusammengefasst, die von Endpunkten unterstützt werden, die für den Zugriff auf regionale Google APIs verwendet werden.
| Konfiguration | Details |
|---|---|
| Nutzerkonfiguration (Endpunkt) | |
| Globale Reichweite | Wenn der globale Zugriff aktiviert ist |
| Cloud Interconnect-Traffic | |
| Cloud VPN-Traffic | |
| Zugriff über VPC-Netzwerk-Peering | |
| Verbindungsweitergabe über NCC | |
| DNS-Konfiguration | Manuelle DNS-Konfiguration |
| IP-Version | IPv4 oder IPv6 |
| Ersteller | |
| Unterstützte Dienste | Unterstützte regionale Google APIs |
Backends und regionale Google APIs
In dieser Tabelle wird beschrieben, welche Load-Balancer ein Private Service Connect-Backend für den Zugriff auf regionale Google APIs verwenden können.
Eine Beispielkonfiguration für einen Backend, der einen internen Application Load Balancer verwendet, finden Sie unter Über Google-Backends auf regionale Google APIs zugreifen.
| Konfiguration | Details |
|---|---|
| Nutzerkonfiguration (Private Service Connect-Backend) | |
| Unterstützte Nutzer-Load-Balancer | Interner Application Load Balancer Protokolle: HTTPS Regionaler externer Application Load Balancer Protokolle: HTTPS |
| IP-Version | IPv4 |
| Ersteller | |
| Unterstützte Dienste | Unterstützte regionale Google APIs |