Compatibilité avec Private Service Connect

Services

Vous pouvez accéder aux services suivants à l'aide de Private Service Connect.

Services publiés par Google

Service Google Accès fourni
AlloyDB pour PostgreSQL Vous permet de vous connecter à des instances AlloyDB pour PostgreSQL.
Apigee Permet d'exposer les API gérées par Apigee sur Internet. Permet également de se connecter en mode privé à partir d'Apigee aux services de backend cibles.
Chrome Enterprise Premium Permet à Identity-Aware Proxy d'accéder à la passerelle du connecteur d'application.
Cloud Data Fusion Vous permet de connecter des instances Cloud Data Fusion aux ressources des réseaux VPC.
Cloud Composer 2 Permet d'accéder au projet locataire Cloud Composer.
Cloud SQL Permet d'accéder à votre base de données Cloud SQL de manière privée.
Cloud Workstations Permet d'accéder aux clusters de postes de travail privés.
Database Migration Service Permet de migrer vos données vers Google Cloud.
Dataproc Metastore Permet d'accéder aux services Dataproc Metastore.
Eventarc Permet de recevoir des événements provenant d'Eventarc.
Clusters publics et clusters privés Google Kubernetes Engine (GKE) Permet de connecter en mode privé les nœuds et le plan de contrôle d'un cluster public ou privé.
Integration Connectors Permet à Integration Connectors d'accéder en privé à vos services gérés.
Memorystore for Redis Cluster Permet d'accéder aux instances Memorystore for Redis Cluster.
Vertex AI Vector Search Fournit un accès privé aux points de terminaison Vector Searc.
Prédictions Vertex AI Fournit un accès privé à la prédiction en ligne Vertex AI.

Services publiés tiers

Service tiers Accès fourni
Aiven Fournit un accès privé aux clusters Aiven Kafka.
DaaS de Citrix Fournit un accès privé à Citrix DaaS.
ClickHouse Fournit un accès privé aux services ClickHouse.
Confluent Cloud Fournit un accès privé aux clusters Confluent Cloud.
Databricks Fournit un accès privé aux clusters Databricks.
Datadog Fournit un accès privé aux services d'ingestion Datadog.
Datastax Astra Fournit un accès privé aux bases de données DataStax Astra.
Elasticsearch Fournit un accès privé à Elastic Cloud.
JFrog Fournit un accès privé aux instances SaaS JFrog.
MongoDB Atlas Fournit un accès privé à MongoDB Atlas.
Neo4j Aura Fournit un accès privé à Neo4j Aura.
Pega Cloud Fournit un accès privé à Pega Cloud.
Cloud Redis Enterprise Fournit un accès privé aux clusters Redis Enterprise.
Snowflake Fournit un accès privé à Snowflake.
Striim Fournit un accès privé à Striim Cloud.

API Google globales

Les points de terminaison peuvent cibler un groupe d'API Google globales. Les backends peuvent cibler une seule API Google globale.

Groupes d'API Google globales

Vous pouvez utiliser des points de terminaison Private Service Connect pour envoyer du trafic vers un groupe d'API Google. Les backends Private Service Connect vous permettent d'envoyer du trafic vers une API Google individuelle.

Lorsque vous créez un point de terminaison pour accéder aux API et services Google, vous choisissez le groupe d'API auquel vous avez besoin d'accéder : Toutes les API (all-apis) ou VPC-SC (vpc-sc) :

Les bundles d'API n'acceptent que les protocoles HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.

Bundle d'API Services compatibles Exemple d'utilisation
all-apis

Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès des API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste ci-dessous. Non compatible avec les applications Web Google Workspace, telles que Gmail et Google Docs. Non compatible avec les sites Web interactifs.

Noms de domaine correspondant à :

  • accounts.google.com (uniquement les chemins d'accès nécessaires à l'authentification OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io ou *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Choisissez all-apis dans les cas suivants :

  • Vous n'utilisez pas VPC Service Controls.
  • Vous utilisez VPC Service Controls, mais vous devez également accéder aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. 1

vpc-sc

Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls.

Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les API Google Workspace ni avec les applications Web Google Workspace telles que Gmail et Google Docs.

Choisissez vpc-sc si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls. Le bundle vpc-sc n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.1

1 Si vous devez limiter les utilisateurs aux API et services Google compatibles avec VPC Service Controls, utilisez vpc-sc, car il permet de réduire les risques d'exfiltration de données. Utiliser vpc-sc permet de refuser l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la page Configurer une connectivité privée dans la documentation VPC Service Controls.

API Google globale unique

Vous pouvez utiliser des backends Private Service Connect pour envoyer des requêtes à une seule API Google globale compatible. Les API suivantes sont compatibles :

API Google utilisant la localisation

Pour obtenir la liste des API Google compatibles utilisant la localisation, consultez la page Points de terminaison de service localisés.

Types

Les tableaux suivants récapitulent les informations de compatibilité pour différentes configurations de Private Service Connect.

"no" indique qu'une fonctionnalité n'est pas compatible.

Points de terminaison et services publiés

Cette section récapitule les options de configuration disponibles pour les clients et les producteurs lorsqu'ils utilisent des points de terminaison pour accéder aux services de publication.

Configuration du client

Ce tableau récapitule les options et les capacités compatibles avec les points de terminaison qui accèdent à des services publiés.

Configuration du client (point de terminaison) Équilibreur de charge de producteur
Équilibreur de charge réseau passthrough interne Équilibreur de charge d'application interne régional Équilibreur de charge réseau proxy interne régional Transfert de protocole interne (instance cible)
Accès mondial du client

Indépendant du paramètre d'accès global sur l'équilibreur de charge

Uniquement si l'accès global est activé sur l'équilibreur de charge

Uniquement si l'accès global est activé sur l'équilibreur de charge

Indépendant du paramètre d'accès mondial sur l'équilibreur de charge

Trafic d'interconnexion

Trafic Cloud VPN
Configuration DNS automatique IPv4 uniquement IPv4 uniquement IPv4 uniquement IPv4 uniquement
Propagation des connexions IPv4 uniquement IPv4 uniquement IPv4 uniquement IPv4 uniquement
Points de terminaison IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
Points de terminaison IPv6 (preview)
  • Règles de transfert du producteur IPv4 (preview)
  • Règles de transfert du producteur IPv6 (preview)
  • Règles de transfert du producteur IPv4 (preview)
  • Règles de transfert du producteur IPv4 (preview)
  • Règles de transfert du producteur IPv4 (preview)
  • Règles de transfert du producteur IPv6 (Bêta)

Les limites suivantes s'appliquent aux points de terminaison qui accèdent à un service publié :

  • Vous ne pouvez pas créer de point de terminaison dans le même réseau VPC que le service publié auquel vous accédez.

  • Les points de terminaison ne sont pas accessibles à partir des réseaux VPC appairés.

  • La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.

  • Les routes statiques avec des sauts suivants de l'équilibreur de charge ne sont pas toutes compatibles avec Private Service Connect. Pour en savoir plus, consultez la section Routes statiques avec sauts suivants de l'équilibreur de charge.

  • Les tests de connectivité ne peuvent pas tester la connectivité entre un point de terminaison IPv6 et un service publié.

Configuration du producteur

Ce tableau récapitule les options de configuration et les capacités compatibles avec les services publiés auxquels les points de terminaison ont accès.

Configuration du producteur (service publié) Équilibreur de charge de producteur
Équilibreur de charge réseau passthrough interne Équilibreur de charge d'application interne régional Équilibreur de charge réseau proxy interne régional Transfert de protocole interne (instance cible)
Backends de producteur compatibles
  • NEG GCE_VM_IP
  • Groupes d'instances
  • NEG de mappage de port
  • NEG GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
  • NEG GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
Non applicable
Protocole PROXY  Trafic TCP uniquement  Trafic TCP uniquement
Modes d'affinité de session NONE (quintuple)
CLIENT_IP_PORT_PROTO
Non applicable Non applicable Non applicable
Version IP
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv6 (preview)
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv4
  • Règles de transfert du producteur IPv6 (Bêta)

Les limites suivantes s'appliquent aux services publiés :

Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.

Différents équilibreurs de charge prennent en charge différentes configurations de port. Certains équilibreurs de charge acceptent un seul port, d'autres sont compatibles avec une plage de ports et d'autres acceptent tous les ports. Pour en savoir plus, consultez la section Spécifications de ports.

Backends et services publiés

Un backend Private Service Connect pour les services publiés nécessite deux équilibreurs de charge : un équilibreur de charge du client et un équilibreur de charge du producteur. Cette section récapitule les options de configuration disponibles pour les clients et les producteurs lorsqu'ils utilisent des backends pour accéder aux services de publication.

Configuration du client

Ce tableau décrit les équilibreurs de charge client compatibles avec les backends Private Service Connect pour les services publiés, y compris les protocoles de service de backend pouvant être utilisés avec chaque équilibreur de charge du client. Les équilibreurs de charge du client peuvent accéder aux services publiés qui sont hébergés sur des équilibreurs de charge du producteur compatibles.

Équilibreur de charge du client Protocoles Version IP

Équilibreur de charge d'application externe global (compatible avec plusieurs régions)

Remarque : L'équilibreur de charge d'application classique n'est pas compatible.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application externe régional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application interne régional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application interne interrégional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge réseau proxy interne régional

  • TCP
IPv4

Équilibreur de charge réseau interne interrégional

  • TCP
IPv4

Équilibreur de charge réseau proxy externe régional

  • TCP
IPv4

Équilibreur de charge réseau proxy externe global (preview)

Remarque : L'équilibreur de charge réseau classique n'est pas compatible.

  • TCP/SSL
IPv4

Configuration du producteur

Ce tableau décrit la configuration des équilibreurs de charge de producteur compatibles avec les backends Private Service Connect des services publiés.

Configuration Équilibreur de charge de producteur
Équilibreur de charge réseau passthrough interne Équilibreur de charge d'application interne régional Équilibreur de charge réseau proxy interne régional
Backends de producteur compatibles
  • NEG GCE_VM_IP
  • Groupes d'instances
  • NEG GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
  • NEG GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
Protocoles de règles de transfert
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Ports de règle de transfert La règle de transfert doit faire référence à un seul port. La règle de transfert doit faire référence à un seul port. La règle de transfert doit faire référence à un seul port.
Protocole PROXY
Version IP IPv4 IPv4 IPv4

Les limites suivantes s'appliquent aux services publiés :

Pour connaître les problèmes et les solutions, consultez la liste des Problèmes connus.

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge HTTP(S) externe global, consultez la page Accéder aux services publiés via des backends.

Pour publier un service, consultez la page Publier des services.

Points de terminaison et API Google globales

Ce tableau récapitule les fonctionnalités compatibles avec les points de terminaison permettant d'accéder aux API Google.

Pour créer cette configuration, consultez la section Accéder aux API Google via des points de terminaison.

Configuration Détails
Configuration du client (point de terminaison)
Joignabilité globale  Utilise une adresse IP interne globale
Trafic d'interconnexion
Trafic Cloud VPN
Configuration DNS automatique
Version IP IPv4
Services compatibles API Google globales compatibles

Backends et API Google globales

Ce tableau décrit les équilibreurs de charge qui peuvent utiliser un backend Private Service Connect vers une API Google globale.

Configuration Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles
  • Équilibreur de charge d'application externe global

    Remarque : L'équilibreur de charge d'application classique n'est pas compatible.

  • Équilibreur de charge d'application interne interrégional

Version IP IPv4
Producteur
Services compatibles

Backends et API Google utilisant la localisation

Ce tableau décrit les équilibreurs de charge qui peuvent accéder aux API Google utilisant la localisation à l'aide d'un backend Private Service Connect.

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge d'application interne, consultez la page Accéder aux API Google utilisant la localisation via des backends.

Configuration Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles
  • Équilibreur de charge d'application interne

    Protocole : HTTPS

  • Équilibreur de charge d'application externe régional

    Protocole : HTTPS

Version IP IPv4
Producteur
Services compatibles API Google compatibles utilisant la localisation

Étapes suivantes