服务的专用访问选项
本文档简要介绍了用于建立与 Google 和第三方 API 及服务的专用连接的不同选项。默认情况下,没有外部 IP 地址的虚拟机 (VM) 无法访问其 VPC 网络之外的任何内容,包括 Google API 和服务。Google Cloud 提供了多种选项,可通过虚拟机的内部 IP 地址为服务提供专用连接。所有 Google Cloud API 和服务都支持以下至少一种专用访问通道选项:
- Private Service Connect
- 专用 Google 访问通道
- 专用服务访问通道
- VPC 网络对等互连
您可以配置其中一个或多个选项,这些选项彼此独立运行。
Google Cloud 服务的类型
Google Cloud 提供两种类型的服务:
在 Google 的生产基础设施上运行的 Google API 和服务。示例服务包括:
- Gmail、Google 文档和 Google 地图等 Web 应用。
- Google API,包括具有
*.googleapis.comAPI 服务端点的 API。 - 通过
*.appspot.com、*.run.app或*.cloudfunctions.net网址提供的无服务器资源。 - 通过
*.gstatic.com网址传送的文件。
Google 生产基础架构中的服务可能会通过 Private Service Connect、专用 Google 访问通道或同时通过这两者提供专用连接。
在 VPC 网络中的 Compute Engine 虚拟机上运行的 VPC 托管的服务。VPC 托管的服务可以由 Google 或第三方服务提供方管理。示例服务包括:
- Cloud SQL
- Filestore
- Memorystore for Redis
VPC 托管的服务可以通过 Private Service Connect、专用服务访问通道、VPC 网络对等互连或这些选项的组合来提供专用连接。
此外,如果您有无服务器服务,则可以从该服务连接到 VPC 网络。
连接到 Google API
下表介绍了用于连接到 Google 生产基础架构中托管的 Google API 和服务的专用访问通道选项:
| 选项 | 客户 | 连接 | 支持的服务 |
|---|---|---|---|
| Google API 的 Private Service Connect 端点 | |||
| Google Cloud 资源或本地系统,具有或不具有外部 IP 地址。 | 连接到 VPC 网络中的端点,此端点将请求转发到 Google API 和服务。 | 支持所有 Google Cloud API 以及其他大多数 Google API 和服务1。 | |
| Google API 的 Private Service Connect 后端 | |||
| Google Cloud 资源或本地系统,具有或不具有外部 IP 地址。 | 连接到 VPC 网络中的负载均衡器,该负载均衡器将请求转发到 Google API 和服务。 | 支持选定的位置和全球 Google API 和服务。 | |
| 专用 Google 访问通道 | |||
| 不具有外部 IP 地址的Google Cloud 资源。 | 通过 VPC 网络的默认互联网网关连接到 Google API 和服务的标准外部 IP 地址或专用 Google 访问通道网域和 VIP 地址。 | 支持大多数 Google API 和服务1。 | |
| 本地主机的专用 Google 访问通道 | |||
| 具有或不具有外部 IP 地址的本地主机。 | 使用一个特定于专用 Google 访问通道的网域和 VIP 从本地网络通过 Cloud VPN 隧道或 VLAN 连接来连接到 Google API 和服务。 | 您可以访问的 Google 服务取决于您所使用的特定于专用 Google 访问通道的网域。 | |
连接到 VPC 网络中的服务
下表介绍了用于连接到 VPC 托管的服务的专用访问通道选项:
| 选项 | 客户 | 连接 | 支持的服务 | 用法 |
|---|---|---|---|---|
| 连接到服务 | ||||
| 已发布服务的 Private Service Connect 端点 | ||||
| 具有或不具有外部 IP 地址的Google Cloud 虚拟机实例。 | 通过端点连接到另一个 VPC 网络中的服务。 | 支持使用面向服务提供方的 Private Service Connect 发布的服务。 | 使用此选项可以连接到位于另一个 VPC 网络中的受支持服务,而且无需为 Google Cloud 资源分配外部 IP 地址。 | |
| 已发布服务的 Private Service Connect 后端 | ||||
| 具有或不具有外部 IP 地址的Google Cloud 虚拟机实例。 | 通过负载均衡器连接到其他 VPC 网络中的服务。 | 支持使用面向服务提供方的 Private Service Connect 发布的服务。 | 使用此选项可以通过使用方管理的负载均衡器连接到其他 VPC 网络中受支持的服务。 您无需为 Google Cloud 资源分配外部 IP 地址。 | |
| 服务连接政策 | ||||
| 具有或不具有外部 IP 地址的Google Cloud 虚拟机实例。 | 通过端点连接到另一个 VPC 网络中的服务。 | 支持特定的 Google 和第三方服务。如需了解服务是否支持服务连接政策,请与服务提供商联系。 | 使用此选项可以通过服务的管理 API 或界面来部署托管式服务实例并配置连接。服务实例部署在通过端点连接到 VPC 网络的提供方 VPC 网络中。您无需为 Google Cloud 资源分配外部 IP 地址。 | |
| 专用服务访问通道 | ||||
| 具有或不具有外部 IP 地址的Google Cloud 虚拟机实例。 | 通过 VPC 网络对等连接连接到 Google 或第三方代管的 VPC 网络。 | 支持使用 Service Networking API 提供的 Google 服务2 和第三方服务。 | 使用此选项可以连接到特定 Google 和第三方服务,无需为您的 Google Cloud 和 Google 或第三方资源分配外部 IP 地址。 | |
从无服务器 Google 服务连接到 VPC 网络
您可以使用直接 VPC 出站流量让 Cloud Run、App Engine 标准环境和 Cloud Run functions 环境将数据包发送到 VPC 网络中资源的内部 IPv4 地址。如果您无法使用直接 VPC 出站流量,则可以改为配置无服务器 VPC 访问通道连接器。这两个选项还支持将数据包发送到连接到所选 VPC 网络的其他网络。