各項服務的私人存取權選項
本文將概要說明連線至 Google 和第三方 API 與服務的各種私人連線選項。根據預設,沒有外部 IP 位址的虛擬機器 (VM) 無法連線至 VPC 網路以外的任何項目,包括 Google API 和服務。Google Cloud 提供多種選項,可透過 VM 的內部 IP 位址提供服務的私人連線。所有 Google Cloud API 和服務都支援至少下列其中一個私人存取權選項:
- Private Service Connect
- 私人 Google 存取權
- 私人服務存取權
- 虛擬私有雲網路對等互連
您可以設定一或多個選項,這些選項彼此獨立運作。
服務 Google Cloud 類型
Google Cloud 提供兩種服務:
在 Google 的正式版基礎架構上執行的 Google API 和服務。例如:
- Gmail、Google 文件和 Google 地圖等網路應用程式。
- Google API,包括具有
*.googleapis.comAPI 服務端點的 API。 - 透過
*.appspot.com、*.run.app或*.cloudfunctions.net網址提供的無伺服器資源。 - 從
*.gstatic.com網址提供的檔案。
Google 生產基礎架構中的服務可能會透過 Private Service Connect、Private Google Access 或兩者,提供私人連線。
在虛擬私有雲網路的 Compute Engine VM 上執行的虛擬私有雲代管服務。虛擬私有雲代管服務可由 Google 或第三方服務生產者管理。例如:
- Cloud SQL
- Filestore
- Memorystore for Redis
虛擬私有雲代管服務可透過 Private Service Connect、私人服務存取權、虛擬私有雲網路對等互連,或這些選項的組合提供私人連線。
此外,如果您有無伺服器服務,可以從服務連線至虛擬私有雲網路。
連線至 Google API
下表說明連線至 Google 生產基礎架構中代管的 Google API 和服務時,可用的私人存取權選項:
| 選項 | 客戶 | 連線 | 支援的服務 |
|---|---|---|---|
| Google API 的 Private Service Connect 端點 | |||
| Google Cloud 資源或內部部署系統,無論是否擁有外部 IP 位址。 | 連線至 VPC 網路中的 端點,該端點會將要求轉送至 Google API 和服務。 | 支援所有 Google Cloud API,以及大多數其他 Google API 和服務1。 | |
| Google API 的 Private Service Connect 後端 | |||
| Google Cloud 資源或內部部署系統,無論是否擁有外部 IP 位址。 | 連線至虛擬私有雲網路中的 負載平衡器,該平衡器會將要求轉送至 Google API 和服務。 | 支援特定 位置和全球 Google API 與服務。 | |
| Private Google Access | |||
| 沒有外部 IP 位址的Google Cloud 資源。 | 透過虛擬私有雲網路的預設網際網路閘道,連線至 Google API 和服務的標準外部 IP 位址或 Private Google Access 網域和 VIP。 | 支援大多數的 Google API 和服務1。 | |
| 內部部署主機的私人 Google 存取權 | |||
| 有或沒有外部 IP 位址的內部部署主機。 | 透過 Cloud VPN 通道或 VLAN 附件,使用私人 Google 存取權專屬網域和 VIP,從內部部署網路連線至 Google API 和服務。 | 您可以存取的 Google 服務取決於您使用的私人 Google 存取權專屬網域。 | |
連線至虛擬私有雲網路中的服務
下表說明連線至 VPC 代管服務的私人存取選項:
| 選項 | 客戶 | 連線 | 支援的服務 | 用量 |
|---|---|---|---|---|
| 連結至服務 | ||||
| 已發布服務的 Private Service Connect 端點 | ||||
| Google Cloud 有或沒有外部 IP 位址的 VM 執行個體。 | 透過端點連線至其他虛擬私有雲網路中的服務。 | 支援服務供應商使用 Private Service Connect 發布的服務。 | 使用這個選項可在不為 Google Cloud 資源指派外部 IP 位址的情況下,連線至其他虛擬私有雲網路中的支援服務。 | |
| 已發布服務的 Private Service Connect 後端 | ||||
| Google Cloud 有或沒有外部 IP 位址的 VM 執行個體。 | 透過負載平衡器連線至其他虛擬私有雲網路中的服務。 | 支援使用 Private Service Connect 發布的服務 (適用於服務供應商)。 | 使用這個選項,透過消費者管理的負載平衡器,連線至其他虛擬私有雲網路中的支援服務。您不需要為 Google Cloud 資源指派外部 IP 位址。 | |
| 服務連線政策 | ||||
| Google Cloud 有或沒有外部 IP 位址的 VM 執行個體。 | 透過端點連線至其他虛擬私有雲網路中的服務。 | 支援特定 Google 和第三方服務。如要瞭解服務是否支援服務連線政策,請洽詢服務供應商。 | 使用這個選項可部署代管服務執行個體,並透過服務的管理 API 或 UI 設定連線。服務執行個體會部署在生產端虛擬私有雲網路中,並透過端點連線至您的虛擬私有雲網路。您不需要為 Google Cloud 資源指派外部 IP 位址。 | |
| 私人服務存取權 | ||||
| Google Cloud 有或沒有外部 IP 位址的 VM 執行個體。 | 透過虛擬私人雲端網路對等互連連線,連線至 Google 或第三方代管虛擬私人雲端網路。 | 支援 Google 服務2,以及透過 Service Networking API 提供的第三方服務。 | 使用這個選項可在不為 Google Cloud 與 Google 或第三方資源指派外部 IP 位址的情況下,連線至特定 Google 與第三方服務。 | |
從無伺服器 Google 服務連線至虛擬私有雲網路
您可以使用直接虛擬私有雲輸出,讓 Cloud Run、App Engine 標準和 Cloud Run 函式環境將封包傳送至虛擬私有雲網路中資源的內部 IPv4 位址。如果無法使用直接虛擬私有雲輸出,可以改為設定 Serverless VPC Access 連接器。這兩種選項都支援將封包傳送至連線至所選虛擬私有雲網路的其他網路。