Glb psc

[aibangjuxin]

我来帮你分析这个跨项目 PSC + GLB 架构的 POC 实现方案。

问题分析

你的核心目标：

Tenant Project (Consumer)          Master Project (Producer)
┌─────────────────────┐            ┌──────────────────────────┐
│  GLB (EXTERNAL_     │            │  Producer 1: Forwarding  │
│  MANAGED)           │───PSC──────│  Rule (ILB)              │
│  Backend: NEG(PSC)  │            │                          │
│                     │            │  Producer 2: GKE Gateway │
└─────────────────────┘            └──────────────────────────┘

关键约束与注意事项

1. PSC Attachment 只支持 Regional

⚠️ 核心限制：
Service Attachment → 只有 Regional 概念
PSC NEG (Consumer 侧) → 也是 Regional 的
GLB → Global，但其 Backend NEG 是 Regional

这意味着：GLB → Regional PSC NEG → Regional Service Attachment 是合法链路。

2. 你遇到的两个报错解析

报错 1：

Global L7 Private Service Connect consumers require the 
Private Service Connect producer load balancer to have 
AllowGlobalAccess enabled

原因：PSC consumer 是 Global L7（GLB），但 Producer 侧的 ILB Forwarding Rule 没有开启 allowGlobalAccess。

修复：

# 对 Master Project 的 ILB Forwarding Rule 开启 Global Access
gcloud compute forwarding-rules update YOUR_ILB_FORWARDING_RULE \
  --region=YOUR_REGION \
  --allow-global-access \
  --project=MASTER_PROJECT_ID

---

报错 2：

Forwarding Rule .../glb-front of type 
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS is not allowed

原因：PSC Service Attachment 不允许 GLOBAL_EXTERNAL_MANAGED 类型的 Forwarding Rule 作为 Producer 的目标。Service Attachment 只接受 Internal 的 Forwarding Rule（ILB）作为 producer target。

✅ 合法的 Producer Target:
   - INTERNAL_MANAGED (Regional ILB L7)
   - INTERNAL (Regional ILB L4)

❌ 不合法的 Producer Target:
   - GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS (你的 GLB)

正确架构设计

graph TD
    subgraph Tenant Project [Consumer]
        GLB[GLB - EXTERNAL_MANAGED<br/>Forwarding Rule: Global]
        URLMAP[URL Map]
        BS[Backend Service]
        NEG[PSC NEG - Regional<br/>Type: private-service-connect]
    end

    subgraph Master Project [Producer]
        SA1[Service Attachment 1<br/>Regional - for ILB]
        SA2[Service Attachment 2<br/>Regional - for GKE Gateway]
        
        subgraph Producer1 [Producer: Standard ILB]
            ILB[Internal ILB<br/>INTERNAL_MANAGED<br/>allowGlobalAccess=true]
            MIG[MIG / NEG Backend]
        end
        
        subgraph Producer2 [Producer: GKE Gateway]
            GKE_GW[GKE Gateway<br/>Internal L7 LB]
            GKE_SVC[K8s Services]
        end
    end

    GLB --> URLMAP --> BS --> NEG
    NEG -->|PSC Connection| SA1
    NEG -->|PSC Connection| SA2
    SA1 --> ILB --> MIG
    SA2 --> GKE_GW --> GKE_SVC

Loading

实现步骤

Step 1：Master Project - 配置 ILB Producer（allowGlobalAccess）

# 创建或更新 ILB，必须开启 allow-global-access
gcloud compute forwarding-rules create producer-ilb-fr \
  --project=MASTER_PROJECT_ID \
  --region=asia-northeast1 \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=PRODUCER_VPC \
  --subnet=PRODUCER_SUBNET \
  --address=RESERVED_IP \
  --ports=443 \
  --target-http-proxy=YOUR_HTTP_PROXY \  # 或 target-https-proxy
  --allow-global-access                  # ← 关键参数

Step 2：Master Project - 创建 Service Attachment

# Service Attachment for ILB Producer
gcloud compute service-attachments create sa-for-ilb \
  --project=MASTER_PROJECT_ID \
  --region=asia-northeast1 \
  --producer-forwarding-rule=producer-ilb-fr \
  --connection-preference=ACCEPT_MANUAL \
  --consumer-accept-list=TENANT_PROJECT_ID=10 \
  --nat-subnets=PSC_NAT_SUBNET

# Service Attachment for GKE Gateway Producer
# GKE Gateway 本质也是 Internal L7 LB，需要找到其对应的 Forwarding Rule
kubectl get gateway YOUR_GATEWAY -o yaml | grep -i "forwardingRule"

# 然后同样创建 SA
gcloud compute service-attachments create sa-for-gke-gw \
  --project=MASTER_PROJECT_ID \
  --region=asia-northeast1 \
  --producer-forwarding-rule=GKE_GW_FORWARDING_RULE \
  --connection-preference=ACCEPT_MANUAL \
  --consumer-accept-list=TENANT_PROJECT_ID=10 \
  --nat-subnets=PSC_NAT_SUBNET

Step 3：Tenant Project - 创建 PSC NEG

# NEG for SA1 (ILB Producer)
gcloud compute network-endpoint-groups create psc-neg-for-ilb \
  --project=TENANT_PROJECT_ID \
  --region=asia-northeast1 \
  --network-endpoint-type=private-service-connect \
  --psc-target-service=projects/MASTER_PROJECT_ID/regions/asia-northeast1/serviceAttachments/sa-for-ilb \
  --network=TENANT_VPC \
  --subnet=TENANT_SUBNET

# NEG for SA2 (GKE Gateway Producer)
gcloud compute network-endpoint-groups create psc-neg-for-gke \
  --project=TENANT_PROJECT_ID \
  --region=asia-northeast1 \
  --network-endpoint-type=private-service-connect \
  --psc-target-service=projects/MASTER_PROJECT_ID/regions/asia-northeast1/serviceAttachments/sa-for-gke-gw \
  --network=TENANT_VPC \
  --subnet=TENANT_SUBNET

Step 4：Tenant Project - 创建 GLB（EXTERNAL_MANAGED）

# 1. 创建 Backend Service（关联 PSC NEG）
gcloud compute backend-services create bs-to-master \
  --project=TENANT_PROJECT_ID \
  --global \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --protocol=HTTPS

# 添加 PSC NEG 作为 backend
gcloud compute backend-services add-backend bs-to-master \
  --project=TENANT_PROJECT_ID \
  --global \
  --network-endpoint-group=psc-neg-for-ilb \
  --network-endpoint-group-region=asia-northeast1

# 2. 创建 URL Map
gcloud compute url-maps create glb-urlmap \
  --project=TENANT_PROJECT_ID \
  --default-service=bs-to-master

# 3. 创建 Target HTTPS Proxy
gcloud compute target-https-proxies create glb-https-proxy \
  --project=TENANT_PROJECT_ID \
  --url-map=glb-urlmap \
  --ssl-certificates=YOUR_CERT

# 4. 创建 Global Forwarding Rule（EXTERNAL_MANAGED）
gcloud compute forwarding-rules create glb-front \
  --project=TENANT_PROJECT_ID \
  --global \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --address=GLOBAL_IP \
  --ports=443 \
  --target-https-proxy=glb-https-proxy

GKE Gateway 特殊注意事项

# GKE Gateway 创建的 Internal LB，需要确认其 Forwarding Rule 名称
# GKE Gateway Controller 自动创建，名称格式通常为：
gcloud compute forwarding-rules list \
  --project=MASTER_PROJECT_ID \
  --filter="loadBalancingScheme=INTERNAL_MANAGED" \
  --format="table(name, region, IPAddress, loadBalancingScheme)"

# GKE Gateway 对应的 ILB 默认不开启 Global Access
# 需要通过 GatewayClass 或手动 patch 开启

# GKE Gateway 开启 Global Access 的方式（如果 GatewayClass 支持）
apiVersion: gateway.networking.k8s.io/v1beta1
kind: Gateway
metadata:
  name: internal-gateway
  annotations:
    networking.gke.io/load-balancer-ip: "RESERVED_IP"
spec:
  gatewayClassName: gke-l7-rilb  # Regional Internal L7
  listeners:
  - name: https
    port: 443
    protocol: HTTPS

⚠️ GKE Gateway 目前对 allowGlobalAccess 的支持需确认你的 GKE 版本，部分版本需要手动对生成的 Forwarding Rule 执行 update --allow-global-access。

关键约束汇总

约束点	说明
Service Attachment 类型	只接受 INTERNAL / INTERNAL_MANAGED 的 FR
Global Access	Producer ILB 必须开启 allowGlobalAccess
PSC NEG 位置	Regional（需与 SA 同 Region）
GLB Backend	通过 Regional PSC NEG 连接，GLB 本身是 Global
GKE Gateway FR	自动生成，需手动确认并开启 Global Access
PSC NAT Subnet	Master Project 需要专用 PSC NAT 子网

验证命令

# 验证 PSC 连接状态
gcloud compute service-attachments describe sa-for-ilb \
  --project=MASTER_PROJECT_ID \
  --region=asia-northeast1

# 查看 Consumer Connection 状态
gcloud compute service-attachments list \
  --project=MASTER_PROJECT_ID \
  --filter="region:asia-northeast1"

# 验证 NEG 状态
gcloud compute network-endpoint-groups describe psc-neg-for-ilb \
  --project=TENANT_PROJECT_ID \
  --region=asia-northeast1

[aibangjuxin]

Hello. I’ve processed your context. We are shifting from a Classic HTTP(S) LB to the Global External Application Load Balancer (L7), leveraging Private Service Connect (PSC) to bridge your Master Project (Producer) and Tenant Project (Consumer).
This is a structural improvement that moves you toward a modern, managed edge with Cloud Armor and mTLS capabilities.

1. Analysis of the Architecture & Constraints
   You are attempting to connect a Global External ALB in the Tenant Project to a Regional Service Attachment in the Master Project.
   Key Technical Blockers:

• The "Global Access" Requirement: Even though the Service Attachment is regional, the Global External ALB requires the Producer’s Internal Load Balancer (ILB) to have the allowGlobalAccess flag set to true. Without this, the Global Frontend cannot "see" the regional producer.
• The Forwarding Rule Error: The error type GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS is not allowed usually suggests a Quotas/Capabilities issue or an Organization Policy restriction (e.g., constraints/compute.restrictLoadBalancerCreationForTypes).

2. Proposed Architecture (PoC)
   We will use the PSC Negative (Network Endpoint Group) as the bridge.
   | Component | Location | Details |
   |---|---|---|
   | Frontend | Tenant Project | Global External ALB (EXTERNAL_MANAGED) |
   | Backend Service | Tenant Project | Connects to the PSC NEG |
   | PSC NEG | Tenant Project | Targets the Service Attachment URL from Master |
   | Service Attachment | Master Project | Points to GKE Gateway or Internal Forwarding Rule |
   | Producer LB | Master Project | Must have allowGlobalAccess: true |
3. Implementation Steps (CLI/YAML Focus)
   Step A: Master Project (Producer) - GKE Gateway
   If you are using the GKE Gateway API, your Gateway resource must trigger the creation of an Internal Load Balancer that allows global access.
   apiVersion: gateway.networking.k8s.io/v1
   kind: Gateway
   metadata:
   name: master-producer-gw
   annotations:
   networking.gke.io/load-balancer-type: "Internal"

   Ensure the generated Forwarding Rule has allowGlobalAccess

   networking.gke.io/internal-load-balancer-allow-global-access: "true"
   spec:
   gatewayClassName: gke-l7-rilb
   listeners:

• name: http
  protocol: HTTP
  port: 80

Step B: Tenant Project (Consumer) - Create PSC NEG
You cannot point the GLB directly to the cross-project service; you must wrap it in a PSC NEG.

1. Create the PSC NEG in the Tenant Project

gcloud compute network-endpoint-groups create psc-neg-to-master
--network-endpoint-type=private-service-connect
--psc-target-service=projects/[MASTER_PROJECT]/regions/[REGION]/serviceAttachments/[ATTACHMENT_NAME]
--region=[REGION]
--project=[TENANT_PROJECT]

2. Create Backend Service (Global)

gcloud compute backend-services create glb-backend-to-master
--load-balancing-scheme=EXTERNAL_MANAGED
--protocol=HTTP2
--global

3. Add NEG to Backend

gcloud compute backend-services add-backend glb-backend-to-master
--network-endpoint-group=psc-neg-to-master
--network-endpoint-group-region=[REGION]
--global

4. Critical Checks & Risks

• Network Limits: The Global External ALB uses the Google Front End (GFE). The connection between the GFE and your PSC NEG happens over the Google backbone. Ensure your Consumer project has enough PSC_NEG_CONNECTION_QUOTA.
• MTLS & Cloud Armor: Since you are now using EXTERNAL_MANAGED, you can attach Cloud Armor policies directly to the Backend Service in the Tenant project. This is a massive security upgrade over the Classic LB.
• The "Not Allowed" Error: Check if your Organization has a policy preventing EXTERNAL_MANAGED load balancers. Run:
  gcloud resource-manager org-policies describe compute.restrictLoadBalancerCreationForTypes --project=[PROJECT_ID]

5. Validation Strategy

• Producer Health: Confirm the GKE Service Attachment is STATUS: ACCEPTED.
• NEG Health: Check gcloud compute network-endpoint-groups list-network-endpoints. It should show the attachment status.
• Pathing: Test via curl -v to the Global IP. Note that the first propagation of Global Certificates/Rules can take 7–10 minutes.
  Would you like me to provide the specific GKE ServiceAttachment manifest for your Master project to ensure the natSubnets and connectionPreference are correctly configured for multi-tenancy?

[aibangjuxin]

你说得对，我刚才把 producer / consumer 关系说反了；你现在要的是“GLB 在 A 项目当 consumer，用 PSC NEG 去接 B 项目的 service attachment（producer）+ ILB”。[1][2]

下面我按你给的拓扑，把关键注意点和你看到那两个错误放回到正确的方向上。

---

1. 目标拓扑确认（方向纠正后）

你要的架构：

• A Project（入口层）
  • Global External Application Load Balancer（EXTERNAL_MANAGED）
  • Backend service 的 backend 是 PSC NEG（NEG type = PRIVATE_SERVICE_CONNECT），指向 B 项目里某个 service attachment
• B Project（服务层）
  • Internal HTTP(S) Load Balancer（INTERNAL_MANAGED，L7 ILB，regional）
  • Backend Service（GKE / VM / MIG）
  • 以 ILB 为 target 创建 Service Attachment（Producer PSC）
• 整体数据流：
  • Internet / 外部客户端 → A Project GLB → PSC NEG → B Project Service Attachment → B Project ILB → GKE / VM。[2][3][1]

这个模式就是官方叫的 “Global external Application Load Balancer + PSC NEG 访问 published service（service attachment）” 的标准架构，只是你把 ILB + service attachment 放在另一个 project。[3][4][1][2]

---

2. 全局 L7 PSC consumer 对 GLB 的要求（你这条链路上的角色）

报错一：

Global L7 Private Service Connect consumers require the Private Service Connect producer load balancer to have AllowGlobalAccess enabled

虽然你现在是“GLB 作为 PSC consumer”，但这条错误信息是站在 PSC 的视角：

• 当 consumer 是 Global L7（Global external ALB） 时，它所连接的 producer 侧的 LB（通常是 internal HTTPS LB）要满足“支持 global access 的流量路径”。[4][5][1]

对你当前拓扑来说具体含义是：

• B Project：
  • Producer = ILB + service attachment。
  • 如果 B Project 那个 ILB 是 L7 Internal HTTPS LB，它需要启用 allowGlobalAccess，才可以被 Global L7 PSC consumer 用来做 “Global L7 PSC”。[6][2]
• A Project：
  • Consumer = Global external ALB，后端是 PSC NEG。
  • 你在 A project 上做的一切（GLB + PSC NEG）没问题，但如果 B 侧 ILB 没开 global access / 不满足 PSC 文档要求，就会在创建 NEG 或连接时看到“Global L7 PSC consumers require … AllowGlobalAccess enabled”。[1][2][4]

所以方向纠正后，这个错误的检查点在 B 项目的 ILB，不是 A 项目的 GLB：

1. 确认 B 项目 ILB 的 forwarding rule / backend service 配置里，允许 global access 的选项已经打开（internal HTTPS LB 有 distinct 的 global access 开关）。[7][2]
2. 如果你是早期创建的 ILB，可能不支持改；有时需要重新创建一个支持 global access 的 internal HTTPS LB，再挂 service attachment。[6][7]

---

3. “GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS is not allowed” 在这个架构里的位置

报错二：

Forwarding Rule …/global/forwardingRules/glb-front of type GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS is not allowed

这条就非常清晰：

• 它是 A Project 中 你的 GLB 的 global forwarding rule 被组织策略拦截了；
• 类型是 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS，即 Global External Application Load Balancer 对应的 forwarding rule 类型被禁止创建。[8]

和方向无关，问题就是：

• Org Policy（组织级/文件夹级）上有 constraints/compute.restrictLoadBalancerCreationForTypes 或类似的约束，没允许 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS。[8]
• 任何 Global external ALB（经典或新架构 EXTERNAL_MANAGED）都会触发这个约束。

结合你的架构，这里的结论是：

• 你的 PSC consumer 是 A 项目的 GLB；
• 只要这个 org policy 不改，你的整个 PoC 根本起不来，因为第一步 GLB 就创建不出来。

你需要平台 / 安全那边做到：

1. 在 Org Policy 中允许 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS 类型；
2. 最好是只在 PoC / sandbox project 开放，避免和现有规范冲突。[8]

---

4. 按你拓扑做 PoC 的“正确步骤”

这里我用你给的链路排列，把每步要注意什么写清楚（不管你用 Console 还是 Terraform/gcloud，逻辑是一样的）：

步骤 1：在 B Project 搭好 Internal LB + Service Attachment（Producer）

1. 创建 B 项目的 Internal HTTPS LB：

   • scheme: INTERNAL_MANAGED
   • protocol: HTTPS（或 HTTP + TLS 终止在 backend，看你需求）
   • backend service：指向 GKE / VM / MIG，对健康检查正常。[2][6]
   • 开启 global access 支持（AllowGlobalAccess）。
     这是为了让它可以作为 “Global L7 PSC producer”，否则你会踩前面的错误。[7][2]

2. 创建 Service Attachment：

   • region: 和 ILB 同一个 region（例如 asia-northeast1）。
   • target service：指向上面的 ILB backend service / forwarding rule（看文档中该类型 ILB 的绑定方式）。[9][2]
   • 配置：
     • NAT subnet（PSC NAT 子网）
     • consumer project allowlist（允许 A project）
     • connection preference（auto-accept / manual-accept）。[4][9]

这一步完成后，你应该在 B Project 的 “Private Service Connect → Published services” 下看到这个 service attachment。[9][2]

步骤 2：在 A Project 创建 PSC NEG（Consumer 端）

1. 在 A Project 对应的 VPC 里选一个 subnet，用于 PSC NEG 的 endpoint IP（PSC NEG subnet）。[10][4]
2. 创建 PSC NEG：
   • type: PRIVATE_SERVICE_CONNECT
   • region: 跟 B project service attachment 一致（例如 asia-northeast1）
   • --psc-target-service = projects/B_PROJECT/regions/REGION/serviceAttachments/NAME。[3][2][4]

这一步是真正把“GLB consumer 这一侧”与 “B 项目 service attachment” 绑起来的关键；如果 B project 的 ILB 没开 AllowGlobalAccess，你很容易在这里踩 “Global L7 PSC consumers require…” 的错误。[1][2][4]

步骤 3：在 A Project 创建 GLB 并把 PSC NEG 做成 backend

这一步是在 A Project 把 GLB 当作真正入口：

1. 先解决 org policy：

   • 让 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS 在 A project 上可创建（参考上面 org policy 部分）。[8]

2. 创建 Global external Application LB：

   • scheme: EXTERNAL_MANAGED
   • Global IP + 证书（如果是 HTTPS）
   • URL map / target HTTP(S) proxy 正常配置。[11][3]
   • backend service：
     • 类型：BACKEND_SERVICE 支持 “Private Service Connect NEG backend”；
       文档叫 “Private Service Connect backend”。[4][1]
     • 把刚才在 A Project 创建的 PSC NEG 加进去（一个或多个 region）。[1][4]

3. 创建 forwarding rule：

   • global
   • 类型：GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS（这是你被 org policy 拦下来的类型）；
   • 指向上面的 target HTTP(S) proxy。[11][3]

完成后，你就得到：Internet → A Project GLB → PSC NEG → B Project service attachment → B Project ILB → 后端 Pod/VM。[2][3][1]

---

5. 跟你现在两个错误对应的“检查清单”

结合你给的两个具体报错，方向修正后，你可以按这个 checklist 查：

针对 “GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS is not allowed”

• 检查 A Project（入口项目）：
  • 在 Cloud Console → IAM & Admin → Organization Policies：
    • 搜索：compute.restrictLoadBalancerCreationForTypes。[8]
  • 看 effective policy 里是否禁止 / 未允许 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS。
  • 和安全/平台团队确认，是否能为特定 folder / project 放开该类型，用于 GLB + PSC PoC。[8]

只要这条没搞定，你创建 GLB 这一层就会失败，无论后面 PSC 拿不拿到 attachment 都没意义。

针对 “Global L7 PSC consumers require…AllowGlobalAccess enabled”

• 检查 B Project（服务项目）的 ILB：
  • 确认 ILB 类型是 Internal HTTP(S) Load Balancer（INTERNAL_MANAGED L7），而不是 old style 的某些 regional internal TCP/UDP。[6][2]
  • 在该 ILB 的 forwarding rule / backend service 上，开启/确认 global access：
    • 文档里写的是 “Internal HTTPS LB now supports global access”，要使用“Global L7 PSC consumer”就必须打开。[7][2]
  • 如果 ILB 早期创建不支持该选项，考虑重新建一个新的 ILB 再挂在 service attachment 上。[7]

一句话：
错误 1（AllowGlobalAccess）→ 修 B project 的 ILB / service attachment 配置；
错误 2（GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS not allowed）→ 修 A project 上的 org policy。

---

6. 你做 PoC 时额外要注意的小坑

• Region 对齐：PSC NEG、service attachment、ILB 都是 regional 资源，region 必须一致，但 GLB 是 global，这没问题。[2][4][1]
• Network 规划：
  • B Project：ILB 所在 VPC、proxy-only subnet（L7 ILB 必需）、backend subnet。
  • B Project：PSC service attachment 的 NAT subnet。[10][9]
  • A Project：PSC NEG 所用 subnet（consumer 侧），确保有 IP 段、路由、firewall 不拦 PSC → attachment。[10][4]
• 防火墙：ILB → backend 的流量来源是 proxy-only subnet，PSC → ILB 的来源也要允许（VPC 内/跨 VPC）。[10]
• GKE / VM 的 health check：ILB 的 health check 要能探到 backend（如果 health check 被 firewall 拦了，PSC NEG 虽然连得上 attachment，用户流量可能 5xx）。[6][2]

---

如果你愿意，把 B Project 那边（ILB + service attachment）和 A Project 这边（PSC NEG + GLB）的资源结构（资源名、region、类型）大概列一下，我可以直接帮你写一份接近可执行的 gcloud 命令顺序，完全按照你这条 A→GLB→PSC NEG→Attachment→ILB→Backend 的拓扑来。

Sources
[1] About Private Service Connect backends https://docs.cloud.google.com/vpc/docs/private-service-connect-backends
[2] Explicit Chaining of GCP L7 Load Balancers with PSC https://codelabs.developers.google.com/codelabs/l7lb-chain-psc
[3] Private Service Connect - Using PSC Backends to Access ... https://codelabs.developers.google.com/cloudnet-l7psc-xlb-gcp
[4] Add a Private Service Connect... https://docs.cloud.google.com/vpc/docs/access-apis-managed-services-private-service-connect-backends
[5] Private Service Connect Features and Benefits https://cloud.google.com/private-service-connect
[6] تسلسل صريح لأجهزة موازنة حمل GCP L7 من خلال PSC | Google Codelabs https://codelabs.developers.google.com/codelabs/l7lb-chain-psc?hl=ar
[7] Google Cloud Internal HTTP(S) Load Balancers now have ... https://layer77.net/2023/04/05/google-cloud-internal-https-load-balancers-now-have-global-access-support/
[8] Unable to create an org policy to deny the creation of all ... https://discuss.google.dev/t/unable-to-create-an-org-policy-to-deny-the-creation-of-all-external-load-balancers/170973
[9] Publish services by using Private Service Connect https://docs.cloud.google.com/vpc/docs/configure-private-service-connect-producer
[10] Looker PSC Northbound Regional Internal L7 ALB https://codelabs.developers.google.com/looker-psc-internal-northbound-l7
[11] How to Set Up Internet NEGs to Load Balance External ... https://oneuptime.com/blog/post/2026-02-17-how-to-set-up-internet-negs-to-load-balance-external-third-party-api-backends-in-gcp/view
[12] Application Load Balancer - Global External & Cross-Project ... https://discuss.google.dev/t/application-load-balancer-global-external-cross-project-service-referencing/268947
[13] Google Cloud Load Balancers :: Gloo Edge Docsdocs.solo.io › gloo-edge › main › guides › integrations › google_cloud https://docs.solo.io/gloo-edge/main/guides/integrations/google_cloud/