Questa pagina illustra le opzioni di configurazione di rete per le istanze di Looker (Google Cloud core).
La configurazione di rete di un'istanza viene impostata durante la sua creazione. Ti consigliamo di determinare le opzioni di networking che vuoi utilizzare prima di iniziare la procedura di creazione dell'istanza. Questa pagina ti aiuta anche a determinare quale di queste opzioni è più adatta alle esigenze della tua organizzazione.
Panoramica
Le opzioni di configurazione di rete per Looker (Google Cloud core) sono:
- IP pubblico: un'istanza che utilizza un indirizzo IP esterno accessibile da internet.
- Solo IP privato (accesso privato ai servizi): un'istanza che utilizza un indirizzo IP interno del Virtual Private Cloud (VPC) ospitato da Google e utilizza l'accesso privato ai servizi per connettersi privatamente a servizi Google e di terze parti.
- IP privato (accesso ai servizi privati) e IP pubblico: un'istanza che supporta sia un indirizzo IP pubblico per l'ingresso sia un indirizzo IP VPC interno ospitato da Google e l'accesso ai servizi privati per l'uscita.
- Solo IP privato (Private Service Connect): un'istanza che utilizza un indirizzo IP VPC interno ospitato da Google e utilizza Private Service Connect per connettersi privatamente a servizi Google e di terze parti.
Quando valuti una configurazione di rete per la tua istanza di Looker (Google Cloud core), le seguenti informazioni possono essere utili per prendere la tua decisione:
- La configurazione di rete deve essere impostata al momento della creazione dell'istanza. La configurazione di rete non può essere modificata dopo la creazione dell'istanza. L'unica eccezione è che per un'istanza di accesso privato ai servizi, l'IP pubblico può essere aggiunto o rimosso dopo la creazione dell'istanza.
- La disponibilità delle funzionalità varia in base all'opzione di rete. Per ulteriori informazioni, consulta la pagina della documentazione Disponibilità delle funzionalità in Looker (componente principale di Google Cloud).
- Tutte le connessioni a BigQuery avvengono tramite la rete privata di Google, indipendentemente dalla configurazione di rete.
- Se un provider di identità di terze parti è configurato per il Single Sign-On, il browser dell'utente comunica con il provider di identità e viene quindi reindirizzato all'istanza di Looker (Google Cloud core). Se l'URL di reindirizzamento è accessibile tramite la rete dell'utente, gli identity provider di terze parti funzionano per tutte le configurazioni di rete.
Consulta anche la tabella nella sezione Come scegliere un'opzione di networking di questa pagina della documentazione per ulteriori informazioni su come decidere la configurazione di rete più adatta per il tuo team.
Connessioni con IP pubblico
Looker (Google Cloud core) di cui è stato eseguito il deployment come istanza con IP pubblico è accessibile da un indirizzo IP esterno accessibile da internet. In questa configurazione, è supportato il traffico verso nord (in entrata) verso Looker (Google Cloud core) in aggiunta all'accesso di Looker (Google Cloud core) in uscita (in uscita) agli endpoint internet. Questa configurazione è simile a quella di un'istanza di Looker (originale) ospitata da Looker.
Le connessioni di rete con IP pubblico sono facili da configurare e da connettersi e non richiedono una configurazione di rete avanzata né competenze specifiche.
Per creare un'istanza con IP pubblico di Looker (Google Cloud core), consulta la pagina della documentazione Creare un'istanza di Looker (Google Cloud core) con IP pubblico.
Connessioni a IP privato
Un'istanza di Looker (Google Cloud core) con una connessione di rete IP privata utilizza un indirizzo IP VPC interno ospitato da Google. Puoi utilizzare questo indirizzo per comunicare con altre risorse che possono accedere al VPC. Le connessioni con IP privato rendono i servizi raggiungibili senza passare attraverso la rete internet pubblica o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni tramite IP privato in genere offrono una latenza inferiore e vettori di attacco limitati.
In una configurazione solo IP privato, Looker (Google Cloud core) non ha un URL pubblico. Puoi controllare tutto il traffico verso nord (in entrata), mentre tutto il traffico verso sud (in uscita) verrà instradato tramite il VPC.
Se l'istanza utilizza solo una connessione IP privato, è necessaria un'ulteriore configurazione per impostare un dominio personalizzato e l'accesso utente all'istanza. utilizzare alcune funzionalità di Looker (Google Cloud core); o connettersi a risorse esterne, come i provider Git. Le competenze in materia di reti interne sono utili per pianificare ed eseguire questa configurazione.
Looker (Google Cloud core) supporta le due seguenti opzioni per le connessioni con IP privato:
L'utilizzo dell'accesso privato ai servizi o di Private Service Connect deve essere deciso al momento della creazione dell'istanza.
Accesso privato ai servizi
L'utilizzo dell'IP privato di accesso privato ai servizi con Looker (Google Cloud core) deve essere impostato al momento della creazione dell'istanza. Le istanze di Looker (Google Cloud core) possono facoltativamente includere una connessione IP pubblica con la relativa connessione IP privato (accesso privato ai servizi). Dopo aver creato un'istanza che utilizza l'accesso privato ai servizi, puoi aggiungere o rimuovere una connessione IP privato all'istanza.
Per creare una connessione con IP privato (accesso privato ai servizi), devi allocare un intervallo CIDR /22 nel tuo VPC a Looker (Google Cloud core).
Per configurare l'accesso degli utenti a un'istanza che utilizza solo una connessione IP privato (accesso privato ai servizi), devi impostare un dominio personalizzato e configurare l'accesso al dominio in base alle esigenze della tua organizzazione. Per connetterti a risorse esterne, dovrai eseguire una configurazione aggiuntiva. L'esperienza di networking interna è utile per pianificare ed eseguire questa configurazione.
Per creare un'istanza di accesso ai servizi privati di Looker (Google Cloud core), consulta la pagina della documentazione Creare un'istanza con IP privato.
Configurazione IP privato e IP pubblico
Solo le istanze di Looker (Google Cloud core) che utilizzano l'accesso privato ai servizi per la connessione privata supportano una configurazione con IP privato e IP pubblico.
Un'istanza di Looker (Google Cloud core) che dispone sia di una connessione IP privato (accesso privato ai servizi) sia di una connessione IP pubblica ha un URL pubblico e tutto il traffico in entrata passerà attraverso la connessione IP pubblico. Il traffico in uscita viene instradato tramite la VPC, che può essere configurata per consentire solo il traffico IP privato.
Una configurazione con IP privato e IP pubblico consente l'utilizzo di alcune funzionalità di Looker (Google Cloud core) che non sono disponibili per le configurazioni solo di IP privati, ad esempio il connettore BI di Fogli connessi o il connettore BI di Looker Studio.
Private Service Connect
L'utilizzo di Private Service Connect con Looker (Google Cloud core) deve essere impostato al momento della creazione dell'istanza. Le istanze Private Service Connect di Looker (Google Cloud core) non supportano l'aggiunta di una connessione con IP pubblico.
Se utilizzato con Looker (Google Cloud core), Private Service Connect differisce dall'accesso privato ai servizi per i seguenti aspetti:
- Gli endpoint e i backend supportano metodi di accesso pubblici o privati.
- Looker (Google Cloud core) può connettersi ad altri servizi Google, come Cloud SQL, accessibili tramite Private Service Connect.
- Non è necessario allocare blocchi IP di grandi dimensioni.
- Le connessioni dirette consentono la comunicazione transitiva.
- Non è necessario condividere una rete con altri servizi.
- Supporta la multi-tenancy.
Puoi utilizzare endpoint o backend di Private Service Connect per accedere alle istanze Private Service Connect di Looker (Google Cloud core).
Le istanze di Looker (Google Cloud core) (Private Service Connect) utilizzano endpoint per connettersi a Google Cloud o a risorse esterne. Se una risorsa è esterna, è necessario configurare anche un gruppo di endpoint di rete (NEG) e un bilanciatore del carico. Inoltre, ogni connessione verso sud a un servizio univoco richiede la pubblicazione del servizio mediante Private Service Connect. Sul lato Looker (Google Cloud core), ogni connessione in uscita univoca deve essere creata e mantenuta per ogni servizio a cui vuoi connetterti.
Le competenze di networking interne sono utili per pianificare ed eseguire le configurazioni di Private Service Connect.
Per un esempio di connessione a un servizio esterno, consulta il codelab NEG internet HTTPS verso sud di PSC di Looker.
Per scoprire di più sulle istanze Private Service Connect, consulta la pagina della documentazione Utilizzare Private Service Connect con Looker (Google Cloud core).
Come scegliere un'opzione di rete
La tabella seguente mostra la disponibilità delle funzionalità per le diverse opzioni di rete.
| Requisiti di rete | ||||
|---|---|---|---|---|
| Funzionalità | IP pubblico | Pubblico e privato (accesso privato ai servizi) | Privato (accesso privato ai servizi) | Privato (Private Service Connect) |
| Richiede l'allocazione di un intervallo IP per la creazione dell'istanza | No | Sì (/22 per istanza, per regione)
|
Sì (/22 per istanza, per regione)
|
No |
| Cloud Armor | Sì | Sì | No | Supportato con bilanciatore del carico delle applicazioni esterno regionale, backend Private Service Connect e Google Cloud Armor |
| Dominio personalizzato | Sì | Supportato come URL pubblico | Sì | Sì |
| Accesso in direzione nord | ||||
| Funzionalità | IP pubblico | Pubblico e privato (accesso privato ai servizi) | Privato (accesso privato ai servizi) | Privato (Private Service Connect) |
| Rete internet pubblica | Sì | Sì | No | Supportata con il bilanciatore del carico delle applicazioni esterno regionale, il backend Private Service Connect e il dominio personalizzato |
| Peering VPC (accesso privato ai servizi) | No | Sì | Sì | No |
| Routing basato su PSC | No | No | No |
Supportata con:
|
| Networking ibrido | No | Sì | Sì | Sì |
| Accesso in uscita | ||||
| Funzionalità | IP pubblico | Pubblico e privato (accesso privato ai servizi) | Privato (accesso privato ai servizi) | Privato (Private Service Connect) |
| Internet | Sì | No | No | Supportato con bilanciatore del carico interno del proxy TCP regionale, NEG internet e gateway Cloud NAT. |
| Peering VPC (accesso privato ai servizi) | No | Sì | Sì | No |
| Routing basato su Private Service Connect | No | No | No | Supportato con bilanciatore del carico interno del proxy TCP regionale e NEG ibrido |
| Networking ibrido (multi-cloud e on-premise) | No | Sì | Sì | Supportata con bilanciatore del carico interno del proxy TCP a livello di regione, NEG ibrido e prodotti di networking Google Cloud |
| Applicazione | ||||
| Funzionalità | IP pubblico | Pubblico e privato (accesso privato ai servizi) | Privato (accesso privato ai servizi) | Privato (Private Service Connect) |
| GitHub | Sì | Supportato con bilanciatore del carico interno del proxy TCP e NEG internet | Supportato con bilanciatore del carico interno del proxy TCP e NEG internet | Sì(Per un esempio, vedi il codelab Internet HTTPS verso sud HTTPS di Looker PSC) |
| GitHub Enterprise | No | Sì | Sì | Sì |
| Cloud SQL | Sì | Supportato con Cloud SQL di cui è stato eseguito il deployment nella stessa VPC di Looker (Google Cloud core) | Sì | Sì |
| BigQuery | Sì | Sì | Sì | Sì |
| Embed | Sì | Sì | Sì | Sì |
| Marketplace | Sì | No | No | No |
| Fogli connessi | Sì | Sì | No | No |
| SMTP | Sì | Sì | Sì | Sì |
| Vantaggi |
|
|
|
|
| Considerazioni | Se vuoi un URL personalizzato, devi configurare un nome di dominio completo (ad esempio, looker.examplepetstore.com). Non puoi avere un URL personalizzato come examplepetstore.looker.com.
|
|
|
|
Passaggi successivi
- Crea un'istanza di Looker (Google Cloud core) con IP pubblico
- Crea un'istanza di Looker (Google Cloud core) con IP privato
- Usa Private Service Connect con Looker (Google Cloud core)
- Crea un'istanza Private Service Connect di Looker (Google Cloud core)
- Segui un tutorial su come eseguire una connessione HTTPS verso sud a GitHub da una PSC.