请注意，您正在查看 Looker 文档。如需查看 Looker Studio 文档，请访问 https://support.google.com/looker-studio。

此页面由 Cloud Translation API 翻译。

Looker (Google Cloud Core) 网络选项

本页介绍了 Looker (Google Cloud Core) 实例的网络配置选项。

您可以在创建实例期间设置实例的网络配置。建议您先确定要使用的网络选项，然后再开始实例创建流程。本页面还可帮助您确定哪个选项最适合贵组织的需求。

概览

Looker (Google Cloud Core) 的网络配置选项如下：

公共 IP 地址：使用可访问互联网的外部 IP 地址的实例。
仅使用专用 IP（专用服务访问通道）：使用 Google 托管的内部虚拟私有云 (VPC) IP 地址的实例，并使用专用服务访问通道以专用方式连接到 Google 和第三方服务。
专用 IP（专用服务访问）和公共 IP：同时支持用于入站的公共 IP 地址、由 Google 托管的内部 VPC IP 地址以及用于出站的专用服务访问的实例。
仅使用专用 IP (Private Service Connect)：使用 Google 托管的内部 VPC IP 地址的实例，并使用 Private Service Connect 以专用方式连接到 Google 和第三方服务。

在为 Looker (Google Cloud Core) 实例考虑网络配置时，以下信息可能会对您有所帮助：

必须在创建实例时设置网络配置。实例创建后，网络配置无法更改，但有一个例外情况：对于专用服务访问通道实例，可以在实例创建后添加或移除公共 IP。
功能可用情况因影音平台选项而异。如需了解详情，请参阅 Looker (Google Cloud Core) 中的功能可用性文档页面。
无论网络配置如何，所有与 BigQuery 的连接都是通过 Google 的专用网络建立的。
如果第三方身份提供方已配置为支持单点登录，用户的浏览器会与身份提供方通信，然后重定向到 Looker (Google Cloud Core)实例。只要用户的网络可以访问重定向网址，第三方身份提供程序适用于所有网络配置。

此外，请参阅本文档页面如何选择网络选项部分中的表格，详细了解如何为您的团队确定合适的网络配置。

公共 IP 连接

部署为公共 IP 实例的 Looker (Google Cloud Core) 可通过可访问互联网的外部 IP 地址访问。在此配置中，除了支持 Looker (Google Cloud Core) 对互联网端点的南向（出站）访问之外，还支持向 Looker (Google Cloud Core) 的北向（入站）流量。此配置类似于由 Looker 托管的 Looker（原始）实例的配置。

传入和传出公共 IP 实例的流量会通过公共互联网传输。

公共 IP 网络连接设置和连接起来非常简单，无需高级网络配置或专业知识。

如需创建使用公共 IP 地址的 Looker (Google Cloud Core) 实例，请参阅创建使用公共 IP 地址的 Looker (Google Cloud Core) 实例文档页面。

专用 IP 连接

具有专用 IP 网络连接的 Looker (Google Cloud Core) 实例使用 Google 托管的内部 VPC IP 地址。您可以使用此地址与可以访问 VPC 的其他资源通信。专用 IP 连接可让您不必通过公共互联网或使用外部 IP 地址即可访问服务。由于不需要遍历互联网，通过专用 IP 建立的连接通常可缩短延迟时间并限制攻击途径。

在仅使用专用 IP 的配置中，Looker (Google Cloud Core) 没有公共网址。您可以控制所有北向（入站）流量，所有南向（出站）流量都将通过您的 VPC 进行路由。

如果您的实例仅使用专用 IP 连接，则需要进行额外的配置，才能设置自定义网域和实例的用户访问权限；使用某些 Looker (Google Cloud Core) 功能；或连接到外部资源（例如 Git 提供程序）。拥有内部网络专业知识有助于规划和执行此配置。

Looker (Google Cloud Core) 支持以下两个专用 IP 连接选项：

专用服务访问通道
Private Service Connect

必须在实例创建时确定是使用专用服务访问通道还是 Private Service Connect。

专用服务访问通道

必须在实例创建时设置将专用服务访问通道专用 IP 与 Looker (Google Cloud Core) 搭配使用。Looker (Google Cloud Core) 实例可以选择在其专用 IP（专用服务访问）连接中包含公共 IP 连接。创建使用专用服务访问通道的实例后，您可以向该实例添加或移除专用 IP 连接。

若要创建专用 IP（专用服务访问通道）连接，您必须在 VPC 中向 Looker (Google Cloud Core) 分配 /22 CIDR 范围。

如需为仅使用专用 IP（专用服务访问通道）连接的实例设置用户访问权限，您必须设置自定义网域，并根据贵组织的需求配置对该网域的访问权限。如需连接到外部资源，您需要执行额外配置。拥有内部网络专业知识有助于规划和执行此配置。

如需创建 Looker (Google Cloud Core) 专用服务访问实例，请参阅创建专用 IP 实例文档页面。

专用 IP 和公共 IP 配置

只有使用专用服务访问通道的专用连接的 Looker (Google Cloud Core) 实例支持专用 IP 和公共 IP 配置。

同时具有专用 IP（专用服务访问通道）连接和公共 IP 连接的 Looker (Google Cloud Core) 实例具有公共网址，并且所有传入流量都将通过公共 IP 连接使用 HTTPS 进行传输。出站流量会通过您的 VPC 路由，该 VPC 可以配置为仅允许使用 HTTPS 或加密的专用 IP 流量。所有传输流量均经过加密。

在公共 IP 和专用 IP 配置中，北向流量会通过公共 IP，南向流量会通过专用 IP。

通过专用 IP 和公共 IP 配置，您可以使用一些仅限专用 IP 配置无法使用的 Looker (Google Cloud Core) 功能，例如关联的 Google 表格 BI 连接器或 Looker Studio BI 连接器。

Private Service Connect

必须在实例创建时设置如何将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用。Looker (Google Cloud Core) Private Service Connect 实例不支持添加公共 IP 连接。

与 Looker (Google Cloud Core) 搭配使用时，Private Service Connect 与专用服务访问权限在以下方面有所不同：

端点和后端支持公共或私有访问方法。
Looker (Google Cloud Core)可以连接到其他可通过 Private Service Connect 访问的 Google 服务，例如 Cloud SQL。
无需分配大型 IP 块。
直接连接允许传递性通信。
无需与其他服务共享网络。
支持多租户。

Private Service Connect 端点或backends可用于访问 Looker (Google Cloud Core) Private Service Connect 实例。

Looker (Google Cloud Core)（Private Service Connect）实例使用端点连接到 Google Cloud 或外部资源。如果资源是外部资源，则还需要设置网络端点组 (NEG) 和负载均衡器。此外，对于与唯一服务的每个南向连接，都需要使用 Private Service Connect 发布该服务。在 Looker (Google Cloud Core) 端，您必须为要连接到的每项服务创建和维护每个唯一的出站连接。

Private Service Connect 的北向和南向网络拓扑概览。

拥有内部网络专业知识有助于规划和执行 Private Service Connect 配置。

如需查看连接到外部服务的示例，请参阅 Looker PSC Southbound HTTPS Internet NEG Codelab。

如需详细了解 Private Service Connect 实例，请参阅将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用文档页面。

如何选择网络选项

下表显示了不同网络选项的功能可用性。

网络要求
功能	公共 IP	公开和专属（专用服务访问通道）	专用（专用服务访问通道）	私有（Private Service Connect）
需要分配 IP 范围才能创建实例	否	是（每个实例每个区域 `/22`）	是（每个实例每个区域 `/22`）	否
Cloud Armor	是。Looker (Google Cloud Core) 使用 Google 管理的默认 Cloud Armor 规则。这些规则不可配置。	是。Looker (Google Cloud Core) 使用由 Google 管理的默认 Cloud Armor 规则。这些规则不可配置。	否	支持区域级外部应用负载平衡器、Private Service Connect 后端和 Google Cloud Armor
自定义网域	是	支持使用公开网址	是	是
北行入口
功能	公共 IP	公开和专属（专用服务访问通道）	专用（专用服务访问通道）	私有（Private Service Connect）
公共互联网	是	是	否	支持区域级外部应用负载平衡器、Private Service Connect 后端和自定义网域
VPC 对等互连（专用服务访问通道）	否	是	是	否
基于 PSC 的路由	否	否	否	支持以下设备：区域级外部应用负载平衡器和 Private Service Connect 后端区域级内部应用负载平衡器和 Private Service Connect 后端
混合网络	否	是	是	是
南向访问
功能	公共 IP	公开和专属（专用服务访问通道）	专用（专用服务访问通道）	私有（Private Service Connect）
互联网	是	否	否	支持区域级 TCP 代理内部负载均衡器、互联网 NEG 和 Cloud NAT 网关。
VPC 对等互连（专用服务访问通道）	否	是	是	否
基于 Private Service Connect 的路由	否	否	否	支持区域级 TCP 代理内部负载均衡器和混合 NEG
混合网络（多云和本地）	否	是	是	受区域级 TCP 代理内部负载均衡器、混合 NEG 和 Google Cloud 网络产品支持
应用
功能	公共 IP	公开和专属（专用服务访问通道）	专用（专用服务访问通道）	私有（Private Service Connect）
GitHub	是	支持使用 TCP 代理内部负载均衡器和互联网 NEG	支持使用 TCP 代理内部负载均衡器和互联网 NEG	是（例如，请参阅 Looker PSC Southbound HTTPS Internet NEG Codelab）
GitHub Enterprise	否	是	是	是
Cloud SQL	是	支持在与 Looker (Google Cloud Core) 部署在同一 VPC 中的 Cloud SQL 中使用	是	是
BigQuery	是	是	是	是
嵌入	是	是	是	是
Marketplace	是	否	否	否
关联工作表	是	是	否	否
SMTP	是	是	是	是
优势	公开可访问的网址意味着，从需要访问实例或重定向到 Looker 的其他服务轻松连接到 Looker (Google Cloud Core)。设置简单，无需进行高级网络配置。	通过公共网址访问 Looker (Google Cloud Core) 基于 IP 可达性实现对多云环境的南向访问	用于南北流量访问的专用实例基于 IP 可达性实现对多云环境的南向访问	使用方和提供方之间没有共享约束条件，也不需要进行 IP 协调无需为 Looker (Google Cloud Core) 实例分配子网对 Looker (Google Cloud Core) 和端点的显式访问权限支持使用 Private Service Connect 后端对 Looker (Google Cloud Core) 进行公开和专用访问
注意事项	如果您想使用自定义网址，则必须配置完全限定域名（例如 `looker.examplepetstore.com`）。您不能使用 `examplepetstore.looker.com` 等自定义网址。	对本地和多云环境的南向访问需要更新防火墙在具有 VPC 对等互连的中心辐射型 VPC 架构中部署 Looker (Google Cloud Core)后，如果通过混合网络从本地网络或多云网络访问 Looker，则会导致到 Looker 的非传递路由用于连接到公共 Git 的其他基础架构（代理虚拟机、互联网 NEG 和负载均衡器）	对本地和多云环境的南向访问需要更新防火墙在具有 VPC 对等互连的中心辐射型 VPC 架构中部署 Looker (Google Cloud Core)后，如果通过混合网络从本地网络或多云网络访问 Looker，则会导致到 Looker 的非传递路由用于连接到公共 Git 的其他基础架构（代理虚拟机、互联网 NEG 和负载均衡器）	若要对 Looker (Google Cloud Core) 进行公开访问，需要与外部应用负载平衡器和 Private Service Connect 后端集成每个南向端点（IP 地址）都需要一个 Private Service Connect 已发布服务