Cette page décrit les options de configuration réseau pour les instances Looker (Google Cloud Core).
Vous définissez la configuration réseau d'une instance lors de sa création. Nous vous recommandons de déterminer les options de mise en réseau que vous souhaitez utiliser avant de commencer le processus de création d'instance. Cette page vous aide également à déterminer laquelle de ces options est la plus adaptée aux besoins de votre organisation.
Présentation
Voici les options de configuration réseau pour Looker (Google Cloud Core) :
- Adresse IP publique: instance qui utilise une adresse IP externe accessible via Internet.
- Adresse IP privée (accès aux services privés) uniquement: instance qui utilise une adresse IP interne hébergée par Google sur un cloud privé virtuel (VPC) et qui utilise l'accès aux services privés pour se connecter de manière privée à Google et aux services tiers.
- Adresse IP privée (accès aux services privés) et adresse IP publique: instance compatible à la fois avec une adresse IP publique pour l'entrée et une adresse IP VPC interne hébergée par Google, ainsi qu'avec l'accès aux services privés pour la sortie.
- Adresse IP privée (Private Service Connect) uniquement: instance qui utilise une adresse IP VPC interne hébergée par Google et Private Service Connect pour se connecter de manière privée à Google et aux services tiers.
Lorsque vous choisissez une configuration réseau pour votre instance Looker (Google Cloud Core), les informations suivantes peuvent vous aider:
- La configuration réseau doit être définie lors de la création de l'instance. La configuration réseau ne peut pas être modifiée après la création de l'instance, à une exception près: pour une instance d'accès aux services privés, l'adresse IP publique peut être ajoutée ou supprimée après la création de l'instance.
- La disponibilité des fonctionnalités varie selon l'option de réseau. Pour en savoir plus, consultez la page de documentation Disponibilité des fonctionnalités dans Looker (Google Cloud Core).
- Toutes les connexions à BigQuery passent par le réseau privé de Google, quelle que soit la configuration du réseau.
- Si un fournisseur d'identité tiers est configuré pour l'authentification unique, le navigateur de l'utilisateur communique avec le fournisseur d'identité, puis est redirigé vers l'instance Looker (Google Cloud core). Tant que l'URL de redirection est accessible sur le réseau de l'utilisateur, les fournisseurs d'identité tiers fonctionnent pour toutes les configurations réseau.
Consultez également le tableau de la section Choisir une option de mise en réseau de cette page de documentation pour savoir comment choisir la configuration réseau adaptée à votre équipe.
Connexions IP publiques
Looker (Google Cloud Core) déployé en tant qu'instance d'adresse IP publique est accessible depuis une adresse IP externe accessible à Internet. Dans cette configuration, le trafic nord-sud (entrant) vers Looker (Google Cloud Core) est accepté en plus de l'accès sud-nord (sortant) de Looker (Google Cloud Core) aux points de terminaison Internet. Cette configuration est semblable à celle d'une instance Looker (originale) hébergée par Looker.
Les connexions réseau IP publiques n'autorisent que le trafic HTTPS dans Looker (Google Cloud Core). Pour vous connecter de manière sécurisée à des bases de données externes à partir d'une instance Looker (Google Cloud Core) avec une adresse IP publique, vous pouvez configurer une connexion SSL chiffrée.
Les connexions réseau par adresse IP publique sont faciles à configurer et à utiliser, et ne nécessitent aucune expertise ni configuration réseau avancée.
Pour créer une instance Looker (Google Cloud Core) avec adresse IP publique, consultez la page de documentation Créer une instance Looker (Google Cloud Core) avec adresse IP publique.
Connexions IP privées
Une instance Looker (Google Cloud Core) avec une connexion réseau reposant sur une adresse IP privée utilise une adresse IP VPC interne hébergée par Google. Vous pouvez utiliser cette adresse pour communiquer avec d'autres ressources pouvant accéder au VPC. Les connexions IP privées permettent d'accéder aux services sans passer par Internet ni utiliser d'adresses IP externes. Comme elles ne traversent pas Internet, les connexions via une adresse IP privée offrent généralement une latence plus faible et des vecteurs d'attaque limités.
Dans une configuration avec adresse IP privée uniquement, Looker (Google Cloud Core) n'a pas d'URL publique. Vous contrôlez tout le trafic nord-sud (entrant) et tout le trafic sud-nord (sortant) est acheminé via votre VPC.
Si votre instance n'utilise qu'une connexion IP privée, une configuration supplémentaire est nécessaire pour configurer un domaine personnalisé et l'accès des utilisateurs à l'instance, utiliser certaines fonctionnalités Looker (Google Cloud Core) ou se connecter à des ressources externes, telles que des fournisseurs Git. Une expertise interne en mise en réseau est utile pour planifier et exécuter cette configuration.
Looker (Google Cloud Core) accepte les deux options suivantes pour les connexions IP privées:
Vous devez choisir d'utiliser l'accès aux services privés ou Private Service Connect au moment de la création de l'instance.
Accès aux services privés
L'utilisation de l'adresse IP privée de l'accès aux services privés avec Looker (Google Cloud Core) doit être définie au moment de la création de l'instance. Les instances Looker (Google Cloud Core) peuvent inclure une connexion IP publique avec leur connexion IP privée (accès aux services privés). Après avoir créé une instance qui utilise l'accès aux services privés, vous pouvez ajouter ou supprimer une connexion IP privée à cette instance.
Pour créer une connexion IP privée (accès aux services privés), vous devez allouer une plage CIDR /22 dans votre VPC à Looker (Google Cloud Core).
Pour configurer l'accès des utilisateurs à une instance qui n'utilise qu'une connexion par adresse IP privée (accès aux services privés), vous devez configurer un domaine personnalisé et configurer l'accès au domaine selon les besoins de votre organisation. Pour vous connecter à des ressources externes, vous devez effectuer une configuration supplémentaire. Une expertise interne en mise en réseau est utile pour planifier et exécuter cette configuration.
Pour créer une instance d'accès aux services privés Looker (Google Cloud Core), consultez la page de documentation Créer une instance IP privée.
Configuration des adresses IP privées et publiques
Seules les instances Looker (Google Cloud Core) qui utilisent un accès aux services privés pour leur connexion privée sont compatibles avec une configuration d'adresses IP privées et publiques.
Une instance Looker (Google Cloud Core) qui dispose à la fois d'une connexion IP privée (accès aux services privés) et d'une connexion IP publique possède une URL publique. Tout le trafic entrant passe par la connexion IP publique via HTTPS. Le trafic sortant est acheminé via votre VPC, qui peut être configuré pour n'autoriser que le trafic IP privé, à l'aide de HTTPS ou du chiffrement. Tout le trafic en transit est chiffré.
Une configuration avec une adresse IP privée et une adresse IP publique permet d'utiliser certaines fonctionnalités Looker (Google Cloud Core) qui ne sont pas disponibles pour les configurations avec adresse IP privée uniquement, comme le connecteur d'informatique décisionnelle Sheets connecté ou le connecteur d'informatique décisionnelle Looker Studio.
Private Service Connect
L'utilisation de Private Service Connect avec Looker (Google Cloud Core) doit être définie au moment de la création de l'instance. Les instances Private Service Connect de Looker (Google Cloud Core) ne permettent pas d'ajouter une connexion IP publique.
Lorsqu'il est utilisé avec Looker (Google Cloud Core), Private Service Connect se distingue de l'accès aux services privés comme suit:
- Les points de terminaison et les backends acceptent des méthodes d'accès publiques ou privées.
- Looker (Google Cloud Core) peut se connecter à d'autres services Google, tels que Cloud SQL, accessibles via Private Service Connect.
- Vous n'avez pas besoin d'allouer de grands blocs d'adresses IP.
- Les connexions directes permettent une communication transitive.
- Il n'est pas nécessaire de partager un réseau avec d'autres services.
- Compatible avec l'architecture mutualisée.
Vous pouvez utiliser des points de terminaison ou des backends Private Service Connect pour accéder aux instances Private Service Connect de Looker (Google Cloud Core).
Les instances Looker (Google Cloud Core) (Private Service Connect) utilisent des points de terminaison pour se connecter à des Google Cloud ou à des ressources externes. Si une ressource est externe, un groupe de points de terminaison du réseau (NEG) et un équilibreur de charge doivent également être configurés. De plus, chaque connexion vers le sud vers un service unique nécessite que le service soit publié à l'aide de Private Service Connect. Du côté de Looker (Google Cloud Core), chaque connexion de sortie unique doit être créée et gérée pour chaque service auquel vous souhaitez vous connecter.
Une expertise en mise en réseau interne est utile pour planifier et exécuter des configurations Private Service Connect.
Pour obtenir un exemple de connexion à un service externe, consultez l'atelier de programmation Looker PSC Southbound HTTPS Internet NEG.
Pour en savoir plus sur les instances Private Service Connect, consultez la page de documentation Utiliser Private Service Connect avec Looker (Google Cloud Core).
Choisir une option de mise en réseau
Le tableau suivant indique la disponibilité des fonctionnalités pour différentes options de mise en réseau.
| Configuration réseau requise | ||||
|---|---|---|---|---|
| Fonctionnalité | Adresse IP publique | Public et privé (accès aux services privés) | Privé (accès aux services privés) | Privé (Private Service Connect) |
| Nécessite l'allocation de plages d'adresses IP pour la création d'instances | Non | Oui (/22 par instance, par région)
|
Oui (/22 par instance, par région)
|
Non |
| Cloud Armor | Oui. Looker (Google Cloud Core) utilise les règles Cloud Armor par défaut gérées par Google. Ces règles ne sont pas configurables. | Oui. Looker (Google Cloud Core) utilise les règles Cloud Armor par défaut gérées par Google. Ces règles ne sont pas configurables. | Non | Compatible avec l'équilibreur de charge d'application externe régional, le backend Private Service Connect et Google Cloud Armor |
| Domaine personnalisé | Oui | Accepté en tant qu'URL publique | Oui | Oui |
| Accès vers le nord | ||||
| Fonctionnalité | Adresse IP publique | Public et privé (accès aux services privés) | Privé (accès aux services privés) | Privé (Private Service Connect) |
| Internet public | Oui | Oui | Non | Compatible avec l'équilibreur de charge d'application externe régional, le backend Private Service Connect et le domaine personnalisé |
| Appairage de VPC (accès aux services privés) | Non | Oui | Oui | Non |
| Routage basé sur PSC | Non | Non | Non |
Compatible avec les éléments suivants:
|
| Réseau hybride | Non | Oui | Oui | Oui |
| Accès Southbound | ||||
| Fonctionnalité | Adresse IP publique | Public et privé (accès aux services privés) | Privé (accès aux services privés) | Privé (Private Service Connect) |
| Internet | Oui | Non | Non | Compatible avec l'équilibreur de charge proxy TCP interne régional, le NEG Internet et la passerelle Cloud NAT. |
| Appairage de VPC (accès aux services privés) | Non | Oui | Oui | Non |
| Routage basé sur Private Service Connect | Non | Non | Non | Compatible avec l'équilibreur de charge proxy TCP interne régional et le NEG hybride |
| Mise en réseau hybride (multicloud et sur site) | Non | Oui | Oui | Compatible avec l'équilibreur de charge proxy TCP interne régional, le NEG hybride et les produits réseauGoogle Cloud |
| Application | ||||
| Fonctionnalité | Adresse IP publique | Public et privé (accès aux services privés) | Privé (accès aux services privés) | Privé (Private Service Connect) |
| GitHub | Oui | Compatible avec l'équilibreur de charge proxy TCP interne et le NEG Internet | Compatible avec l'équilibreur de charge proxy TCP interne et le NEG Internet | Oui(Pour obtenir un exemple, consultez l'atelier de programmation Looker PSC Southbound HTTPS Internet NEG) |
| GitHub Enterprise | Non | Oui | Oui | Oui |
| Cloud SQL | Oui | Compatible avec Cloud SQL déployé dans le même VPC que Looker (Google Cloud Core) | Oui | Oui |
| BigQuery | Oui | Oui | Oui | Oui |
| Intégrer | Oui | Oui | Oui | Oui |
| Marketplace | Oui | Non | Non | Non |
| Feuilles connectées | Oui | Oui | Non | Non |
| SMTP | Oui | Oui | Oui | Oui |
| Avantages |
|
|
|
|
| Remarques | Si vous souhaitez une URL personnalisée, vous devez configurer un nom de domaine complet (par exemple, looker.examplepetstore.com). Vous ne pouvez pas utiliser une URL personnalisée telle que examplepetstore.looker.com.
|
|
|
|
Étape suivante
- Créer une instance Looker (Google Cloud Core) avec une adresse IP publique
- Créer une instance Looker (Google Cloud Core) avec une adresse IP privée
- Utiliser Private Service Connect avec Looker (Google Cloud Core)
- Créer une instance Private Service Connect Looker (Google Cloud Core)
- Suivez un tutoriel pour effectuer une connexion HTTPS vers le sud à GitHub à partir d'un PSC.