Looker (Google Cloud Core) 網路選項

本頁說明 Looker (Google Cloud Core) 執行個體的網路設定選項。

您可以在建立執行個體時設定網路設定。建議您在開始建立執行個體前，先決定要使用的網路選項。本頁也能協助您判斷哪個選項最符合貴機構的需求。

總覽

Looker (Google Cloud Core) 提供下列網路設定選項：

• 公開 IP：使用可透過外部網際網路存取的 IP 位址的執行個體。

• 僅私人 IP：僅私人 IP 連線會使用私人網路，用於存取 Looker (Google Cloud Core) 執行個體。使用私人網路有兩種方式：

  • 私人服務存取權：啟用私人服務存取權的執行個體會使用 Google 代管的內部虛擬私有雲端 (VPC) IP 位址，並透過私人服務存取權，私下連線至 Google 和第三方服務。
  • Private Service Connect：啟用 Private Service Connect 的執行個體會使用 Google 代管的內部虛擬私有雲 (VPC) IP 位址，並透過 Private Service Connect 私人連線至 Google 和第三方服務。

• 私人 IP 和公開 IP：支援公開 IP 位址的執行個體，可用於傳入，以及 Google 代管的內部虛擬私有雲 IP 位址，以及私人服務存取權或Private Service Connect 的傳出。

在考慮 Looker (Google Cloud Core) 執行個體的網路設定時，您可以參考下列資訊做出決定：

• 您必須在建立執行個體時設定網路設定。建立執行個體後，網路設定就無法變更，但有一個例外狀況：如果執行個體使用私人 IP，則在建立執行個體後，您可以新增或移除公開 IP。
• 功能適用情形會因聯播網選項而異。詳情請參閱「Looker (Google Cloud Core) 的功能可用性」說明文件頁面。
• 無論網路設定為何，所有與 BigQuery 的連線都會透過 Google 的私人網路。
• 如果第三方識別資訊提供者已針對單一登入服務進行設定，使用者的瀏覽器會與該識別資訊提供者通訊，然後重新導向至 Looker (Google Cloud 核心) 執行個體。只要重新導向網址可透過使用者的網路存取，第三方身分識別資訊提供者就能支援所有網路設定。

如要進一步瞭解如何為團隊決定正確的網路設定，請參閱本說明文件「如何選擇網路選項」一節中的表格。

公開 IP 連線

以公開 IP 執行個體形式部署的 Looker (Google Cloud Core) 可透過可透過網際網路存取的外部 IP 位址存取。在這種設定中，除了 Looker (Google Cloud Core) 南向 (Outbound) 存取網路端點，也支援 Looker (Google Cloud Core) 北向 (Inbound) 流量。這項設定類似於由 Looker 代管的 Looker (原始) 執行個體設定。

公開 IP 網路連線只允許 HTTPS 流量進入 Looker (Google Cloud Core)。當 CNAME 更新且 Google 可以找到 DIG 記錄時，Google 會自動佈建 SSL 憑證。這個憑證會每四個月自動輪替。如要透過公開 IP Looker (Google Cloud Core) 執行個體安全地連線至外部資料庫，您可以設定加密的 SSL 連線。

公開 IP 網路連線的設定和連線方式相當簡單，不需要進階網路設定或專業知識。

如要建立 Looker (Google Cloud Core) 公開 IP 執行個體，請參閱「建立 Looker (Google Cloud Core) 公開 IP 執行個體」說明文件頁面。

私人 IP 連線

採用私人 IP 網路連線的 Looker (Google Cloud Core) 執行個體會使用 Google 代管的內部 VPC IP 位址。您可以使用這個位址與其他可存取 VPC 的資源通訊。私人 IP 連線可讓您不必經過公開網際網路或使用外部 IP 位址，就能存取服務。由於不會穿越網際網路，透過私人 IP 的連線通常可提供較低的延遲時間，且攻擊面較少。

在私人 IP 設定中，內部憑證由 Google 全權管理，不會向任何人公開。如果您要使用自訂憑證佈建私人 IP 執行個體，則不需要管理內部私人憑證。請改用您自己的自訂憑證，並確保該憑證的輪替機制維持正常運作。

在僅使用私人 IP 的設定中，Looker (Google Cloud Core) 沒有公開網址。您可以控制所有北向 (傳入) 流量，所有南向 (傳出) 流量都會透過虛擬私有雲轉送。

如果執行個體只使用私人 IP 連線，您必須進行額外設定，才能設定自訂網域和執行個體的使用者存取權；使用部分 Looker (Google Cloud Core) 功能；或連線至 Git 供應器等外部資源。內部網路專家可協助規劃及執行這項設定。

Looker (Google Cloud Core) 支援下列兩種私人 IP 連線選項：

• 私人服務連線
• Private Service Connect

您必須在建立執行個體時決定要使用私人服務存取權或 Private Service Connect。

私人服務存取權

您必須在建立執行個體時設定 Looker (Google Cloud Core) 的私人服務存取權私人 IP。Looker (Google Cloud Core) 執行個體可選擇納入公開 IP 連線和私人 IP (私人服務存取) 連線。建立使用私人服務存取權的執行個體後，您可以為該執行個體新增或移除私人 IP 連線。

如要建立私人 IP (私人服務存取權) 連線，您必須在 VPC 中為 Looker (Google Cloud core) 分配 /22 CIDR 範圍。

如要設定使用私人 IP (私人服務存取權) 連線的執行個體使用者存取權，您必須設定自訂網域，並根據貴機構的需求設定網域存取權。如要連線至外部資源，您必須進行額外設定。內部網路專家可協助規劃及執行這項設定。

如要建立 Looker (Google Cloud Core) 私人服務存取權執行個體，請參閱「建立私人 IP 執行個體」說明文件頁面。

Private Service Connect

您必須在建立 Looker (Google Cloud Core) 執行個體時，設定使用 Private Service Connect。

與 Looker (Google Cloud Core) 搭配使用時，Private Service Connect 與私人服務存取權的差異如下：

• 端點和後端支援公開或私人存取方法。
• Looker (Google Cloud Core) 可連線至可透過 Private Service Connect 存取的其他 Google 服務，例如 Cloud SQL。
• 不需要分配大型 IP 區塊。
• 直接連線可進行間接通訊。
• 不需要與其他服務共用網路。
• 支援多用戶群。

Private Service Connect 後端可用於存取 Looker (Google Cloud core) Private Service Connect 執行個體。

Looker (Google Cloud core) (Private Service Connect) 執行個體會使用端點連線至 Google Cloud 或外部資源。如果資源是外部資源，則需要設定網路端點群組 (NEG) 和負載平衡器。此外，每個與特定服務的南向連線都需要使用 Private Service Connect 發布。在 Looker (Google Cloud Core) 端，您必須為每項要連線的服務建立及維護每個獨特的出口連線。

內部網路專家可協助規劃及執行 Private Service Connect 設定。

如需連線至外部服務的範例，請參閱 Looker PSC Southbound HTTPS Internet NEG 程式碼研究室。

如要進一步瞭解 Private Service Connect 執行個體，請參閱「使用 Private Service Connect 搭配 Looker (Google Cloud Core)」說明文件。

私人 IP 和公開 IP 設定

使用私人服務存取權或私人服務連線的 Looker (Google Cloud Core) 執行個體支援私人 IP 和公開 IP 設定。

使用私人服務存取權的 Looker (Google Cloud Core) 執行個體同時具有私人 IP 連線和公開 IP 連線，因此會有公開網址，所有傳入流量都會透過 HTTPS 連線。傳出流量會透過 VPC 進行路由，您可以將 VPC 設為只允許使用 HTTPS 或加密技術的私人 IP 流量。所有傳輸中的流量都會經過加密。

啟用 Private Service Connect 的 Looker (Google Cloud Core) 執行個體會使用客戶定義的 IP 位址，以便在 VPC 中進行入站連線。與 VPC 和內部部署或多雲端工作負載的通訊會使用您為輸出流量部署的服務附件。

私人 IP 和公開 IP 設定可讓您使用某些 Looker (Google Cloud Core) 功能，這些功能不適用於僅私人 IP 設定，例如 連結的試算表 BI 連接器。

如何選擇網路選項

下表列出不同網路選項的功能可用性。

網路需求
功能	公開 IP	公開和私人 (PSA)	Private (PSA)	公開和私人 (PSC)	Private (PSC)
建立執行個體時需要 IP 範圍分配	否	是 (每個執行個體、每個區域 /22)	是 (每個執行個體、每個區域 /22)	否	否
Cloud Armor	可以，Looker (Google Cloud Core) 會使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。	可以，Looker (Google Cloud Core) 會使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。	否	可以，Looker (Google Cloud Core) 會使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。	支援客戶管理的區域外部應用程式負載平衡器、Private Service Connect 後端，以及客戶管理的 Google Cloud Armor
自訂網域	是	支援公開網址	是	支援公開網址	是
往北行駛的車輛
功能	公開 IP	公開和私人 (PSA)	Private (PSA)	公開和私人 (PSC)	Private (PSC)
公共網際網路	是	是	否	可搭配 Google 代管的區域性外部應用程式負載平衡器使用	支援客戶管理的區域外部應用程式負載平衡器、Private Service Connect 後端和自訂網域
虛擬私有雲對等互連 (私人服務存取權)	否	是	是	否	否
以 PSC 為準的轉送	否	否	否	支援以下項目： 區域性外部應用程式負載平衡器和 Private Service Connect 後端 區域性內部應用程式負載平衡器和 Private Service Connect 後端 Private Service Connect 後端支援全域存取權，但 Private Service Connect 消費者端點不支援。
混合式網路	否	是	是	是	是
南向車道
功能	公開 IP	公開和私人 (PSA)	Private (PSA)	公開和私人 (PSC)	Private (PSC)
網際網路	是	否	否	支援區域性 TCP Proxy 內部負載平衡器、網際網路 NEG 和 Cloud NAT 閘道。
虛擬私有雲對等互連 (私人服務存取權)	否	是	是	否	否
以 Private Service Connect 為基礎的路由	否	否	否	支援區域性 TCP Proxy 內部負載平衡器和混合型 NEG
混合式網路 (多雲端和內部部署)	否	是	是	支援區域性 TCP Proxy 內部負載平衡器、混合式 NEG 和 Google Cloud 網路產品
應用程式
功能	公開 IP	公開和私人 (PSA)	Private (PSA)	公開和私人 (PSC)	Private (PSC)
GitHub	是	支援 TCP Proxy 內部負載平衡器和網際網路 NEG		可以，如需範例，請參閱 Looker PSC Southbound HTTPS Internet NEG 程式碼研究室。
GitHub Enterprise	否	是	是	是	是
Cloud SQL	是	支援在與 Looker (Google Cloud Core) 相同的 VPC 中部署的 Cloud SQL	是	是	是
BigQuery	是	是	是	是	是
嵌入	是	是	是	是	是
Marketplace	是	否	否	否	否
連結試算表	是	是	否	是	否
SMTP	是	是	是	可以，需要南向連線。
優點
功能	公開 IP	公開和私人 (PSA)	Private (PSA)	公開和私人 (PSC)	Private (PSC)
優點	公開存取的網址表示您可以輕鬆地從需要存取執行個體或將連線重新導向至 Looker 的其他服務，連線至 Looker (Google Cloud Core)。 不需要進行進階網路設定。	透過公開網址存取 Looker (Google Cloud Core) 根據 IP 可及性，取得多雲端環境的南向存取權	用於北向和南向存取的私人執行個體 根據 IP 可及性，取得多雲端環境的南向存取權	無需共用限制，也不需要在消費者和生產者之間協調 IP 不需要為 Looker (Google Cloud Core) 例項化分配子網路 明確存取 Looker (Google Cloud Core) 和端點 支援 Google 代管的外部負載平衡器。	無需共用限制，也不需要在消費者和生產者之間協調 IP 不需要為 Looker (Google Cloud Core) 例項化分配子網路 明確存取 Looker (Google Cloud Core) 和端點 使用 Private Service Connect 後端，支援 Looker (Google Cloud Core) 的公開和私人存取權
注意事項
功能	公開 IP	公開和私人 (PSA)	Private (PSA)	公開和私人 (PSC)	Private (PSC)
注意事項	如要使用自訂網址，你必須設定完整的網域名稱 (例如 looker.examplepetstore.com)。你無法使用 examplepetstore.looker.com 這類自訂網址。	內部部署和多雲端環境的南向存取權需要更新防火牆 在軸輻式 VPC 架構中部署 Looker (Google Cloud 核心)，並透過 VPC 對等互連，如果從內部部署或多雲端網路透過混合式網路存取 Looker，就會導致非傳遞式路由 連線至公開 Git 的額外基礎架構 (Proxy VM、網際網路 NEG 和負載平衡器)	內部部署和多雲端環境的南向存取權需要更新防火牆 在軸輻式 VPC 架構中部署 Looker (Google Cloud 核心)，並透過 VPC 對等互連，如果從內部部署或多雲端網路透過混合式網路存取 Looker，就會導致非傳遞式路由 連線至公開 Git 的額外基礎架構 (Proxy VM、網際網路 NEG 和負載平衡器)	Looker (Google Cloud Core) 的公開存取權由 Google 管理。 每個南向端點 (IP 位址) 都需要 Private Service Connect 發布的服務。	您必須整合外部應用程式負載平衡器和 Private Service Connect 後端，才能公開存取 Looker (Google Cloud Core) 每個南向端點 (IP 位址) 都需要一個 Private Service Connect 發布的服務

後續步驟

• 建立 Looker (Google Cloud Core) 公開 IP 執行個體
• 建立私人 IP Looker (Google Cloud Core) 執行個體
• 搭配 Looker (Google Cloud Core) 使用 Private Service Connect
• 建立 Looker (Google Cloud Core) Private Service Connect 執行個體
• 按照教學課程操作，瞭解如何從 PSC 執行南向 HTTPS 連線至 GitHub。