Questa pagina illustra le opzioni di configurazione di rete per le istanze di Looker (Google Cloud core).
Imposti la configurazione di rete di un'istanza durante la sua creazione. Ti consigliamo di determinare le opzioni di networking che vuoi utilizzare prima di iniziare la procedura di creazione dell'istanza. Questa pagina ti aiuta anche a determinare quale di queste opzioni è più adatta alle esigenze della tua organizzazione.
Panoramica
Le opzioni di configurazione di rete per Looker (Google Cloud core) sono:
- public IP: un'istanza che utilizza un indirizzo IP esterno accessibile da internet.
- Solo IP privato (accesso ai servizi privati): un'istanza che utilizza un indirizzo IP Virtual Private Cloud (VPC) interno ospitato da Google e utilizza l'accesso ai servizi privati per connettersi in privato a servizi Google e di terze parti.
- IP privato (accesso ai servizi privati) e IP pubblico: un'istanza che supporta sia un indirizzo IP pubblico per l'ingresso sia un indirizzo IP VPC interno ospitato da Google e l'accesso ai servizi privati per l'uscita.
- Solo IP privato (Private Service Connect): un'istanza che utilizza un indirizzo IP VPC interno ospitato da Google e utilizza Private Service Connect per connettersi in privato a servizi Google e di terze parti.
Quando valuti una configurazione di rete per la tua istanza di Looker (Google Cloud core), le seguenti informazioni possono essere utili per prendere la tua decisione:
- La configurazione di rete deve essere impostata al momento della creazione dell'istanza. La configurazione di rete non può essere modificata dopo la creazione dell'istanza, con un'eccezione: per un'istanza di accesso privato ai servizi, l'IP pubblico può essere aggiunto o rimosso dopo la creazione dell'istanza.
- La disponibilità delle funzionalità varia in base all'opzione di rete. Per ulteriori informazioni, consulta la pagina della documentazione Disponibilità delle funzionalità in Looker (Google Cloud core).
- Tutte le connessioni a BigQuery avvengono tramite la rete privata di Google, indipendentemente dalla configurazione della rete.
- Se per il Single Sign-On è configurato un provider di identità di terze parti, il browser dell'utente comunica con il provider di identità e viene reindirizzato all'istanza di Looker (Google Cloud core). Finché l'URL di reindirizzamento è accessibile tramite la rete dell'utente, gli identity provider di terze parti funzionano per tutte le configurazioni di rete.
Consulta anche la tabella nella sezione Come scegliere un'opzione di rete di questa pagina della documentazione per ulteriori informazioni su come decidere la configurazione di rete più adatta al tuo team.
Connessioni con IP pubblico
Looker (Google Cloud core) di cui è stato eseguito il deployment come istanza con IP pubblico è accessibile da un indirizzo IP esterno accessibile da internet. In questa configurazione, il traffico in entrata (northbound) verso Looker (Google Cloud core) è supportato, oltre all'accesso in uscita (southbound) di Looker (Google Cloud core) agli endpoint internet. Questa configurazione è simile a quella di un'istanza di Looker (originale) ospitata da Looker.
Le connessioni di rete IP pubblico sono semplici da configurare e connettere e non richiedono competenze o configurazioni di rete avanzate.
Per creare un'istanza di Looker (Google Cloud core) con IP pubblico, consulta la pagina della documentazione Creare un'istanza di Looker (Google Cloud core) con IP pubblico.
Connessioni a IP privato
Un'istanza di Looker (Google Cloud core) con una connessione di rete con IP privato utilizza un indirizzo IP interno di VPC ospitato da Google. Puoi utilizzare questo indirizzo per comunicare con altre risorse che possono accedere al VPC. Le connessioni IP private rendono i servizi raggiungibili senza passare da internet pubblico o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni tramite IP privato in genere offrono una latenza inferiore e vettori di attacco limitati.
In una configurazione solo con IP privato, Looker (Google Cloud core) non ha un URL pubblico. Controlli tutto il traffico nord-sud (in entrata) e tutto il traffico sud-nord (in uscita) verrà indirizzato tramite il tuo VPC.
Se l'istanza utilizza solo una connessione con IP privato, è necessaria una configurazione aggiuntiva per impostare un dominio personalizzato e l'accesso utente all'istanza, utilizzare alcune funzionalità di Looker (Google Cloud core) o connettersi a risorse esterne, come i provider Git. Le competenze in materia di reti interne sono utili per pianificare ed eseguire questa configurazione.
Looker (Google Cloud core) supporta le due seguenti opzioni per le connessioni con IP privato:
L'utilizzo dell'accesso privato ai servizi o di Private Service Connect deve essere deciso al momento della creazione dell'istanza.
Accesso privato ai servizi
L'utilizzo dell'IP privato di Accesso ai servizi privati con Looker (Google Cloud core) deve essere impostato al momento della creazione dell'istanza. Facoltativamente, le istanze di Looker (Google Cloud core) possono includere una connessione con IP pubblico con la connessione con IP privato (accesso ai servizi privati). Dopo aver creato un'istanza che utilizza l'accesso ai servizi privati, puoi aggiungere o rimuovere una connessione IP privata a quell'istanza.
Per creare una connessione con IP privato (accesso ai servizi privati), devi allocare un intervallo CIDR di /22 nella tua VPC a Looker (Google Cloud core).
Per configurare l'accesso utente a un'istanza che utilizza solo una connessione IP privato (accesso ai servizi privati), devi configurare un dominio personalizzato e configurare l'accesso al dominio in base alle esigenze della tua organizzazione. Per connetterti a risorse esterne, dovrai eseguire una configurazione aggiuntiva. Le competenze in materia di reti interne sono utili per pianificare ed eseguire questa configurazione.
Per creare un'istanza di accesso ai servizi privati di Looker (Google Cloud core), consulta la pagina della documentazione Creare un'istanza con IP privato.
Configurazione dell'IP privato e dell'IP pubblico
Solo le istanze di Looker (Google Cloud core) che utilizzano l'accesso ai servizi privati per la connessione privata supportano una configurazione con IP privato e IP pubblico.
Un'istanza di Looker (Google Cloud core) che dispone sia di una connessione con IP privato (accesso privato ai servizi) sia di una connessione con IP pubblico ha un URL pubblico e tutto il traffico in entrata passerà attraverso la connessione con IP pubblico utilizzando HTTPS. Il traffico in uscita viene instradato tramite la VPC, che può essere configurata per consentire solo il traffico IP privato, utilizzando HTTPS o la crittografia. Tutto il traffico in transito è criptato.
Una configurazione con IP privato e IP pubblico consente di utilizzare alcune funzionalità di Looker (Google Cloud core) che non sono disponibili per le configurazioni solo con IP privato, come il connettore BI di Fogli collegati o il connettore BI di Looker Studio.
Private Service Connect
L'utilizzo di Private Service Connect con Looker (Google Cloud core) deve essere impostato al momento della creazione dell'istanza. Le istanze Private Service Connect di Looker (Google Cloud core) non supportano l'aggiunta di una connessione con IP pubblico.
Se utilizzato con Looker (Google Cloud core), Private Service Connect è diverso dall'accesso privato ai servizi nei seguenti modi:
- Gli endpoint e i backend supportano metodi di accesso pubblici o privati.
- Looker (Google Cloud core) può connettersi ad altri servizi Google, come Cloud SQL, accessibili tramite Private Service Connect.
- Non è necessario allocare blocchi IP di grandi dimensioni.
- Le connessioni dirette consentono la comunicazione transitiva.
- Non è necessario condividere una rete con altri servizi.
- Supporta la multi-tenancy.
Gli endpoint o i backends di Private Service Connect possono essere utilizzati per accedere alle istanze Private Service Connect di Looker (Google Cloud core).
Le istanze di Looker (Google Cloud core) (Private Service Connect) utilizzano gli endpoint per connettersi a Google Cloud o a risorse esterne. Se una risorsa è esterna, è necessario configurare anche un gruppo di endpoint di rete (NEG) e un bilanciatore del carico. Inoltre, ogni connessione southbound a un servizio univoco richiede che il servizio sia pubblicato utilizzando Private Service Connect. In Looker (Google Cloud core), ogni connessione in uscita univoca deve essere creata e gestita per ogni servizio a cui vuoi connetterti.
Le competenze in materia di reti interne sono utili per pianificare ed eseguire le configurazioni di Private Service Connect.
Per un esempio di connessione a un servizio esterno, consulta il codelab NEG internet HTTPS southbound di Looker PSC.
Per scoprire di più sulle istanze Private Service Connect, consulta la pagina della documentazione Utilizzare Private Service Connect con Looker (Google Cloud core).
Come scegliere un'opzione di rete
La tabella seguente mostra la disponibilità delle funzionalità per le diverse opzioni di rete.
| Requisiti di rete | ||||
|---|---|---|---|---|
| Funzionalità | IP pubblico | Pubblico e privato (accesso ai servizi privati) | Privato (accesso ai servizi privati) | Privato (Private Service Connect) |
| Richiede l'allocazione dell'intervallo IP per la creazione dell'istanza | No | Sì (/22 per istanza, per regione)
|
Sì (/22 per istanza, per regione)
|
No |
| Cloud Armor | Sì | Sì | No | Supportato con bilanciatore del carico delle applicazioni esterno regionale, backend Private Service Connect e Google Cloud Armor |
| Dominio personalizzato | Sì | Supportato come URL pubblico | Sì | Sì |
| Accesso in uscita | ||||
| Funzionalità | IP pubblico | Pubblico e privato (accesso ai servizi privati) | Privato (accesso ai servizi privati) | Privato (Private Service Connect) |
| Rete internet pubblica | Sì | Sì | No | Supportato con bilanciatore del carico delle applicazioni esterno regionale, backend Private Service Connect e dominio personalizzato |
| Peering VPC (accesso privato ai servizi) | No | Sì | Sì | No |
| Routing basato su PSC | No | No | No |
Supportato con quanto segue:
|
| Networking ibrido | No | Sì | Sì | Sì |
| Accesso in uscita | ||||
| Funzionalità | IP pubblico | Pubblico e privato (accesso ai servizi privati) | Privato (accesso ai servizi privati) | Privato (Private Service Connect) |
| Internet | Sì | No | No | Supportato con bilanciatore del carico interno del proxy TCP regionale, NEG internet e gateway Cloud NAT. |
| Peering VPC (accesso privato ai servizi) | No | Sì | Sì | No |
| Routing basato su Private Service Connect | No | No | No | Supportato con bilanciatore del carico interno del proxy TCP regionale e NEG ibrido |
| Networking ibrido (multi-cloud e on-premise) | No | Sì | Sì | Supportato con bilanciatore del carico interno del proxy TCP regionale, NEG ibrida e prodotti di rete Google Cloud |
| Applicazione | ||||
| Funzionalità | IP pubblico | Pubblico e privato (accesso ai servizi privati) | Privato (accesso ai servizi privati) | Privato (Private Service Connect) |
| GitHub | Sì | Supportato con bilanciatore del carico interno del proxy TCP e NEG internet | Supportato con bilanciatore del carico interno del proxy TCP e NEG internet | Sì(Per un esempio, consulta il codelab NEG internet HTTPS verso sud di Looker PSC) |
| GitHub Enterprise | No | Sì | Sì | Sì |
| Cloud SQL | Sì | Supportato con Cloud SQL di cui è stato eseguito il deployment nella stessa VPC di Looker (Google Cloud core) | Sì | Sì |
| BigQuery | Sì | Sì | Sì | Sì |
| Embed | Sì | Sì | Sì | Sì |
| Marketplace | Sì | No | No | No |
| Fogli connessi | Sì | Sì | No | No |
| SMTP | Sì | Sì | Sì | Sì |
| Vantaggi |
|
|
|
|
| Considerazioni | Se vuoi un URL personalizzato, devi configurare un nome di dominio completo (ad esempio looker.examplepetstore.com). Non puoi avere un URL personalizzato come examplepetstore.looker.com.
|
|
|
|
Passaggi successivi
- Crea un'istanza di Looker (Google Cloud core) con IP pubblico
- Crea un'istanza di Looker (Google Cloud core) con IP privato
- Utilizzare Private Service Connect con Looker (Google Cloud core)
- Crea un'istanza Private Service Connect di Looker (Google Cloud core)
- Segui un tutorial su come eseguire una connessione HTTPS southbound a GitHub da un PSC.