Opciones de redes de Looker (Google Cloud Core)

En esta página, se explican las opciones de configuración de red para las instancias de Looker (Google Cloud Core).

La configuración de red de una instancia se establece durante su creación. Es recomendable determinar qué opciones de red deseas usar antes de comenzar el proceso de creación de la instancia. Esta página también te ayuda a determinar cuál de estas opciones es la más adecuada para las necesidades de tu organización.

Descripción general

Las opciones de configuración de red para Looker (Google Cloud Core) son las siguientes:

Cuando consideres una configuración de red para tu instancia de Looker (Google Cloud Core), la siguiente información puede ser útil para tomar una decisión:

  • La configuración de red se debe establecer cuando se crea la instancia. La configuración de red no se puede cambiar después de la creación de la instancia, con una excepción: en el caso de una instancia de acceso a servicios privados, se puede agregar o quitar la IP pública después de crearla.
  • La disponibilidad de las funciones varía según la opción de red. Consulta la página de documentación Disponibilidad de funciones en Looker (Google Cloud Core) para obtener más información.
  • Todas las conexiones a BigQuery se realizan a través de la red privada de Google, independientemente de la configuración de la red.
  • Si se configura un proveedor de identidad de terceros para el inicio de sesión único, el navegador del usuario se comunica con el proveedor de identidad y, luego, se redirecciona a la instancia de Looker (Google Cloud Core). Siempre que se pueda acceder a la URL de redireccionamiento a través de la red del usuario, los proveedores de identidad de terceros funcionan para todas las configuraciones de red.

Consulta también la tabla de la sección Cómo elegir una opción de red de esta página de documentación para obtener más información sobre cómo decidir la configuración de red adecuada para tu equipo.

Conexiones de IP pública

Se puede acceder a Looker (Google Cloud Core) implementado como una instancia de IP pública desde una dirección IP externa accesible a través de Internet. En esta configuración, se admite el tráfico norte (entrante) a Looker (Google Cloud Core), además del acceso sur (saliente) de Looker (Google Cloud Core) a los extremos de Internet. Esta configuración es similar a la de una instancia de Looker (original) que aloja Looker.

El tráfico hacia y desde una instancia de IP pública se mueve a través de la Internet pública.

Las conexiones de red de IP pública son fáciles de configurar y conectarse, y no requieren conocimientos ni configuración de red avanzados.

Para crear una instancia de Looker (Google Cloud Core) con IP pública, consulta la página de documentación Crea una instancia de Looker (Google Cloud Core) con IP pública.

Conexiones de IP privadas

Una instancia de Looker (Google Cloud Core) con una conexión de red de IP privada usa una dirección IP interna de VPC alojada por Google. Puedes usar esta dirección para comunicarte con otros recursos que puedan acceder a la VPC. Las conexiones de IP privadas permiten acceder a los servicios sin pasar por Internet público ni usar direcciones IP externas. Debido a que no atraviesan Internet, las conexiones mediante IP privadas suelen proporcionar una latencia más baja y vectores de ataque limitados.

En una configuración de solo IP privada, Looker (Google Cloud Core) no tiene una URL pública. Controlas todo el tráfico de norte a sur (entrante) y todo el tráfico de sur a norte (saliente) se enrutará a través de tu VPC.

Si tu instancia solo usa una conexión de IP privada, es necesario realizar una configuración adicional para establecer un dominio personalizado y el acceso de los usuarios a la instancia, usar algunas funciones de Looker (Google Cloud Core) o conectarse a recursos externos, como proveedores de Git. La experiencia interna en redes es útil para planificar y ejecutar esta configuración.

Looker (Google Cloud Core) admite las siguientes dos opciones para las conexiones de IP privada:

Se debe decidir el uso del acceso privado a servicios o Private Service Connect en el momento de la creación de la instancia.

Acceso privado a servicios

El uso de la IP privada de acceso a servicios privados con Looker (Google Cloud Core) se debe configurar en el momento de la creación de la instancia. De manera opcional, las instancias de Looker (Google Cloud Core) pueden incluir una conexión de IP pública con su conexión de IP privada (acceso a servicios privados). Después de crear una instancia que usa el acceso privado a servicios, puedes agregar o quitar una conexión de IP privada a esa instancia.

Para crear una conexión de IP privada (acceso a servicios privados), debes asignar un rango CIDR /22 en tu VPC a Looker (Google Cloud Core).

Para configurar el acceso de los usuarios a una instancia que solo usa una conexión de IP privada (acceso privado a servicios), debes configurar un dominio personalizado y configurar el acceso al dominio según las necesidades de tu organización. Para conectarte a recursos externos, deberás realizar una configuración adicional. La experiencia interna en redes es útil para planificar y ejecutar esta configuración.

Para crear una instancia de acceso a servicios privados de Looker (Google Cloud Core), consulta la página de documentación Crea una instancia de IP privada.

Configuración de IP privada y pública

Solo las instancias de Looker (Google Cloud Core) que usan acceso a servicios privados para su conexión privada admiten una configuración de IP privada y pública.

Una instancia de Looker (Google Cloud Core) que tiene una conexión de IP privada (acceso a servicios privados) y una conexión de IP pública tiene una URL pública, y todo el tráfico entrante pasará por la conexión de IP pública a través de HTTPS. El tráfico saliente se enruta a través de tu VPC, que se puede configurar para permitir solo el tráfico de IP privada, con HTTPS o encriptación. Todo el tráfico en tránsito está encriptado.

En una configuración de IP pública y privada, el tráfico ascendente pasa por la IP pública y el tráfico descendente pasa por la IP privada.

Una configuración de IP privada y pública permite usar algunas funciones de Looker (Google Cloud Core) que no están disponibles para las configuraciones de solo IP privada, como el conector de BI de Hojas conectadas o el conector de BI de Looker Studio.

Private Service Connect

El uso de Private Service Connect con Looker (Google Cloud Core) se debe configurar en el momento de la creación de la instancia. Las instancias de Private Service Connect de Looker (Google Cloud Core) no admiten la adición de una conexión de IP pública.

Cuando se usa con Looker (Google Cloud Core), Private Service Connect difiere del acceso a servicios privados de las siguientes maneras:

  • Los extremos y los backends admiten métodos de acceso públicos o privados.
  • Looker (Google Cloud Core) puede conectarse a otros servicios de Google, como Cloud SQL, a los que se puede acceder a través de Private Service Connect.
  • No es necesario asignar grandes bloques de IP.
  • Las conexiones directas permiten la comunicación transitiva.
  • No es necesario compartir una red con otros servicios.
  • Admite multiusuarios.

Los extremos o backends de Private Service Connect se pueden usar para acceder a instancias de Private Service Connect de Looker (Google Cloud Core).

Las instancias de Looker (Google Cloud Core) (Private Service Connect) usan extremos para conectarse a Google Cloud o recursos externos. Si un recurso es externo, también se deben configurar un grupo de extremos de red (NEG) y un balanceador de cargas. Además, cada conexión de norte a sur a un servicio único requiere que el servicio se publique con Private Service Connect. En el extremo de Looker (Google Cloud Core), se debe crear y mantener cada conexión de salida única para cada servicio al que deseas conectarte.

Descripción general de las topologías de red ascendentes y descendentes de Private Service Connect.

La experiencia interna en redes es útil para planificar y ejecutar configuraciones de Private Service Connect.

Para ver un ejemplo de cómo conectarse a un servicio externo, consulta el codelab de NEG de Internet de PSC de Looker con HTTPS de sentido sur.

Para obtener más información sobre las instancias de Private Service Connect, consulta la página de documentación Cómo usar Private Service Connect con Looker (Google Cloud Core).

Cómo elegir una opción de red

En la siguiente tabla, se muestra la disponibilidad de las funciones para diferentes opciones de red.

Requisitos de red
Función IP pública Público y privado (acceso a servicios privados) Privado (acceso privado a servicios) Privado (Private Service Connect)
Requiere asignación de rangos de IP para la creación de instancias No Sí (/22 por instancia y por región) Sí (/22 por instancia y por región) No
Cloud Armor Sí. Looker (Google Cloud Core) usa reglas predeterminadas de Cloud Armor que administra Google. Estas reglas no se pueden configurar. Sí. Looker (Google Cloud Core) usa reglas predeterminadas de Cloud Armor que administra Google. Estas reglas no se pueden configurar. No Se admite con el balanceador de cargas de aplicaciones externo regional, el backend de Private Service Connect y Google Cloud Armor
Dominio personalizado Se admite como URL pública
Acceso a norte
Función IP pública Público y privado (acceso a servicios privados) Privado (acceso privado a servicios) Privado (Private Service Connect)
Internet pública No Compatible con el balanceador de cargas de aplicaciones externo regional, el backend de Private Service Connect y el dominio personalizado
Intercambio de tráfico de VPC (acceso a servicios privados) No No
Enrutamiento basado en PSC No No No

Se admite con lo siguiente:

  • Balanceador de cargas de aplicaciones externo regional y backend de Private Service Connect
  • Balanceador de cargas de aplicaciones interno regional y backend de Private Service Connect
Redes híbridas No
Acceso descendente
Función IP pública Público y privado (acceso a servicios privados) Privado (acceso privado a servicios) Privado (Private Service Connect)
Internet No No Se admite con el balanceador de cargas interno de proxy TCP regional, el NEG de Internet y la puerta de enlace de Cloud NAT.
Intercambio de tráfico de VPC (acceso a servicios privados) No No
Enrutamiento basado en Private Service Connect No No No Compatible con el balanceador de cargas interno de proxy TCP regional y el NEG híbrido
Herramientas de redes híbridas (multinube y local) No Se admite con el balanceador de cargas interno de proxy de TCP regional, el NEG híbrido y los productos de redes deGoogle Cloud
Aplicación
Función IP pública Público y privado (acceso a servicios privados) Privado (acceso privado a servicios) Privado (Private Service Connect)
GitHub Compatible con el balanceador de cargas interno del proxy TCP y el NEG de Internet Compatible con el balanceador de cargas interno del proxy TCP y el NEG de Internet

(Para ver un ejemplo, consulta el codelab de NEG de Internet de PSC de Looker para HTTPS de sentido sur).
GitHub Enterprise No
Cloud SQL Compatible con Cloud SQL implementado en la misma VPC que Looker (Google Cloud Core)
BigQuery
Incorporar
Marketplace No No No
Hojas conectadas No No
SMTP
Beneficios
  • Una URL de acceso público significa que es fácil conectarse a Looker (Google Cloud Core) desde otros servicios que necesitan acceder a la instancia o redireccionar a Looker.
  • Es fácil de configurar y no requiere configuración de red avanzada.
  • Accede a Looker (Google Cloud Core) a través de una URL pública
  • El acceso de norte a sur a los entornos de múltiples nubes se logra en función de la accesibilidad de IP.
  • Instancia privada para el acceso de norte a sur y de sur a norte
  • El acceso de norte a sur a los entornos de múltiples nubes se logra en función de la accesibilidad de IP.
  • No se requieren restricciones compartidas ni coordinación de IP entre el consumidor y el productor.
  • No se requiere la asignación de subredes para la creación de instancias de Looker (Google Cloud Core).
  • Acceso explícito a Looker (Google Cloud Core) y extremos
  • Admite acceso público y privado a Looker (Google Cloud Core) con el uso de backends de Private Service Connect.
Consideraciones Si quieres una URL personalizada, debes configurar un nombre de dominio completamente calificado (por ejemplo, looker.examplepetstore.com). No puedes tener una URL personalizada como examplepetstore.looker.com.
  • El acceso de norte a sur a entornos locales y de múltiples nubes requiere actualizaciones del firewall
  • La implementación de Looker (Google Cloud Core) en una arquitectura de VPC de concentrador y radios con intercambio de tráfico de VPC genera un enrutamiento no transitivo a Looker si se accede a través de redes híbridas desde redes locales o de múltiples nubes.
  • Infraestructura adicional para conectarse a Git público (VM de proxy, NEG de Internet y balanceador de cargas)
  • El acceso de norte a sur a entornos locales y de múltiples nubes requiere actualizaciones del firewall
  • La implementación de Looker (Google Cloud Core) en una arquitectura de VPC de concentrador y radios con intercambio de tráfico de VPC genera un enrutamiento no transitivo a Looker si se accede a través de redes híbridas desde redes locales o de múltiples nubes.
  • Infraestructura adicional para conectarse a Git público (VM de proxy, NEG de Internet y balanceador de cargas)
  • El acceso público a Looker (Google Cloud Core) requiere la integración con un balanceador de cargas de aplicaciones externo y un backend de Private Service Connect.
  • Cada extremo orientado al sur (dirección IP) requiere un servicio publicado de Private Service Connect.

¿Qué sigue?