Esta página explica as opções de configuração de rede para instâncias do Looker (Google Cloud Core).
Você define a configuração de rede de uma instância durante a criação dela. É uma boa ideia determinar quais opções de rede você quer usar antes de iniciar o processo de criação da instância. Esta página também ajuda a determinar qual dessas opções é a mais apropriada para as necessidades de sua organização.
Visão geral
As opções de configuração de rede do Looker (Google Cloud Core) são:
- Endereço IP público: uma instância que usa um endereço IP externo acessível pela Internet.
- Somente IP particular (acesso a serviços particulares): uma instância que usa um endereço IP interno de nuvem privada virtual (VPC, na sigla em inglês) hospedado pelo Google e o acesso a serviços particulares para se conectar de forma privada ao Google e a serviços de terceiros.
- IP privado (acesso a serviços privados) e IP público: uma instância que dá suporte a um endereço IP público para entrada e um endereço IP VPC interno hospedado pelo Google e acesso a serviços privados para saída.
- Somente IP privado (Private Service Connect): uma instância que usa um endereço IP de VPC interno hospedado pelo Google e utiliza o Private Service Connect para se conectar de forma privada a serviços do Google e de terceiros.
Ao considerar uma configuração de rede para sua instância do Looker (Google Cloud Core), as informações a seguir podem ser úteis para você tomar uma decisão:
- A configuração de rede precisa ser definida quando a instância é criada. A configuração de rede não pode ser alterada após a criação da instância, com uma exceção: para uma instância de acesso a serviços particulares, o IP público pode ser adicionado ou removido após a criação da instância.
- A disponibilidade do recurso varia de acordo com a opção de rede. Consulte a página de documentação Disponibilidade de recursos no Looker (Google Cloud core) para mais informações.
- Todas as conexões com o BigQuery são feitas pela rede privada do Google, independentemente da configuração da rede.
- Se um provedor de identidade de terceiros estiver configurado para o Logon único, o navegador do usuário se comunicará com esse provedor e será redirecionado para a instância do Looker (Google Cloud Core). Desde que o URL de redirecionamento seja acessível pela rede do usuário, os provedores de identidade de terceiros funcionam para todas as configurações de rede.
Consulte também a tabela na seção Como escolher uma opção de rede desta página de documentação para mais informações sobre como decidir a configuração de rede certa para sua equipe.
Conexões IP públicas
O Looker (Google Cloud Core) implantado como uma instância de IP pública é acessível por um endereço IP externo acessível pela Internet. Nessa configuração, o tráfego norte-sul (de entrada) para o Looker (núcleo do Google Cloud) é compatível com o acesso sul-norte (de saída) do Looker (núcleo do Google Cloud) aos endpoints da Internet. Essa configuração é semelhante à configuração de uma instância do Looker (original) hospedada pelo Looker.
As conexões de rede de IP público são simples de configurar e conectar, além de não exigirem configuração de rede avançada nem experiência.
Para criar uma instância de IP público do Looker (Google Cloud Core), consulte a página de documentação Criar uma instância de IP público do Looker (Google Cloud Core).
Conexões IP privadas
Uma instância do Looker (Google Cloud Core) com uma conexão de rede IP privada usa um endereço IP VPC interno hospedado pelo Google. É possível usar esse endereço para se comunicar com outros recursos que podem acessar a VPC. As conexões de IP particulares tornam os serviços acessíveis sem passar pela Internet pública ou usar endereços IP externos. Como não atravessam a Internet, as conexões por IP particular geralmente fornecem menor latência e vetores de ataque limitados.
Em uma configuração somente de IP privado, o Looker (Google Cloud Core) não tem um URL público. Você controla todo o tráfego no sentido norte (entrada), e todo o tráfego no sentido sul é roteado pela VPC.
Se a instância usar apenas uma conexão IP particular, será necessário fazer mais configurações para definir um domínio personalizado e o acesso do usuário à instância, usar alguns recursos do Looker (Google Cloud Core) ou se conectar a recursos externos, como provedores do Git. A experiência em rede interna é útil para planejar e executar essa configuração.
O Looker (Google Cloud Core) oferece suporte às duas opções a seguir para conexões de IP particulares:
O uso do Acesso a serviços particulares ou do Private Service Connect precisa ser decidido no momento da criação da instância.
Acesso privado a serviços
O uso do IP particular do acesso a serviços particulares com o Looker (Google Cloud Core) precisa ser definido no momento da criação da instância. As instâncias do Looker (Google Cloud Core) podem incluir uma conexão de IP público com a conexão de IP privado (acesso a serviços particulares). Depois de criar uma instância que usa o acesso a serviços particulares, é possível adicionar ou remover uma conexão de IP particular dela.
Para criar uma conexão IP particular (acesso a serviços particulares), aloque um intervalo CIDR /22 na VPC para o Looker (Google Cloud Core).
Para configurar o acesso do usuário a uma instância que usa apenas uma conexão de IP particular (acesso a serviços particulares), é necessário configurar um domínio personalizado e o acesso a ele de acordo com as necessidades da sua organização. Para se conectar a recursos externos, você precisa fazer mais configurações. A experiência em rede interna é útil para planejar e executar essa configuração.
Para criar uma instância de acesso a serviços particulares do Looker (Google Cloud Core), consulte a página de documentação Criar uma instância de IP particular.
Configuração de IPs particulares e públicos
Somente as instâncias do Looker (Google Cloud Core) que usam o acesso a serviços particulares para a conexão particular oferecem suporte a uma configuração de IP privado e IP público.
Uma instância do Looker (Google Cloud Core) que tenha uma conexão de IP particular (acesso a serviços particulares) e uma conexão de IP pública tem um URL público, e todo o tráfego de entrada passa pela conexão de IP pública. O tráfego de saída é roteado pela VPC, que pode ser configurado para permitir apenas o tráfego de IP particular.
Uma configuração de IP privado e IP público permite usar alguns recursos do Looker (Google Cloud Core) que não estão disponíveis para configurações somente de IP particular, como o conector de BI das páginas conectadas ou o conector de BI do Looker Studio.
Private Service Connect
O uso do Private Service Connect com o Looker (Google Cloud Core) precisa ser definido no momento da criação da instância. As instâncias do Private Service Connect do Looker (Google Cloud Core) não aceitam a adição de uma conexão de IP público.
Quando usado com o Looker (núcleo do Google Cloud), o Private Service Connect se diferencia do acesso a serviços particulares das seguintes maneiras:
- Endpoints e back-ends dão suporte a métodos de acesso público ou privado.
- O Looker (núcleo do Google Cloud) pode se conectar a outros serviços do Google, como o Cloud SQL, que são acessíveis pelo Private Service Connect.
- Não é necessário alocar grandes blocos de IP.
- As conexões diretas permitem a comunicação transitiva.
- Não é necessário compartilhar uma rede com outros serviços.
- Oferece suporte a multilocação.
Os endpoints ou back-ends do Private Service Connect podem ser usados para acessar instâncias do Private Service Connect do Looker (Google Cloud Core).
As instâncias do Looker (Google Cloud Core) (Private Service Connect) usam endpoints para se conectar ao Google Cloud ou a recursos externos. Se um recurso for externo, também é necessário configurar um grupo de endpoints de rede (NEG) e um balanceador de carga. Além disso, cada conexão de ida para um serviço único exige que o serviço seja publicado usando o Private Service Connect. No Looker (Google Cloud Core), cada conexão de saída exclusiva precisa ser criada e mantida para cada serviço a que você quer se conectar.
O conhecimento interno de rede é útil para planejar e executar configurações do Private Service Connect.
Para um exemplo de como se conectar a um serviço externo, consulte o codelab NEG de Internet HTTPS do Looker PSC Southbound (em inglês).
Para saber mais sobre as instâncias do Private Service Connect, consulte a página de documentação Usar o Private Service Connect com o Looker (Google Cloud Core).
Como escolher uma opção de rede
A tabela a seguir mostra a disponibilidade do recurso para diferentes opções de rede.
| Requisitos de rede | ||||
|---|---|---|---|---|
| Recurso | IP público | Público e privado (acesso a serviços particulares) | Privado (acesso a serviços particulares) | Privado (Private Service Connect) |
| Requer alocação de intervalo de IPs para criação de instâncias | Não | Sim (/22 por instância, por região)
|
Sim (/22 por instância, por região)
|
Não |
| Cloud Armor | Sim | Sim | Não | Compatível com o balanceador de carga de aplicativo externo regional, o back-end do Private Service Connect e o Google Cloud Armor |
| Domínio personalizado | Sim | Compatível como URL público | Sim | Sim |
| Acesso ao norte | ||||
| Recurso | IP público | Público e privado (acesso a serviços particulares) | Privado (acesso a serviços particulares) | Particular (Private Service Connect) |
| Internet pública | Sim | Sim | Não | Compatível com balanceador de carga de aplicativo externo regional, back-end do Private Service Connect e domínio personalizado |
| Peering de VPC (acesso a serviços particulares) | Não | Sim | Sim | Não |
| Roteamento baseado no PSC | Não | Não | Não |
Compatível com o seguinte:
|
| Rede híbrida | Não | Sim | Sim | Sim |
| Acesso ao sentido sul | ||||
| Recurso | IP público | Público e privado (acesso a serviços particulares) | Privado (acesso a serviços particulares) | Privado (Private Service Connect) |
| Internet | Sim | Não | Não | Compatível com o balanceador de carga interno do proxy TCP regional, o NEG da Internet e o gateway do Cloud NAT. |
| Peering de VPC (acesso a serviços particulares) | Não | Sim | Sim | Não |
| Roteamento baseado no Private Service Connect | Não | Não | Não | Compatível com o balanceador de carga interno de proxy TCP regional e o NEG híbrido |
| Rede híbrida (multicloud e no local) | Não | Sim | Sim | Compatível com o balanceador de carga interno de proxy TCP regional, NEG híbrido e produtos de rede do Google Cloud |
| Aplicativo | ||||
| Recurso | IP público | Público e privado (acesso a serviços particulares) | Privado (acesso a serviços particulares) | Privado (Private Service Connect) |
| GitHub | Sim | Compatível com o balanceador de carga interno do proxy TCP e NEG da Internet | Compatível com o balanceador de carga interno do proxy TCP e o NEG da Internet | SimPara conferir um exemplo, consulte o codelab de NEG HTTPS de Internet de sentido sul do PSC do Looker. |
| GitHub Enterprise | Não | Sim | Sim | Sim |
| Cloud SQL | Sim | Suporte ao Cloud SQL implantado na mesma VPC do Looker (Google Cloud core) | Sim | Sim |
| BigQuery | Sim | Sim | Sim | Sim |
| Incorporar | Sim | Sim | Sim | Sim |
| Marketplace | Sim | Não | Não | Não |
| Páginas conectadas | Sim | Sim | Não | Não |
| SMTP | Sim | Sim | Sim | Sim |
| Vantagens |
|
|
|
|
| Considerações | Se você quiser um URL personalizado, configure um nome de domínio totalmente qualificado (por exemplo, looker.examplepetstore.com). Não é possível ter um URL personalizado como examplepetstore.looker.com.
|
|
|
|
A seguir
- Criar uma instância do Looker (Google Cloud Core) para IP público
- Criar uma instância de IP particular do Looker (Google Cloud Core)
- Usar o Private Service Connect com o Looker (Google Cloud Core)
- Criar uma instância do Private Service Connect do Looker (Google Cloud Core)
- Siga o tutorial sobre como executar uma conexão HTTPS no sentido sul com o GitHub em um PSC.