Netzwerkoptionen für Looker (Google Cloud Core)

Auf dieser Seite werden die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core)-Instanzen erläutert.

Die Netzwerkkonfiguration einer Instanz wird beim Erstellen der Instanz festgelegt. Es empfiehlt sich, vor dem Erstellen der Instanz festzulegen, welche Netzwerkoptionen Sie verwenden möchten. Auf dieser Seite erfahren Sie auch, welche dieser Optionen für die Anforderungen Ihrer Organisation am besten geeignet ist.

Übersicht

Die folgenden Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core) sind verfügbar:

Bei der Auswahl einer Netzwerkkonfiguration für Ihre Looker (Google Cloud Core)-Instanz können die folgenden Informationen hilfreich sein:

  • Die Netzwerkkonfiguration muss beim Erstellen der Instanz festgelegt werden. Eine Instanz, die für öffentliche sichere Verbindungen konfiguriert ist, kann nach dem Erstellen der Instanz nicht mehr geändert werden. Eine Instanz, die für Hybridverbindungen konfiguriert ist, kann in private Verbindungen geändert werden. Eine Instanz mit privaten Verbindungen kann nach der Erstellung in eine Hybridverbindungskonfiguration geändert werden.
  • Die Verfügbarkeit der Funktionen variiert je nach Netzwerkoption. Weitere Informationen finden Sie auf der Dokumentationsseite Verfügbarkeit von Funktionen in Looker (Google Cloud Core).
  • Alle Verbindungen zu BigQuery erfolgen über das private Netzwerk von Google, unabhängig von der Netzwerkkonfiguration.
  • Wenn ein externer Identitätsanbieter für die Einmalanmeldung konfiguriert ist, kommuniziert der Browser des Nutzers mit dem Identitätsanbieter und wird dann zur Looker (Google Cloud Core)-Instanz weitergeleitet. Solange die Weiterleitungs-URL über das Netzwerk des Nutzers zugänglich ist, funktionieren Drittanbieter-Identitätsanbieter für alle Netzwerkkonfigurationen.

Weitere Informationen zur Auswahl der richtigen Netzwerkkonfiguration für Ihr Team finden Sie auch in der Tabelle im Abschnitt Netzwerkoption auswählen auf dieser Dokumentationsseite.

Öffentliche verschlüsselte Verbindungen

Looker (Google Cloud Core), das als Instanz mit öffentlicher sicherer Verbindung bereitgestellt wird, ist über eine externe, über das Internet zugängliche IP-Adresse erreichbar. In dieser Konfiguration wird eingehender (Northbound-)Traffic zu Looker (Google Cloud Core) zusätzlich zum ausgehenden (Southbound-)Zugriff von Looker (Google Cloud Core) auf Internetendpunkte unterstützt. Diese Konfiguration ähnelt der Konfiguration einer von Looker gehosteten Looker (Original)-Instanz.

Der Traffic zu und von einer öffentlichen sicheren Verbindungsinstanz wird über das öffentliche Internet geleitet.

Öffentliche sichere Verbindungen lassen nur HTTPS-Traffic in Looker (Google Cloud Core) zu. Google stellt automatisch ein SSL-Zertifikat bereit, wenn der CNAME aktualisiert wird und Google die DIG-Einträge finden kann. Dieses Zertifikat wird automatisch alle vier Monate rotiert. Wenn Sie eine sichere Verbindung zu externen Datenbanken über eine öffentliche sichere Verbindung zu einer Looker (Google Cloud Core)-Instanz herstellen möchten, können Sie eine verschlüsselte SSL-Verbindung einrichten.

Öffentliche sichere Verbindungen lassen sich einfach einrichten und verbinden und erfordern keine erweiterten Netzwerkkonfigurationen oder Fachkenntnisse.

Informationen zum Erstellen einer Looker (Google Cloud Core)-Instanz mit öffentlicher sicherer Verbindung finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz mit öffentlicher sicherer Verbindung erstellen.

Private Verbindungen

Für eine Looker (Google Cloud Core)-Instanz, die für die Verwendung privater Verbindungen konfiguriert ist, wird eine interne, von Google gehostete VPC-IP-Adresse verwendet. Sie können diese Adresse verwenden, um mit anderen Ressourcen zu kommunizieren, die auf die VPC zugreifen können. Private Verbindungen machen Dienste erreichbar, ohne das öffentliche Internet zu nutzen oder externe IP-Adressen zu verwenden. Da sie nicht über das Internet übertragen werden, bieten private Verbindungen über private IP-Adressen in der Regel eine geringere Latenz und eingeschränkte Angriffsvektoren.

Bei einer Konfiguration für private Verbindungen werden interne Zertifikate vollständig von Google verwaltet und sind für niemanden zugänglich. Wenn Sie eine Instanz für private Verbindungen mit benutzerdefinierten Zertifikaten bereitstellen, müssen Sie die internen privaten Zertifikate nicht verwalten. Verwenden Sie stattdessen Ihr eigenes benutzerdefiniertes Zertifikat und sorgen Sie dafür, dass die Rotation dieses Zertifikats aufrechterhalten wird.

Bei einer Konfiguration mit privaten Verbindungen hat Looker (Google Cloud Core) keine öffentliche URL. Sie steuern den gesamten eingehenden (Northbound-)Traffic und der gesamte ausgehende (Southbound-)Traffic wird über Ihre VPC weitergeleitet.

Wenn für Ihre Instanz nur eine private Verbindung verwendet wird, ist eine zusätzliche Konfiguration erforderlich, um eine benutzerdefinierte Domain und den Nutzerzugriff auf die Instanz einzurichten, bestimmte Looker (Google Cloud Core)-Funktionen zu verwenden oder eine Verbindung zu externen Ressourcen wie Git-Anbietern herzustellen. Für die Planung und Ausführung dieser Konfiguration sind interne Netzwerkkenntnisse hilfreich.

Looker (Google Cloud Core) unterstützt die folgenden beiden Optionen für private Verbindungen:

Die Verwendung des Zugriffs auf private Dienste oder von Private Service Connect muss beim Erstellen der Instanz festgelegt werden.

Private Service Connect

Die Verwendung von Private Service Connect mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden.

Bei der Verwendung mit Looker (Google Cloud Core) unterscheidet sich Private Service Connect in folgenden Punkten vom Zugriff auf private Dienste:

  • Endpunkte und Back-Ends unterstützen öffentliche oder private Zugriffsmethoden.
  • Looker (Google Cloud Core) kann eine Verbindung zu anderen Google-Diensten wie Cloud SQL herstellen, auf die über Private Service Connect zugegriffen werden kann.
  • Es müssen keine großen IP-Blöcke zugewiesen werden.
  • Direkte Verbindungen ermöglichen transitive Kommunikation.
  • Es ist nicht erforderlich, ein Netzwerk mit anderen Diensten zu teilen.
  • Unterstützt Mandantenfähigkeit.

Back-Ends von Private Service Connect können verwendet werden, um auf Looker (Google Cloud Core)-Instanzen von Private Service Connect zuzugreifen.

Looker (Google Cloud Core)-Instanzen (Private Service Connect) verwenden Endpunkte, um eine Verbindung zu Google Cloud oder externen Ressourcen herzustellen. Wenn eine Ressource extern ist, müssen auch eine Netzwerk-Endpunktgruppe (NEG) und ein Load-Balancer eingerichtet werden. Außerdem muss für jede ausgehende Verbindung zu einem eindeutigen Dienst der Dienst mit Private Service Connect veröffentlicht werden. Auf der Looker (Google Cloud-Kern)-Seite muss für jeden Dienst, mit dem Sie eine Verbindung herstellen möchten, eine eindeutige Egress-Verbindung erstellt und verwaltet werden.

Eine Übersicht über eingehende und ausgehende Netzwerktopologien für Private Service Connect.

Für die Planung und Ausführung von Private Service Connect-Konfigurationen sind interne Netzwerkkenntnisse hilfreich.

Ein Beispiel für die Verbindung zu einem externen Dienst finden Sie im Looker PSC Southbound HTTPS Internet NEG Codelab.

Weitere Informationen zu Private Service Connect-Instanzen finden Sie auf der Dokumentationsseite Private Service Connect mit Looker (Google Cloud Core) verwenden.

Zugriff auf private Dienste

Die Verwendung von Zugriff auf private Dienste für private Verbindungen mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Looker (Google Cloud Core)-Instanzen können optional eine öffentliche sichere Verbindung mit ihrer privaten Verbindung (Zugriff auf private Dienste) enthalten. Nachdem Sie eine Instanz erstellt haben, die den Zugriff auf private Dienste verwendet, können Sie dieser Instanz eine private Verbindung hinzufügen oder eine private Verbindung daraus entfernen.

Wenn Sie eine private Verbindung (Zugriff auf private Dienste) erstellen möchten, müssen Sie Looker (Google Cloud Core) einen /22-CIDR-Bereich in Ihrer VPC zuweisen.

Wenn Sie den Nutzerzugriff auf eine Instanz einrichten möchten, die nur eine private Verbindung (Zugriff auf private Dienste) verwendet, müssen Sie eine benutzerdefinierte Domain einrichten und den Zugriff auf die Domain entsprechend den Anforderungen Ihrer Organisation konfigurieren. Wenn Sie eine Verbindung zu externen Ressourcen herstellen möchten, müssen Sie zusätzliche Konfigurationen vornehmen. Für die Planung und Ausführung dieser Konfiguration sind interne Netzwerkkenntnisse hilfreich.

Informationen zum Erstellen einer Instanz für den Zugriff auf private Dienste für Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite Instanz für private Verbindungen erstellen.

Hybridverbindungen konfigurieren

Looker (Google Cloud Core)-Instanzen, die Zugriff auf private Dienste oder Private Service Connect für ihre private Verbindung verwenden, unterstützen eine Hybridverbindungskonfiguration.

Eine Looker (Google Cloud Core)-Instanz, die den Zugriff auf private Dienste verwendet und eine Hybridverbindung hat, hat eine öffentliche URL. Der gesamte eingehende (Northbound-)Traffic wird über die öffentliche Verbindung mit HTTPS übertragen. Ausgehender (Southbound-)Traffic wird über Ihre VPC weitergeleitet, die so konfiguriert werden kann, dass nur Traffic mit privater Verbindung über HTTPS oder Verschlüsselung zugelassen wird. Der gesamte Traffic bei der Übertragung wird verschlüsselt.

Für eine Looker (Google Cloud Core)-Instanz, die für Private Service Connect aktiviert ist, wird eine vom Kunden definierte IP-Adresse verwendet, die in einer VPC für den eingehenden Traffic zugänglich ist. Die Kommunikation mit der VPC und den lokalen oder Multi-Cloud-Arbeitslasten erfolgt über Dienstanhänge, die Sie für ausgehenden Traffic bereitstellen.

Bei einer Hybridverbindungskonfiguration wird eingehender Traffic über eine öffentliche Verbindung und ausgehender Traffic über eine private Verbindung weitergeleitet.

Eine Hybridverbindungskonfiguration ermöglicht die Verwendung einiger Looker (Google Cloud Core)-Funktionen, die für private Verbindungskonfigurationen nicht verfügbar sind, z. B. der Connected Sheets BI-Connector.

Netzwerkoption auswählen

In der folgenden Tabelle sehen Sie, welche Funktionen für die verschiedenen Netzwerkoptionen verfügbar sind.

Netzwerkanforderungen
Feature Öffentliche verschlüsselte Verbindungen Hybridverbindungen (PSA) Private Verbindungen (PSA) Hybridverbindungen (PSC) Private Verbindungen (PSC)
Für die Instanzerstellung ist die Zuweisung eines IP-Bereichs erforderlich Nein Ja (/22 pro Instanz und Region) Ja (/22 pro Instanz und Region) Nein Nein
Cloud Armor Ja. In Looker (Google Cloud Core) werden standardmäßige Cloud Armor-Regeln verwendet, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. Ja. In Looker (Google Cloud Core) werden standardmäßige Cloud Armor-Regeln verwendet, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. Nein Ja. In Looker (Google Cloud Core) werden standardmäßige Cloud Armor-Regeln verwendet, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. Wird mit vom Kunden verwalteten regionalen externen Application Load Balancern, Private Service Connect-Backends und vom Kunden verwalteten Google Cloud Armor unterstützt
Benutzerdefinierte Domain Ja Als öffentliche URL unterstützt Ja Als öffentliche URL unterstützt Ja
Eingehender Zugriff
Feature Öffentliche verschlüsselte Verbindungen Hybridverbindungen (PSA) Private Verbindungen (PSA) Hybridverbindungen (PSC) Private Verbindungen (PSC)
Öffentliches Internet Ja Ja Nein Wird mit von Google verwalteten regionalen externen Application Load Balancern unterstützt Unterstützt mit vom Kunden verwalteten regionalen externen Application Load Balancern, Private Service Connect-Backends und benutzerdefinierten Domains
VPC-Peering (Zugriff auf private Dienste) Nein Ja Ja Nein Nein
PSC-basiertes Routing Nein Nein Nein

Unterstützt mit Folgendem:

  • Regionaler externer Application Load Balancer und Private Service Connect-Backend
  • Regionaler interner Application Load Balancer und Private Service Connect-Backend

Der globale Zugriff wird von Private Service Connect-Back-Ends unterstützt, nicht jedoch von Private Service Connect-Nutzerendpunkten.

Hybridnetzwerk Nein Ja Ja Ja Ja
Ausgehender Zugriff
Feature Öffentliche verschlüsselte Verbindungen Hybridverbindungen (PSA) Private Verbindungen (PSA) Hybridverbindungen (PSC) Private Verbindungen (PSC)
Internet Ja Nein Nein Wird mit regionalem internen TCP-Proxy-Load-Balancer, Internet-NEG und Cloud NAT-Gateway unterstützt.
VPC-Peering (Zugriff auf private Dienste) Nein Ja Ja Nein Nein
Private Service Connect-basiertes Routing Nein Nein Nein Wird mit dem internen regionalen TCP-Proxy-Load-Balancer und dem hybriden NEG unterstützt
Hybridnetzwerk (Multi-Cloud und lokal) Nein Ja Ja Wird mit dem internen regionalen TCP-Proxy-Load-Balancer, dem Hybrid-NEG und den Google Cloud Netzwerkprodukten unterstützt
Anwendung
Feature Öffentliche verschlüsselte Verbindungen Hybridverbindungen (PSA) Private Verbindungen (PSA) Hybridverbindungen (PSC) Private Verbindungen (PSC)
GitHub Ja Wird mit dem internen TCP-Proxy-Load-Balancer und dem Internet-NEG unterstützt Ja. Ein Beispiel finden Sie im Codelab zu Looker PSC Southbound HTTPS Internet NEG.
GitHub Enterprise Nein Ja Ja Ja Ja
Cloud SQL Ja Wird unterstützt, wenn Cloud SQL in derselben VPC wie Looker (Google Cloud Core) bereitgestellt wird. Ja Ja Ja
BigQuery Ja Ja Ja Ja Ja
Einbetten Ja Ja Ja Ja Ja
Marketplace Ja Nein Nein Nein Nein
Verbundene Tabellenblätter Ja Ja Nein Ja Nein
SMTP Ja Ja Ja Ja. Ausgehende Verbindungen sind erforderlich.
Vorteile
Feature Öffentliche verschlüsselte Verbindungen Hybridverbindungen (PSA) Private Verbindungen (PSA) Hybridverbindungen (PSC) Private Verbindungen (PSC)
Vorteile
  • Eine öffentlich zugängliche URL bedeutet, dass es einfach ist, von anderen Diensten, die auf die Instanz zugreifen oder zu Looker weiterleiten müssen, eine Verbindung zu Looker (Google Cloud Core) herzustellen.
  • Es ist keine erweiterte Netzwerkkonfiguration erforderlich.
  • Über eine öffentliche URL auf Looker (Google Cloud Core) zugreifen
  • Der ausgehende Zugriff auf Multi-Cloud-Umgebungen erfolgt auf Grundlage der IP-Erreichbarkeit.
    • Private Instanz für ein- und ausgehenden Zugriff
    • Der ausgehende Zugriff auf Multi-Cloud-Umgebungen erfolgt auf Grundlage der IP-Erreichbarkeit.
    • Keine gemeinsamen Einschränkungen und keine IP-Koordination zwischen Nutzer und Ersteller erforderlich
    • Für die Instanziierung von Looker (Google Cloud Core) ist keine Subnetz-Zuweisung erforderlich.
    • Expliziter Zugriff auf Looker (Google Cloud Core) und Endpunkte
    • Unterstützt von Google verwaltete externe Load Balancer.
    • Keine gemeinsamen Einschränkungen und keine IP-Koordination zwischen Nutzer und Ersteller erforderlich
    • Für die Instanziierung von Looker (Google Cloud Core) ist keine Subnetz-Zuweisung erforderlich.
    • Expliziter Zugriff auf Looker (Google Cloud Core) und Endpunkte
    • Unterstützt öffentlichen und privaten Zugriff auf Looker (Google Cloud Core) mit Private Service Connect-Back-Ends
    Hinweise
    Feature Öffentliche verschlüsselte Verbindungen Hybridverbindungen (PSA) Private Verbindungen (PSA) Hybridverbindungen (PSC) Private Verbindungen (PSC)
    Hinweise Wenn Sie eine benutzerdefinierte URL verwenden möchten, müssen Sie einen vollständig qualifizierten Domainnamen konfigurieren, z. B. looker.examplepetstore.com. Eine benutzerdefinierte URL wie examplepetstore.looker.com ist nicht möglich.
    • Für den ausgehenden Zugriff auf lokale und Multi-Cloud-Umgebungen sind Firewall-Updates erforderlich
    • Wenn Sie Looker (Google Cloud Core) in einer Hub-and-Spoke-VPC-Architektur mit VPC-Peering bereitstellen, führt dies zu einem nicht transitiven Routing zu Looker, wenn über hybride Netzwerke von lokalen oder Multi-Cloud-Netzwerken aus darauf zugegriffen wird.
    • Zusätzliche Infrastruktur für die Verbindung zu öffentlichem Git (Proxy-VM, Internet-NEG und Load-Balancer)
    • Für den ausgehenden Zugriff auf lokale und Multi-Cloud-Umgebungen sind Firewall-Updates erforderlich
    • Wenn Sie Looker (Google Cloud Core) in einer Hub-and-Spoke-VPC-Architektur mit VPC-Peering bereitstellen, führt dies zu einem nicht transitiven Routing zu Looker, wenn über hybride Netzwerke von lokalen oder Multi-Cloud-Netzwerken aus darauf zugegriffen wird.
    • Zusätzliche Infrastruktur für die Verbindung zu öffentlichem Git (Proxy-VM, Internet-NEG und Load-Balancer)
    • Der öffentliche Zugriff auf Looker (Google Cloud Core) wird von Google verwaltet.
    • Für jeden ausgehenden Endpunkt (IP-Adresse) ist ein veröffentlichter Private Service Connect-Dienst erforderlich.
    • Für den öffentlichen Zugriff auf Looker (Google Cloud Core) ist die Einbindung in einen externen Application Load Balancer und ein Private Service Connect-Backend erforderlich
    • Für jeden ausgehenden Endpunkt (IP-Adresse) ist ein veröffentlichter Private Service Connect-Dienst erforderlich.

    Nächste Schritte