Auf dieser Seite werden die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core)-Instanzen erläutert.
Die Netzwerkkonfiguration einer Instanz wird beim Erstellen der Instanz festgelegt. Es empfiehlt sich, vor dem Erstellen der Instanz festzulegen, welche Netzwerkoptionen Sie verwenden möchten. Auf dieser Seite erfahren Sie auch, welche dieser Optionen für die Anforderungen Ihrer Organisation am besten geeignet ist.
Übersicht
Die folgenden Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core) sind verfügbar:
- Öffentliche sichere Verbindungen verwenden: Eine Instanz, die eine externe, über das Internet zugängliche IP-Adresse verwendet.
Private Verbindungen verwenden: Bei privaten Verbindungen werden private Netzwerke für den Zugriff auf und aus Looker (Google Cloud Core)-Instanzen verwendet. Es gibt zwei Möglichkeiten, private Netzwerke zu verwenden:
- Private Service Connect: Eine für Private Service Connect aktivierte Instanz verwendet eine interne, von Google gehostete VPC-IP-Adresse (Virtual Private Cloud) und Private Service Connect, um eine private Verbindung zu Google- und Drittanbieterdiensten herzustellen.
- Zugriff auf private Dienste: Eine Instanz, die für den Zugriff auf private Dienste aktiviert ist, verwendet eine interne, von Google gehostete VPC-IP-Adresse (Virtual Private Cloud) und Zugriff auf private Dienste, um eine private Verbindung zu Google- und Drittanbieterdiensten herzustellen.
Hybridverbindungen verwenden: Eine Instanz, die eine öffentliche IP-Adresse für den Ingress und eine interne, von Google gehostete VPC-IP-Adresse sowie Zugriff auf private Dienste oder Private Service Connect für den Egress unterstützt.
Bei der Auswahl einer Netzwerkkonfiguration für Ihre Looker (Google Cloud Core)-Instanz können die folgenden Informationen hilfreich sein:
- Die Netzwerkkonfiguration muss beim Erstellen der Instanz festgelegt werden. Eine Instanz, die für öffentliche sichere Verbindungen konfiguriert ist, kann nach dem Erstellen der Instanz nicht mehr geändert werden. Eine Instanz, die für Hybridverbindungen konfiguriert ist, kann in private Verbindungen geändert werden. Eine Instanz mit privaten Verbindungen kann nach der Erstellung in eine Hybridverbindungskonfiguration geändert werden.
- Die Verfügbarkeit der Funktionen variiert je nach Netzwerkoption. Weitere Informationen finden Sie auf der Dokumentationsseite Verfügbarkeit von Funktionen in Looker (Google Cloud Core).
- Alle Verbindungen zu BigQuery erfolgen über das private Netzwerk von Google, unabhängig von der Netzwerkkonfiguration.
- Wenn ein externer Identitätsanbieter für die Einmalanmeldung konfiguriert ist, kommuniziert der Browser des Nutzers mit dem Identitätsanbieter und wird dann zur Looker (Google Cloud Core)-Instanz weitergeleitet. Solange die Weiterleitungs-URL über das Netzwerk des Nutzers zugänglich ist, funktionieren Drittanbieter-Identitätsanbieter für alle Netzwerkkonfigurationen.
Weitere Informationen zur Auswahl der richtigen Netzwerkkonfiguration für Ihr Team finden Sie auch in der Tabelle im Abschnitt Netzwerkoption auswählen auf dieser Dokumentationsseite.
Öffentliche verschlüsselte Verbindungen
Looker (Google Cloud Core), das als Instanz mit öffentlicher sicherer Verbindung bereitgestellt wird, ist über eine externe, über das Internet zugängliche IP-Adresse erreichbar. In dieser Konfiguration wird eingehender (Northbound-)Traffic zu Looker (Google Cloud Core) zusätzlich zum ausgehenden (Southbound-)Zugriff von Looker (Google Cloud Core) auf Internetendpunkte unterstützt. Diese Konfiguration ähnelt der Konfiguration einer von Looker gehosteten Looker (Original)-Instanz.
Öffentliche sichere Verbindungen lassen nur HTTPS-Traffic in Looker (Google Cloud Core) zu. Google stellt automatisch ein SSL-Zertifikat bereit, wenn der CNAME aktualisiert wird und Google die DIG-Einträge finden kann. Dieses Zertifikat wird automatisch alle vier Monate rotiert. Wenn Sie eine sichere Verbindung zu externen Datenbanken über eine öffentliche sichere Verbindung zu einer Looker (Google Cloud Core)-Instanz herstellen möchten, können Sie eine verschlüsselte SSL-Verbindung einrichten.
Öffentliche sichere Verbindungen lassen sich einfach einrichten und verbinden und erfordern keine erweiterten Netzwerkkonfigurationen oder Fachkenntnisse.
Informationen zum Erstellen einer Looker (Google Cloud Core)-Instanz mit öffentlicher sicherer Verbindung finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz mit öffentlicher sicherer Verbindung erstellen.
Private Verbindungen
Für eine Looker (Google Cloud Core)-Instanz, die für die Verwendung privater Verbindungen konfiguriert ist, wird eine interne, von Google gehostete VPC-IP-Adresse verwendet. Sie können diese Adresse verwenden, um mit anderen Ressourcen zu kommunizieren, die auf die VPC zugreifen können. Private Verbindungen machen Dienste erreichbar, ohne das öffentliche Internet zu nutzen oder externe IP-Adressen zu verwenden. Da sie nicht über das Internet übertragen werden, bieten private Verbindungen über private IP-Adressen in der Regel eine geringere Latenz und eingeschränkte Angriffsvektoren.
Bei einer Konfiguration für private Verbindungen werden interne Zertifikate vollständig von Google verwaltet und sind für niemanden zugänglich. Wenn Sie eine Instanz für private Verbindungen mit benutzerdefinierten Zertifikaten bereitstellen, müssen Sie die internen privaten Zertifikate nicht verwalten. Verwenden Sie stattdessen Ihr eigenes benutzerdefiniertes Zertifikat und sorgen Sie dafür, dass die Rotation dieses Zertifikats aufrechterhalten wird.
Bei einer Konfiguration mit privaten Verbindungen hat Looker (Google Cloud Core) keine öffentliche URL. Sie steuern den gesamten eingehenden (Northbound-)Traffic und der gesamte ausgehende (Southbound-)Traffic wird über Ihre VPC weitergeleitet.
Wenn für Ihre Instanz nur eine private Verbindung verwendet wird, ist eine zusätzliche Konfiguration erforderlich, um eine benutzerdefinierte Domain und den Nutzerzugriff auf die Instanz einzurichten, bestimmte Looker (Google Cloud Core)-Funktionen zu verwenden oder eine Verbindung zu externen Ressourcen wie Git-Anbietern herzustellen. Für die Planung und Ausführung dieser Konfiguration sind interne Netzwerkkenntnisse hilfreich.
Looker (Google Cloud Core) unterstützt die folgenden beiden Optionen für private Verbindungen:
Die Verwendung des Zugriffs auf private Dienste oder von Private Service Connect muss beim Erstellen der Instanz festgelegt werden.
Private Service Connect
Die Verwendung von Private Service Connect mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden.
Bei der Verwendung mit Looker (Google Cloud Core) unterscheidet sich Private Service Connect in folgenden Punkten vom Zugriff auf private Dienste:
- Endpunkte und Back-Ends unterstützen öffentliche oder private Zugriffsmethoden.
- Looker (Google Cloud Core) kann eine Verbindung zu anderen Google-Diensten wie Cloud SQL herstellen, auf die über Private Service Connect zugegriffen werden kann.
- Es müssen keine großen IP-Blöcke zugewiesen werden.
- Direkte Verbindungen ermöglichen transitive Kommunikation.
- Es ist nicht erforderlich, ein Netzwerk mit anderen Diensten zu teilen.
- Unterstützt Mandantenfähigkeit.
Back-Ends von Private Service Connect können verwendet werden, um auf Looker (Google Cloud Core)-Instanzen von Private Service Connect zuzugreifen.
Looker (Google Cloud Core)-Instanzen (Private Service Connect) verwenden Endpunkte, um eine Verbindung zu Google Cloud oder externen Ressourcen herzustellen. Wenn eine Ressource extern ist, müssen auch eine Netzwerk-Endpunktgruppe (NEG) und ein Load-Balancer eingerichtet werden. Außerdem muss für jede ausgehende Verbindung zu einem eindeutigen Dienst der Dienst mit Private Service Connect veröffentlicht werden. Auf der Looker (Google Cloud-Kern)-Seite muss für jeden Dienst, mit dem Sie eine Verbindung herstellen möchten, eine eindeutige Egress-Verbindung erstellt und verwaltet werden.
Für die Planung und Ausführung von Private Service Connect-Konfigurationen sind interne Netzwerkkenntnisse hilfreich.
Ein Beispiel für die Verbindung zu einem externen Dienst finden Sie im Looker PSC Southbound HTTPS Internet NEG Codelab.
Weitere Informationen zu Private Service Connect-Instanzen finden Sie auf der Dokumentationsseite Private Service Connect mit Looker (Google Cloud Core) verwenden.
Zugriff auf private Dienste
Die Verwendung von Zugriff auf private Dienste für private Verbindungen mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Looker (Google Cloud Core)-Instanzen können optional eine öffentliche sichere Verbindung mit ihrer privaten Verbindung (Zugriff auf private Dienste) enthalten. Nachdem Sie eine Instanz erstellt haben, die den Zugriff auf private Dienste verwendet, können Sie dieser Instanz eine private Verbindung hinzufügen oder eine private Verbindung daraus entfernen.
Wenn Sie eine private Verbindung (Zugriff auf private Dienste) erstellen möchten, müssen Sie Looker (Google Cloud Core) einen /22-CIDR-Bereich in Ihrer VPC zuweisen.
Wenn Sie den Nutzerzugriff auf eine Instanz einrichten möchten, die nur eine private Verbindung (Zugriff auf private Dienste) verwendet, müssen Sie eine benutzerdefinierte Domain einrichten und den Zugriff auf die Domain entsprechend den Anforderungen Ihrer Organisation konfigurieren. Wenn Sie eine Verbindung zu externen Ressourcen herstellen möchten, müssen Sie zusätzliche Konfigurationen vornehmen. Für die Planung und Ausführung dieser Konfiguration sind interne Netzwerkkenntnisse hilfreich.
Informationen zum Erstellen einer Instanz für den Zugriff auf private Dienste für Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite Instanz für private Verbindungen erstellen.
Hybridverbindungen konfigurieren
Looker (Google Cloud Core)-Instanzen, die Zugriff auf private Dienste oder Private Service Connect für ihre private Verbindung verwenden, unterstützen eine Hybridverbindungskonfiguration.
Eine Looker (Google Cloud Core)-Instanz, die den Zugriff auf private Dienste verwendet und eine Hybridverbindung hat, hat eine öffentliche URL. Der gesamte eingehende (Northbound-)Traffic wird über die öffentliche Verbindung mit HTTPS übertragen. Ausgehender (Southbound-)Traffic wird über Ihre VPC weitergeleitet, die so konfiguriert werden kann, dass nur Traffic mit privater Verbindung über HTTPS oder Verschlüsselung zugelassen wird. Der gesamte Traffic bei der Übertragung wird verschlüsselt.
Für eine Looker (Google Cloud Core)-Instanz, die für Private Service Connect aktiviert ist, wird eine vom Kunden definierte IP-Adresse verwendet, die in einer VPC für den eingehenden Traffic zugänglich ist. Die Kommunikation mit der VPC und den lokalen oder Multi-Cloud-Arbeitslasten erfolgt über Dienstanhänge, die Sie für ausgehenden Traffic bereitstellen.
Eine Hybridverbindungskonfiguration ermöglicht die Verwendung einiger Looker (Google Cloud Core)-Funktionen, die für private Verbindungskonfigurationen nicht verfügbar sind, z. B. der Connected Sheets BI-Connector.
Netzwerkoption auswählen
In der folgenden Tabelle sehen Sie, welche Funktionen für die verschiedenen Netzwerkoptionen verfügbar sind.
| Netzwerkanforderungen | |||||
|---|---|---|---|---|---|
| Feature | Öffentliche verschlüsselte Verbindungen | Hybridverbindungen (PSA) | Private Verbindungen (PSA) | Hybridverbindungen (PSC) | Private Verbindungen (PSC) |
| Für die Instanzerstellung ist die Zuweisung eines IP-Bereichs erforderlich | Nein | Ja (/22 pro Instanz und Region)
|
Ja (/22 pro Instanz und Region)
|
Nein | Nein |
| Cloud Armor | Ja. In Looker (Google Cloud Core) werden standardmäßige Cloud Armor-Regeln verwendet, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. | Ja. In Looker (Google Cloud Core) werden standardmäßige Cloud Armor-Regeln verwendet, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. | Nein | Ja. In Looker (Google Cloud Core) werden standardmäßige Cloud Armor-Regeln verwendet, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. | Wird mit vom Kunden verwalteten regionalen externen Application Load Balancern, Private Service Connect-Backends und vom Kunden verwalteten Google Cloud Armor unterstützt |
| Benutzerdefinierte Domain | Ja | Als öffentliche URL unterstützt | Ja | Als öffentliche URL unterstützt | Ja |
| Eingehender Zugriff | |||||
| Feature | Öffentliche verschlüsselte Verbindungen | Hybridverbindungen (PSA) | Private Verbindungen (PSA) | Hybridverbindungen (PSC) | Private Verbindungen (PSC) |
| Öffentliches Internet | Ja | Ja | Nein | Wird mit von Google verwalteten regionalen externen Application Load Balancern unterstützt | Unterstützt mit vom Kunden verwalteten regionalen externen Application Load Balancern, Private Service Connect-Backends und benutzerdefinierten Domains |
| VPC-Peering (Zugriff auf private Dienste) | Nein | Ja | Ja | Nein | Nein |
| PSC-basiertes Routing | Nein | Nein | Nein |
Unterstützt mit Folgendem:
Der globale Zugriff wird von Private Service Connect-Back-Ends unterstützt, nicht jedoch von Private Service Connect-Nutzerendpunkten. |
|
| Hybridnetzwerk | Nein | Ja | Ja | Ja | Ja |
| Ausgehender Zugriff | |||||
| Feature | Öffentliche verschlüsselte Verbindungen | Hybridverbindungen (PSA) | Private Verbindungen (PSA) | Hybridverbindungen (PSC) | Private Verbindungen (PSC) |
| Internet | Ja | Nein | Nein | Wird mit regionalem internen TCP-Proxy-Load-Balancer, Internet-NEG und Cloud NAT-Gateway unterstützt. | |
| VPC-Peering (Zugriff auf private Dienste) | Nein | Ja | Ja | Nein | Nein |
| Private Service Connect-basiertes Routing | Nein | Nein | Nein | Wird mit dem internen regionalen TCP-Proxy-Load-Balancer und dem hybriden NEG unterstützt | |
| Hybridnetzwerk (Multi-Cloud und lokal) | Nein | Ja | Ja | Wird mit dem internen regionalen TCP-Proxy-Load-Balancer, dem Hybrid-NEG und den Google Cloud Netzwerkprodukten unterstützt | |
| Anwendung | |||||
| Feature | Öffentliche verschlüsselte Verbindungen | Hybridverbindungen (PSA) | Private Verbindungen (PSA) | Hybridverbindungen (PSC) | Private Verbindungen (PSC) |
| GitHub | Ja | Wird mit dem internen TCP-Proxy-Load-Balancer und dem Internet-NEG unterstützt | Ja. Ein Beispiel finden Sie im Codelab zu Looker PSC Southbound HTTPS Internet NEG. | ||
| GitHub Enterprise | Nein | Ja | Ja | Ja | Ja |
| Cloud SQL | Ja | Wird unterstützt, wenn Cloud SQL in derselben VPC wie Looker (Google Cloud Core) bereitgestellt wird. | Ja | Ja | Ja |
| BigQuery | Ja | Ja | Ja | Ja | Ja |
| Einbetten | Ja | Ja | Ja | Ja | Ja |
| Marketplace | Ja | Nein | Nein | Nein | Nein |
| Verbundene Tabellenblätter | Ja | Ja | Nein | Ja | Nein |
| SMTP | Ja | Ja | Ja | Ja. Ausgehende Verbindungen sind erforderlich. | |
| Vorteile | |||||
| Feature | Öffentliche verschlüsselte Verbindungen | Hybridverbindungen (PSA) | Private Verbindungen (PSA) | Hybridverbindungen (PSC) | Private Verbindungen (PSC) |
| Vorteile |
|
|
|
|
|
| Hinweise | |||||
| Feature | Öffentliche verschlüsselte Verbindungen | Hybridverbindungen (PSA) | Private Verbindungen (PSA) | Hybridverbindungen (PSC) | Private Verbindungen (PSC) |
| Hinweise | Wenn Sie eine benutzerdefinierte URL verwenden möchten, müssen Sie einen vollständig qualifizierten Domainnamen konfigurieren, z. B. looker.examplepetstore.com. Eine benutzerdefinierte URL wie examplepetstore.looker.com ist nicht möglich.
|
|
|
|
|
Nächste Schritte
- Looker-Instanz (Google Cloud Core) mit öffentlichen sicheren Verbindungen erstellen
- Private Service Connect mit Looker (Google Cloud Core) verwenden
- Private Service Connect-Instanz für private Verbindungen für Looker (Google Cloud Core) erstellen
- Anleitung zum Herstellen einer ausgehenden HTTPS-Verbindung zu GitHub über eine PSC
- Looker (Google Cloud Core)-Instanz mit privaten Verbindungen (Zugriff auf private Dienste) erstellen