Netzwerkoptionen für Looker (Google Cloud Core)

Auf dieser Seite werden die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core)-Instanzen erläutert.

Die Netzwerkkonfiguration einer Instanz wird beim Erstellen der Instanz festgelegt. Es ist empfehlenswert, die gewünschten Netzwerkoptionen zu bestimmen, bevor Sie mit dem Erstellen der Instanz beginnen. Auf dieser Seite können Sie auch herausfinden, welche dieser Optionen am besten zu den Anforderungen Ihrer Organisation passt.

Übersicht

Die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core) sind:

Wenn Sie eine Netzwerkkonfiguration für Ihre Looker (Google Cloud Core)-Instanz auswählen, können Ihnen die folgenden Informationen bei der Entscheidung helfen:

  • Die Netzwerkkonfiguration muss beim Erstellen der Instanz festgelegt werden. Die Netzwerkkonfiguration kann nach dem Erstellen der Instanz nicht mehr geändert werden. Es gibt jedoch eine Ausnahme: Bei einer Instanz mit Zugriff auf private Dienste kann die öffentliche IP-Adresse hinzugefügt oder entfernt werden, nachdem die Instanz erstellt wurde.
  • Die Verfügbarkeit der Funktion variiert je nach Netzwerkoption. Weitere Informationen finden Sie auf der Dokumentationsseite Funktionsverfügbarkeit in Looker (Google Cloud Core).
  • Alle Verbindungen zu BigQuery erfolgen unabhängig von der Netzwerkkonfiguration über das private Netzwerk von Google.
  • Wenn ein externer Identitätsanbieter für die Einmalanmeldung (SSO) konfiguriert ist, kommuniziert der Browser des Nutzers mit dem Identitätsanbieter und wird dann zur Instanz von Looker (Google Cloud Core) weitergeleitet. Solange die Weiterleitungs-URL über das Netzwerk des Nutzers zugänglich ist, funktionieren Identitätsanbieter von Drittanbietern für alle Netzwerkkonfigurationen.

Weitere Informationen dazu, wie Sie die richtige Netzwerkkonfiguration für Ihr Team finden, finden Sie in der Tabelle im Abschnitt Netzwerkoption auswählen dieser Dokumentationsseite.

Öffentliche IP-Verbindungen

Looker (Google Cloud Core), die als öffentliche IP-Instanz bereitgestellt wird, ist über eine externe, über das Internet zugängliche IP-Adresse zugänglich. Bei dieser Konfiguration wird neben dem ausgehenden (Southbound) Zugriff von Looker (Google Cloud Core) auf Internetendpunkte auch der eingehende (Northbound) Traffic zu Looker (Google Cloud Core) unterstützt. Diese Konfiguration ähnelt der Konfiguration einer Looker (Original)-Instanz, die von Looker gehostet wird.

Der Traffic zu und von einer öffentlichen IP-Instanz wird über das öffentliche Internet verschoben.

Öffentliche IP-Netzwerkverbindungen sind einfach einzurichten und herzustellen und erfordern keine erweiterte Netzwerkkonfiguration oder Fachkenntnisse.

Informationen zum Erstellen einer Instanz mit öffentlicher IP-Adresse für Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz mit öffentlicher IP-Adresse erstellen.

Private IP-Verbindungen

Eine Looker (Google Cloud Core)-Instanz mit einer privaten IP-Netzwerkverbindung verwendet eine interne, von Google gehostete VPC-IP-Adresse. Über diese Adresse können Sie mit anderen Ressourcen kommunizieren, die auf die VPC zugreifen können. Mit privaten IP-Verbindungen sind Dienste erreichbar, ohne das öffentliche Internet zu nutzen oder externe IP-Adressen zu verwenden. Da sie nicht über das Internet laufen, bieten Verbindungen über private IP-Adressen in der Regel eine geringere Latenz und eingeschränkte Angriffsvektoren.

In einer Konfiguration mit ausschließlich privater IP-Adresse hat Looker (Google Cloud Core) keine öffentliche URL. Sie steuern den gesamten eingehenden Traffic in nördlicher Richtung. Der gesamte Traffic in Richtung Süden (ausgehend) wird über Ihre VPC geleitet.

Wenn für Ihre Instanz nur eine private IP-Verbindung verwendet wird, ist eine zusätzliche Konfiguration erforderlich, um eine benutzerdefinierte Domain und den Nutzerzugriff auf die Instanz einzurichten, einige Looker (Google Cloud Core)-Funktionen zu verwenden oder eine Verbindung zu externen Ressourcen wie Git-Anbietern herzustellen. Für die Planung und Durchführung dieser Konfiguration ist fundiertes Wissen über Netzwerke erforderlich.

Looker (Google Cloud Core) unterstützt die folgenden zwei Optionen für private IP-Verbindungen:

Die Verwendung des Zugriffs auf private Dienste oder von Private Service Connect muss beim Erstellen der Instanz festgelegt werden.

Zugriff auf private Dienste

Die Verwendung einer privaten IP-Adresse für den Zugriff auf private Dienste mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Looker (Google Cloud Core)-Instanzen können optional eine öffentliche IP-Verbindung mit ihrer privaten IP-Verbindung (Zugriff auf private Dienste) kombinieren. Nachdem Sie eine Instanz erstellt haben, die den Zugriff auf private Dienste verwendet, können Sie dieser Instanz eine private IP-Verbindung hinzufügen oder daraus entfernen.

Wenn Sie eine private IP-Verbindung (Zugriff auf private Dienste) erstellen möchten, müssen Sie Looker (Google Cloud Core) einen /22-CIDR-Bereich in Ihrem VPC zuweisen.

Wenn Sie den Nutzerzugriff auf eine Instanz einrichten möchten, die nur eine private IP-Verbindung (Zugriff auf private Dienste) verwendet, müssen Sie eine benutzerdefinierte Domain einrichten und den Zugriff auf die Domain je nach den Anforderungen Ihrer Organisation konfigurieren. Wenn Sie eine Verbindung zu externen Ressourcen herstellen möchten, müssen Sie eine zusätzliche Konfiguration vornehmen. Für die Planung und Durchführung dieser Konfiguration ist fundiertes Wissen über Netzwerke erforderlich.

Informationen zum Erstellen einer Instanz für den Zugriff auf private Dienste in Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite Private IP-Instanz erstellen.

Konfiguration privater und öffentlicher IP-Adressen

Nur Looker (Google Cloud Core)-Instanzen, die für ihre private Verbindung den Zugriff auf private Dienste verwenden, unterstützen eine Konfiguration mit privater und öffentlicher IP-Adresse.

Eine Looker (Google Cloud Core)-Instanz, die sowohl eine private IP-Verbindung (Zugriff auf private Dienste) als auch eine öffentliche IP-Verbindung hat, hat eine öffentliche URL und der gesamte eingehende Traffic wird über die öffentliche IP-Verbindung geleitet. Ausgehender Traffic wird über Ihre VPC weitergeleitet, die so konfiguriert werden kann, dass nur privater IP-Traffic zugelassen wird.

Bei einer Konfiguration mit öffentlichen und privaten IP-Adressen läuft der Traffic nach Norden über die öffentliche IP-Adresse und den Traffic nach Süden über die private IP-Adresse.

Eine Konfiguration für private und öffentliche IP-Adressen ermöglicht die Verwendung einiger Looker-Funktionen (Google Cloud Core), die für Konfigurationen mit ausschließlich privater IP-Adresse nicht verfügbar sind, z. B. den BI-Connector für verbundene Tabellenblätter oder den BI-Connector von Looker Studio.

Private Service Connect

Die Verwendung von Private Service Connect mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Bei Private Service Connect-Instanzen von Looker (Google Cloud Core) kann keine öffentliche IP-Verbindung hinzugefügt werden.

Bei der Verwendung mit Looker (Google Cloud Core) unterscheidet sich Private Service Connect so vom Zugriff auf private Dienste:

  • Endpunkte und Back-Ends unterstützen öffentliche oder private Zugriffsmethoden.
  • Looker (Google Cloud Core) kann eine Verbindung zu anderen Google-Diensten wie Cloud SQL herstellen, auf die über Private Service Connect zugegriffen werden kann.
  • Es müssen keine großen IP-Blöcke zugewiesen werden.
  • Direkte Verbindungen ermöglichen eine vorübergehende Kommunikation.
  • Es ist nicht nötig, ein Netzwerk für andere Dienste freizugeben.
  • Unterstützt Mehrmandantenfähigkeit.

Private Service Connect-Endpunkte oder Back-Ends können für den Zugriff auf Private Service Connect-Instanzen von Looker (Google Cloud Core) verwendet werden.

Looker (Google Cloud Core)-Instanzen (Private Service Connect) verwenden Endpunkte, um eine Verbindung zu Google Cloud oder externen Ressourcen herzustellen. Wenn eine Ressource extern ist, müssen auch eine Netzwerk-Endpunktgruppe (NEG) und ein Load Balancer eingerichtet werden. Außerdem muss der Dienst für jede Verbindung in Richtung Süden zu einem eindeutigen Dienst über Private Service Connect veröffentlicht werden. Auf Looker (Google Cloud Core) muss jede eindeutige ausgehende Verbindung für jeden Dienst, mit dem Sie eine Verbindung herstellen möchten, erstellt und verwaltet werden.

Eine Übersicht über Netzwerktopologien nach Norden und Süden für Private Service Connect.

Fachwissen im Bereich Netzwerktechnik ist hilfreich, um Private Service Connect-Konfigurationen zu planen und auszuführen.

Ein Beispiel für das Herstellen einer Verbindung zu einem externen Dienst finden Sie im Codelab für die Looker PSC-Southbound-HTTPS-Internet-NEG.

Weitere Informationen zu Private Service Connect-Instanzen finden Sie auf der Dokumentationsseite Private Service Connect mit Looker (Google Cloud Core) verwenden.

Netzwerkoption auswählen

Die folgende Tabelle zeigt die Verfügbarkeit der Funktionen für verschiedene Netzwerkoptionen.

Netzwerkanforderungen
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
Erfordert die Zuweisung von IP-Bereichen für die Instanzerstellung Nein Ja (/22 pro Instanz und Region) Ja (/22 pro Instanz und Region) Nein
Cloud Armor Ja Ja Nein Unterstützt mit regionalem externen Application Load Balancer, Private Service Connect-Backend und Google Cloud Armor
Benutzerdefinierte Domain Ja Wird als öffentliche URL unterstützt Ja Ja
Zugang nach Norden
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
Öffentliches Internet Ja Ja Nein Unterstützt mit regionalem externen Application Load Balancer, Private Service Connect-Backend und benutzerdefinierter Domain
VPC-Peering (Zugriff auf private Dienste) Nein Ja Ja Nein
PSC-basiertes Routing Nein Nein Nein

Unterstützt mit folgenden Geräten:

  • Regionaler externer Application Load Balancer und Private Service Connect-Backend
  • Regionaler interner Application Load Balancer und Private Service Connect-Backend
Hybridnetzwerk Nein Ja Ja Ja
Zugang nach Süden
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
Internet Ja Nein Nein Wird beim internen Load-Balancer des regionalen TCP-Proxys, der Internet-NEG und dem Cloud NAT-Gateway unterstützt.
VPC-Peering (Zugriff auf private Dienste) Nein Ja Ja Nein
Private Service Connect-basiertes Routing Nein Nein Nein Wird mit regionalem TCP-Proxy-internem Load Balancer und Hybrid-NEG unterstützt
Hybrides Netzwerk (Multi-Cloud und lokal) Nein Ja Ja Wird mit regionalem TCP-Proxy-internem Load Balancer, Hybrid-NEG und Google Cloud-Netzwerkprodukten unterstützt
Anwendung
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
GitHub Ja Wird mit dem internen TCP-Proxy-Load-Balancer und der Internet-NEG unterstützt Wird mit einem internen TCP-Proxy-Load Balancer und einem Internet-NEG unterstützt Ja

(Ein Beispiel finden Sie im Codelab zu der Looker PSC Southbound HTTPS Internet NEG.)
GitHub Enterprise Nein Ja Ja Ja
Cloud SQL Ja Wird bei Bereitstellung von Cloud SQL in derselben VPC wie Looker (Google Cloud Core) unterstützt Ja Ja
BigQuery Ja Ja Ja Ja
Einbetten Ja Ja Ja Ja
Marketplace Ja Nein Nein Nein
Verbundene Tabellenblätter Ja Ja Nein Nein
SMTP Ja Ja Ja Ja
Vorteile
  • Eine öffentlich zugängliche URL bedeutet, dass eine Verbindung zu Looker (Google Cloud Core) von anderen Diensten aus einfach hergestellt werden kann, die auf die Instanz zugreifen oder zu Looker weiterleiten müssen.
  • Einfache Einrichtung, keine erweiterte Netzwerkkonfiguration erforderlich.
  • Über eine öffentliche URL auf Looker (Google Cloud Core) zugreifen
  • Der Zugriff auf Multi-Cloud-Umgebungen nach Süden wird basierend auf der IP-Erreichbarkeit erreicht
  • Private Instanz für Zugang in nördlicher und südlicher Richtung
  • Der Zugriff auf Multi-Cloud-Umgebungen nach Süden wird basierend auf der IP-Erreichbarkeit erreicht
  • Keine gemeinsamen Einschränkungen und keine IP-Koordination zwischen Nutzer und Ersteller erforderlich
  • Subnetzzuweisung für die Instanziierung von Looker (Google Cloud Core) ist nicht erforderlich
  • Expliziter Zugriff auf Looker (Google Cloud Core) und Endpunkte
  • Unterstützt öffentlichen und privaten Zugriff auf Looker (Google Cloud Core) mit Private Service Connect-Back-Ends
Hinweise Wenn Sie eine benutzerdefinierte URL verwenden möchten, müssen Sie einen voll qualifizierten Domainnamen konfigurieren, z. B. looker.examplepetstore.com. Eine benutzerdefinierte URL wie examplepetstore.looker.com ist nicht zulässig.
  • Für den ausgehenden Zugriff auf lokale und Multi-Cloud-Umgebungen sind Firewall-Aktualisierungen erforderlich
  • Die Bereitstellung von Looker (Google Cloud-Kern) in einer Hub-and-Spoke-VPC-Architektur mit VPC-Peering führt zu nicht transitivem Routing zu Looker, wenn über hybride Netzwerke von lokalen oder Multi-Cloud-Netzwerken darauf zugegriffen wird.
  • Zusätzliche Infrastruktur für die Verbindung zu öffentlichem Git (Proxy-VM, Internet-NEG und Load Balancer)
  • Für den ausgehenden Zugriff auf lokale und Multi-Cloud-Umgebungen sind Firewall-Updates erforderlich
  • Die Bereitstellung von Looker (Google Cloud-Kern) in einer Hub-and-Spoke-VPC-Architektur mit VPC-Peering führt zu nicht transitivem Routing zu Looker, wenn über hybride Netzwerke von lokalen oder Multi-Cloud-Netzwerken darauf zugegriffen wird.
  • Zusätzliche Infrastruktur für die Verbindung zu öffentlichem Git (Proxy-VM, Internet-NEG und Load Balancer)
  • Der öffentliche Zugriff auf Looker (Google Cloud Core) erfordert die Integration mit einem externen Application Load Balancer und einem Private Service Connect-Backend
  • Jeder in Richtung Süden ausgerichtete Endpunkt (IP-Adresse) erfordert einen veröffentlichten Private Service Connect-Dienst

Nächste Schritte