Auf dieser Seite werden die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core)-Instanzen erläutert.
Die Netzwerkkonfiguration einer Instanz wird beim Erstellen der Instanz festgelegt. Es ist empfehlenswert, vor dem Erstellen der Instanz zu entscheiden, welche Netzwerkoptionen Sie verwenden möchten. Auf dieser Seite können Sie auch herausfinden, welche dieser Optionen am besten zu den Anforderungen Ihrer Organisation passt.
Übersicht
Die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core) sind:
- Öffentliche IP-Adresse: Eine Instanz, die eine externe, über das Internet zugängliche IP-Adresse verwendet.
- Nur private IP-Adresse (Zugriff auf private Dienste): Eine Instanz, die eine interne, von Google gehostete Virtual Private Cloud-IP-Adresse (VPC) verwendet und über den Zugriff auf private Dienste eine private Verbindung zu Google- und Drittanbieterdiensten herstellt.
- Private IP-Adresse (Zugriff auf private Dienste) und öffentliche IP-Adresse: Eine Instanz, die sowohl eine öffentliche IP-Adresse für den Eintritt als auch eine interne, von Google gehostete VPC-IP-Adresse und Zugriff auf private Dienste für den Austritt unterstützt.
- Nur private IP-Adresse (Private Service Connect): Eine Instanz, die eine interne, von Google gehostete VPC-IP-Adresse verwendet und Private Service Connect nutzt, um eine private Verbindung zu Google- und Drittanbieterdiensten herzustellen.
Wenn Sie eine Netzwerkkonfiguration für Ihre Looker (Google Cloud Core)-Instanz auswählen, können Ihnen die folgenden Informationen bei der Entscheidung helfen:
- Die Netzwerkkonfiguration muss beim Erstellen der Instanz festgelegt werden. Die Netzwerkkonfiguration kann nach der Instanzerstellung nur mit einer Ausnahme geändert werden: Bei einer Instanz mit Zugriff auf private Dienste kann die öffentliche IP-Adresse nach der Instanzerstellung hinzugefügt oder entfernt werden.
- Die Verfügbarkeit der Funktionen variiert je nach Netzwerkoption. Weitere Informationen finden Sie auf der Dokumentationsseite Verfügbarkeit von Funktionen in Looker (Google Cloud Core).
- Alle Verbindungen zu BigQuery erfolgen über das private Netzwerk von Google, unabhängig von der Netzwerkkonfiguration.
- Wenn ein Drittanbieter-Identitätsanbieter für die Einmalanmeldung konfiguriert ist, kommuniziert der Browser des Nutzers mit dem Identitätsanbieter und wird dann zur Looker-Instanz (Google Cloud Core) weitergeleitet. Solange die Weiterleitungs-URL über das Netzwerk des Nutzers zugänglich ist, funktionieren Identitätsanbieter von Drittanbietern für alle Netzwerkkonfigurationen.
Weitere Informationen zur Auswahl der richtigen Netzwerkkonfiguration für Ihr Team finden Sie in der Tabelle im Abschnitt Netzwerkoption auswählen dieser Dokumentationsseite.
Öffentliche IP-Verbindungen
Auf Looker (Google Cloud Core), das als öffentliche IP-Instanz bereitgestellt wird, kann über eine externe, über das Internet zugängliche IP-Adresse zugegriffen werden. Bei dieser Konfiguration wird neben dem ausgehenden Zugriff von Looker (Google Cloud Core) auf Internetendpunkte auch eingehender Traffic zu Looker (Google Cloud Core) unterstützt. Diese Konfiguration ähnelt der Konfiguration einer Looker (Original)-Instanz, die von Looker gehostet wird.
Bei öffentlichen IP-Netzwerkverbindungen ist nur HTTPS-Traffic in Looker (Google Cloud Core) zulässig. Wenn Sie von einer Looker-Instanz (Google Cloud Core) mit öffentlicher IP-Adresse eine sichere Verbindung zu externen Datenbanken herstellen möchten, können Sie eine verschlüsselte SSL-Verbindung einrichten.
Öffentliche IP-Netzwerkverbindungen sind einfach einzurichten und herzustellen und erfordern keine erweiterte Netzwerkkonfiguration oder Fachkenntnisse.
Informationen zum Erstellen einer Looker (Google Cloud Core)-Instanz mit öffentlicher IP-Adresse finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz mit öffentlicher IP-Adresse erstellen.
Private IP-Verbindungen
Eine Looker (Google Cloud Core)-Instanz mit einer privaten IP-Netzwerkverbindung verwendet eine interne, von Google gehostete VPC-IP-Adresse. Sie können diese Adresse verwenden, um mit anderen Ressourcen zu kommunizieren, die auf die VPC zugreifen können. Private IP-Verbindungen machen Dienste erreichbar, ohne das öffentliche Internet zu nutzen oder externe IP-Adressen zu verwenden. Da sie nicht über das Internet laufen, bieten Verbindungen über private IP-Adressen in der Regel eine geringere Latenz und eingeschränkte Angriffsvektoren.
Bei einer Konfiguration mit nur privater IP-Adresse hat Looker (Google Cloud Core) keine öffentliche URL. Sie steuern den gesamten eingehenden Traffic (Northbound Traffic) und der gesamte ausgehende Traffic (Southbound Traffic) wird über Ihr VPC weitergeleitet.
Wenn für Ihre Instanz nur eine private IP-Verbindung verwendet wird, ist eine zusätzliche Konfiguration erforderlich, um eine benutzerdefinierte Domain und den Nutzerzugriff auf die Instanz einzurichten, einige Looker (Google Cloud Core)-Funktionen zu verwenden oder eine Verbindung zu externen Ressourcen wie Git-Anbietern herzustellen. Für die Planung und Durchführung dieser Konfiguration ist fundiertes Wissen über Netzwerke erforderlich.
Looker (Google Cloud Core) unterstützt die folgenden beiden Optionen für private IP-Verbindungen:
Die Verwendung des Zugriffs auf private Dienste oder Private Service Connect muss beim Erstellen der Instanz festgelegt werden.
Zugriff auf private Dienste
Die Verwendung einer privaten IP-Adresse für den Zugriff auf private Dienste mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Looker (Google Cloud Core)-Instanzen können optional eine öffentliche IP-Verbindung mit ihrer privaten IP-Verbindung (Zugriff auf private Dienste) kombinieren. Nachdem Sie eine Instanz erstellt haben, für die der Zugriff auf private Dienste verwendet wird, können Sie dieser Instanz eine private IP-Verbindung hinzufügen oder daraus entfernen.
Wenn Sie eine private IP-Verbindung (Zugriff auf private Dienste) erstellen möchten, müssen Sie Looker (Google Cloud Core) einen /22
-CIDR-Bereich in Ihrem VPC zuweisen.
Wenn Sie den Nutzerzugriff auf eine Instanz einrichten möchten, die nur eine private IP-Verbindung (Zugriff auf private Dienste) verwendet, müssen Sie eine benutzerdefinierte Domain einrichten und den Zugriff auf die Domain je nach den Anforderungen Ihrer Organisation konfigurieren. Wenn Sie eine Verbindung zu externen Ressourcen herstellen möchten, müssen Sie eine zusätzliche Konfiguration vornehmen. Für die Planung und Durchführung dieser Konfiguration ist fundiertes Fachwissen im Bereich Netzwerktechnik hilfreich.
Informationen zum Erstellen einer Looker (Google Cloud Core)-Instanz mit Zugriff auf private Dienste finden Sie auf der Dokumentationsseite Private IP-Instanz erstellen.
Konfiguration privater und öffentlicher IP-Adressen
Nur Looker (Google Cloud Core)-Instanzen, die für ihre private Verbindung den Zugriff auf private Dienste verwenden, unterstützen eine Konfiguration mit privater und öffentlicher IP-Adresse.
Eine Looker (Google Cloud Core)-Instanz, die sowohl eine private IP-Verbindung (Zugriff auf private Dienste) als auch eine öffentliche IP-Verbindung hat, hat eine öffentliche URL. Der gesamte einkommende Traffic wird über die öffentliche IP-Verbindung mit HTTPS übertragen. Ausgehender Traffic wird über Ihre VPC geleitet, die so konfiguriert werden kann, dass nur privater IP-Traffic mithilfe von HTTPS oder Verschlüsselung zugelassen wird. Der gesamte Traffic wird verschlüsselt.
Mit einer Konfiguration mit privater und öffentlicher IP-Adresse können einige Looker (Google Cloud Core)-Funktionen verwendet werden, die bei Konfigurationen mit nur privater IP-Adresse nicht verfügbar sind, z. B. der BI-Connector für verbundene Tabellenblätter oder der BI-Connector für Looker Studio.
Private Service Connect
Die Verwendung von Private Service Connect mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Bei Private Service Connect-Instanzen von Looker (Google Cloud Core) kann keine öffentliche IP-Verbindung hinzugefügt werden.
Bei Verwendung mit Looker (Google Cloud Core) unterscheidet sich Private Service Connect vom Zugriff auf private Dienste in folgenden Punkten:
- Endpunkte und Back-Ends unterstützen öffentliche oder private Zugriffsmethoden.
- Looker (Google Cloud Core) kann eine Verbindung zu anderen Google-Diensten wie Cloud SQL herstellen, auf die über Private Service Connect zugegriffen werden kann.
- Es müssen keine großen IP-Blöcke zugewiesen werden.
- Direkte Verbindungen ermöglichen eine transitive Kommunikation.
- Es ist nicht erforderlich, ein Netzwerk mit anderen Diensten zu teilen.
- Unterstützt die Mandantenfähigkeit.
Mit Private Service Connect-Endpunkten oder Back-Ends können Sie auf Private Service Connect-Instanzen von Looker (Google Cloud Core) zugreifen.
Looker (Google Cloud Core)-Instanzen (Private Service Connect) verwenden Endpunkte, um eine Verbindung zu Google Cloud oder externen Ressourcen herzustellen. Wenn eine Ressource extern ist, müssen auch eine Netzwerk-Endpunktgruppe (NEG) und ein Load Balancer eingerichtet werden. Außerdem muss jede Verbindung vom Typ „Southbound“ zu einem eindeutigen Dienst mit Private Service Connect veröffentlicht werden. Auf Looker-Seite (Google Cloud-Kern) muss für jeden Dienst, mit dem eine Verbindung hergestellt werden soll, eine eindeutige ausgehende Verbindung erstellt und verwaltet werden.
Fachwissen im Bereich Netzwerktechnik ist hilfreich, um Private Service Connect-Konfigurationen zu planen und auszuführen.
Ein Beispiel für die Verbindung zu einem externen Dienst finden Sie im Codelab „Looker PSC Southbound HTTPS Internet NEG“.
Weitere Informationen zu Private Service Connect-Instanzen finden Sie auf der Dokumentationsseite Private Service Connect mit Looker (Google Cloud Core) verwenden.
Netzwerkoption auswählen
In der folgenden Tabelle sehen Sie, welche Funktionen für die verschiedenen Netzwerkoptionen verfügbar sind.
Netzwerkanforderungen | ||||
---|---|---|---|---|
Feature | Öffentliche IP-Adresse | Öffentlich und privat (Zugriff auf private Dienste) | Privat (Zugriff auf private Dienste) | Privat (Private Service Connect) |
Für die Instanzerstellung ist die Zuweisung eines IP-Bereichs erforderlich | Nein | Ja (/22 pro Instanz und pro Region)
|
Ja (/22 pro Instanz und pro Region)
|
Nein |
Cloud Armor | Ja. Looker (Google Cloud Core) verwendet standardmäßige Cloud Armor-Regeln, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. | Ja. Looker (Google Cloud Core) verwendet standardmäßige Cloud Armor-Regeln, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. | Nein | Unterstützt mit regionalem externen Application Load Balancer, Private Service Connect-Backend und Google Cloud Armor |
Benutzerdefinierte Domain | Ja | Unterstützt als öffentliche URL | Ja | Ja |
Nordgerichteter Zugriff | ||||
Feature | Öffentliche IP-Adresse | Öffentlich und privat (Zugriff auf private Dienste) | Privat (Zugriff auf private Dienste) | Privat (Private Service Connect) |
Öffentliches Internet | Ja | Ja | Nein | Unterstützt mit regionalem externen Application Load Balancer, Private Service Connect-Backend und benutzerdefinierter Domain |
VPC-Peering (Zugriff auf private Dienste) | Nein | Ja | Ja | Nein |
PSC-basiertes Routing | Nein | Nein | Nein |
Unterstützt mit folgenden Geräten:
|
Hybridnetzwerk | Nein | Ja | Ja | Ja |
Southbound-Zugriff | ||||
Feature | Öffentliche IP-Adresse | Öffentlich und privat (Zugriff auf private Dienste) | Privat (Zugriff auf private Dienste) | Privat (Private Service Connect) |
Internet | Ja | Nein | Nein | Wird mit regionalem TCP-Proxy-internem Load Balancer, Internet-NEG und Cloud NAT-Gateway unterstützt. |
VPC-Peering (Zugriff auf private Dienste) | Nein | Ja | Ja | Nein |
Private Service Connect-basiertes Routing | Nein | Nein | Nein | Wird mit regionalem TCP-Proxy-internem Load Balancer und Hybrid-NEG unterstützt |
Hybrides Netzwerk (Multi-Cloud und lokal) | Nein | Ja | Ja | Wird mit regionalem TCP-Proxy-internem Load Balancer, Hybrid-NEG und Google Cloud Netzwerkprodukten unterstützt |
Anwendung | ||||
Feature | Öffentliche IP-Adresse | Öffentlich und privat (Zugriff auf private Dienste) | Privat (Zugriff auf private Dienste) | Privat (Private Service Connect) |
GitHub | Ja | Wird mit einem internen TCP-Proxy-Load Balancer und einem NEG für das Internet unterstützt | Wird mit einem internen TCP-Proxy-Load Balancer und einem Internet-NEG unterstützt | Ja(Ein Beispiel finden Sie im Looker PSC Southbound HTTPS Internet NEG codelab.) |
GitHub Enterprise | Nein | Ja | Ja | Ja |
Cloud SQL | Ja | Unterstützt mit Cloud SQL, das in derselben VPC wie Looker (Google Cloud Core) bereitgestellt wird | Ja | Ja |
BigQuery | Ja | Ja | Ja | Ja |
Einbetten | Ja | Ja | Ja | Ja |
Marketplace | Ja | Nein | Nein | Nein |
Verbundene Tabellenblätter | Ja | Ja | Nein | Nein |
SMTP | Ja | Ja | Ja | Ja |
Vorteile |
|
|
|
|
Hinweise | Wenn Sie eine benutzerdefinierte URL verwenden möchten, müssen Sie einen voll qualifizierten Domainnamen konfigurieren, z. B. looker.examplepetstore.com . Eine benutzerdefinierte URL wie examplepetstore.looker.com ist nicht zulässig.
|
|
|
|
Nächste Schritte
- Looker-Instanz (Google Cloud Core) mit öffentlicher IP-Adresse erstellen
- Looker-Instanz (Google Cloud Core) mit privater IP-Adresse erstellen
- Private Service Connect mit Looker (Google Cloud Core) verwenden
- Private Service Connect-Instanz für Looker (Google Cloud Core) erstellen
- Anleitung zum Herstellen einer southbound-HTTPS-Verbindung von einem PSC zu GitHub