Netzwerkoptionen für Looker (Google Cloud Core)

Auf dieser Seite werden die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core)-Instanzen erläutert.

Die Netzwerkkonfiguration einer Instanz wird beim Erstellen der Instanz festgelegt. Es ist empfehlenswert, vor dem Erstellen der Instanz zu entscheiden, welche Netzwerkoptionen Sie verwenden möchten. Auf dieser Seite können Sie auch herausfinden, welche dieser Optionen am besten zu den Anforderungen Ihrer Organisation passt.

Übersicht

Die Netzwerkkonfigurationsoptionen für Looker (Google Cloud Core) sind:

Wenn Sie eine Netzwerkkonfiguration für Ihre Looker (Google Cloud Core)-Instanz auswählen, können Ihnen die folgenden Informationen bei der Entscheidung helfen:

  • Die Netzwerkkonfiguration muss beim Erstellen der Instanz festgelegt werden. Die Netzwerkkonfiguration kann nach der Instanzerstellung nur mit einer Ausnahme geändert werden: Bei einer Instanz mit Zugriff auf private Dienste kann die öffentliche IP-Adresse nach der Instanzerstellung hinzugefügt oder entfernt werden.
  • Die Verfügbarkeit der Funktionen variiert je nach Netzwerkoption. Weitere Informationen finden Sie auf der Dokumentationsseite Verfügbarkeit von Funktionen in Looker (Google Cloud Core).
  • Alle Verbindungen zu BigQuery erfolgen über das private Netzwerk von Google, unabhängig von der Netzwerkkonfiguration.
  • Wenn ein Drittanbieter-Identitätsanbieter für die Einmalanmeldung konfiguriert ist, kommuniziert der Browser des Nutzers mit dem Identitätsanbieter und wird dann zur Looker-Instanz (Google Cloud Core) weitergeleitet. Solange die Weiterleitungs-URL über das Netzwerk des Nutzers zugänglich ist, funktionieren Identitätsanbieter von Drittanbietern für alle Netzwerkkonfigurationen.

Weitere Informationen zur Auswahl der richtigen Netzwerkkonfiguration für Ihr Team finden Sie in der Tabelle im Abschnitt Netzwerkoption auswählen dieser Dokumentationsseite.

Öffentliche IP-Verbindungen

Auf Looker (Google Cloud Core), das als öffentliche IP-Instanz bereitgestellt wird, kann über eine externe, über das Internet zugängliche IP-Adresse zugegriffen werden. Bei dieser Konfiguration wird neben dem ausgehenden Zugriff von Looker (Google Cloud Core) auf Internetendpunkte auch eingehender Traffic zu Looker (Google Cloud Core) unterstützt. Diese Konfiguration ähnelt der Konfiguration einer Looker (Original)-Instanz, die von Looker gehostet wird.

Traffic zu und von einer öffentlichen IP-Instanz wird über das öffentliche Internet übertragen.

Bei öffentlichen IP-Netzwerkverbindungen ist nur HTTPS-Traffic in Looker (Google Cloud Core) zulässig. Wenn Sie von einer Looker-Instanz (Google Cloud Core) mit öffentlicher IP-Adresse eine sichere Verbindung zu externen Datenbanken herstellen möchten, können Sie eine verschlüsselte SSL-Verbindung einrichten.

Öffentliche IP-Netzwerkverbindungen sind einfach einzurichten und herzustellen und erfordern keine erweiterte Netzwerkkonfiguration oder Fachkenntnisse.

Informationen zum Erstellen einer Looker (Google Cloud Core)-Instanz mit öffentlicher IP-Adresse finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz mit öffentlicher IP-Adresse erstellen.

Private IP-Verbindungen

Eine Looker (Google Cloud Core)-Instanz mit einer privaten IP-Netzwerkverbindung verwendet eine interne, von Google gehostete VPC-IP-Adresse. Sie können diese Adresse verwenden, um mit anderen Ressourcen zu kommunizieren, die auf die VPC zugreifen können. Private IP-Verbindungen machen Dienste erreichbar, ohne das öffentliche Internet zu nutzen oder externe IP-Adressen zu verwenden. Da sie nicht über das Internet laufen, bieten Verbindungen über private IP-Adressen in der Regel eine geringere Latenz und eingeschränkte Angriffsvektoren.

Bei einer Konfiguration mit nur privater IP-Adresse hat Looker (Google Cloud Core) keine öffentliche URL. Sie steuern den gesamten eingehenden Traffic (Northbound Traffic) und der gesamte ausgehende Traffic (Southbound Traffic) wird über Ihr VPC weitergeleitet.

Wenn für Ihre Instanz nur eine private IP-Verbindung verwendet wird, ist eine zusätzliche Konfiguration erforderlich, um eine benutzerdefinierte Domain und den Nutzerzugriff auf die Instanz einzurichten, einige Looker (Google Cloud Core)-Funktionen zu verwenden oder eine Verbindung zu externen Ressourcen wie Git-Anbietern herzustellen. Für die Planung und Durchführung dieser Konfiguration ist fundiertes Wissen über Netzwerke erforderlich.

Looker (Google Cloud Core) unterstützt die folgenden beiden Optionen für private IP-Verbindungen:

Die Verwendung des Zugriffs auf private Dienste oder Private Service Connect muss beim Erstellen der Instanz festgelegt werden.

Zugriff auf private Dienste

Die Verwendung einer privaten IP-Adresse für den Zugriff auf private Dienste mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Looker (Google Cloud Core)-Instanzen können optional eine öffentliche IP-Verbindung mit ihrer privaten IP-Verbindung (Zugriff auf private Dienste) kombinieren. Nachdem Sie eine Instanz erstellt haben, für die der Zugriff auf private Dienste verwendet wird, können Sie dieser Instanz eine private IP-Verbindung hinzufügen oder daraus entfernen.

Wenn Sie eine private IP-Verbindung (Zugriff auf private Dienste) erstellen möchten, müssen Sie Looker (Google Cloud Core) einen /22-CIDR-Bereich in Ihrem VPC zuweisen.

Wenn Sie den Nutzerzugriff auf eine Instanz einrichten möchten, die nur eine private IP-Verbindung (Zugriff auf private Dienste) verwendet, müssen Sie eine benutzerdefinierte Domain einrichten und den Zugriff auf die Domain je nach den Anforderungen Ihrer Organisation konfigurieren. Wenn Sie eine Verbindung zu externen Ressourcen herstellen möchten, müssen Sie eine zusätzliche Konfiguration vornehmen. Für die Planung und Durchführung dieser Konfiguration ist fundiertes Fachwissen im Bereich Netzwerktechnik hilfreich.

Informationen zum Erstellen einer Looker (Google Cloud Core)-Instanz mit Zugriff auf private Dienste finden Sie auf der Dokumentationsseite Private IP-Instanz erstellen.

Konfiguration privater und öffentlicher IP-Adressen

Nur Looker (Google Cloud Core)-Instanzen, die für ihre private Verbindung den Zugriff auf private Dienste verwenden, unterstützen eine Konfiguration mit privater und öffentlicher IP-Adresse.

Eine Looker (Google Cloud Core)-Instanz, die sowohl eine private IP-Verbindung (Zugriff auf private Dienste) als auch eine öffentliche IP-Verbindung hat, hat eine öffentliche URL. Der gesamte einkommende Traffic wird über die öffentliche IP-Verbindung mit HTTPS übertragen. Ausgehender Traffic wird über Ihre VPC geleitet, die so konfiguriert werden kann, dass nur privater IP-Traffic mithilfe von HTTPS oder Verschlüsselung zugelassen wird. Der gesamte Traffic wird verschlüsselt.

Bei einer Konfiguration mit öffentlicher und privater IP-Adresse fließt der Traffic von Norden nach Süden über die öffentliche IP-Adresse und der Traffic von Süden nach Norden über die private IP-Adresse.

Mit einer Konfiguration mit privater und öffentlicher IP-Adresse können einige Looker (Google Cloud Core)-Funktionen verwendet werden, die bei Konfigurationen mit nur privater IP-Adresse nicht verfügbar sind, z. B. der BI-Connector für verbundene Tabellenblätter oder der BI-Connector für Looker Studio.

Private Service Connect

Die Verwendung von Private Service Connect mit Looker (Google Cloud Core) muss beim Erstellen der Instanz festgelegt werden. Bei Private Service Connect-Instanzen von Looker (Google Cloud Core) kann keine öffentliche IP-Verbindung hinzugefügt werden.

Bei Verwendung mit Looker (Google Cloud Core) unterscheidet sich Private Service Connect vom Zugriff auf private Dienste in folgenden Punkten:

  • Endpunkte und Back-Ends unterstützen öffentliche oder private Zugriffsmethoden.
  • Looker (Google Cloud Core) kann eine Verbindung zu anderen Google-Diensten wie Cloud SQL herstellen, auf die über Private Service Connect zugegriffen werden kann.
  • Es müssen keine großen IP-Blöcke zugewiesen werden.
  • Direkte Verbindungen ermöglichen eine transitive Kommunikation.
  • Es ist nicht erforderlich, ein Netzwerk mit anderen Diensten zu teilen.
  • Unterstützt die Mandantenfähigkeit.

Mit Private Service Connect-Endpunkten oder Back-Ends können Sie auf Private Service Connect-Instanzen von Looker (Google Cloud Core) zugreifen.

Looker (Google Cloud Core)-Instanzen (Private Service Connect) verwenden Endpunkte, um eine Verbindung zu Google Cloud oder externen Ressourcen herzustellen. Wenn eine Ressource extern ist, müssen auch eine Netzwerk-Endpunktgruppe (NEG) und ein Load Balancer eingerichtet werden. Außerdem muss jede Verbindung vom Typ „Southbound“ zu einem eindeutigen Dienst mit Private Service Connect veröffentlicht werden. Auf Looker-Seite (Google Cloud-Kern) muss für jeden Dienst, mit dem eine Verbindung hergestellt werden soll, eine eindeutige ausgehende Verbindung erstellt und verwaltet werden.

Übersicht über Northbound- und Southbound-Netzwerktopologien für Private Service Connect

Fachwissen im Bereich Netzwerktechnik ist hilfreich, um Private Service Connect-Konfigurationen zu planen und auszuführen.

Ein Beispiel für die Verbindung zu einem externen Dienst finden Sie im Codelab „Looker PSC Southbound HTTPS Internet NEG“.

Weitere Informationen zu Private Service Connect-Instanzen finden Sie auf der Dokumentationsseite Private Service Connect mit Looker (Google Cloud Core) verwenden.

Netzwerkoption auswählen

In der folgenden Tabelle sehen Sie, welche Funktionen für die verschiedenen Netzwerkoptionen verfügbar sind.

Netzwerkanforderungen
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
Für die Instanzerstellung ist die Zuweisung eines IP-Bereichs erforderlich Nein Ja (/22 pro Instanz und pro Region) Ja (/22 pro Instanz und pro Region) Nein
Cloud Armor Ja. Looker (Google Cloud Core) verwendet standardmäßige Cloud Armor-Regeln, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. Ja. Looker (Google Cloud Core) verwendet standardmäßige Cloud Armor-Regeln, die von Google verwaltet werden. Diese Regeln sind nicht konfigurierbar. Nein Unterstützt mit regionalem externen Application Load Balancer, Private Service Connect-Backend und Google Cloud Armor
Benutzerdefinierte Domain Ja Unterstützt als öffentliche URL Ja Ja
Nordgerichteter Zugriff
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
Öffentliches Internet Ja Ja Nein Unterstützt mit regionalem externen Application Load Balancer, Private Service Connect-Backend und benutzerdefinierter Domain
VPC-Peering (Zugriff auf private Dienste) Nein Ja Ja Nein
PSC-basiertes Routing Nein Nein Nein

Unterstützt mit folgenden Geräten:

  • Regionaler externer Application Load Balancer und Private Service Connect-Backend
  • Regionaler interner Application Load Balancer und Private Service Connect-Backend
Hybridnetzwerk Nein Ja Ja Ja
Southbound-Zugriff
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
Internet Ja Nein Nein Wird mit regionalem TCP-Proxy-internem Load Balancer, Internet-NEG und Cloud NAT-Gateway unterstützt.
VPC-Peering (Zugriff auf private Dienste) Nein Ja Ja Nein
Private Service Connect-basiertes Routing Nein Nein Nein Wird mit regionalem TCP-Proxy-internem Load Balancer und Hybrid-NEG unterstützt
Hybrides Netzwerk (Multi-Cloud und lokal) Nein Ja Ja Wird mit regionalem TCP-Proxy-internem Load Balancer, Hybrid-NEG und Google Cloud Netzwerkprodukten unterstützt
Anwendung
Feature Öffentliche IP-Adresse Öffentlich und privat (Zugriff auf private Dienste) Privat (Zugriff auf private Dienste) Privat (Private Service Connect)
GitHub Ja Wird mit einem internen TCP-Proxy-Load Balancer und einem NEG für das Internet unterstützt Wird mit einem internen TCP-Proxy-Load Balancer und einem Internet-NEG unterstützt Ja

(Ein Beispiel finden Sie im Looker PSC Southbound HTTPS Internet NEG codelab.)
GitHub Enterprise Nein Ja Ja Ja
Cloud SQL Ja Unterstützt mit Cloud SQL, das in derselben VPC wie Looker (Google Cloud Core) bereitgestellt wird Ja Ja
BigQuery Ja Ja Ja Ja
Einbetten Ja Ja Ja Ja
Marketplace Ja Nein Nein Nein
Verbundene Tabellenblätter Ja Ja Nein Nein
SMTP Ja Ja Ja Ja
Vorteile
  • Eine öffentlich zugängliche URL bedeutet, dass eine Verbindung zu Looker (Google Cloud Core) von anderen Diensten aus einfach hergestellt werden kann, die auf die Instanz zugreifen oder zu Looker weiterleiten müssen.
  • Einfache Einrichtung, keine erweiterte Netzwerkkonfiguration erforderlich.
  • Über eine öffentliche URL auf Looker (Google Cloud Core) zugreifen
  • Der ausgehende Zugriff auf Multi-Cloud-Umgebungen erfolgt basierend auf der IP-Rufbarkeit.
  • Private Instanz für Northbound- und Southbound-Zugriff
  • Der ausgehende Zugriff auf Multi-Cloud-Umgebungen erfolgt basierend auf der IP-Rufbarkeit.
  • Keine gemeinsamen Einschränkungen und keine IP-Koordination zwischen Nutzer und Ersteller erforderlich
  • Die Subnetzzuweisung für die Instanziierung von Looker (Google Cloud Core) ist nicht erforderlich
  • Ausdrücklicher Zugriff auf Looker (Google Cloud Core) und Endpunkte
  • Unterstützt öffentlichen und privaten Zugriff auf Looker (Google Cloud Core) mit Private Service Connect-Back-Ends
Hinweise Wenn Sie eine benutzerdefinierte URL verwenden möchten, müssen Sie einen voll qualifizierten Domainnamen konfigurieren, z. B. looker.examplepetstore.com. Eine benutzerdefinierte URL wie examplepetstore.looker.com ist nicht zulässig.
  • Für den ausgehenden Zugriff auf lokale und Multi-Cloud-Umgebungen sind Firewall-Aktualisierungen erforderlich
  • Die Bereitstellung von Looker (Google Cloud-Kern) in einer Hub-and-Spoke-VPC-Architektur mit VPC-Peering führt zu nicht transitivem Routing zu Looker, wenn über hybride Netzwerke von lokalen oder Multi-Cloud-Netzwerken darauf zugegriffen wird.
  • Zusätzliche Infrastruktur für die Verbindung zu öffentlichem Git (Proxy-VM, Internet-NEG und Load Balancer)
  • Für den ausgehenden Zugriff auf lokale und Multi-Cloud-Umgebungen sind Firewall-Updates erforderlich
  • Die Bereitstellung von Looker (Google Cloud-Kern) in einer Hub-and-Spoke-VPC-Architektur mit VPC-Peering führt zu nicht transitivem Routing zu Looker, wenn über hybride Netzwerke von lokalen oder Multi-Cloud-Netzwerken darauf zugegriffen wird.
  • Zusätzliche Infrastruktur für die Verbindung zu öffentlichem Git (Proxy-VM, Internet-NEG und Load Balancer)
  • Für den öffentlichen Zugriff auf Looker (Google Cloud Core) ist die Einbindung in einen externen Application Load Balancer und ein Private Service Connect-Back-End erforderlich
  • Für jeden Downstream-Endpunkt (IP-Adresse) ist ein veröffentlichter Private Service Connect-Dienst erforderlich.

Nächste Schritte