Notez que vous consultez la documentation Looker. Pour accéder à la documentation sur Looker Studio, consultez la page https://support.google.com/looker-studio.

Cette page a été traduite par l'API Cloud Translation.

Options de mise en réseau de Looker (Google Cloud Core)

Cette page décrit les options de configuration réseau disponibles pour les instances Looker (Google Cloud Core).

Vous définissez la configuration réseau d'une instance lors de sa création. Nous vous recommandons de déterminer les options de mise en réseau que vous souhaitez utiliser avant de commencer le processus de création d'instance. Cette page vous aide également à déterminer laquelle de ces options est la plus adaptée aux besoins de votre organisation.

Présentation

Les options de configuration réseau pour Looker (Google Cloud Core) sont les suivantes:

Adresse IP publique : instance qui utilise une adresse IP externe accessible via Internet.
Adresse IP privée (accès aux services privés) uniquement : instance qui utilise une adresse IP interne hébergée par Google sur un réseau cloud privé virtuel (VPC) et qui utilise l'accès aux services privés pour se connecter de manière privée à Google et aux services tiers.
Adresse IP privée (accès aux services privés) et adresse IP publique: instance qui accepte à la fois une adresse IP publique pour l'entrée et une adresse IP de VPC interne hébergée par Google, et l'accès aux services privés pour la sortie.
Adresse IP privée (Private Service Connect) uniquement: instance qui utilise une adresse IP VPC interne hébergée par Google et Private Service Connect pour se connecter en privé à Google et à des services tiers.

Lorsque vous choisissez une configuration réseau pour votre instance Looker (Google Cloud Core), les informations suivantes peuvent vous aider :

La configuration du réseau doit être définie lors de la création de l'instance. La configuration réseau ne peut pas être modifiée après la création de l'instance, à une exception près : pour une instance d'accès aux services privés, l'adresse IP publique peut être ajoutée ou supprimée après la création de l'instance.
La disponibilité de cette fonctionnalité varie selon l'option de réseau sélectionnée. Pour en savoir plus, consultez la page de documentation Disponibilité des fonctionnalités dans Looker (Google Cloud Core).
Toutes les connexions à BigQuery passent par le réseau privé de Google, quelle que soit la configuration du réseau.
Si un fournisseur d'identité tiers est configuré pour l'authentification unique, le navigateur de l'utilisateur communique avec le fournisseur d'identité, puis est redirigé vers l'instance Looker (Google Cloud Core). Tant que l'URL de redirection est accessible sur le réseau de l'utilisateur, les fournisseurs d'identité tiers fonctionnent pour toutes les configurations réseau.

Consultez également le tableau de la section Choisir une option de mise en réseau de cette page de documentation pour savoir comment choisir la configuration réseau adaptée à votre équipe.

Connexions IP publiques

Looker (Google Cloud Core) déployé en tant qu'instance d'adresse IP publique est accessible à partir d'une adresse IP externe accessible par Internet. Dans cette configuration, le trafic vers le nord (entrant) vers Looker (Google Cloud Core) est compatible en plus de l'accès sud (sortant) de Looker (Google Cloud Core) aux points de terminaison Internet. Cette configuration est semblable à celle d'une instance Looker (originale) hébergée par Looker.

Le trafic vers et depuis une instance d'adresse IP publique transite par l'Internet public.

Les connexions aux réseaux IP publics sont simples à configurer et à connecter. Elles ne nécessitent pas de configuration réseau avancée ni d'expertise.

Pour créer une instance Looker (Google Cloud Core) avec une adresse IP publique, consultez la page de documentation Créer une instance Looker (Google Cloud Core) avec une adresse IP publique.

Connexions IP privées

Une instance Looker (Google Cloud Core) avec une connexion réseau IP privée utilise une adresse IP VPC interne hébergée par Google. Vous pouvez utiliser cette adresse pour communiquer avec d'autres ressources pouvant accéder au VPC. Les connexions IP privées rendent les services accessibles sans passer par l'Internet public ni utiliser des adresses IP externes. Comme elles ne traversent pas Internet, les connexions via une adresse IP privée offrent généralement une latence plus faible et des vecteurs d'attaque limités.

Dans une configuration avec adresse IP privée uniquement, Looker (Google Cloud Core) n'a pas d'URL publique. Vous contrôlez tout le trafic nord-sud (entrant) et tout le trafic sud-nord (sortant) est acheminé via votre VPC.

Si votre instance n'utilise qu'une connexion IP privée, une configuration supplémentaire est nécessaire pour configurer un domaine personnalisé et l'accès des utilisateurs à l'instance, utiliser certaines fonctionnalités Looker (Google Cloud Core) ou se connecter à des ressources externes, telles que des fournisseurs Git. Une expertise interne en mise en réseau est utile pour planifier et exécuter cette configuration.

Looker (Google Cloud Core) prend en charge les deux options suivantes pour les connexions IP privées:

Accès aux services privés
Private Service Connect

L'utilisation de l'accès aux services privés ou de Private Service Connect doit être décidée au moment de la création de l'instance.

Accès aux services privés

L'utilisation de l'adresse IP privée de l'accès aux services privés avec Looker (Google Cloud Core) doit être définie au moment de la création de l'instance. Les instances Looker (Google Cloud Core) peuvent éventuellement inclure une connexion IP publique avec leur connexion IP privée (accès aux services privés). Après avoir créé une instance qui utilise l'accès aux services privés, vous pouvez ajouter ou supprimer une connexion IP privée à cette instance.

Pour créer une connexion IP privée (accès aux services privés), vous devez allouer une plage CIDR /22 dans votre VPC à Looker (Google Cloud Core).

Pour configurer l'accès des utilisateurs à une instance qui n'utilise qu'une connexion IP privée (accès aux services privés), vous devez configurer un domaine personnalisé et l'accès au domaine en fonction des besoins de votre organisation. Pour vous connecter à des ressources externes, vous devrez effectuer une configuration supplémentaire. Une expertise réseau interne est utile pour planifier et exécuter cette configuration.

Pour créer une instance d'accès aux services privés Looker (Google Cloud Core), consultez la page de documentation Créer une instance d'adresse IP privée.

Configuration d'adresses IP privées et publiques

Seules les instances Looker (Google Cloud Core) qui utilisent l'accès aux services privés pour leur connexion privée acceptent une configuration d'adresse IP privée et publique.

Une instance Looker (Google Cloud Core) qui dispose à la fois d'une connexion IP privée (accès aux services privés) et d'une connexion IP publique possède une URL publique, et tout le trafic entrant passe par la connexion IP publique. Le trafic sortant est acheminé via votre VPC, qui peut être configuré pour n'autoriser que le trafic IP privé.

Dans une configuration d'adresses IP publique et privée, le trafic nord-sud passe par l'adresse IP publique, et le trafic sud-nord passe par l'adresse IP privée.

La configuration d'une adresse IP privée et d'une adresse IP publique permet d'utiliser certaines fonctionnalités de Looker (Google Cloud Core) qui ne sont pas disponibles pour les configurations exclusivement basées sur une adresse IP privée, telles que le connecteur d'informatique décisionnelle pour les feuilles connectées ou le connecteur d'informatique décisionnelle Looker Studio.

Private Service Connect

L'utilisation de Private Service Connect avec Looker (Google Cloud Core) doit être définie au moment de la création de l'instance. Les instances Private Service Connect Looker (Google Cloud Core) ne permettent pas d'ajouter une connexion IP publique.

Lorsqu'il est utilisé avec Looker (Google Cloud Core), Private Service Connect diffère de l'accès aux services privés comme suit :

Les points de terminaison et les backends sont compatibles avec des méthodes d'accès public ou privé.
Looker (Google Cloud Core) peut se connecter à d'autres services Google, tels que Cloud SQL, accessibles via Private Service Connect.
Il n'est pas nécessaire d'allouer de grands blocs d'adresses IP.
Les connexions directes permettent une communication transitive.
Il n'est pas nécessaire de partager un réseau avec d'autres services.
Il est compatible avec l'architecture mutualisée.

Vous pouvez utiliser des points de terminaison ou des backends Private Service Connect pour accéder aux instances Private Service Connect de Looker (Google Cloud Core).

Les instances Looker (Google Cloud Core) (Private Service Connect) utilisent des points de terminaison pour se connecter à Google Cloud ou à des ressources externes. Si une ressource est externe, un groupe de points de terminaison du réseau (NEG) et un équilibreur de charge doivent également être configurés. En outre, chaque connexion "Direction sud" à un service unique nécessite que celui-ci soit publié à l'aide de Private Service Connect. Du côté de Looker (Google Cloud Core), chaque connexion de sortie unique doit être créée et gérée pour chaque service auquel vous souhaitez vous connecter.

Présentation des topologies réseau Northbound et Southbound pour Private Service Connect.

Une expertise réseau interne est utile pour planifier et exécuter des configurations Private Service Connect.

Pour obtenir un exemple de connexion à un service externe, consultez l'atelier de programmation Looker PSC Southbound HTTPS Internet NEG.

Pour en savoir plus sur les instances Private Service Connect, consultez la page de documentation Utiliser Private Service Connect avec Looker (Google Cloud Core).

Choisir une option de mise en réseau

Le tableau suivant indique la disponibilité des fonctionnalités pour différentes options de mise en réseau.

Configuration réseau requise
Fonctionnalité	Adresse IP publique	Public et privé (accès aux services privés)	Privé (accès aux services privés)	Privé (Private Service Connect)
Nécessite une allocation de plages d'adresses IP pour la création d'instances	Non	Oui (`/22` par instance et par région)	Oui (`/22` par instance et par région)	Non
Cloud Armor	Oui	Oui	Non	Compatible avec l'équilibreur de charge d'application externe régional, le backend Private Service Connect et Google Cloud Armor
Domaine personnalisé	Oui	Compatible en tant qu'URL publique	Oui	Oui
Accès vers le nord
Fonctionnalité	Adresse IP publique	Public et privé (accès aux services privés)	Privé (accès aux services privés)	Privé (Private Service Connect)
Internet public	Oui	Oui	Non	Compatible avec l'équilibreur de charge d'application externe régional, le backend Private Service Connect et le domaine personnalisé
Appairage de VPC (accès aux services privés)	Non	Oui	Oui	Non
Routage basé sur PSC	Non	Non	Non	Compatible avec les éléments suivants: Équilibreur de charge d'application externe régional et backend Private Service Connect Équilibreur de charge d'application interne régional et backend Private Service Connect
Réseau hybride	Non	Oui	Oui	Oui
Accès Southbound
Fonctionnalité	Adresse IP publique	Public et privé (accès aux services privés)	Privé (accès aux services privés)	Privé (Private Service Connect)
Internet	Oui	Non	Non	Compatible avec l'équilibreur de charge proxy TCP interne régional, le NEG Internet et la passerelle Cloud NAT.
Appairage de VPC (accès aux services privés)	Non	Oui	Oui	Non
Routage basé sur Private Service Connect	Non	Non	Non	Compatible avec l'équilibreur de charge interne du proxy TCP régional et le NEG hybride
Mise en réseau hybride (multicloud et sur site)	Non	Oui	Oui	Compatible avec l'équilibreur de charge proxy TCP interne régional, le NEG hybride et les produits de mise en réseau Google Cloud
Application
Fonctionnalité	Adresse IP publique	Public et privé (accès aux services privés)	Privé (accès aux services privés)	Privé (Private Service Connect)
GitHub	Oui	Compatible avec l'équilibreur de charge interne du proxy TCP et le NEG Internet	Compatible avec l'équilibreur de charge interne du proxy TCP et le NEG Internet	Oui (Pour obtenir un exemple, consultez l'atelier de programmation Looker PSC Southbound HTTPS Internet NEG.)
GitHub Enterprise	Non	Oui	Oui	Oui
Cloud SQL	Oui	Compatible avec Cloud SQL déployé dans le même VPC que Looker (Google Cloud Core)	Oui	Oui
BigQuery	Oui	Oui	Oui	Oui
Intégrer	Oui	Oui	Oui	Oui
Marketplace	Oui	Non	Non	Non
Feuilles connectées	Oui	Oui	Non	Non
SMTP	Oui	Oui	Oui	Oui
Avantages	Une URL accessible publiquement permet de se connecter facilement à Looker (Google Cloud Core) à partir d'autres services qui doivent accéder à l'instance ou rediriger vers Looker. Facile à configurer, aucune configuration réseau avancée requise.	Accéder à Looker (Google Cloud Core) via une URL publique L'accès vers le sud aux environnements multicloud est obtenu en fonction de l'accessibilité IP.	Instance privée pour l'accès en direction du nord et du sud L'accès aux environnements multicloud vers le sud est obtenu grâce à la joignabilité des adresses IP	Aucune contrainte partagée ni coordination IP requise entre le consommateur et le producteur L'allocation de sous-réseaux pour l'instanciation de Looker (Google Cloud Core) n'est pas requise Accès explicite à Looker (Google Cloud Core) et aux points de terminaison Prend en charge l'accès public et privé à Looker (Google Cloud Core) à l'aide de backends Private Service Connect
Remarques	Si vous souhaitez obtenir une URL personnalisée, vous devez configurer un nom de domaine complet (par exemple, `looker.examplepetstore.com`). Vous ne pouvez pas avoir d'URL personnalisée telle que `examplepetstore.looker.com`.	L'accès Sud aux environnements sur site et multicloud nécessite des mises à jour de pare-feu Le déploiement de Looker (Google Cloud Core) dans une architecture VPC en étoile avec appairage de VPC entraîne un routage non transitif vers Looker en cas d'accès via un réseau hybride à partir de réseaux sur site ou multicloud. Infrastructure supplémentaire pour se connecter à Git public (VM proxy, NEG Internet et équilibreur de charge)	L'accès sud vers un environnement sur site et multicloud nécessite des mises à jour du pare-feu Le déploiement de Looker (Google Cloud Core) dans une architecture VPC en étoile avec appairage de VPC entraîne un routage non transitif vers Looker en cas d'accès via un réseau hybride à partir de réseaux sur site ou multicloud. Infrastructure supplémentaire pour se connecter à Git public (VM proxy, NEG Internet et équilibreur de charge)	L'accès public à Looker (Google Cloud Core) nécessite une intégration à un équilibreur de charge d'application externe et à un backend Private Service Connect Chaque point de terminaison southbound (adresse IP) nécessite un service publié Private Service Connect