请注意，您正在查看 Looker 文档。如需查看 Looker Studio 文档，请访问 https://support.google.com/looker-studio。

此页面由 Cloud Translation API 翻译。

Looker (Google Cloud Core) 网络选项

本页介绍了 Looker (Google Cloud Core) 实例的网络配置选项。

您可以在创建实例期间设置实例的网络配置。最好先确定要使用的网络选项，然后再开始实例创建流程。本页面还可帮助您确定哪个选项最适合贵组织的需求。

概览

Looker (Google Cloud Core) 的网络配置选项如下：

公共 IP 地址：使用可访问互联网的外部 IP 地址的实例。
仅使用专用 IP（专用服务访问通道）：使用 Google 托管的内部虚拟私有云 (VPC) IP 地址的实例，并使用专用服务访问通道以专用方式连接到 Google 和第三方服务。
专用 IP（专用服务访问通道）和公共 IP：此类实例既支持用于入站流量的公共 IP 地址，也支持 Google 托管的内部 VPC IP 地址以及针对出站流量的专用服务访问通道。
仅限专用 IP (Private Service Connect)：此类实例使用 Google 托管的内部 VPC IP 地址，并通过 Private Service Connect 以私密方式连接到 Google 和第三方服务。

在为 Looker (Google Cloud Core) 实例考虑网络配置时，以下信息可能会对您有所帮助：

必须在创建实例时设置网络配置。实例创建后，网络配置便无法更改，但有一种例外情况：对于专用服务访问通道实例，在实例创建后可以添加或移除公共 IP。
功能的适用范围因影音平台选项而异。如需了解详情，请参阅 Looker (Google Cloud Core) 中的功能可用性文档页面。
无论网络配置如何，所有与 BigQuery 的连接都是通过 Google 的专用网络建立的。
如果将第三方身份提供方配置为单点登录，用户的浏览器会与身份提供方通信，然后重定向到 Looker (Google Cloud Core) 实例。只要用户的网络可以访问重定向网址，第三方身份提供程序便适用于所有网络配置。

此外，请参阅本文档页面如何选择网络选项部分中的表格，详细了解如何为您的团队确定合适的网络配置。

公共 IP 连接

部署为公共 IP 实例的 Looker (Google Cloud Core) 可通过可通过互联网访问的外部 IP 地址访问。在此配置中，除了支持 Looker (Google Cloud Core) 对互联网端点的南向（出站）访问之外，还支持对 Looker (Google Cloud Core) 的北向（入站）流量。此配置类似于由 Looker 托管的 Looker（原始）实例的配置。

进出公共 IP 实例的流量通过公共互联网进行移动。

公共 IP 网络连接易于设置和连接，不需要高级网络配置或专业知识。

如需创建 Looker (Google Cloud Core) 公共 IP 实例，请参阅创建公共 IP Looker (Google Cloud Core) 实例文档页面。

专用 IP 连接

具有专用 IP 网络连接的 Looker (Google Cloud Core) 实例使用 Google 托管的内部 VPC IP 地址。您可以使用此地址与可以访问该 VPC 的其他资源进行通信。专用 IP 连接使用户无需通过公共互联网或使用外部 IP 地址即可访问服务。由于它们不遍历互联网，因此通过专用 IP 的连接通常可缩短延迟时间并限制攻击途径。

在仅使用专用 IP 的配置中，Looker (Google Cloud Core) 没有公开网址。您可以控制所有北向（入站）流量，并且所有南向（出站）流量都将通过您的 VPC 进行路由。

如果您的实例仅使用专用 IP 连接，则需要进行额外配置，才能设置自定义网域和对此实例的用户访问权限；使用某些 Looker (Google Cloud Core) 功能；或连接到外部资源（例如 Git 提供商）。拥有内部网络专业知识有助于规划和执行此配置。

Looker (Google Cloud Core) 支持以下两个专用 IP 连接选项：

专用服务访问通道
Private Service Connect

必须在实例创建时确定是使用专用服务访问通道还是 Private Service Connect。

专用服务访问通道

必须在创建实例时设置将专用服务访问通道专用 IP 与 Looker (Google Cloud Core) 搭配使用。Looker (Google Cloud Core) 实例可以选择在其专用 IP（专用服务访问）连接中包含公共 IP 连接。创建使用专用服务访问通道的实例后，您可以为该实例添加或移除专用 IP 连接。

如需创建专用 IP（专用服务访问通道）连接，您必须在 VPC 中向 Looker (Google Cloud Core) 分配 /22 CIDR 范围。

要为仅使用专用 IP（专用服务访问通道）连接的实例设置用户访问权限，您必须根据贵组织的需求设置自定义网域并配置对该网域的访问权限。如需连接到外部资源，您需要执行额外配置。内部网络专业知识有助于规划和执行此配置。

如需创建 Looker (Google Cloud Core) 专用服务访问通道实例，请参阅创建专用 IP 实例文档页面。

专用 IP 和公共 IP 配置

只有将专用服务访问通道用于专用连接的 Looker (Google Cloud Core) 实例才支持专用 IP 和公共 IP 配置。

同时具有专用 IP（专用服务访问通道）连接和公共 IP 连接的 Looker (Google Cloud Core) 实例具有公共网址，并且所有传入流量都将通过公共 IP 连接传输。出站流量会通过您的 VPC 进行路由，您可以将 VPC 配置为仅允许专用 IP 流量。

在公共 IP 和专用 IP 配置中，北向流量通过公共 IP，南向流量通过专用 IP。

通过专用 IP 和公共 IP 配置，您可以使用某些不适用于仅使用专用 IP 的 Looker (Google Cloud Core) 功能，例如关联工作表 BI 连接器或 Looker Studio BI 连接器。

Private Service Connect

必须在实例创建时设置如何将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用。Looker (Google Cloud Core) Private Service Connect 实例不支持添加公共 IP 连接。

与 Looker (Google Cloud Core) 搭配使用时，Private Service Connect 与专用服务访问通道在以下方面有所不同：

端点和后端支持公共或私有访问方法。
Looker（Google Cloud 核心）可以连接到其他可通过 Private Service Connect 访问的 Google 服务，例如 Cloud SQL。
无需分配较大的 IP 地址块。
直接连接可实现传递通信。
您无需与其他服务共享网络。
支持多租户。

Private Service Connect 端点或后端可用于访问 Looker (Google Cloud Core) Private Service Connect 实例。

Looker (Google Cloud Core) (Private Service Connect) 实例使用端点连接到 Google Cloud 或外部资源。如果资源位于外部，则还需要设置网络端点组 (NEG) 和负载均衡器。此外，对于与唯一服务的每个南向连接，都需要使用 Private Service Connect 发布该服务。在 Looker (Google Cloud Core) 端，您必须为要连接到的每项服务创建和维护每个唯一的出站连接。

Private Service Connect 的北向和南向网络拓扑概览。

内部网络专业知识有助于规划和执行 Private Service Connect 配置。

如需查看连接到外部服务的示例，请参阅 Looker PSC 南向 HTTPS 互联网 NEG Codelab。

如需详细了解 Private Service Connect 实例，请参阅将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用文档页面。

如何选择网络选项

下表显示了不同网络选项的功能可用性。

网络要求
功能	公共 IP	公共和专用（专用服务访问通道）	专用（专用服务访问通道）	专用 (Private Service Connect)
创建实例时需要分配 IP 范围	否	是（每个区域每个实例 `/22`）	是（每个区域每个实例 `/22`）	否
Cloud Armor	是	是	否	支持区域级外部应用负载均衡器、Private Service Connect 后端和 Google Cloud Armor
自定义网域	是	支持作为公开网址	是	是
北向访问
功能	公共 IP	公共和专用（专用服务访问通道）	专用（专用服务访问通道）	私有（Private Service Connect）
公共互联网	是	是	否	支持区域级外部应用负载均衡器、Private Service Connect 后端和自定义网域
VPC 对等互连（专用服务访问通道）	否	是	是	否
基于 PSC 的路由	否	否	否	以下各项均受支持：区域级外部应用负载均衡器和 Private Service Connect 后端区域级内部应用负载平衡器和 Private Service Connect 后端
混合网络	否	是	是	是
南向访问
功能	公共 IP	公共和专用（专用服务访问通道）	专用（专用服务访问通道）	专用 (Private Service Connect)
互联网	是	否	否	区域级 TCP 代理内部负载均衡器、互联网 NEG 和 Cloud NAT 网关支持此功能。
VPC 对等互连（专用服务访问通道）	否	是	是	否
基于 Private Service Connect 的路由	否	否	否	支持区域级 TCP 代理内部负载均衡器和混合 NEG
混合网络（多云和本地）	否	是	是	支持区域级 TCP 代理内部负载均衡器、混合 NEG 和 Google Cloud 网络产品
应用
功能	公共 IP	公共和专用（专用服务访问通道）	专用（专用服务访问通道）	专用 (Private Service Connect)
GitHub	是	支持使用 TCP 代理内部负载均衡器和互联网 NEG	支持使用 TCP 代理内部负载均衡器和互联网 NEG	是（如需查看示例，请参阅 Looker PSC Southbound HTTPS Internet NEG Codelab）
GitHub Enterprise	否	是	是	是
Cloud SQL	是	支持与 Looker (Google Cloud Core) 部署在同一 VPC 中的 Cloud SQL	是	是
BigQuery	是	是	是	是
嵌入	是	是	是	是
市场	是	否	否	否
关联工作表	是	是	否	否
SMTP	是	是	是	是
优势	公开可访问的网址意味着，从需要访问实例或重定向到 Looker 的其他服务轻松连接到 Looker (Google Cloud Core)。易于设置，无需高级网络配置。	通过公开网址访问 Looker (Google Cloud Core) 基于 IP 可达性实现对多云环境的南向访问	用于北向和南向访问的专用实例基于 IP 可达性实现对多云环境的南向访问	使用方和提供方之间没有共享约束条件，也不需要进行 IP 协调无需为 Looker (Google Cloud Core) 实例分配子网对 Looker (Google Cloud Core) 和端点的显式访问权限支持使用 Private Service Connect 后端对 Looker (Google Cloud Core) 进行公开和专用访问
注意事项	如果您想使用自定义网址，则必须配置完全限定域名（例如 `looker.examplepetstore.com`）。您不能使用 `examplepetstore.looker.com` 等自定义网址。	对本地和多云环境的南向访问需要更新防火墙在具有 VPC 对等互连的中心辐射型 VPC 架构中部署 Looker（Google Cloud 核心）后，如果通过混合网络从本地网络或多云网络访问 Looker，则会导致到 Looker 的非传递路由用于连接到公共 Git 的其他基础架构（代理虚拟机、互联网 NEG 和负载均衡器）	对本地和多云环境的南向访问需要更新防火墙在具有 VPC 对等互连的中心辐射型 VPC 架构中部署 Looker（Google Cloud 核心）后，如果通过混合网络从本地网络或多云网络访问 Looker，则会导致到 Looker 的非传递路由用于连接到公共 Git（代理虚拟机、互联网 NEG 和负载均衡器）的其他基础架构	对 Looker (Google Cloud Core) 的公开访问权限需要与外部应用负载平衡器和 Private Service Connect 后端集成每个南向端点（IP 地址）都需要 Private Service Connect 发布的服务