本页面介绍了 Looker (Google Cloud Core) 实例的网络配置选项。
您可以在创建实例期间设置实例的网络配置。最好在开始创建实例之前确定要使用的网络选项。此页面还可帮助您确定哪种选项最适合贵组织的需求。
概览
Looker (Google Cloud Core) 提供以下网络配置选项:
- 使用公共安全连接:使用可从外部互联网访问的 IP 地址的实例。
使用专用连接:专用连接使用专用网络来访问 Looker (Google Cloud Core) 实例,以及从 Looker (Google Cloud Core) 实例进行访问。您可以通过以下两种方式使用专用网络:
- Private Service Connect:启用 Private Service Connect 的实例使用 Google 托管的内部虚拟私有云 (VPC) IP 地址,并使用 Private Service Connect 以私密方式连接到 Google 和第三方服务。
- 专用服务访问通道:启用专用服务访问通道的实例使用 Google 托管的内部虚拟私有云 (VPC) IP 地址,并通过专用服务访问通道以私密方式连接到 Google 和第三方服务。
使用混合连接:实例支持用于入站流量的公共 IP 地址,以及用于出站流量的内部 Google 托管 VPC IP 地址和专用服务访问通道或 Private Service Connect。
在考虑 Looker (Google Cloud Core) 实例的网络配置时,以下信息可能有助于您做出决定:
- 必须在创建实例时设置网络配置。配置为公共安全连接的实例在创建后无法更改。配置为混合连接的实例可以更改为专用连接,或者具有专用连接的实例可以在创建后更改为混合连接配置。
- 功能提供情况因网络选项而异。如需了解详情,请参阅 Looker (Google Cloud Core) 中的功能可用性文档页面。
- 无论网络配置如何,与 BigQuery 的所有连接都通过 Google 的专用网络进行。
- 如果为单点登录配置了第三方身份提供方,用户的浏览器会与该身份提供方通信,然后重定向到 Looker (Google Cloud Core) 实例。只要重定向网址可通过用户的网络访问,第三方身份提供商就适用于所有网络配置。
另请参阅此文档页面中如何选择联网选项部分中的表格,详细了解如何为您的团队确定合适的联网配置。
公共安全连接
以公共安全连接实例部署的 Looker (Google Cloud Core) 可通过外部可访问互联网的 IP 地址进行访问。在此配置中,除了 Looker (Google Cloud Core) 出站(南向)访问互联网端点之外,还支持 Looker (Google Cloud Core) 的入站(北向)流量。此配置类似于由 Looker 托管的 Looker(原始版本)实例的配置。
公共安全连接仅允许 HTTPS 流量进入 Looker (Google Cloud Core)。当 CNAME 更新且 Google 可以找到 DIG 记录时,Google 会自动预配 SSL 证书。此证书每四个月会自动轮换一次。如需通过公共安全连接从 Looker (Google Cloud Core) 实例安全地连接到外部数据库,您可以设置加密的 SSL 连接。
公共安全连接配置设置和连接起来非常简单,不需要高级网络配置或专业知识。
如需创建 Looker (Google Cloud Core) 公共安全连接实例,请参阅创建 Looker (Google Cloud Core) 公共安全连接实例文档页面。
专用连接
配置为使用专用连接的 Looker (Google Cloud Core) 实例使用 Google 托管的内部 VPC IP 地址。您可以使用此地址与能够访问 VPC 的其他资源进行通信。专用连接可让您不必通过公共互联网或使用外部 IP 地址即可访问服务。由于专用连接不需要遍历互联网,因此通常可缩短延迟时间并限制攻击途径。
在专用连接配置中,内部证书完全由 Google 管理,不会向任何人公开。如果您要预配具有自定义证书的专用连接实例,则无需管理内部专用证书。请改用您自己的自定义证书,并确保该证书的轮换得到维护。
在专用连接配置中,Looker (Google Cloud Core) 没有公开网址。您可以控制所有入站(北向)流量,并且所有出站(南向)流量都将通过您的 VPC 路由。
如果您的实例仅使用专用连接,则需要进行额外配置,才能设置自定义网域并授予用户对该实例的访问权限;使用某些 Looker (Google Cloud Core) 功能;或连接到外部资源(例如 Git 提供商)。内部网络专业知识有助于规划和执行此配置。
Looker (Google Cloud Core) 支持以下两种专用连接选项:
必须在创建实例时决定是使用专用服务访问通道还是 Private Service Connect。
Private Service Connect
必须在创建实例时设置将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用。
与 Looker (Google Cloud Core) 搭配使用时,Private Service Connect 在以下方面与专用服务访问权限不同:
- 端点和后端支持公共或私有访问方法。
- Looker (Google Cloud Core)可以连接到可通过 Private Service Connect 访问的其他 Google 服务,例如 Cloud SQL。
- 无需分配大型 IP 块。
- 直接连接允许进行传递性通信。
- 无需与其他服务共享网络。
- 支持多租户。
Private Service Connect 后端可用于访问 Looker (Google Cloud Core) Private Service Connect 实例。
Looker (Google Cloud Core) (Private Service Connect) 实例使用端点连接到 Google Cloud 或外部资源。如果资源是外部资源,则还需要设置网络端点组 (NEG) 和负载均衡器。此外,每个与唯一服务的出站连接都需要该服务使用 Private Service Connect 发布。在 Looker (Google Cloud Core) 端,您必须为要连接的每项服务创建并维护每个唯一的出站连接。
内部网络专业知识有助于规划和执行 Private Service Connect 配置。
如需查看连接到外部服务的示例,请参阅 Looker PSC 南向 HTTPS 互联网 NEG Codelab。
如需详细了解 Private Service Connect 实例,请参阅将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用文档页面。
专用服务访问通道
使用 Private Service Access 专用连接与 Looker (Google Cloud Core) 实例的连接必须在创建实例时设置。Looker (Google Cloud Core) 实例可以选择性地在其专用(专用服务访问通道)连接中包含公共安全连接。创建使用专用服务访问通道的实例后,您可以向该实例添加或移除专用连接。
如需创建专用(专用服务访问通道)连接,您必须在 VPC 中为 Looker (Google Cloud Core) 分配 /22 CIDR 范围。
如需设置用户对仅使用专用(专用服务访问通道)连接的实例的访问权限,您必须设置自定义网域,并根据组织的需求配置对该网域的访问权限。如需连接到外部资源,您需要进行额外配置。内部网络专业知识有助于规划和执行此配置。
如需创建 Looker (Google Cloud Core) 专用服务访问实例,请参阅创建专用连接实例文档页面。
混合连接配置
使用专用服务访问通道或 Private Service Connect 进行专用连接的 Looker (Google Cloud Core) 实例支持混合连接配置。
使用专用服务访问通道且具有混合连接的 Looker (Google Cloud Core) 实例具有公开网址,所有入站(北向)流量都将通过使用 HTTPS 的公共连接。出站(南向)流量通过您的 VPC 路由,该 VPC 可配置为仅允许使用 HTTPS 或加密的专用连接流量。所有传输中的流量均经过加密。
已启用 Private Service Connect 的 Looker (Google Cloud Core) 实例使用客户定义的 IP 地址,该地址可在 VPC 中用于入站流量。与 VPC 及本地或多云工作负载的通信使用您为出站流量部署的服务附件。
混合连接配置可让您使用一些Looker (Google Cloud Core) 功能,这些功能不适用于专用连接配置,例如关联工作表 BI 连接器。
如何选择网络选项
下表显示了不同网络选项的功能可用性。
| 网络要求 | |||||
|---|---|---|---|---|---|
| 功能 | 公共安全连接 | 混合连接 (PSA) | 私密连接 (PSA) | 混合连接 (PSC) | 专用连接 (PSC) |
| 需要分配 IP 范围才能创建实例 | 否 | 是(每个实例、每个区域 /22)
|
是(每个实例、每个区域 /22)
|
否 | 否 |
| Cloud Armor | 可以。Looker (Google Cloud Core) 使用由 Google 管理的默认 Cloud Armor 规则。这些规则不可配置。 | 可以。Looker (Google Cloud Core) 使用由 Google 管理的默认 Cloud Armor 规则。这些规则不可配置。 | 否 | 可以。Looker (Google Cloud Core) 使用由 Google 管理的默认 Cloud Armor 规则。这些规则不可配置。 | 支持客户管理的区域级外部应用负载平衡器、Private Service Connect 后端和客户管理的 Google Cloud Armor |
| 自定义网域 | 是 | 支持以公开网址形式提交 | 是 | 支持以公开网址形式提交 | 是 |
| 入站访问权限 | |||||
| 功能 | 公共安全连接 | 混合连接 (PSA) | 私密连接 (PSA) | 混合连接 (PSC) | 专用连接 (PSC) |
| 公共互联网 | 是 | 是 | 否 | 支持 Google 管理的区域级外部应用负载平衡器 | 支持客户管理的区域级外部应用负载平衡器、Private Service Connect 后端和自定义网域 |
| VPC 对等互连(专用服务访问通道) | 否 | 是 | 是 | 否 | 否 |
| 基于 PSC 的路由 | 否 | 否 | 否 |
支持以下设备:
Private Service Connect 后端支持全球访问权限,但 Private Service Connect 使用方端点不支持。 |
|
| 混合网络 | 否 | 是 | 是 | 是 | 是 |
| 出站访问权限 | |||||
| 功能 | 公共安全连接 | 混合连接 (PSA) | 私密连接 (PSA) | 混合连接 (PSC) | 专用连接 (PSC) |
| 互联网 | 是 | 否 | 否 | 支持区域级 TCP 代理内部负载均衡器、互联网 NEG 和 Cloud NAT 网关。 | |
| VPC 对等互连(专用服务访问通道) | 否 | 是 | 是 | 否 | 否 |
| 基于 Private Service Connect 的路由 | 否 | 否 | 否 | 支持区域级 TCP 代理内部负载均衡器和混合 NEG | |
| 混合网络(多云和本地) | 否 | 是 | 是 | 支持区域级 TCP 代理内部负载均衡器、混合 NEG 和 Google Cloud 网络产品 | |
| 应用 | |||||
| 功能 | 公共安全连接 | 混合连接 (PSA) | 私密连接 (PSA) | 混合连接 (PSC) | 专用连接 (PSC) |
| GitHub | 是 | 支持 TCP 代理内部负载均衡器和互联网 NEG | 可以。如需查看示例,请参阅 Looker PSC 南向 HTTPS 互联网 NEG Codelab。 | ||
| GitHub Enterprise | 否 | 是 | 是 | 是 | 是 |
| Cloud SQL | 是 | 支持与 Looker (Google Cloud Core) 部署在同一 VPC 中的 Cloud SQL | 是 | 是 | 是 |
| BigQuery | 是 | 是 | 是 | 是 | 是 |
| 嵌入 | 是 | 是 | 是 | 是 | 是 |
| Marketplace | 是 | 否 | 否 | 否 | 否 |
| 关联工作表 | 是 | 是 | 否 | 是 | 否 |
| SMTP | 是 | 是 | 是 | 可以。需要出站连接。 | |
| 优势 | |||||
| 功能 | 公共安全连接 | 混合连接 (PSA) | 私密连接 (PSA) | 混合连接 (PSC) | 专用连接 (PSC) |
| 福利 |
|
|
|
|
|
| 注意事项 | |||||
| 功能 | 公共安全连接 | 混合连接 (PSA) | 私密连接 (PSA) | 混合连接 (PSC) | 专用连接 (PSC) |
| 注意事项 | 如果您想要自定义网址,则必须配置完全限定域名(例如 looker.examplepetstore.com)。您无法使用 examplepetstore.looker.com 等自定义网址。
|
|
|
|
|
后续步骤
- 创建公共安全连接 Looker (Google Cloud Core) 实例
- 将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用
- 创建 Looker (Google Cloud Core) 专用连接 Private Service Connect 实例
- 按照教程操作,了解如何从 PSC 向 GitHub 执行出站 HTTPS 连接。
- 创建专用连接(专用服务访问通道)Looker (Google Cloud Core) 实例