本頁說明 Looker (Google Cloud Core) 執行個體的網路設定選項。
您可以在建立執行個體時設定執行個體的網路設定。建議您在開始建立執行個體前,先決定要使用的網路選項。本頁面也會協助您判斷哪一個選項最符合貴機構的需求。
總覽
Looker (Google Cloud Core) 提供下列網路設定選項:
- 使用公開安全連線:使用可從外部網際網路存取的 IP 位址的執行個體。
使用私人連線:私人連線會使用私人網路,存取 Looker (Google Cloud Core) 執行個體。使用私有網路的方式有兩種:
- Private Service Connect:啟用 Private Service Connect 的執行個體會使用 Google 代管的內部虛擬私有雲 (VPC) IP 位址,並透過 Private Service Connect 私下連線至 Google 和第三方服務。
- 私人服務存取權:啟用私人服務存取權的執行個體會使用 Google 代管的內部虛擬私有雲 (VPC) IP 位址,並透過私人服務存取權私下連線至 Google 和第三方服務。
使用混合式連線:執行個體支援用於輸入的公開 IP 位址,以及用於輸出的內部 Google 代管虛擬私有雲 IP 位址和私人服務存取權或 Private Service Connect。
為 Looker (Google Cloud Core) 執行個體選擇網路設定時,下列資訊或許有助於您做出決定:
- 建立執行個體時,必須設定網路設定。執行個體建立後,就無法變更為公開安全連線。執行個體建立後,可將混合式連線設定變更為私人連線,或將私人連線變更為混合式連線設定。
- 功能適用情形會因網路選項而異。詳情請參閱「Looker (Google Cloud Core) 的功能適用情形」說明文件頁面。
- 無論網路設定為何,所有 BigQuery 連線都會透過 Google 的私人網路。
- 如果已為單一登入服務設定第三方識別資訊提供者,使用者的瀏覽器會與該識別資訊提供者通訊,然後重新導向至 Looker (Google Cloud Core) 執行個體。只要使用者網路可存取重新導向網址,第三方身分識別提供者就能在所有網路設定中運作。
如要進一步瞭解如何為團隊選擇合適的網路設定,請參閱本說明文件頁面「如何選擇網路選項」一節中的表格。
公開安全連線
以公開安全連線執行個體形式部署的 Looker (Google Cloud Core),可透過外部網際網路可存取的 IP 位址存取。在此設定中,除了 Looker (Google Cloud Core) 輸出 (南向) 網際網路端點存取權之外,還支援 Looker (Google Cloud Core) 的輸入 (北向) 流量。這項設定與 Looker 託管的 Looker (原始版) 執行個體設定類似。
公開安全連線只允許 HTTPS 流量進入 Looker (Google Cloud Core)。更新 CNAME 後,Google 就能找到 DIG 記錄,並自動佈建 SSL 憑證。這個憑證每四個月會自動輪替一次。如要從公開安全連線 Looker (Google Cloud Core) 執行個體安全地連線至外部資料庫,您可以設定加密的 SSL 連線。
公開安全連線設定簡單易用,不需要進階網路設定或專業知識。
如要建立 Looker (Google Cloud Core) 公開安全連線執行個體,請參閱「建立 Looker (Google Cloud Core) 公開安全連線執行個體」說明文件頁面。
私人連線
設定為使用私人連線的 Looker (Google Cloud Core) 執行個體會使用 Google 代管的內部 VPC IP 位址。您可以使用這個位址,與可存取 VPC 的其他資源通訊。有了私人連線,服務就能連上網路,不必經過公開網際網路或使用外部 IP 位址。由於私人連線不會經過網際網路,因此通常延遲時間較短,且攻擊途徑有限。
在私人連線設定中,內部憑證完全由 Google 管理,不會向任何人公開。如果您使用自訂憑證佈建私人連線執行個體,則不需要管理內部私人憑證。請改用自己的自訂憑證,並確保該憑證的輪替作業維持正常。
在私人連線設定中,Looker (Google Cloud Core) 沒有公開網址。您可以控管所有傳入 (北向) 流量,所有傳出 (南向) 流量都會透過虛擬私有雲轉送。
如果執行個體僅使用私人連線,您必須進行額外設定,才能設定自訂網域和使用者存取權、使用部分 Looker (Google Cloud Core) 功能,或連線至外部資源 (例如 Git 供應商)。規劃及執行這項設定時,內部網路專業知識很有幫助。
Looker (Google Cloud Core) 支援下列兩種私人連線選項:
建立執行個體時,必須決定是否使用私人服務存取權或 Private Service Connect。
Private Service Connect
使用 Looker (Google Cloud Core) 時,必須在建立執行個體時設定 Private Service Connect。
搭配 Looker (Google Cloud Core) 使用時,Private Service Connect 與私人服務存取權的差異如下:
- 端點和後端支援公開或私人的存取方法。
- Looker (Google Cloud Core) 可以連線至其他 Google 服務,例如透過 Private Service Connect 存取的 Cloud SQL。
- 不需要分配大型 IP 區塊。
- 直接連線可進行遞移通訊。
- 不必與其他服務共用網路。
- 支援多用戶群架構。
Private Service Connect 後端可用於存取 Looker (Google Cloud Core) Private Service Connect 執行個體。
Looker (Google Cloud Core) (Private Service Connect) 執行個體會使用端點連線至 Google Cloud 或外部資源。如果是外部資源,則必須一併設定網路端點群組 (NEG) 和負載平衡器。此外,連線至各項服務時,必須使用 Private Service Connect 發布服務。在 Looker (Google Cloud Core) 端,您必須為要連線的每個服務建立及維護每個唯一的輸出連線。
規劃及執行 Private Service Connect 設定時,內部網路專業知識很有幫助。
如需連線至外部服務的範例,請參閱「Looker PSC Southbound HTTPS Internet NEG codelab」。
如要進一步瞭解 Private Service Connect 執行個體,請參閱「搭配 Looker (Google Cloud Core) 使用 Private Service Connect」說明文件頁面。
私人服務存取權
使用 私人服務存取私人連線搭配 Looker (Google Cloud Core) 時,必須在建立執行個體時設定。Looker (Google Cloud Core) 執行個體可選擇在私人 (私人服務存取權) 連線中加入公開安全連線。建立使用私人服務存取權的執行個體後,您可以為該執行個體新增或移除私人連線。
如要建立私人 (私人服務存取) 連線,您必須在 VPC 中為 Looker (Google Cloud Core) 分配 /22 CIDR 範圍。
如要設定使用者存取權,讓使用者只能透過私人 (私人服務存取權) 連線存取執行個體,您必須設定自訂網域,並視貴機構需求設定網域存取權。如要連線至外部資源,您需要進行額外設定。規劃及執行這項設定時,內部網路專業知識很有幫助。
如要建立 Looker (Google Cloud Core) 私人連線存取執行個體,請參閱「建立私人連線執行個體」說明文件頁面。
混合式連線設定
使用私人服務存取權或 Private Service Connect 建立私人連線的 Looker (Google Cloud Core) 執行個體,支援混合式連線設定。
使用私人服務存取權且具備混合式連線的 Looker (Google Cloud Core) 執行個體會具備公開網址,所有連入 (北向) 流量都會透過使用 HTTPS 的公開連線傳輸。外送 (南向) 流量會透過 VPC 傳送,您可以設定 VPC,只允許使用 HTTPS 或加密的私密連線流量。所有傳輸中的流量都會加密。
啟用 Private Service Connect 的 Looker (Google Cloud Core) 執行個體會使用客戶定義的 IP 位址,供虛擬私有雲存取,以進行輸入。與虛擬私有雲和地端部署或多雲端工作負載的通訊,會使用您為輸出流量部署的服務附件。
混合式連線設定可啟用部分Looker (Google Cloud Core) 功能,例如已連結試算表 BI 連接器,這些功能不適用於私人連線設定。
如何選擇網路選項
下表列出不同網路選項可用的功能。
| 網路需求 | |||||
|---|---|---|---|---|---|
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私有連線 (PSC) |
| 建立執行個體時,必須分配 IP 範圍 | 否 | 是 (每個執行個體,每個區域 /22)
|
是 (每個執行個體,每個區域 /22)
|
否 | 否 |
| Cloud Armor | 可以。Looker (Google Cloud Core) 使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。 | 可以。Looker (Google Cloud Core) 使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。 | 否 | 可以。Looker (Google Cloud Core) 使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。 | 支援客戶管理的區域外部應用程式負載平衡器、Private Service Connect 後端和客戶管理的 Google Cloud Armor |
| 自訂網域 | 是 | 支援公開網址 | 是 | 支援公開網址 | 是 |
| 連入存取權 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私有連線 (PSC) |
| 公開網路 | 是 | 是 | 否 | 支援 Google 管理的區域性外部應用程式負載平衡器 | 支援客戶管理的區域外部應用程式負載平衡器、Private Service Connect 後端和自訂網域 |
| 虛擬私有雲對等互連 (私人服務存取權) | 否 | 是 | 是 | 否 | 否 |
| 以 PSC 為準的轉送 | 否 | 否 | 否 |
支援下列項目:
Private Service Connect 後端支援全域存取,但 Private Service Connect 消費者端點不支援。 |
|
| 混合式網路 | 否 | 是 | 是 | 是 | 是 |
| 連出存取權 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私有連線 (PSC) |
| 網際網路 | 是 | 否 | 否 | 支援區域性 TCP Proxy 內部負載平衡器、網際網路 NEG 和 Cloud NAT 閘道。 | |
| 虛擬私有雲對等互連 (私人服務存取權) | 否 | 是 | 是 | 否 | 否 |
| 以 Private Service Connect 為基礎的路由 | 否 | 否 | 否 | 支援區域型 TCP Proxy 內部負載平衡器和混合型 NEG | |
| 混合式網路 (多雲端和地端) | 否 | 是 | 是 | 支援區域性 TCP Proxy 內部負載平衡器、混合式 NEG 和Google Cloud 網路產品 | |
| 應用程式 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私有連線 (PSC) |
| GitHub | 是 | 支援 TCP Proxy 內部負載平衡器和網際網路 NEG | 可以。如需範例,請參閱 Looker PSC Southbound HTTPS Internet NEG 程式碼研究室。 | ||
| GitHub Enterprise | 否 | 是 | 是 | 是 | 是 |
| Cloud SQL | 是 | 支援與 Looker (Google Cloud Core) 部署在相同 VPC 中的 Cloud SQL | 是 | 是 | 是 |
| BigQuery | 是 | 是 | 是 | 是 | 是 |
| 嵌入 | 是 | 是 | 是 | 是 | 是 |
| Marketplace | 是 | 否 | 否 | 否 | 否 |
| 連結試算表 | 是 | 是 | 否 | 是 | 否 |
| SMTP | 是 | 是 | 是 | 可以。需要輸出連線。 | |
| 優點 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私有連線 (PSC) |
| 優點 |
|
|
|
|
|
| 注意事項 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私有連線 (PSC) |
| 注意事項 | 如要使用自訂網址,必須設定完整網域名稱 (例如 looker.examplepetstore.com)。您無法使用 examplepetstore.looker.com 這類自訂網址。
|
|
|
|
|
後續步驟
- 建立公開安全連線 Looker (Google Cloud Core) 執行個體
- 搭配 Looker (Google Cloud Core) 使用 Private Service Connect
- 建立 Looker (Google Cloud Core) 私人連線 Private Service Connect 執行個體
- 按照教學課程操作,瞭解如何從 PSC 執行 GitHub 的外送 HTTPS 連線。
- 建立私人連線 (私人服務存取權) Looker (Google Cloud Core) 執行個體