控制对专用 IP Looker (Google Cloud Core) 实例的外部服务的访问权限

将 Looker (Google Cloud Core) 实例配置为仅使用专用 IP 并设置实例的自定义网域并配置对其的访问权限后,您可能需要配置网络,以允许或限制与外部服务或互联网的通信。

限制向外部网域递送电子邮件

默认情况下,仅使用专用 IP 或同时使用专用 IP 和公共 IP 的 Looker (Google Cloud Core) 实例允许将电子邮件发送到外部网域。若要限制 Looker 用户可以将电子邮件传送到哪些网域,您可以设置电子邮件网域许可名单

将专用 IP Looker (Google Cloud Core) 实例连接到外部服务

仅使用专用 IP 或同时使用专用 IP 和公共 IP 的 Looker (Google Cloud Core) 实例可能需要进行额外配置,才能连接到实例 VPC 网络之外的服务或资源。以下部分介绍了其他配置选项。

使用专用服务访问权限连接到其他 VPC

如需使用内部 IP 地址连接到 Google 或第三方托管的其他 VPC 中的服务,您可以使用专用服务访问通道

在 Looker (Google Cloud Core) 实例创建期间,您创建了一个专用服务访问通道,以将您的 VPC 连接到 Looker (Google Cloud Core) 服务。您还可以更新现有专用服务访问通道连接的 IP 分配,而不中断流量。

如需设置专用服务访问连接,请执行以下操作:

  1. 在您的 VPC 网络中分配内部 IP 范围
  2. 使用分配的 IP 地址范围在您的 VPC 网络与服务提供方的网络之间设置专用连接。此专用连接在您的 VPC 与其他网络之间建立 VPC 网络对等互连连接。

专用连接在您的 VPC 网络与服务提供方之间提供一对一关系。如果某个服务提供方提供多种服务,您只需一个专用连接就能获得提供方的所有服务。

连接到本地资源或第三方服务

您可以使用以下两个选项之一,将仅使用专用 IP 或同时使用专用 IP 和公共 IP 的 Looker (Google Cloud Core) 实例连接到本地资源或第三方服务:

无论使用哪种方法,您都需要执行以下操作:

  • 在 Looker (Google Cloud Core) VPC 中,为每个本地资源配置动态路由
  • 在 Looker (Google Cloud Core) VPC 中部署的所有 Cloud Router 路由器的 Looker (Google Cloud Core) 专用服务访问子网自定义通告路由
  • 更新您的本地防火墙,以允许与 Looker (Google Cloud Core) 子网的流量。
  • 配置 DNS 转发,以便 Looker (Google Cloud Core) 连接到任何本地资源。
  • 为 Looker (Google Cloud Core) 实例配置 DNS 对等互连与 Service Networking Google 托管 VPC,以解析专用主机名。

Cloud Interconnect 和 Cloud Router

以下网络图显示了 Cloud Interconnect 和 Cloud Router 如何与 Looker (Google Cloud Core) 服务交互以连接到本地网络:

  1. 专用服务访问通道使用 VPC 对等互连,通过内部 IP 地址将 Looker (Google Cloud Core) 服务与 VPC 连接。
  2. Cloud Router 使用边界网关协议 (BGP) 通告专用 IP 前缀,并根据从对等端收到的 BGP 通告对动态路由进行编程。Cloud Interconnect 用于连接到本地网络。

Cloud VPN 和 Cloud Router

如需了解如何创建专用 IP 和公共 IP Looker (Google Cloud Core) 实例,并使用 Cloud VPN 和 Cloud Router 将其连接到本地数据库,请参阅通过混合网络连接 Looker Cloud 这门 Codelab。

连接到其他云服务提供商托管的数据库

如需与其他云服务提供商托管的数据库或服务建立专用连接,您必须将 Google Cloud 项目配置为将流量路由到这些云服务提供商,以便进行数据交换。请参阅将其他云服务提供商连接到 Google Cloud 的模式文档页面,详细了解如何连接云环境。

后续步骤