Cette page décrit les options de configuration réseau pour les instances Looker (Google Cloud Core).
Vous définissez la configuration réseau d'une instance lors de sa création. Nous vous recommandons de déterminer les options de mise en réseau que vous souhaitez utiliser avant de commencer le processus de création d'instance. Cette page vous aide également à déterminer laquelle de ces options est la plus adaptée aux besoins de votre organisation.
Présentation
Les options de configuration réseau suivantes sont disponibles pour Looker (Google Cloud Core) :
- Adresse IP publique: instance qui utilise une adresse IP externe accessible via Internet.
Adresses IP privées uniquement: les connexions avec adresses IP privées uniquement utilisent des réseaux privés pour accéder aux instances Looker (Google Cloud Core) et en sortir. Vous avez le choix entre deux options pour utiliser des réseaux privés:
- Accès aux services privés: une instance activée pour l'accès aux services privés utilise une adresse IP VPC (cloud privé virtuel) interne hébergée par Google et utilise l'accès aux services privés pour se connecter de manière privée à Google et aux services tiers.
- Private Service Connect: une instance activée pour Private Service Connect utilise une adresse IP interne de réseau cloud privé virtuel (VPC) hébergé par Google et Private Service Connect pour se connecter de manière privée à Google et aux services tiers.
Adresse IP privée et adresse IP publique: instance compatible avec une adresse IP publique pour l'entrée et une adresse IP VPC interne hébergée par Google, ainsi qu'avec l'accès aux services privés ou Private Service Connect pour la sortie.
Lorsque vous choisissez une configuration réseau pour votre instance Looker (Google Cloud Core), les informations suivantes peuvent vous aider:
- La configuration réseau doit être définie lors de la création de l'instance. La configuration réseau ne peut pas être modifiée après la création de l'instance, à une exception près: pour une instance qui utilise une adresse IP privée, une adresse IP publique peut être ajoutée ou supprimée après la création de l'instance.
- La disponibilité de cette fonctionnalité varie selon l'option de réseau. Pour en savoir plus, consultez la page de documentation Disponibilité des fonctionnalités dans Looker (Google Cloud Core).
- Toutes les connexions à BigQuery passent par le réseau privé de Google, quelle que soit la configuration du réseau.
- Si un fournisseur d'identité tiers est configuré pour l'authentification unique, le navigateur de l'utilisateur communique avec le fournisseur d'identité, puis est redirigé vers l'instance Looker (Google Cloud Core). Tant que l'URL de redirection est accessible sur le réseau de l'utilisateur, les fournisseurs d'identité tiers fonctionnent pour toutes les configurations réseau.
Consultez également le tableau de la section Choisir une option de mise en réseau de cette page de documentation pour savoir comment choisir la configuration réseau adaptée à votre équipe.
Connexions IP publiques
Looker (Google Cloud Core) déployé en tant qu'instance d'adresse IP publique est accessible depuis une adresse IP externe accessible à Internet. Dans cette configuration, le trafic nord-sud (entrant) vers Looker (Google Cloud Core) est pris en charge en plus de l'accès sud-nord (sortant) de Looker (Google Cloud Core) aux points de terminaison Internet. Cette configuration est semblable à celle d'une instance Looker (originale) hébergée par Looker.
Les connexions réseau IP publiques n'autorisent que le trafic HTTPS dans Looker (Google Cloud Core). Google provisionne automatiquement un certificat SSL lorsque le CNAME est mis à jour et que Google peut localiser les enregistrements DIG. Ce certificat est automatiquement remplacé tous les quatre mois. Pour vous connecter de manière sécurisée à des bases de données externes à partir d'une instance Looker (Google Cloud Core) avec une adresse IP publique, vous pouvez configurer une connexion SSL chiffrée.
Les connexions réseau par adresse IP publique sont faciles à configurer et à utiliser, et ne nécessitent aucune expertise ni configuration réseau avancée.
Pour créer une instance Looker (Google Cloud Core) avec adresse IP publique, consultez la page de documentation Créer une instance Looker (Google Cloud Core) avec adresse IP publique.
Connexions IP privées
Une instance Looker (Google Cloud Core) avec une connexion réseau IP privée utilise une adresse IP VPC interne hébergée par Google. Vous pouvez utiliser cette adresse pour communiquer avec d'autres ressources pouvant accéder au VPC. Les connexions IP privées permettent d'accéder aux services sans passer par Internet ni utiliser d'adresses IP externes. Comme elles ne transitent pas par Internet, les connexions via une adresse IP privée offrent généralement une latence plus faible et des vecteurs d'attaque limités.
Dans une configuration d'adresse IP privée, les certificats internes sont entièrement gérés par Google et ne sont exposés à personne. Si vous provisionnez une instance d'adresse IP privée avec des certificats personnalisés, vous n'avez pas besoin de gérer les certificats privés internes. Utilisez plutôt votre propre certificat personnalisé et assurez-vous que la rotation de ce certificat est maintenue.
Dans une configuration avec adresse IP privée uniquement, Looker (Google Cloud Core) n'a pas d'URL publique. Vous contrôlez tout le trafic nord-sud (entrant) et tout le trafic sud-nord (sortant) est acheminé via votre VPC.
Si votre instance n'utilise qu'une connexion IP privée, une configuration supplémentaire est nécessaire pour configurer un domaine personnalisé et l'accès des utilisateurs à l'instance, utiliser certaines fonctionnalités Looker (Google Cloud Core) ou se connecter à des ressources externes, telles que des fournisseurs Git. Une expertise interne en mise en réseau est utile pour planifier et exécuter cette configuration.
Looker (Google Cloud Core) accepte les deux options suivantes pour les connexions IP privées:
Vous devez choisir d'utiliser l'accès aux services privés ou Private Service Connect au moment de la création de l'instance.
Accès aux services privés
L'utilisation de l'adresse IP privée de l'accès aux services privés avec Looker (Google Cloud Core) doit être définie au moment de la création de l'instance. Les instances Looker (Google Cloud Core) peuvent inclure une connexion IP publique avec leur connexion IP privée (accès aux services privés). Après avoir créé une instance qui utilise l'accès aux services privés, vous pouvez ajouter ou supprimer une connexion IP privée à cette instance.
Pour créer une connexion IP privée (accès aux services privés), vous devez allouer une plage CIDR /22 dans votre VPC à Looker (Google Cloud Core).
Pour configurer l'accès des utilisateurs à une instance qui n'utilise qu'une connexion par adresse IP privée (accès aux services privés), vous devez configurer un domaine personnalisé et configurer l'accès au domaine selon les besoins de votre organisation. Pour vous connecter à des ressources externes, vous devrez effectuer une configuration supplémentaire. Une expertise interne en mise en réseau est utile pour planifier et exécuter cette configuration.
Pour créer une instance d'accès aux services privés Looker (Google Cloud Core), consultez la page de documentation Créer une instance d'adresse IP privée.
Private Service Connect
L'utilisation de Private Service Connect avec Looker (Google Cloud Core) doit être définie au moment de la création de l'instance.
Lorsqu'il est utilisé avec Looker (Google Cloud Core), Private Service Connect se distingue de l'accès aux services privés comme suit:
- Les points de terminaison et les backends acceptent des méthodes d'accès publiques ou privées.
- Looker (Google Cloud Core) peut se connecter à d'autres services Google, tels que Cloud SQL, accessibles via Private Service Connect.
- Vous n'avez pas besoin d'allouer de grands blocs d'adresses IP.
- Les connexions directes permettent une communication transitive.
- Il n'est pas nécessaire de partager un réseau avec d'autres services.
- Compatible avec l'architecture mutualisée.
Les backends Private Service Connect peuvent être utilisés pour accéder aux instances Private Service Connect Looker (Google Cloud Core).
Les instances Looker (Google Cloud Core) (Private Service Connect) utilisent des points de terminaison pour se connecter à des Google Cloud ou à des ressources externes. Si une ressource est externe, un groupe de points de terminaison du réseau (NEG) et un équilibreur de charge doivent également être configurés. De plus, chaque connexion vers le sud vers un service unique nécessite que le service soit publié à l'aide de Private Service Connect. Du côté de Looker (Google Cloud Core), chaque connexion de sortie unique doit être créée et gérée pour chaque service auquel vous souhaitez vous connecter.
Une expertise en mise en réseau interne est utile pour planifier et exécuter des configurations Private Service Connect.
Pour obtenir un exemple de connexion à un service externe, consultez l'atelier de programmation Looker PSC Southbound HTTPS Internet NEG.
Pour en savoir plus sur les instances Private Service Connect, consultez la page de documentation Utiliser Private Service Connect avec Looker (Google Cloud Core).
Configuration des adresses IP privées et publiques
Les instances Looker (Google Cloud Core) qui utilisent l'accès aux services privés ou Private Service Connect pour leur connexion privée sont compatibles avec une configuration d'adresses IP privées et publiques.
Une instance Looker (Google Cloud Core) qui utilise l'accès aux services privés et qui dispose à la fois d'une connexion IP privée et d'une connexion IP publique possède une URL publique. Tout le trafic entrant passe par la connexion IP publique via HTTPS. Le trafic sortant est acheminé via votre VPC, qui peut être configuré pour n'autoriser que le trafic IP privé, à l'aide de HTTPS ou du chiffrement. Tout le trafic en transit est chiffré.
Une instance Looker (Google Cloud Core) activée pour Private Service Connect utilise une adresse IP définie par le client accessible dans un VPC pour l'entrée. La communication avec le VPC et les charges de travail sur site ou multicloud utilise les pièces jointes de service que vous déployez pour le trafic sortant.
Une configuration avec une adresse IP privée et une adresse IP publique permet d'utiliser certaines fonctionnalités Looker (Google Cloud Core) qui ne sont pas disponibles pour les configurations avec adresse IP privée uniquement, comme le connecteur BI Sheets connecté.
Choisir une option de mise en réseau
Le tableau suivant indique la disponibilité des fonctionnalités pour différentes options de mise en réseau.
| Configuration réseau requise | |||||
|---|---|---|---|---|---|
| Fonctionnalité | Adresse IP publique | Public et privé (PSA) | Privé (PSA) | Public et privé (PSC) | Privé (PSC) |
| Nécessite l'allocation de plages d'adresses IP pour la création d'instances | Non | Oui (/22 par instance, par région)
|
Oui (/22 par instance, par région)
|
Non | Non |
| Cloud Armor | Oui. Looker (Google Cloud Core) utilise les règles Cloud Armor par défaut, qui sont gérées par Google. Ces règles ne sont pas configurables. | Oui. Looker (Google Cloud Core) utilise les règles Cloud Armor par défaut, qui sont gérées par Google. Ces règles ne sont pas configurables. | Non | Oui. Looker (Google Cloud Core) utilise les règles Cloud Armor par défaut, qui sont gérées par Google. Ces règles ne sont pas configurables. | Compatible avec l'équilibreur de charge d'application externe régional géré par le client, le backend Private Service Connect et Google Cloud Armor géré par le client |
| Domaine personnalisé | Oui | Accepté en tant qu'URL publique | Oui | Accepté en tant qu'URL publique | Oui |
| Accès vers le nord | |||||
| Fonctionnalité | Adresse IP publique | Public et privé (PSA) | Privé (PSA) | Public et privé (PSC) | Privé (PSC) |
| Internet public | Oui | Oui | Non | Compatible avec l'équilibreur de charge d'application externe régional géré par Google | Compatible avec l'équilibreur de charge d'application externe régional géré par le client, le backend Private Service Connect et le domaine personnalisé |
| Appairage de VPC (accès aux services privés) | Non | Oui | Oui | Non | Non |
| Routage basé sur PSC | Non | Non | Non |
Compatible avec les éléments suivants:
L'accès mondial est compatible avec les backends Private Service Connect, mais pas avec les points de terminaison client Private Service Connect. |
|
| Réseau hybride | Non | Oui | Oui | Oui | Oui |
| Accès Southbound | |||||
| Fonctionnalité | Adresse IP publique | Public et privé (PSA) | Privé (PSA) | Public et privé (PSC) | Privé (PSC) |
| Internet | Oui | Non | Non | Compatible avec l'équilibreur de charge proxy TCP interne régional, le NEG Internet et la passerelle Cloud NAT. | |
| Appairage de VPC (accès aux services privés) | Non | Oui | Oui | Non | Non |
| Routage basé sur Private Service Connect | Non | Non | Non | Compatible avec l'équilibreur de charge proxy TCP interne régional et le NEG hybride | |
| Mise en réseau hybride (multicloud et sur site) | Non | Oui | Oui | Compatible avec l'équilibreur de charge proxy TCP interne régional, le NEG hybride et les produits réseauGoogle Cloud | |
| Application | |||||
| Fonctionnalité | Adresse IP publique | Public et privé (PSA) | Privé (PSA) | Public et privé (PSC) | Privé (PSC) |
| GitHub | Oui | Compatible avec l'équilibreur de charge proxy TCP interne et le NEG Internet | Oui. Pour obtenir un exemple, consultez l'atelier de programmation sur le NEG Internet HTTPS Southbound Looker PSC. | ||
| GitHub Enterprise | Non | Oui | Oui | Oui | Oui |
| Cloud SQL | Oui | Compatible avec Cloud SQL déployé dans le même VPC que Looker (Google Cloud Core) | Oui | Oui | Oui |
| BigQuery | Oui | Oui | Oui | Oui | Oui |
| Intégrer | Oui | Oui | Oui | Oui | Oui |
| Marketplace | Oui | Non | Non | Non | Non |
| Feuilles connectées | Oui | Oui | Non | Oui | Non |
| SMTP | Oui | Oui | Oui | Oui. Nécessite une connectivité vers le sud. | |
| Avantages | |||||
| Fonctionnalité | Adresse IP publique | Public et privé (PSA) | Privé (PSA) | Public et privé (PSC) | Privé (PSC) |
| Avantages |
|
|
|
|
|
| Remarques | |||||
| Fonctionnalité | Adresse IP publique | Public et privé (PSA) | Privé (PSA) | Public et privé (PSC) | Privé (PSC) |
| Remarques | Si vous souhaitez une URL personnalisée, vous devez configurer un nom de domaine complet (par exemple, looker.examplepetstore.com). Vous ne pouvez pas utiliser une URL personnalisée telle que examplepetstore.looker.com.
|
|
|
|
|
Étape suivante
- Créer une instance Looker (Google Cloud Core) avec une adresse IP publique
- Créer une instance Looker (Google Cloud Core) avec une adresse IP privée
- Utiliser Private Service Connect avec Looker (Google Cloud Core)
- Créer une instance Private Service Connect Looker (Google Cloud Core)
- Suivez un tutoriel pour effectuer une connexion HTTPS vers le sud à GitHub à partir d'un PSC.