Questa pagina descrive le opzioni di configurazione di rete per le istanze di Looker (Google Cloud core).
La configurazione di rete di un'istanza viene impostata durante la creazione dell'istanza. È consigliabile determinare quali opzioni di networking vuoi utilizzare prima di iniziare il processo di creazione dell'istanza. Questa pagina ti aiuta anche a determinare quale di queste opzioni è più adatta alle esigenze della tua organizzazione.
Panoramica
Sono disponibili le seguenti opzioni di configurazione di rete per Looker (Google Cloud core):
- Utilizza connessioni sicure pubbliche: un'istanza che utilizza un indirizzo IP esterno accessibile a internet.
Utilizza connessioni private: le connessioni private utilizzano reti private per l'accesso alle istanze di Looker (Google Cloud core) e da queste. Sono disponibili due opzioni per l'utilizzo delle reti private:
- Private Service Connect: un'istanza abilitata per Private Service Connect utilizza un indirizzo IP Virtual Private Cloud (VPC) interno ospitato da Google e utilizza Private Service Connect per connettersi privatamente ai servizi Google e di terze parti.
- Accesso privato ai servizi: un'istanza abilitata per l'accesso privato ai servizi utilizza un indirizzo IP Virtual Private Cloud (VPC) interno ospitato da Google e utilizza l'accesso privato ai servizi per connettersi privatamente a Google e a servizi di terze parti.
Utilizza connessioni ibride: un'istanza che supporta un indirizzo IP pubblico per l'ingresso e un indirizzo IP VPC interno ospitato da Google e l'accesso privato ai servizi o Private Service Connect per l'uscita.
Quando valuti una configurazione di rete per la tua istanza di Looker (Google Cloud core), le seguenti informazioni possono esserti utili per prendere una decisione:
- La configurazione di rete deve essere impostata al momento della creazione dell'istanza. Un'istanza configurata per connessioni sicure pubbliche non può essere modificata dopo la creazione. Un'istanza configurata per le connessioni ibride può essere modificata in connessioni private oppure un'istanza con connessioni private può essere modificata in una configurazione di connessioni ibride dopo la creazione dell'istanza.
- La disponibilità della funzionalità varia in base all'opzione di rete. Per ulteriori informazioni, consulta la pagina della documentazione Disponibilità delle funzionalità in Looker (Google Cloud core).
- Tutte le connessioni a BigQuery avvengono tramite la rete privata di Google, indipendentemente dalla configurazione di rete.
- Se è configurato un provider di identità di terze parti per il Single Sign-On, il browser dell'utente comunica con il provider di identità e viene reindirizzato all'istanza di Looker (Google Cloud core). Se l'URL di reindirizzamento è accessibile tramite la rete dell'utente, i provider di identità di terze parti funzionano per tutte le configurazioni di rete.
Per ulteriori informazioni su come decidere la configurazione di rete più adatta al tuo team, consulta anche la tabella nella sezione Come scegliere un'opzione di rete di questa pagina della documentazione.
Connessioni sicure pubbliche
Looker (Google Cloud core) di cui è stato eseguito il deployment come istanza di connessione sicura pubblica è accessibile da un indirizzo IP esterno accessibile a internet. In questa configurazione, oltre all'accesso in uscita (in uscita) di Looker (Google Cloud core) agli endpoint internet, è supportato il traffico in entrata (in ingresso) a Looker (Google Cloud core). Questa configurazione è simile a quella di un'istanza di Looker (originale) ospitata da Looker.
Le connessioni sicure pubbliche consentono solo il traffico HTTPS in Looker (Google Cloud core). Google esegue il provisioning automatico di un certificato SSL quando il CNAME viene aggiornato e Google può individuare i record DIG. Questo certificato viene ruotato automaticamente ogni quattro mesi. Per connetterti in modo sicuro a database esterni da un'istanza di Looker (Google Cloud core) con connessione pubblica sicura, puoi configurare una connessione SSL criptata.
Le configurazioni delle connessioni sicure pubbliche sono semplici da configurare e connettere e non richiedono competenze o configurazioni di rete avanzate.
Per creare un'istanza di connessione sicura pubblica di Looker (Google Cloud core), consulta la pagina di documentazione Crea un'istanza di connessione sicura pubblica di Looker (Google Cloud core).
Connessioni private
Un'istanza di Looker (Google Cloud core) configurata per utilizzare connessioni private utilizza un indirizzo IP VPC interno ospitato da Google. Puoi utilizzare questo indirizzo per comunicare con altre risorse che possono accedere al VPC. Le connessioni private rendono i servizi raggiungibili senza passare per la rete internet pubblica o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni private su reti private in genere offrono una latenza inferiore e vettori di attacco limitati.
In una configurazione di connessioni private, i certificati interni sono completamente gestiti da Google e non sono esposti a nessuno. Se esegui il provisioning di un'istanza di connessioni private con certificati personalizzati, non devi gestire i certificati privati interni. Utilizza invece il tuo certificato personalizzato e assicurati che la rotazione di questo certificato venga mantenuta.
In una configurazione di connessioni private, Looker (Google Cloud core) non ha un URL pubblico. Controlli tutto il traffico in entrata (in direzione nord) e tutto il traffico in uscita (in direzione sud) verrà instradato tramite il VPC.
Se la tua istanza utilizza solo una connessione privata, è necessaria una configurazione aggiuntiva per impostare un dominio personalizzato e l'accesso utente all'istanza; utilizzare alcune funzionalità di Looker (Google Cloud core); o connettersi a risorse esterne, come i provider Git. Per pianificare ed eseguire questa configurazione è utile avere competenze di networking interne.
Looker (Google Cloud core) supporta le seguenti due opzioni per le connessioni private:
L'utilizzo dell'accesso privato ai servizi o di Private Service Connect deve essere deciso al momento della creazione dell'istanza.
Private Service Connect
L'utilizzo di Private Service Connect con Looker (Google Cloud core) deve essere impostato al momento della creazione dell'istanza.
Se utilizzato con Looker (Google Cloud core), Private Service Connect differisce dall'accesso privato ai servizi nei seguenti modi:
- Endpoint e backend supportano metodi di accesso pubblici o privati.
- Looker (Google Cloud core) può connettersi ad altri servizi Google, come Cloud SQL, accessibili tramite Private Service Connect.
- Non è necessario allocare blocchi IP di grandi dimensioni.
- Le connessioni dirette consentono la comunicazione transitiva.
- Non è necessario condividere una rete con altri servizi.
- Supporta l'architettura multi-tenancy.
I backend Private Service Connect possono essere utilizzati per accedere alle istanze Private Service Connect di Looker (Google Cloud core).
Le istanze di Looker (Google Cloud core) (Private Service Connect) utilizzano gli endpoint per connettersi a Google Cloud o a risorse esterne. Se una risorsa è esterna, è necessario configurare anche un gruppo di endpoint di rete (NEG) e un bilanciatore del carico. Inoltre, ogni connessione in uscita a un servizio univoco richiede che il servizio venga pubblicato utilizzando Private Service Connect. Per quanto riguarda Looker (Google Cloud core), ogni connessione in uscita univoca deve essere creata e gestita per ogni servizio a cui vuoi connetterti.
L'esperienza di networking interna è utile per pianificare ed eseguire le configurazioni di Private Service Connect.
Per un esempio di connessione a un servizio esterno, consulta il codelab NEG internet HTTPS in uscita di Looker PSC.
Per scoprire di più sulle istanze Private Service Connect, consulta la pagina della documentazione Utilizza Private Service Connect con Looker (Google Cloud core).
Accesso privato ai servizi
L'utilizzo di connessioni private Private Service Connect con Looker (Google Cloud core) deve essere impostato al momento della creazione dell'istanza. Le istanze di Looker (Google Cloud core) possono includere facoltativamente una connessione sicura pubblica con la connessione privata (accesso ai servizi privati). Dopo aver creato un'istanza che utilizza l'accesso privato ai servizi, puoi aggiungere o rimuovere una connessione privata a questa istanza.
Per creare una connessione privata (accesso privato ai servizi), devi allocare un intervallo CIDR /22 nel tuo VPC a Looker (Google Cloud core).
Per configurare l'accesso utente a un'istanza che utilizza solo una connessione privata (accesso privato ai servizi), devi configurare un dominio personalizzato e configurare l'accesso al dominio in base alle esigenze della tua organizzazione. Per connetterti a risorse esterne, devi eseguire una configurazione aggiuntiva. Per pianificare ed eseguire questa configurazione è utile avere competenze di networking interne.
Per creare un'istanza di accesso ai servizi privati di Looker (Google Cloud core), consulta la pagina della documentazione Crea un'istanza di connessioni private.
Configurazione delle connessioni ibride
Le istanze di Looker (Google Cloud core) che utilizzano l'accesso ai servizi privati o Private Service Connect per la connessione privata supportano una configurazione di connessioni ibride.
Un'istanza di Looker (Google Cloud core) che utilizza l'accesso privato ai servizi e che ha una connessione ibrida ha un URL pubblico e tutto il traffico in entrata (in ingresso) passerà attraverso la connessione pubblica utilizzando HTTPS. Il traffico in uscita (in direzione sud) viene instradato tramite il VPC, che può essere configurato per consentire solo il traffico di connessione privata, utilizzando HTTPS o la crittografia. Tutto il traffico in transito è criptato.
Un'istanza di Looker (Google Cloud core) abilitata per Private Service Connect utilizza un indirizzo IP definito dal cliente accessibile in un VPC per l'ingresso. La comunicazione con il VPC e i workload on-premise o multi-cloud utilizza i service attachment che implementi per il traffico in uscita.
Una configurazione di connessioni ibride consente l'utilizzo di alcune funzionalità di Looker (Google Cloud core) non disponibili per le configurazioni di connessioni private, come il connettore BI Fogli connessi.
Come scegliere un'opzione di rete
La tabella seguente mostra la disponibilità delle funzionalità per le diverse opzioni di networking.
| Requisiti di rete | |||||
|---|---|---|---|---|---|
| Funzionalità | Connessioni sicure pubbliche | Connessioni ibride (PSA) | Connessioni private (PSA) | Connessioni ibride (PSC) | Connessioni private (PSC) |
| Richiede l'allocazione dell'intervallo IP per la creazione dell'istanza | No | Sì (/22 per istanza, per regione)
|
Sì (/22 per istanza, per regione)
|
No | No |
| Cloud Armor | Sì. Looker (Google Cloud core) utilizza regole Cloud Armor predefinite, gestite da Google. Queste regole non sono configurabili. | Sì. Looker (Google Cloud core) utilizza regole Cloud Armor predefinite, gestite da Google. Queste regole non sono configurabili. | No | Sì. Looker (Google Cloud core) utilizza regole Cloud Armor predefinite, gestite da Google. Queste regole non sono configurabili. | Supportato con il bilanciatore del carico delle applicazioni esterno regionale gestito dal cliente, il backend Private Service Connect e Google Cloud Armor gestito dal cliente |
| Dominio personalizzato | Sì | Supportato come URL pubblico | Sì | Supportato come URL pubblico | Sì |
| Accesso in entrata | |||||
| Funzionalità | Connessioni sicure pubbliche | Connessioni ibride (PSA) | Connessioni private (PSA) | Connessioni ibride (PSC) | Connessioni private (PSC) |
| Rete internet pubblica | Sì | Sì | No | Supportato con il bilanciatore del carico delle applicazioni esterno regionale gestito da Google | Supportato con bilanciatore del carico delle applicazioni esterno regionale gestito dal cliente, backend Private Service Connect e dominio personalizzato |
| Peering VPC (accesso privato ai servizi) | No | Sì | Sì | No | No |
| Routing basato su PSC | No | No | No |
Supportato con quanto segue:
L'accesso globale è supportato dai backend Private Service Connect, ma non dagli endpoint consumer Private Service Connect. |
|
| Networking ibrido | No | Sì | Sì | Sì | Sì |
| Accesso in uscita | |||||
| Funzionalità | Connessioni sicure pubbliche | Connessioni ibride (PSA) | Connessioni private (PSA) | Connessioni ibride (PSC) | Connessioni private (PSC) |
| Internet | Sì | No | No | Supportato con il bilanciatore del carico interno del proxy TCP regionale, il NEG internet e il gateway Cloud NAT. | |
| Peering VPC (accesso privato ai servizi) | No | Sì | Sì | No | No |
| Routing basato su Private Service Connect | No | No | No | Supportato con il bilanciatore del carico interno del proxy TCP regionale e il NEG ibrido | |
| Networking ibrido (multi-cloud e on-premise) | No | Sì | Sì | Supportato con il bilanciatore del carico interno del proxy TCP regionale, il NEG ibrido e i prodotti di networkingGoogle Cloud | |
| Applicazione | |||||
| Funzionalità | Connessioni sicure pubbliche | Connessioni ibride (PSA) | Connessioni private (PSA) | Connessioni ibride (PSC) | Connessioni private (PSC) |
| GitHub | Sì | Supportato con il bilanciatore del carico interno del proxy TCP e il NEG internet | Sì. Per un esempio, consulta il codelab NEG internet HTTPS in uscita di Looker PSC. | ||
| GitHub Enterprise | No | Sì | Sì | Sì | Sì |
| Cloud SQL | Sì | Supportato con Cloud SQL di cui è stato eseguito il deployment nello stesso VPC di Looker (Google Cloud core) | Sì | Sì | Sì |
| BigQuery | Sì | Sì | Sì | Sì | Sì |
| Embed | Sì | Sì | Sì | Sì | Sì |
| Marketplace | Sì | No | No | No | No |
| Fogli connessi | Sì | Sì | No | Sì | No |
| SMTP | Sì | Sì | Sì | Sì. Richiede la connettività in uscita. | |
| Vantaggi | |||||
| Funzionalità | Connessioni sicure pubbliche | Connessioni ibride (PSA) | Connessioni private (PSA) | Connessioni ibride (PSC) | Connessioni private (PSC) |
| Vantaggi |
|
|
|
|
|
| Considerazioni | |||||
| Funzionalità | Connessioni sicure pubbliche | Connessioni ibride (PSA) | Connessioni private (PSA) | Connessioni ibride (PSC) | Connessioni private (PSC) |
| Considerazioni | Se vuoi un URL personalizzato, devi configurare un nome di dominio completo (ad esempio, looker.examplepetstore.com). Non puoi avere un URL personalizzato come examplepetstore.looker.com.
|
|
|
|
|
Passaggi successivi
- Crea un'istanza di Looker (Google Cloud core) con connessioni sicure pubbliche
- Utilizza Private Service Connect con Looker (Google Cloud core)
- Crea un'istanza Private Service Connect di connessioni private di Looker (Google Cloud core)
- Segui un tutorial su come eseguire una connessione HTTPS in uscita a GitHub da un PSC.
- Crea un'istanza di Looker (Google Cloud core) con connessioni private (accesso privato ai servizi)