Looker(Google Cloud 핵심 서비스) 네트워킹 옵션

이 페이지에서는 Looker (Google Cloud 핵심 서비스) 인스턴스의 네트워크 구성 옵션을 설명합니다.

인스턴스 생성 중에 인스턴스의 네트워크 구성을 설정합니다. 인스턴스 생성 프로세스를 시작하기 전에 사용할 네트워킹 옵션을 결정하는 것이 좋습니다. 또한 이 페이지는 조직의 요구사항에 가장 적합한 옵션을 결정하는 데 도움이 됩니다.

개요

Looker (Google Cloud 핵심 서비스)의 네트워크 구성 옵션은 다음과 같습니다.

Looker(Google Cloud 핵심 서비스) 인스턴스의 네트워크 구성을 고려할 때 다음 정보가 결정에 도움이 될 수 있습니다.

  • 인스턴스를 만들 때 네트워크 구성을 설정해야 합니다. 인스턴스 생성 후에는 네트워크 구성을 변경할 수 없습니다. 단, 비공개 서비스 액세스 인스턴스의 경우 인스턴스를 만든 후 공개 IP를 추가하거나 삭제할 수 있습니다.
  • 기능 제공 여부는 네트워크 옵션에 따라 다릅니다. 자세한 내용은 Looker(Google Cloud 핵심 서비스)의 기능 제공 여부 문서 페이지를 참조하세요.
  • BigQuery에 대한 모든 연결은 네트워크 구성과 관계없이 Google의 비공개 네트워크를 통해 이루어집니다.
  • 서드 파티 ID 공급업체가 싱글 사인온(SSO)에 구성된 경우 사용자의 브라우저가 ID 공급업체와 통신한 후 Looker(Google Cloud 핵심 서비스) 인스턴스로 리디렉션됩니다. 사용자의 네트워크를 통해 리디렉션 URL에 액세스할 수 있는 한 서드 파티 ID 공급업체는 모든 네트워킹 구성에서 작동합니다.

이 문서 페이지의 네트워킹 옵션을 선택하는 방법 섹션에 있는 표에서 팀에 적합한 네트워킹 구성을 결정하는 방법도 자세히 알아보세요.

공개 IP 연결

공개 IP 인스턴스로 배포된 Looker (Google Cloud 핵심 서비스)는 인터넷에 액세스할 수 있는 외부 IP 주소에서 액세스할 수 있습니다. 이 구성에서는 인터넷 엔드포인트에 대한 Looker(Google Cloud 핵심 서비스) southbound(아웃바운드) 액세스 외에도 Looker(Google Cloud 핵심 서비스)에 대한 northbound(인바운드) 트래픽이 지원됩니다. 이 구성은 Looker에서 호스팅하는 Looker (원본) 인스턴스의 구성과 유사합니다.

공개 IP 인스턴스와의 트래픽은 공개 인터넷을 통해 이동합니다.

공개 IP 네트워크 연결은 설정 및 연결이 간단하며 고급 네트워크 구성이나 전문 지식이 필요하지 않습니다.

Looker (Google Cloud 핵심 서비스) 공개 IP 인스턴스를 만들려면 공개 IP Looker (Google Cloud 핵심 서비스) 인스턴스 만들기 문서 페이지를 참고하세요.

비공개 IP 연결

비공개 IP 네트워크 연결이 있는 Looker (Google Cloud 핵심 서비스) 인스턴스는 Google에서 호스팅하는 내부 VPC IP 주소를 사용합니다. 이 주소를 사용하여 VPC에 액세스할 수 있는 다른 리소스와 통신할 수 있습니다. 비공개 IP 연결을 사용하면 공개 인터넷을 통하지 않거나 외부 IP 주소를 사용하지 않고도 서비스에 연결할 수 있습니다. 인터넷을 통과하지 않으므로 비공개 IP를 통한 연결은 일반적으로 지연 시간이 짧고 공격 벡터가 제한됩니다.

비공개 IP 전용 구성에서는 Looker (Google Cloud 핵심 서비스)에 공개 URL이 없습니다. 사용자가 모든 northbound(인바운드) 트래픽을 제어하며 모든 southbound(아웃바운드) 트래픽은 VPC를 통해 라우팅됩니다.

인스턴스에 비공개 IP 연결만 사용되는 경우 커스텀 도메인 및 인스턴스에 대한 사용자 액세스를 설정하거나, 일부 Looker (Google Cloud 핵심 서비스) 기능을 사용하거나, Git 제공업체와 같은 외부 리소스에 연결하려면 추가 구성이 필요합니다. 사내 네트워킹 전문 지식이 있으면 이 구성을 계획하고 실행하는 데 도움이 됩니다.

Looker(Google Cloud 핵심 서비스)는 비공개 IP 연결에 다음 두 가지 옵션을 지원합니다.

비공개 서비스 액세스 또는 Private Service Connect의 사용 여부는 인스턴스를 만들 때 결정해야 합니다.

비공개 서비스 액세스

Looker(Google Cloud 핵심 서비스)에서 비공개 서비스 액세스 비공개 IP를 사용하려면 인스턴스를 만들 때 설정해야 합니다. Looker(Google Cloud 핵심 서비스) 인스턴스는 원하는 경우 비공개 IP(비공개 서비스 액세스) 연결과 함께 공개 IP 연결을 포함할 수 있습니다. 비공개 서비스 액세스를 사용하는 인스턴스를 만든 후 해당 인스턴스에 비공개 IP 연결을 추가하거나 삭제할 수 있습니다.

비공개 IP(비공개 서비스 액세스) 연결을 만들려면 VPC의 /22 CIDR 범위를 Looker(Google Cloud 핵심 서비스)에 할당해야 합니다.

비공개 IP (비공개 서비스 액세스) 연결만 사용하는 인스턴스에 대한 사용자 액세스를 설정하려면 커스텀 도메인을 설정하고 조직의 요구사항에 따라 도메인에 대한 액세스를 구성해야 합니다. 외부 리소스에 연결하려면 추가 구성을 실행해야 합니다. 사내 네트워킹 전문 지식이 있으면 이 구성을 계획하고 실행하는 데 도움이 됩니다.

Looker (Google Cloud 핵심 서비스) 비공개 서비스 액세스 인스턴스를 만들려면 비공개 IP 인스턴스 만들기 문서 페이지를 참고하세요.

비공개 IP 및 공개 IP 구성

비공개 연결에 비공개 서비스 액세스를 사용하는 Looker (Google Cloud 핵심 서비스) 인스턴스만 비공개 IP 및 공개 IP 구성을 지원합니다.

비공개 IP (비공개 서비스 액세스) 연결과 공개 IP 연결이 모두 있는 Looker (Google Cloud 핵심 서비스) 인스턴스에는 공개 URL이 있으며, 모든 수신 트래픽은 HTTPS를 사용하여 공개 IP 연결을 통해 전송됩니다. 발신 트래픽은 HTTPS 또는 암호화를 사용하여 비공개 IP 트래픽만 허용하도록 구성할 수 있는 VPC를 통해 라우팅됩니다. 전송 중인 모든 트래픽은 암호화됩니다.

공개 IP 및 비공개 IP 구성에서 northbound 트래픽은 공개 IP를 통해 전송되고 southbound 트래픽은 비공개 IP를 통해 전송됩니다.

비공개 IP 및 공개 IP 구성을 사용하면 연결된 시트 BI 커넥터 또는 Looker Studio BI 커넥터와 같이 비공개 IP 전용 구성에서는 사용할 수 없는 일부 Looker(Google Cloud 핵심 서비스) 기능을 사용할 수 있습니다.

Private Service Connect

Looker(Google Cloud 핵심 서비스)에서 Private Service Connect를 사용하려면 인스턴스를 만들 때 설정해야 합니다. Looker (Google Cloud 핵심 서비스) Private Service Connect 인스턴스는 공개 IP 연결 추가를 지원하지 않습니다.

Looker (Google Cloud 핵심 서비스)와 함께 사용되는 경우 Private Service Connect는 비공개 서비스 액세스와 다음과 같은 점에서 다릅니다.

  • 엔드포인트와 백엔드가 공개 또는 비공개 액세스 방법을 지원합니다.
  • Looker (Google Cloud 핵심 서비스)는 Private Service Connect를 통해 액세스할 수 있는 Cloud SQL과 같은 다른 Google 서비스에 연결할 수 있습니다.
  • 대규모 IP 블록을 할당할 필요가 없습니다.
  • 직접 연결을 사용하면 전이적 통신이 가능합니다.
  • 다른 서비스와 네트워크를 공유할 필요가 없습니다.
  • 멀티테넌시를 지원합니다.

Private Service Connect 엔드포인트 또는 백엔드를 사용하여 Looker (Google Cloud 핵심 서비스) Private Service Connect 인스턴스에 액세스할 수 있습니다.

Looker (Google Cloud 핵심 서비스) (Private Service Connect) 인스턴스는 엔드포인트를 사용하여 Google Cloud 또는 외부 리소스에 연결합니다. 외부 리소스인 경우 네트워크 엔드포인트 그룹(NEG)과 부하 분산기도 설정해야 합니다. 또한 고유한 서비스에 대한 각 southbound 연결을 위해서는 서비스가 Private Service Connect를 사용하여 게시되어야 합니다. Looker (Google Cloud 핵심 서비스) 측에서는 연결하려는 각 서비스에 대해 고유한 이그레스 연결을 만들고 유지해야 합니다.

Private Service Connect의 northbound 및 southbound 네트워크 토폴로지에 대한 개요.

사내 네트워킹 전문 지식이 있으면 Private Service Connect 구성을 계획하고 실행하는 데 도움이 됩니다.

외부 서비스에 연결하는 예시는 Looker PSC Southbound HTTPS Internet NEG codelab을 참조하세요.

Private Service Connect 인스턴스에 대한 자세한 내용은 Looker(Google Cloud 핵심 서비스)에서 Private Service Connect 사용하기 문서 페이지를 참조하세요.

네트워킹 옵션 선택 방법

다음 표에는 다양한 네트워킹 옵션에서 사용할 수 있는 기능이 나와 있습니다.

네트워크 요구사항
기능 공개 IP 공개 및 비공개 (비공개 서비스 액세스) 비공개 (비공개 서비스 액세스) 비공개 (Private Service Connect)
인스턴스 생성을 위한 IP 범위 할당 필요 여부 아니요 예(인스턴스당 리전별 /22) 예(인스턴스당 리전별 /22) 아니요
Cloud Armor 아니요 리전 외부 애플리케이션 부하 분산기, Private Service Connect 백엔드, Google Cloud Armor에서 지원됨
커스텀 도메인 공개 URL로 지원됨
Northbound 액세스
기능 공개 IP 공개 및 비공개 (비공개 서비스 액세스) 비공개 (비공개 서비스 액세스) 비공개 (Private Service Connect)
공개 인터넷 아니요 리전 외부 애플리케이션 부하 분산기, Private Service Connect 백엔드, 커스텀 도메인에서 지원됨
VPC 피어링 (비공개 서비스 액세스) 아니요 아니요
PSC 기반 라우팅 아니요 아니요 아니요

다음에서 지원됨:

  • 리전 외부 애플리케이션 부하 분산기 및 Private Service Connect 백엔드
  • 리전 내부 애플리케이션 부하 분산기 및 Private Service Connect 백엔드
하이브리드 네트워킹 아니요
Southbound 액세스
기능 공개 IP 공개 및 비공개 (비공개 서비스 액세스) 비공개 (비공개 서비스 액세스) 비공개 (Private Service Connect)
인터넷 아니요 아니요 리전 TCP 프록시 내부 부하 분산기, 인터넷 NEG, Cloud NAT 게이트웨이에서 지원됨
VPC 피어링 (비공개 서비스 액세스) 아니요 아니요
Private Service Connect 기반 라우팅 아니요 아니요 아니요 리전 TCP 프록시 내부 부하 분산기 및 하이브리드 NEG에서 지원됨
하이브리드 네트워킹 (멀티 클라우드 및 온프레미스) 아니요 리전 TCP 프록시 내부 부하 분산기, 하이브리드 NEG, Google Cloud 네트워킹 제품에서 지원됨
애플리케이션
기능 공개 IP 공개 및 비공개 (비공개 서비스 액세스) 비공개 (비공개 서비스 액세스) 비공개 (Private Service Connect)
GitHub TCP 프록시 내부 부하 분산기 및 인터넷 NEG에서 지원됨 TCP 프록시 내부 부하 분산기 및 인터넷 NEG에서 지원됨

(예시를 보려면 Looker PSC Southbound HTTPS 인터넷 NEG Codelab을 참조하세요.)
GitHub Enterprise 아니요
Cloud SQL Looker (Google Cloud 핵심 서비스)와 동일한 VPC에 배포된 Cloud SQL에서 지원됨
BigQuery
삽입
Marketplace 아니요 아니요 아니요
연결된 시트 아니요 아니요
SMTP
이점
  • 공개적으로 액세스 가능한 URL은 인스턴스에 액세스하거나 Looker로 리디렉션해야 하는 다른 서비스에서 Looker (Google Cloud 핵심 서비스)에 쉽게 연결할 수 있음을 의미합니다.
  • 간편하게 설정할 수 있으며 고급 네트워크 구성이 필요하지 않습니다.
  • 공개 URL을 통해 Looker (Google Cloud 핵심 서비스)에 액세스
  • 멀티 클라우드 환경에 대한 Southbound 액세스는 IP 연결 가능성을 기반으로 이루어짐
  • northbound 및 southbound 액세스를 위한 비공개 인스턴스
  • 멀티 클라우드 환경에 대한 Southbound 액세스는 IP 연결 가능성을 기반으로 이루어짐
  • 소비자와 프로듀서 간에 공유 제약 조건이 없으며 IP 조정이 필요하지 않음
  • Looker(Google Cloud 핵심 서비스) 인스턴스화를 위한 서브넷 할당이 필요하지 않음
  • Looker (Google Cloud 핵심 서비스) 및 엔드포인트에 대한 명시적 액세스
  • Private Service Connect 백엔드를 사용하여 Looker(Google Cloud 핵심 서비스)에 대한 공개 및 비공개 액세스를 지원
고려사항 커스텀 URL을 사용하려면 정규화된 도메인 이름(예: looker.examplepetstore.com)을 구성해야 합니다. examplepetstore.looker.com과 같은 커스텀 URL은 사용할 수 없습니다.
  • 온프레미스 및 멀티 클라우드 환경에 대한 Southbound 액세스에는 방화벽 업데이트가 필요함
  • VPC 피어링이 있는 허브 및 스포크 VPC 아키텍처에 Looker(Google Cloud 핵심 서비스)를 배포하면 온프레미스 또는 멀티 클라우드 네트워크에서 하이브리드 네트워킹을 통해 액세스하는 경우 Looker로의 비전이적 라우팅이 발생함
  • 공개 Git에 연결하기 위한 추가 인프라 (프록시 VM, 인터넷 NEG, 부하 분산기)
  • 온프레미스 및 멀티 클라우드 환경에 대한 Southbound 액세스에는 방화벽 업데이트가 필요함
  • VPC 피어링이 있는 허브 및 스포크 VPC 아키텍처에 Looker(Google Cloud 핵심 서비스)를 배포하면 온프레미스 또는 멀티 클라우드 네트워크에서 하이브리드 네트워킹을 통해 액세스하는 경우 Looker로의 비전이적 라우팅이 발생함
  • 공개 Git에 연결하기 위한 추가 인프라 (프록시 VM, 인터넷 NEG, 부하 분산기)
  • Looker(Google Cloud 핵심 서비스)에 대한 공개 액세스를 사용하려면 외부 애플리케이션 부하 분산기 및 Private Service Connect 백엔드와 통합해야 함
  • 각 southbound 엔드포인트(IP 주소)에는 Private Service Connect 게시된 서비스가 필요함

다음 단계