Esta página explica as opções de configuração de rede para instâncias do Looker (Google Cloud core).
Define a configuração de rede de uma instância durante a criação da instância. É recomendável determinar que opções de rede quer usar antes de iniciar o processo de criação da instância. Esta página também ajuda a determinar qual destas opções é mais adequada às necessidades da sua organização.
Vista geral
Estão disponíveis as seguintes opções de configuração de rede para o Looker (essencial para o Google Cloud):
- IP público: uma instância que usa um endereço IP acessível através da Internet externa.
Apenas IP privado: as ligações apenas de IP privado usam redes privadas para acesso às instâncias do Looker (Google Cloud core) e a partir destas. Existem duas opções para usar redes privadas:
- Acesso privado aos serviços: uma instância ativada para o acesso privado aos serviços usa um endereço IP da nuvem virtual privada (VPC) interno alojado na Google e usa o acesso privado aos serviços para estabelecer ligação de forma privada aos serviços Google e de terceiros.
- Private Service Connect: uma instância ativada para o Private Service Connect usa um endereço IP da nuvem virtual privada (VPC) interno alojado pela Google e usa o Private Service Connect para estabelecer ligação privada aos serviços Google e de terceiros.
IP privado e IP público: uma instância que suporta um endereço IP público para entrada e um endereço IP de VPC interno alojado pela Google e acesso a serviços privados ou Private Service Connect para saída.
Quando considerar uma configuração de rede para a sua instância do Looker (essencial para o Google Cloud), as seguintes informações podem ser úteis para tomar a sua decisão:
- A configuração da rede tem de ser definida quando a instância é criada. Não é possível alterar a configuração de rede após a criação da instância, com uma exceção: para uma instância que usa um IP privado, pode adicionar ou remover um IP público após a criação da instância.
- A disponibilidade das funcionalidades varia consoante a opção de rede. Consulte a página de documentação Disponibilidade de funcionalidades no Looker (Google Cloud core) para mais informações.
- Todas as ligações ao BigQuery são feitas através da rede privada da Google, independentemente da configuração de rede.
- Se um fornecedor de identidade de terceiros estiver configurado para o Início de sessão único, o navegador do utilizador comunica com o fornecedor de identidade e, em seguida, é redirecionado para a instância do Looker (Google Cloud core). Desde que o URL de redirecionamento seja acessível através da rede do utilizador, os fornecedores de identidade de terceiros funcionam para todas as configurações de rede.
Consulte também a tabela na secção Como escolher uma opção de rede desta página de documentação para obter mais informações sobre como decidir a configuração de rede certa para a sua equipa.
Ligações de IP público
O Looker (Google Cloud core) implementado como uma instância de IP público é acessível a partir de um endereço IP acessível pela Internet externa. Nesta configuração, o tráfego norte (entrada) para o Looker (Google Cloud Core) é suportado, além do acesso sul (saída) do Looker (Google Cloud Core) aos pontos finais da Internet. Esta configuração é semelhante à configuração de uma instância do Looker (original) alojada pelo Looker.
As ligações de rede IP públicas permitem apenas tráfego HTTPS no Looker (núcleo do Google Cloud). A Google aprovisiona automaticamente um certificado SSL quando o CNAME é atualizado e a Google consegue localizar os registos DIG. Este certificado é alterado automaticamente a cada quatro meses. Para estabelecer ligação segura a bases de dados externas a partir de uma instância do Looker (Google Cloud core) de IP público, pode configurar uma ligação SSL encriptada.
As ligações de rede IP públicas são fáceis de configurar e estabelecer ligação, e não requerem configuração de rede avançada nem conhecimentos especializados.
Para criar uma instância de IP público do Looker (Google Cloud core), consulte a página de documentação Crie uma instância de IP público do Looker (Google Cloud core).
Ligações de IP privado
Uma instância do Looker (Google Cloud core) com uma ligação de rede IP privada usa um endereço IP VPC interno alojado na Google. Pode usar este endereço para comunicar com outros recursos que podem aceder à VPC. As ligações IP privadas tornam os serviços acessíveis sem passar pela Internet pública nem usar endereços IP externos. Uma vez que não atravessam a Internet, as ligações através de IP privado oferecem normalmente uma latência mais baixa e vetores de ataque limitados.
Numa configuração de IP privado, os certificados internos são totalmente geridos pela Google e não são expostos a ninguém. Se estiver a aprovisionar uma instância de IP privado com certificados personalizados, não precisa de gerir os certificados privados internos. Em alternativa, use o seu próprio certificado personalizado e certifique-se de que a rotação desse certificado é mantida.
Numa configuração apenas de IP privado, o Looker (Google Cloud core) não tem um URL público. Controla todo o tráfego de entrada (norte) e todo o tráfego de saída (sul) é encaminhado através da sua VPC.
Se a sua instância usar apenas uma ligação IP privada, é necessária uma configuração adicional para configurar um domínio personalizado e o acesso do utilizador à instância; usar algumas funcionalidades do Looker (Google Cloud core); ou estabelecer ligação a recursos externos, como fornecedores de Git. As competências internas de redes são úteis para planear e executar esta configuração.
O Looker (Google Cloud Core) suporta as seguintes duas opções para ligações de IP privadas:
A utilização do acesso a serviços privados ou do Private Service Connect tem de ser decidida no momento da criação da instância.
Acesso a serviços privados
A utilização do IP privado de acesso a serviços privados com o Looker (essencial para o Google Cloud) tem de ser definida no momento da criação da instância. As instâncias do Looker (Google Cloud core) podem incluir opcionalmente uma ligação IP pública com a respetiva ligação IP privada (acesso a serviços privados). Após a criação de uma instância que usa o acesso a serviços privados, pode adicionar ou remover uma ligação de IP privado a essa instância.
Para criar uma ligação de IP privado (acesso a serviços privados), tem de atribuir um intervalo de /22 CIDR na sua VPC ao Looker (Google Cloud core).
Para configurar o acesso do utilizador a uma instância que usa apenas uma ligação IP privada (acesso a serviços privados), tem de configurar um domínio personalizado e configurar o acesso ao domínio consoante as necessidades da sua organização. Para estabelecer ligação a recursos externos, tem de fazer uma configuração adicional. As competências internas de redes são úteis para planear e executar esta configuração.
Para criar uma instância de acesso a serviços privados do Looker (Google Cloud core), consulte a página de documentação Crie uma instância de IP privado.
Private Service Connect
A utilização do Private Service Connect com o Looker (essencial para o Google Cloud) tem de ser definida no momento da criação da instância.
Quando usado com o Looker (essencial para o Google Cloud), o Private Service Connect difere do acesso a serviços privados das seguintes formas:
- Os pontos finais e os backends suportam métodos de acesso públicos ou privados.
- O Looker (essencial para o Google Cloud) pode estabelecer ligação a outros serviços Google, como o Cloud SQL, que são acessíveis através do Private Service Connect.
- Não é necessário atribuir grandes blocos de IPs.
- As ligações diretas permitem a comunicação transitiva.
- Não é necessário partilhar uma rede com outros serviços.
- Suporta multi-tenancy.
Os servidores de processamento do Private Service Connect podem ser usados para aceder a instâncias do Private Service Connect do Looker (essencial para o Google Cloud).
As instâncias do Looker (essencial para o Google Cloud) (Private Service Connect) usam pontos finais para estabelecer ligação a Google Cloud recursos externos. Se um recurso for externo, também tem de configurar um grupo de pontos finais de rede (NEG) e um balanceador de carga. Além disso, cada ligação no sentido descendente a um serviço único requer que o serviço seja publicado através do Private Service Connect. No Looker (essencial para o Google Cloud), cada ligação de saída exclusiva tem de ser criada e mantida para cada serviço ao qual quer estabelecer ligação.
A experiência em rede interna é útil para planear e executar configurações do Private Service Connect.
Para ver um exemplo de ligação a um serviço externo, consulte o codelab do NEG de Internet HTTPS de saída do PSC do Looker.
Para saber mais sobre as instâncias do Private Service Connect, consulte a página de documentação Use o Private Service Connect com o Looker (Google Cloud core).
Configuração de IP privado e IP público
As instâncias do Looker (Google Cloud core) que usam o acesso privado a serviços ou o Private Service Connect para a respetiva ligação privada suportam uma configuração de IP privado e IP público.
Uma instância do Looker (Google Cloud core) que usa o acesso privado aos serviços e que tem uma ligação IP privada e uma ligação IP pública tem um URL público, e todo o tráfego de entrada passa pela ligação IP pública através de HTTPS. O tráfego de saída é encaminhado através da sua VPC, que pode ser configurada para permitir apenas tráfego de IP privado, através de HTTPS ou encriptação. Todo o tráfego em trânsito é encriptado.
Uma instância do Looker (essencial para o Google Cloud) ativada para o Private Service Connect usa um endereço IP definido pelo cliente acessível numa VPC para entrada. A comunicação com a VPC e as cargas de trabalho nas instalações ou de várias nuvens usa anexos de serviços que implementa para o tráfego de saída.
Uma configuração de IP privado e IP público permite a utilização de algumas funcionalidades do Looker (Google Cloud core) que não estão disponíveis para configurações apenas de IP privado, como o conetor de BI do Connected Sheets.
Como escolher uma opção de rede
A tabela seguinte mostra a disponibilidade de funcionalidades para diferentes opções de rede.
| Requisitos de rede | |||||
|---|---|---|---|---|---|
| Funcionalidade | IP público | Público e privado (ASP) | Privado (PSA) | Público e privado (PSC) | Privado (PSC) |
| Requer a atribuição de um intervalo de IP para a criação de instâncias | Não | Sim (/22 por instância, por região)
|
Sim (/22 por instância, por região)
|
Não | Não |
| Cloud Armor | Sim. O Looker (essencial para o Google Cloud) usa regras predefinidas do Cloud Armor, que são geridas pela Google. Estas regras não são configuráveis. | Sim. O Looker (essencial para o Google Cloud) usa regras predefinidas do Cloud Armor, que são geridas pela Google. Estas regras não são configuráveis. | Não | Sim. O Looker (essencial para o Google Cloud) usa regras predefinidas do Cloud Armor, que são geridas pela Google. Estas regras não são configuráveis. | Suportado com o Application Load Balancer externo regional gerido pelo cliente, o back-end do Private Service Connect e o Google Cloud Armor gerido pelo cliente |
| Domínio personalizado | Sim | Suportado como um URL público | Sim | Suportado como um URL público | Sim |
| Acesso no sentido norte | |||||
| Funcionalidade | IP público | Público e privado (ASP) | Privado (PSA) | Público e privado (PSC) | Privado (PSC) |
| Internet pública | Sim | Sim | Não | Suportado com o Application Load Balancer externo regional gerido pela Google | Suportado com o balanceador de carga de aplicações externo regional gerido pelo cliente, o back-end do Private Service Connect e o domínio personalizado |
| Intercâmbio de VPCs (acesso a serviços privados) | Não | Sim | Sim | Não | Não |
| Encaminhamento baseado em PSC | Não | Não | Não |
Suportado com o seguinte:
O acesso global é suportado pelos back-ends do Private Service Connect, mas não pelos pontos finais do consumidor do Private Service Connect. |
|
| Redes híbridas | Não | Sim | Sim | Sim | Sim |
| Acesso no sentido sul | |||||
| Funcionalidade | IP público | Público e privado (ASP) | Privado (PSA) | Público e privado (PSC) | Privado (PSC) |
| Internet | Sim | Não | Não | Suportado com o balanceador de carga interno do proxy TCP regional, o NEG da Internet e o gateway NAT da nuvem. | |
| Intercâmbio de VPCs (acesso a serviços privados) | Não | Sim | Sim | Não | Não |
| Encaminhamento baseado no Private Service Connect | Não | Não | Não | Suportado com o balanceador de carga interno do proxy TCP regional e o NEG híbrido | |
| Redes híbridas (várias nuvens e nas instalações) | Não | Sim | Sim | Suportado com o balanceador de carga interno do proxy TCP regional, o NEG híbrido e os Google Cloud produtos de rede | |
| Aplicação | |||||
| Funcionalidade | IP público | Público e privado (ASP) | Privado (PSA) | Público e privado (PSC) | Privado (PSC) |
| GitHub | Sim | Suportado com o balanceador de carga interno do proxy TCP e o NEG da Internet | Sim. Para ver um exemplo, consulte o codelab do NEG da Internet HTTPS de saída do PSC do Looker. | ||
| GitHub Enterprise | Não | Sim | Sim | Sim | Sim |
| Cloud SQL | Sim | Suportado com o Cloud SQL implementado na mesma VPC que o Looker (essencial para o Google Cloud) | Sim | Sim | Sim |
| BigQuery | Sim | Sim | Sim | Sim | Sim |
| Incorporar | Sim | Sim | Sim | Sim | Sim |
| Marketplace | Sim | Não | Não | Não | Não |
| Páginas associadas | Sim | Sim | Não | Sim | Não |
| SMTP | Sim | Sim | Sim | Sim. Requer conetividade southbound. | |
| Vantagens | |||||
| Funcionalidade | IP público | Público e privado (ASP) | Privado (PSA) | Público e privado (PSC) | Privado (PSC) |
| Vantagens |
|
|
|
|
|
| Considerações | |||||
| Funcionalidade | IP público | Público e privado (ASP) | Privado (PSA) | Público e privado (PSC) | Privado (PSC) |
| Considerações | Se quiser um URL personalizado, tem de configurar um nome de domínio totalmente qualificado (por exemplo, looker.examplepetstore.com). Não pode ter um URL personalizado como examplepetstore.looker.com.
|
|
|
|
|
O que se segue?
- Crie uma instância do Looker (Google Cloud Core) com um IP público
- Crie uma instância do Looker (Google Cloud Core) com um IP privado
- Use o Private Service Connect com o Looker (Google Cloud core)
- Crie uma instância do Private Service Connect do Looker (Google Cloud core)
- Siga um tutorial sobre como fazer uma ligação HTTPS no sentido descendente ao GitHub a partir de um PSC.