Esta página explica as opções de configuração de rede para instâncias do Looker (Google Cloud Core).
Você define a configuração de rede de uma instância durante a criação dela. É recomendável determinar quais opções de rede você quer usar antes de iniciar o processo de criação de instância. Esta página também ajuda você a determinar qual dessas opções é mais adequada para as necessidades da sua organização.
Visão geral
As seguintes opções de configuração de rede para o Looker (Google Cloud Core) estão disponíveis:
- Endereço IP público: uma instância que usa um endereço IP externo acessível pela Internet.
Somente IP particular: as conexões somente IP particular usam redes particulares para acesso às instâncias do Looker (Google Cloud Core) e delas. Há duas opções para usar redes particulares:
- Acesso a serviços particulares: uma instância ativada para o acesso a serviços particulares usa um endereço IP de nuvem privada virtual (VPC) interno hospedado pelo Google e o acesso a serviços particulares para se conectar de forma privada ao Google e a serviços de terceiros.
- Private Service Connect: uma instância ativada para o Private Service Connect usa um endereço IP interno de nuvem privada virtual (VPC) hospedado pelo Google e usa o Private Service Connect para se conectar de forma particular ao Google e a serviços de terceiros.
Endereço IP particular e endereço IP público: uma instância compatível com um endereço IP público para entrada e um endereço IP VPC interno hospedado pelo Google e acesso a serviços particulares ou Private Service Connect para saída.
Ao considerar uma configuração de rede para sua instância do Looker (Google Cloud Core), as informações a seguir podem ser úteis para você tomar uma decisão:
- A configuração de rede precisa ser definida quando a instância é criada. A configuração de rede não pode ser alterada após a criação da instância, com uma exceção: para uma instância que usa IP particular, o IP público pode ser adicionado ou removido após a criação da instância.
- A disponibilidade do recurso varia de acordo com a opção de rede. Consulte a página de documentação Disponibilidade de recursos no Looker (Google Cloud core) para mais informações.
- Todas as conexões com o BigQuery são feitas pela rede particular do Google, independentemente da configuração da rede.
- Se um provedor de identidade de terceiros estiver configurado para logon único, o navegador do usuário vai se comunicar com o provedor e será redirecionado para a instância do Looker (Google Cloud Core). Desde que o URL de redirecionamento seja acessível pela rede do usuário, os provedores de identidade de terceiros funcionam para todas as configurações de rede.
Consulte também a tabela na seção Como escolher uma opção de rede desta página de documentação para mais informações sobre como decidir a configuração de rede certa para sua equipe.
Conexões IP públicas
O Looker (Google Cloud Core) implantado como uma instância de IP pública pode ser acessado por um endereço IP externo acessível pela Internet. Nessa configuração, o tráfego norte-sul (de entrada) para Looker (Google Cloud Core) é compatível com o acesso sul-norte (de saída) do Looker (Google Cloud Core)) aos endpoints da Internet. Essa configuração é semelhante à configuração de uma instância do Looker (original) hospedada pelo Looker.
As conexões de rede IP públicas permitem apenas o tráfego HTTPS no Looker (Google Cloud Core). O Google provisiona automaticamente um certificado SSL quando o CNAME é atualizado e o Google consegue localizar os registros DIG. Esse certificado é trocado automaticamente a cada quatro meses. Para se conectar com segurança a bancos de dados externos de uma instância do Looker (Google Cloud Core) com IP público, configure uma conexão SSL criptografada.
As conexões de rede IP públicas são fáceis de configurar e se conectar, e não exigem configuração avançada de rede ou experiência.
Para criar uma instância do Looker (Google Cloud Core) com IP público, consulte a página de documentação Criar uma instância do Looker (Google Cloud Core) com IP público.
Conexões IP privadas
Uma instância do Looker (Google Cloud Core) com uma conexão de rede IP particular usa um endereço IP VPC interno hospedado pelo Google. É possível usar esse endereço para se comunicar com outros recursos que podem acessar a VPC. As conexões de IP particulares tornam os serviços acessíveis sem passar pela Internet pública ou usar endereços IP externo. Como não atravessam a Internet, as conexões por IP particular geralmente têm menor latência e vetores de ataque limitados.
Em uma configuração de IP privado, os certificados internos são totalmente gerenciados pelo Google e não são expostos a ninguém. Se você estiver provisionando uma instância de IP particular com certificados personalizados, não precisará gerenciar os certificados particulares internos. Em vez disso, use seu próprio certificado personalizado e mantenha a rotação dele.
Em uma configuração somente de IP particular, o Looker (Google Cloud Core) não tem um URL público. Você controla todo o tráfego de entrada (norte) e todo o tráfego de saída (sul) é roteado pela VPC.
Se a instância usar apenas uma conexão IP particular, será necessário fazer mais configurações para configurar um domínio personalizado e o acesso do usuário à instância, usar alguns recursos do Looker (Google Cloud Core) ou se conectar a recursos externos, como provedores do Git. O conhecimento interno de rede é útil para planejar e executar essa configuração.
O Looker (Google Cloud Core) oferece suporte às duas opções a seguir para conexões de IP particulares:
O uso do acesso a serviços particulares ou do Private Service Connect precisa ser decidido no momento da criação da instância.
Acesso privado a serviços
O uso do IP particular do acesso a serviços particulares com o Looker (Google Cloud Core) precisa ser definido no momento da criação da instância. As instâncias do Looker (Google Cloud Core) podem incluir uma conexão de IP público com a conexão de IP particular (acesso a serviços particulares). Depois de criar uma instância que usa o acesso a serviços particulares, é possível adicionar ou remover uma conexão de IP particular dela.
Para criar uma conexão IP particular (acesso a serviços particulares), aloque um intervalo CIDR /22 na VPC para o Looker (Google Cloud Core).
Para configurar o acesso do usuário a uma instância que usa apenas uma conexão de IP particular (acesso a serviços particulares), é necessário configurar um domínio personalizado e o acesso a ele de acordo com as necessidades da sua organização. Para se conectar a recursos externos, você precisa fazer mais configurações. O conhecimento interno de rede é útil para planejar e executar essa configuração.
Para criar uma instância de acesso a serviços particulares do Looker (Google Cloud Core), consulte a página de documentação Criar uma instância de IP particular.
Private Service Connect
O uso do Private Service Connect com o Looker (Google Cloud Core) precisa ser definido no momento da criação da instância.
Quando usado com Looker (Google Cloud Core), o Private Service Connect se diferencia do acesso a serviços particulares das seguintes maneiras:
- Os endpoints e back-ends oferecem suporte a métodos de acesso público ou particular.
- Looker (Google Cloud Core) pode se conectar a outros serviços do Google, como o Cloud SQL, que são acessíveis pelo Private Service Connect.
- Não é necessário alocar grandes blocos de IP.
- As conexões diretas permitem a comunicação transitiva.
- Não é necessário compartilhar uma rede com outros serviços.
- Oferece suporte a multilocação.
Os back-ends do Private Service Connect podem ser usados para acessar instâncias do Looker (Google Cloud Core) do Private Service Connect.
As instâncias do Looker (Google Cloud Core) (Private Service Connect) usam endpoints para se conectar a Google Cloud ou recursos externos. Se um recurso for externo, um grupo de endpoints de rede (NEG) e um balanceador de carga também precisarão ser configurados. Além disso, cada conexão de ida para um serviço único exige que o serviço seja publicado usando o Private Service Connect. No Looker (Google Cloud Core), cada conexão de saída exclusiva precisa ser criada e mantida para cada serviço que você quer conectar.
O conhecimento interno de rede é útil para planejar e executar as configurações do Private Service Connect.
Para um exemplo de conexão com um serviço externo, consulte o codelab Looker PSC Southbound HTTPS Internet NEG.
Para saber mais sobre as instâncias do Private Service Connect, consulte a página de documentação Usar o Private Service Connect com o Looker (Google Cloud core).
Configuração de IPs particulares e públicos
As instâncias do Looker (Google Cloud Core) que usam o acesso a serviços particulares ou o Private Service Connect para a conexão particular oferecem suporte a uma configuração de IP particular e público.
Uma instância do Looker (Google Cloud Core) que usa o acesso a serviços privados e tem uma conexão de IP particular e uma pública tem um URL público, e todo o tráfego de entrada passa pela conexão de IP pública usando HTTPS. O tráfego de saída é roteado pela VPC, que pode ser configurada para permitir apenas o tráfego de IP privado, usando HTTPS ou criptografia. Todo o tráfego em trânsito é criptografado.
Uma instância do Looker (Google Cloud Core) ativada para o Private Service Connect usa um endereço IP definido pelo cliente acessível em uma VPC para entrada. A comunicação com a VPC e as cargas de trabalho locais ou de várias nuvens usa anexos de serviço implantados para o tráfego de saída.
Uma configuração de IP particular e público permite o uso de alguns recursos do Looker (Google Cloud core) que não estão disponíveis para configurações somente de IP particular, como o conector de BI das Planilhas conectadas.
Como escolher uma opção de rede
A tabela a seguir mostra a disponibilidade do recurso para diferentes opções de rede.
| Requisitos de rede | |||||
|---|---|---|---|---|---|
| Recurso | IP público | Público e particular (PSA, na sigla em inglês) | Privado (PSA, na sigla em inglês) | Público e particular (PSC) | Privado (PSC) |
| Requer alocação de intervalo de IPs para criação de instâncias | Não | Sim (/22 por instância, por região)
|
Sim (/22 por instância, por região)
|
Não | Não |
| Cloud Armor | Sim. Looker (Google Cloud Core) usa regras padrão do Cloud Armor, que são gerenciadas pelo Google. Essas regras não são configuráveis. | Sim. Looker (Google Cloud Core) usa regras padrão do Cloud Armor, que são gerenciadas pelo Google. Essas regras não são configuráveis. | Não | Sim. Looker (Google Cloud Core) usa regras padrão do Cloud Armor, que são gerenciadas pelo Google. Essas regras não são configuráveis. | Suporte para balanceadores de carga de aplicativo externos regionais gerenciados pelo cliente, back-end do Private Service Connect e Google Cloud Armor gerenciado pelo cliente |
| Domínio personalizado | Sim | Compatível como um URL público | Sim | Compatível como um URL público | Sim |
| Acesso de norte a sul | |||||
| Recurso | IP público | Público e particular (PSA, na sigla em inglês) | Privado (PSA, na sigla em inglês) | Público e particular (PSC) | Privado (PSC) |
| Internet pública | Sim | Sim | Não | Compatível com o balanceador de carga de aplicativo externo regional gerenciado pelo Google | Compatível com o balanceador de carga de aplicativo externo regional gerenciado pelo cliente, o back-end do Private Service Connect e o domínio personalizado |
| Peering de VPC (acesso a serviços particulares) | Não | Sim | Sim | Não | Não |
| Roteamento baseado no PSC | Não | Não | Não |
Compatível com o seguinte:
O acesso global é aceito pelos back-ends do Private Service Connect, mas não pelos endpoints do consumidor. |
|
| Rede híbrida | Não | Sim | Sim | Sim | Sim |
| Acesso sul | |||||
| Recurso | IP público | Público e particular (PSA, na sigla em inglês) | Privado (PSA, na sigla em inglês) | Público e particular (PSC) | Privado (PSC) |
| Internet | Sim | Não | Não | Compatível com o balanceador de carga interno de proxy TCP regional, NEG da Internet e gateway Cloud NAT. | |
| Peering de VPC (acesso a serviços particulares) | Não | Sim | Sim | Não | Não |
| Roteamento baseado no Private Service Connect | Não | Não | Não | Compatível com o balanceador de carga interno do proxy TCP regional e NEG híbrido | |
| Rede híbrida (multicloud e local) | Não | Sim | Sim | Compatível com o balanceador de carga interno do proxy TCP regional, NEG híbrido e Google Cloud produtos de rede | |
| Aplicativo | |||||
| Recurso | IP público | Público e particular (PSA, na sigla em inglês) | Privado (PSA, na sigla em inglês) | Público e particular (PSC) | Privado (PSC) |
| GitHub | Sim | Compatível com o balanceador de carga interno do proxy TCP e NEG da Internet | Sim. Para conferir um exemplo, consulte o codelab de NEG HTTPS de Internet do PSC do Looker. | ||
| GitHub Enterprise | Não | Sim | Sim | Sim | Sim |
| Cloud SQL | Sim | Suporte ao Cloud SQL implantado na mesma VPC do Looker (Google Cloud Core) | Sim | Sim | Sim |
| BigQuery | Sim | Sim | Sim | Sim | Sim |
| Incorporar | Sim | Sim | Sim | Sim | Sim |
| Marketplace | Sim | Não | Não | Não | Não |
| Páginas conectadas | Sim | Sim | Não | Sim | Não |
| SMTP | Sim | Sim | Sim | Sim. Requer conectividade southbound. | |
| Vantagens | |||||
| Recurso | IP público | Público e particular (PSA, na sigla em inglês) | Privado (PSA, na sigla em inglês) | Público e particular (PSC) | Privado (PSC) |
| Vantagens |
|
|
|
|
|
| Considerações | |||||
| Recurso | IP público | Público e particular (PSA, na sigla em inglês) | Privado (PSA, na sigla em inglês) | Público e particular (PSC) | Privado (PSC) |
| Considerações | Se você quiser um URL personalizado, configure um nome de domínio totalmente qualificado (por exemplo, looker.examplepetstore.com). Não é possível ter um URL personalizado como examplepetstore.looker.com.
|
|
|
|
|
A seguir
- Criar uma instância do Looker (Google Cloud Core) com IP público
- Criar uma instância do Looker (Google Cloud Core) com IP particular
- Usar o Private Service Connect com o Looker (Google Cloud Core)
- Criar uma instância do Looker (Google Cloud Core) do Private Service Connect
- Siga um tutorial sobre como realizar uma conexão HTTPS southbound para o GitHub de um PSC.