Die richtige Netzwerkkonfiguration für Looker (Google Cloud Core)

Bei der Konfiguration von Looker (Google Cloud Core) ist es wichtig, die richtige Netzwerkkonfiguration auszuwählen, um eine nahtlose Integration und optimale Leistung zu gewährleisten. Auf dieser Seite finden Sie eine Anleitung, die Ihnen bei der Auswahl zwischen öffentlichen sicheren Verbindungen und den verschiedenen Konfigurationen für private Verbindungen hilft.

Überlegungen zur Netzwerkkonfiguration

Bevor Sie eine Netzwerkkonfiguration auswählen, müssen Sie die Systeme ermitteln, mit denen Looker (Google Cloud Core) verbunden werden soll:

• Datenquellen: Mit welchen Datenquellen wird Looker (Google Cloud Core) verbunden? BigQuery, Cloud SQL, lokale Datenbanken)?
• Git-Repository: Wo wird das Git-Repository gehostet (z.B. öffentliches GitHub, privates GitHub Enterprise, das auf Google Cloud gehostet wird)?
• Team-Expertise: Hat Ihr Team Erfahrung mit Netzwerken?

Grundlegende Informationen

Berücksichtigen Sie bei der Auswahl Ihrer Netzwerkkonfiguration Folgendes:

• Verbindungen zu BigQuery: Alle Verbindungen zu BigQuery nutzen das private Netzwerk von Google, unabhängig von den Netzwerkkonfigurationsoptionen.
• SSO-Konfiguration: Wenn ein externer Identitätsanbieter für die Einmalanmeldung konfiguriert ist, erfolgt die Kommunikation vom Browser des Nutzers zum Identitätsanbieter und wird dann zur Looker (Google Cloud Core)-Instanz weitergeleitet. Das funktioniert für alle Optionen, solange die Weiterleitungs-URL für Ihre Nutzer zugänglich ist.
• Instanzerstellung: Die Netzwerkkonfiguration muss bei der Instanzerstellung ausgewählt werden. Sie kann später nicht mehr geändert werden, außer wenn nach der Erstellung einer Instanz, die nur private IP-Adressen für den Zugriff auf private Dienste oder Private Service Connect verwendet, öffentliche IP-Verbindungen hinzugefügt oder aus einer Instanz mit Hybridverbindungen für den Zugriff auf private Dienste oder Private Service Connect entfernt werden.
• Verfügbarkeit von Funktionen: Die Verfügbarkeit von Funktionen bei der Einrichtung variiert je nach Netzwerkoption. Weitere Informationen finden Sie unter Funktionsunterschiede bei Looker (Google Cloud Core).

Optionen für die Netzwerkkonfiguration

Das folgende Diagramm kann Ihnen bei der Entscheidung helfen, welche Netzwerkkonfigurationsoption für Sie am besten geeignet ist. Im Diagramm werden die Akronyme PSC für Private Service Connect und PSA für den privaten Dienstzugriff verwendet.

Nur öffentliche IP-Adresse

• Erklärung: Die Instanz hat eine öffentliche URL und der Traffic wird über das öffentliche Internet geleitet. Dies ist die einfachste Einrichtung und erfordert keine erweiterte Netzwerkkonfiguration. Wenn Sie eine benutzerdefinierte URL wie looker.mycompany.com benötigen, können Sie eine benutzerdefinierte Domain einrichten.

Private Service Connect – Nur private IP-Adressen – Empfohlen

• Was spricht für Private Service Connect?: Private Service Connect ist der von Google empfohlene, dienstorientierte Ansatz für die Verbindung mit Ressourcen in einem privaten Netzwerk. So werden die Komplexitäten von VPC-Peering im gesamten Netzwerk, IP-Bereichskonflikte und transitive Peering-Einschränkungen vermieden. Es werden dienstorientierte Verbindungen anstelle von netzwerkweitem Peering verwendet und es ist für alle neuen und erweiterten Looker (Google Cloud Core)-Funktionen konzipiert.
• Erklärung: Mit Private Service Connect stellt Looker (Google Cloud Core) über Private Service Connect-Endpunkte eine Verbindung zu Ihren Ressourcen her. Sie stellen über den bereitgestellten Private Service Connect-Endpunkt eine Verbindung zu Ihrer Looker (Google Cloud Core)-Instanz her.
• Einschränkungen: Auf Ihre Instanz kann nur über den Private Service Connect-Endpunkt zugegriffen werden. Sie hat keine öffentliche IP-Adresse. Für jede separate Datenquelle in Ihrer VPC ist möglicherweise eine separate Endpunktkonfiguration erforderlich.
• Anforderungen: Wenn Sie eine Verbindung zu Ressourcen im öffentlichen Internet (z. B. github.com) herstellen, können Sie kontrollierten nativen Egress verwenden oder eine Private Service Connect-Verbindung in Richtung Süden mit einem Internet-NEG konfigurieren. Damit Private Service Connect funktioniert, muss der Verbindungsstatus von Private Service Connect auf der Detailseite der Looker (Google Cloud Core)-Instanz Accepted (Akzeptiert) lauten.
• Weitere Informationen:
  • Private Service Connect – Übersicht
  • Eingehend (Nutzer zu Looker (Google Cloud Core)):
    • Privater eingehender Zugriff
    • Öffentlicher eingehender Zugriff
  • Ausgehend (Looker (Google Cloud Core) zu Datenquellen):
    • Übersicht über ausgehenden Zugriff

Private Service Connect – Öffentliche und private IP-Adressen – Empfohlen

• Was spricht für Private Service Connect?: Private Service Connect ist der von Google empfohlene, dienstorientierte Ansatz für die Verbindung mit Ressourcen in einem privaten Netzwerk. So werden die Komplexitäten von VPC-Peering im gesamten Netzwerk, IP-Bereichskonflikte und transitive Peering-Einschränkungen vermieden. Es werden dienstorientierte Verbindungen anstelle von netzwerkweitem Peering verwendet und es ist für alle neuen und erweiterten Looker (Google Cloud Core)-Funktionen konzipiert. Diese Option bietet eine öffentliche URL für den Zugriff aus dem Internet, wie die Option „Nur öffentliche IP“, leitet aber ausgehenden Traffic von Looker (Google Cloud Core) zu Ihren Datenquellen oder Ihrem Git-Repository über Ihre VPC mithilfe von Private Service Connect-Verbindungen weiter.
• Erklärung: Ihre Instanz hat eine öffentliche URL für den Zugriff über das Internet, aber der gesamte ausgehende Traffic von Looker (Google Cloud Core) zu Ihren Datenquellen oder Ihrem Git-Repository wird über Private Service Connect-Verbindungen zu Ihrer VPC weitergeleitet.
• Einschränkungen: Für jede separate Datenquelle in Ihrer VPC ist möglicherweise eine separate Endpunktkonfiguration erforderlich.
• Anforderungen: Wenn Sie eine Verbindung zu Ressourcen im öffentlichen Internet herstellen, die sich nicht in Ihrer VPC befinden (z. B. github.com), können Sie den kontrollierten nativen ausgehenden Traffic verwenden oder eine Downstream-Private Service Connect-Verbindung mit einem Internet-NEG konfigurieren. Damit Private Service Connect funktioniert, muss der Verbindungsstatus von Private Service Connect auf der Detailseite der Looker (Google Cloud Core)-Instanz Akzeptiert sein.
• Weitere Informationen:
  • Private Service Connect – Übersicht
  • Eingehend (Nutzer an Looker (Google Cloud Core)):
    • Privater eingehender Zugriff
    • Öffentlicher eingehender Zugriff
  • Ausgehend (Looker (Google Cloud Core) zu Datenquellen):
    • Übersicht über ausgehenden Zugriff

Zugriff auf private Dienste – Nur private IP-Adresse – Legacy

• Gründe für den Zugriff auf private Dienste: Der Zugriff auf private Dienste ist eine ältere Methode, die auf VPC-Netzwerk-Peering basiert. Diese Option kann geeignet sein, wenn Sie bereits eine VPC-Peering-Einrichtung haben. Sie ist jedoch anfällig für Skalierungsprobleme und die Erschöpfung von IP-Bereichen und unterstützt kein transitives Peering. Weitere Informationen zum Zugriff auf private Dienste finden Sie unter Looker (Google Cloud Core)-Instanz mit privaten Verbindungen (Zugriff auf private Dienste) erstellen.
• Erklärung: Auf Ihre Instanz kann nur über Ihre VPC oder andere per Peering verbundene Netzwerke über die private IP-Adresse zugegriffen werden. Sie hat keine öffentliche URL. Für diese Option ist eine benutzerdefinierte Domainkonfiguration für eine benutzerfreundliche URL erforderlich. Der gesamte Traffic wird über Ihre VPC weitergeleitet.
• Einschränkungen: Für die Einrichtung ist ein /22-IP-Bereich erforderlich. Bestimmte BI-Connectors sind möglicherweise nicht verfügbar. Für die Einrichtung sind Netzwerkkenntnisse erforderlich. Transitives Peering wird nicht unterstützt. Wenn sich Ihre Datenquelle in einem Netzwerk befindet, das per Peering mit Ihrer VPC verbunden ist (wie in einem Hub-and-Spoke-Modell), kann Looker (Google Cloud Core) sie nicht über den Zugriff auf private Dienste erreichen. Wenn Sie eine freigegebene VPC verwenden, wenden Sie sich an Ihren Netzwerkadministrator, um die Zuweisung des /22-IP-Bereichs und die Peering-Auswirkungen im Hostprojekt zu besprechen.
• Anforderungen: Wenn Sie eine Verbindung zu einem öffentlichen Git-Repository (z.B. github.com) herstellen, ist zusätzliche Infrastruktur wie eine Proxy-VM oder Cloud NAT erforderlich.

Zugriff auf private Dienste – Öffentliche und private IP-Adresse – Legacy

• Gründe für den Zugriff auf private Dienste: Der Zugriff auf private Dienste ist eine ältere Methode, die auf VPC-Netzwerk-Peering basiert. Diese Option kann geeignet sein, wenn Sie bereits eine VPC-Peering-Einrichtung haben. Sie ist jedoch anfällig für Skalierungsprobleme und die Erschöpfung von IP-Bereichen und unterstützt kein transitives Peering. Weitere Informationen zum Zugriff auf private Dienste finden Sie unter Private Verbindung mit Private Service Access für Looker (Google Cloud Core) erstellen.
• Erklärung: Ihre Instanz hat eine öffentliche URL für den Zugriff über das Internet, aber der gesamte ausgehende Traffic von Looker (Google Cloud Core) zu Ihren Datenquellen oder Ihrem Git-Repository wird über Ihre VPC mithilfe von VPC-Netzwerk-Peering weitergeleitet.
• Einschränkungen: Für die Einrichtung ist ein /22-IP-Bereich erforderlich. Für die Einrichtung sind Netzwerkkenntnisse erforderlich. Transitives Peering wird nicht unterstützt. Wenn sich Ihre Datenquelle in einem Netzwerk befindet, das per Peering mit Ihrer VPC verbunden ist (wie in einem Hub-and-Spoke-Modell), kann Looker (Google Cloud Core) sie nicht über den Zugriff auf private Dienste erreichen. Wenn Sie eine freigegebene VPC verwenden, wenden Sie sich an Ihren Netzwerkadministrator, um die Zuweisung des /22-IP-Bereichs und die Peering-Auswirkungen im Hostprojekt zu besprechen.

Nächste Schritte

• Übersicht über die Netzwerkoptionen für Looker (Google Cloud Core)