Informazioni sulla configurazione di rete corretta per Looker (Google Cloud core)

Quando configuri Looker (Google Cloud core), è essenziale selezionare la configurazione di rete appropriata per garantire un'integrazione perfetta e prestazioni ottimali. Questa pagina fornisce una guida per aiutarti a scegliere tra connessioni sicure pubbliche e le varie configurazioni di connessioni private.

Considerazioni per la configurazione di rete

Prima di scegliere una configurazione di rete, identifica i sistemi a cui verrà configurato il collegamento di Looker (Google Cloud core):

• Origini dati: a quali origini dati si connetterà Looker (Google Cloud core) (ad es. BigQuery, Cloud SQL, database on-premise)?
• Repository Git: dove è ospitato il repository Git (ad es. GitHub pubblico, GitHub Enterprise privato ospitato su Google Cloud)?
• Competenze del team: il tuo team ha competenze di networking?

Informazioni di base

Quando scegli la configurazione di rete, tieni presente quanto segue:

• Connessioni a BigQuery: tutte le connessioni a BigQuery utilizzano la rete privata di Google, in tutte le opzioni di configurazione di rete.
• Configurazione SSO: se è configurato un provider di identità di terze parti per l'SSO, la comunicazione avviene dal browser dell'utente al provider di identità e poi viene reindirizzata all'istanza di Looker (Google Cloud core). Questa operazione funzionerà per tutte le opzioni, a condizione che l'URL di reindirizzamento sia accessibile ai tuoi utenti.
• Creazione dell'istanza: la configurazione di rete deve essere scelta al momento della creazione dell'istanza. Non può essere modificato in un secondo momento, tranne quando si aggiunge la connettività IP pubblico a un'istanza di accesso privato ai servizi o Private Service Connect solo IP privato oppure quando si rimuove la connettività IP pubblico da un'istanza di accesso privato ai servizi o di connessioni ibride Private Service Connect dopo la creazione.
• Disponibilità delle funzionalità: la disponibilità delle funzionalità predefinite varia in base all'opzione di rete. Per maggiori dettagli, consulta Differenze tra le funzionalità di Looker (Google Cloud core).

Opzioni di configurazione di rete

Il seguente diagramma può aiutarti a decidere quale opzione di configurazione di rete è più adatta a te. Il diagramma utilizza gli acronimi PSC per indicare Private Service Connect e PSA per indicare l'accesso ai servizi privati.

Solo IP pubblico

• Spiegazione: l'istanza ha un URL pubblico e il traffico avviene tramite internet pubblico. Questa è la configurazione più semplice e non richiede una configurazione di rete avanzata. Se hai bisogno di un URL personalizzato, ad esempio looker.mycompany.com, puoi configurare un dominio personalizzato.

Private Service Connect - Solo IP privato - Consigliato

• Perché scegliere Private Service Connect? Private Service Connect è l'approccio orientato ai servizi consigliato da Google per connettersi alle risorse in una rete privata. Evita le complessità del peering VPC a livello di rete, i conflitti di intervalli IP e le limitazioni del peering transitivo. Utilizza connessioni orientate ai servizi anziché il peering a livello di rete ed è progettato per supportare tutte le funzionalità nuove e avanzate di Looker (Google Cloud core).
• Spiegazione: con Private Service Connect, Looker (Google Cloud core) si connette alle tue risorse tramite gli endpoint Private Service Connect e tu ti connetti alla tua istanza di Looker (Google Cloud core) tramite il relativo endpoint Private Service Connect esposto.
• Limitazioni: la tua istanza è accessibile solo utilizzando il relativo endpoint Private Service Connect; non ha un indirizzo IP pubblico. Ogni origine dati distinta nel tuo VPC potrebbe richiedere una configurazione dell'endpoint separata.
• Requisiti: se ti connetti a risorse su internet pubblico (ad esempio github.com), puoi utilizzare l'uscita nativa controllata o configurare una connessione Private Service Connect in uscita utilizzando un NEG internet. Affinché Private Service Connect funzioni, assicurati che lo stato della connessione Private Service Connect nella pagina dei dettagli dell'istanza di Looker (Google Cloud core) sia Accettato.
• Scopri di più:
  • Panoramica di Private Service Connect
  • In entrata (utente a Looker (Google Cloud core)):
    • Accesso in entrata privato
    • Accesso in entrata pubblico
  • In uscita (da Looker (Google Cloud core) alle origini dati):
    • Panoramica dell'accesso in uscita

Private Service Connect - IP pubblico e privato - Consigliato

• Perché scegliere Private Service Connect? Private Service Connect è l'approccio orientato ai servizi consigliato da Google per connettersi alle risorse in una rete privata. Evita le complessità del peering VPC a livello di rete, i conflitti di intervalli IP e le limitazioni del peering transitivo. Utilizza connessioni orientate ai servizi anziché il peering a livello di rete ed è progettato per supportare tutte le funzionalità nuove e avanzate di Looker (Google Cloud core). Questa opzione fornisce un URL pubblico per l'accesso da internet, come l'opzione Solo IP pubblico, ma indirizza il traffico in uscita da Looker (Google Cloud core) alle origini dati o al repository Git tramite il VPC utilizzando le connessioni Private Service Connect.
• Spiegazione: la tua istanza ha un URL pubblico per l'accesso da internet, ma tutto il traffico in uscita da Looker (Google Cloud core) alle tue origini dati o al repository Git viene instradato tramite connessioni Private Service Connect al tuo VPC.
• Limitazioni: ogni origine dati distinta nel tuo VPC potrebbe richiedere una configurazione dell'endpoint separata.
• Requisiti: se ti connetti a risorse su internet pubblico che non si trovano nel tuo VPC (ad esempio github.com), puoi utilizzare l'uscita controllata nativa o configurare una connessione Private Service Connect in uscita utilizzando un NEG internet. Affinché Private Service Connect funzioni, assicurati che lo stato della connessione Private Service Connect nella pagina dei dettagli dell'istanza di Looker (Google Cloud core) sia Accettato.
• Scopri di più:
  • Panoramica di Private Service Connect
  • In entrata (utente a Looker (Google Cloud core)):
    • Accesso in entrata privato
    • Accesso in entrata pubblico
  • In uscita (da Looker (Google Cloud core) alle origini dati):
    • Panoramica dell'accesso in uscita

Accesso privato ai servizi - Solo IP privato - Legacy

• Perché scegliere l'accesso privato ai servizi? L'accesso privato ai servizi è un metodo precedente che si basa sul peering di rete VPC. Potrebbe essere adatta se hai una configurazione di peering VPC esistente, ma è soggetta a problemi di scalabilità, esaurimento dell'intervallo IP e non supporta il peering transitivo. Per ulteriori informazioni sull'accesso privato ai servizi, consulta Creare un'istanza di Looker (Google Cloud core) con connessioni private (accesso privato ai servizi).
• Spiegazione: la tua istanza è accessibile solo dall'interno del tuo VPC o di altre reti con peering utilizzando il suo indirizzo IP privato; non ha un URL pubblico. Questa opzione richiede la configurazione di un dominio personalizzato per un URL intuitivo. Tutto il traffico viene instradato attraverso il VPC.
• Limitazioni: richiede un intervallo IP /22 per la configurazione. Alcuni connettori BI potrebbero non essere disponibili. Richiede competenze di networking per la configurazione. Il peering transitivo non è supportato; se l'origine dati si trova in una rete in peering con il tuo VPC (come in un modello hub-and-spoke), Looker (Google Cloud core) non potrà raggiungerla utilizzando l'accesso ai servizi privati. Se utilizzi un VPC condiviso, consulta l'amministratore di rete per discutere dell'allocazione dell'intervallo IP /22 e delle implicazioni del peering all'interno del progetto host.
• Requisiti: se la connessione avviene a un repository Git pubblico (ad es. github.com), è necessaria un'infrastruttura aggiuntiva, ad esempio una VM proxy o Cloud NAT.

Accesso privato ai servizi - IP pubblico e privato - Legacy

• Perché scegliere l'accesso privato ai servizi? L'accesso privato ai servizi è un metodo precedente che si basa sul peering di rete VPC. Potrebbe essere adatta se hai una configurazione di peering VPC esistente, ma è soggetta a problemi di scalabilità, esaurimento dell'intervallo IP e non supporta il peering transitivo. Per saperne di più sull'accesso privato ai servizi, consulta Creare una connessione privata con l'accesso privato ai servizi per Looker (Google Cloud core).
• Spiegazione: la tua istanza ha un URL pubblico per l'accesso da internet, ma tutto il traffico in uscita da Looker (Google Cloud core) alle tue origini dati o al repository Git viene instradato tramite il tuo VPC utilizzando il peering di rete VPC.
• Limitazioni: richiede un intervallo IP /22 per la configurazione. Richiede competenze di networking per la configurazione. Il peering transitivo non è supportato; se l'origine dati si trova in una rete in peering con il tuo VPC (come in un modello hub-and-spoke), Looker (Google Cloud core) non potrà raggiungerla utilizzando l'accesso ai servizi privati. Se utilizzi un VPC condiviso, consulta l'amministratore di rete per discutere dell'allocazione dell'intervallo IP /22 e delle implicazioni del peering all'interno del progetto host.

Passaggi successivi

• Leggi una panoramica delle opzioni di networking di Looker (Google Cloud core).