本頁說明 Looker (Google Cloud Core) 執行個體的網路設定選項。
您可以在建立執行個體時設定執行個體的網路設定。建議您在開始建立執行個體前,先決定要使用的網路選項。本頁面也會協助您判斷哪一個選項最符合貴機構的需求。
總覽
Looker (Google Cloud Core) 提供下列網路設定選項:
- 使用公開安全連線:使用可從外部網際網路存取的 IP 位址的執行個體。
使用私人連線:私人連線會使用私人網路,存取 Looker (Google Cloud Core) 執行個體。使用私有網路的方式有兩種:
- Private Service Connect:啟用 Private Service Connect 的執行個體會使用 Google 代管的內部虛擬私有雲 (VPC) IP 位址,並透過 Private Service Connect 私下連線至 Google 和第三方服務。
- 私人服務存取權:啟用私人服務存取權的執行個體會使用 Google 代管的內部虛擬私有雲 (VPC) IP 位址,並透過私人服務存取權,以私密方式連線至 Google 和第三方服務。
使用混合式連線:執行個體支援用於輸入的公開 IP 位址,以及用於輸出的內部 Google 代管虛擬私有雲 IP 位址和私人服務存取權或 Private Service Connect。
為 Looker (Google Cloud Core) 執行個體選擇網路設定時,下列資訊或許能幫助您做出決定:
- 建立執行個體時,必須設定網路設定。執行個體建立後,就無法變更為公開安全連線設定。執行個體建立後,可將設定為混合式連線的執行個體變更為私人連線,或將設定為私人連線的執行個體變更為混合式連線。
- 功能適用情形會因網路選項而異。詳情請參閱「Looker (Google Cloud Core) 的功能可用性」說明文件頁面。
- 無論網路設定為何,所有 BigQuery 連線都會透過 Google 的私人網路建立。
- 如果已為單一登入服務設定第三方識別資訊提供者,使用者的瀏覽器會與該識別資訊提供者通訊,然後重新導向至 Looker (Google Cloud Core) 執行個體。只要使用者網路可存取重新導向網址,第三方身分識別提供者就能在所有網路設定中運作。
如要進一步瞭解如何為團隊選擇合適的網路設定,請參閱本說明文件頁面「如何選擇網路選項」一節中的表格。
公開安全連線
以公開安全連線執行個體形式部署的 Looker (Google Cloud Core),可透過外部網際網路可存取的 IP 位址存取。在此設定中,除了 Looker (Google Cloud Core) 出站 (南向) 網際網路端點存取權之外,系統也支援 Looker (Google Cloud Core) 的入站 (北向) 流量。這項設定與 Looker 託管的 Looker (原始版) 執行個體設定類似。
公開安全連線只允許 HTTPS 流量進入 Looker (Google Cloud Core)。更新 CNAME 後,Google 就能找到 DIG 記錄,並自動佈建 SSL 憑證。這個憑證每四個月會自動輪替一次。如要從公開安全連線 Looker (Google Cloud Core) 執行個體安全連線至外部資料庫,您可以設定加密的 SSL 連線。
公開安全連線設定簡單易用,不需要進階網路設定或專業知識。
如要建立 Looker (Google Cloud Core) 公開安全連線執行個體,請參閱「建立 Looker (Google Cloud Core) 公開安全連線執行個體」說明文件頁面。
私人連線
設定為使用私人連線的 Looker (Google Cloud Core) 執行個體會使用 Google 代管的內部 VPC IP 位址。您可以使用這個位址,與可存取 VPC 的其他資源通訊。有了私人連線,服務就能連上網路,不必經過公開網際網路或使用外部 IP 位址。由於私人連線不會經過網際網路,因此通常延遲時間較短,且攻擊媒介有限。
在私人連線設定中,內部憑證完全由 Google 管理,不會向任何人公開。如果您使用自訂憑證佈建私人連線執行個體,則不需要管理內部私人憑證。請改用自訂憑證,並確保該憑證的輪替作業維持正常。
在私人連線設定中,Looker (Google Cloud Core) 沒有公開網址。您可以控管所有傳入 (北向) 流量,所有傳出 (南向) 流量都會透過虛擬私有雲轉送。
如果執行個體僅使用私人連線,您必須進行額外設定,才能設定自訂網域和使用者存取權、使用部分 Looker (Google Cloud Core) 功能,或連線至外部資源 (例如 Git 供應商)。規劃及執行這項設定時,具備內部網路專業知識會很有幫助。
Looker (Google Cloud Core) 支援下列兩種私人連線選項:
建立執行個體時,必須決定是否使用私人服務存取權或 Private Service Connect。
Private Service Connect
使用 Looker (Google Cloud Core) 時,必須在建立執行個體時設定 Private Service Connect。
搭配 Looker (Google Cloud Core) 使用時,Private Service Connect 與私人服務存取權的差異如下:
- 端點和後端支援公開或私人的存取方法。
- Looker (Google Cloud Core) 可以連線至其他 Google 服務,例如透過 Private Service Connect 存取的 Cloud SQL。
- 不需要分配大型 IP 區塊。
- 直接連線可進行遞移通訊。
- 不必與其他服務共用網路。
- 支援多用戶群架構。
- 支援全球存取。
- 支援自訂網域的Google 代管憑證。
規劃及執行 Private Service Connect 設定時,內部網路專業知識很有幫助。
如要進一步瞭解 Private Service Connect 執行個體,請參閱「搭配使用 Private Service Connect 與 Looker (Google Cloud Core)」說明文件頁面。
透過 Private Service Connect 存取 Looker (Google Cloud Core) 執行個體
Private Service Connect 後端可用於私下存取 Looker (Google Cloud Core) Private Service Connect 執行個體,或透過公開網際網路存取 Looker (Google Cloud Core)。
使用受控原生輸出連線至外部服務
Looker (Google Cloud Core) 使用受控原生輸出,為 Private Service Connect 型部署作業提供內建代管解決方案,簡化網際網路 (HTTPS) 輸出連線。如果您使用受控原生輸出,就不需要在虛擬私有雲 (VPC) 中建立網際網路輸出用的生產端服務。受控原生輸出路徑會透過 Google 管理的 Looker VPC 傳輸網際網路流量,提供多項主要優點,主要著重於簡化設定,並提升安全環境中客戶的可用性。
受控原生輸出功能的主要優點如下:
- 降低設定複雜度:移除部署負載平衡器和 NAT 閘道,或為 Private Service Connect 生產端服務分配子網路空間等必要條件,簡化設定程序。受控原生輸出是由 Looker (Google Cloud Core) 管理,可簡化 HTTPS 網際網路輸出作業。
- 免除複雜的解決方法:提供簡化的連線方式,無須部署網路基礎架構,即可連線至 Marketplace 等服務。
- 支援重要外部服務:可為客戶指定的完整網域名稱 (FQDN) 啟用可設定的原生輸出,例如 Looker 管理的 Marketplace、github.com 和 gitlab.com。
選擇受控原生輸出時,請考量下列事項:
- 受控原生輸出支援公開端點的 HTTPS 網際網路輸出。
- 在 VPC Service Controls perimeter 中加入 Looker (Google Cloud Core) API,不會封鎖受控原生輸出執行的 HTTPS 網際網路輸出。這是因為 VPC Service Controls 會封鎖 googleapis,而不是網際網路輸出。
- 受控原生輸出功能不支援 Looker Action Hub。
- 受控原生輸出功能不支援 Google API 流量。
您可以使用全域 FQDN 設定,透過受控原生輸出流量設定傳出連線。
如要比較使用受控原生輸出或 Private Service Connect 已發布服務的輸出連線,請參閱「受控原生輸出與 Private Service Connect 連線比較」一節。
使用 Private Service Connect 連線至外部服務
Looker (Google Cloud Core) Private Service Connect 執行個體可使用端點連線至 Google Cloud 或外部資源。如果是外部資源,則必須一併設定網路端點群組 (NEG) 和負載平衡器。此外,每個連往專屬服務的出站連線,都必須使用 Private Service Connect 發布服務。在 Looker (Google Cloud Core) 端,每個不重複的出站連線都必須透過「本機 FQDN」設定建立,並為要連線的每個服務維護。
如需使用 Private Service Connect 連線至外部服務的範例,請參閱 Looker PSC Southbound HTTPS Internet NEG 程式碼研究室。
如要比較 Private Service Connect 的傳出連線類型,請參閱「受控原生輸出與 Private Service Connect 連線」一節。
受控原生輸出與 Private Service Connect 連線
下表比較透過受控原生輸出或透過南向 Private Service Connect 連線連線至外部服務的主要功能。
| 功能 | 受控原生輸出 | 使用 Private Service Connect 的南向連線 |
|---|---|---|
| 主要目標 | 簡化設定,以便存取特定常見的外部公用服務 (例如 Marketplace、GitHub)。 | 讓 Looker (Google Cloud Core) 充當服務消費者,與虛擬私有雲、多雲網路或網際網路中的服務建立通訊。 |
| 管理和複雜度 | 內建的代管式 Looker (Google Cloud Core) Private Service Connect 功能,可免除複雜的網路知識需求。 | 客戶必須手動進行詳細設定,才能設定南向連線。 |
| 目標服務 | 專為 HTTPS 網際網路輸出服務設計 (例如 Marketplace、github.com、gitlab.com) | 支援各種輸出服務 (包括私人和公開服務),例如 Google 代管資料庫 (例如 Cloud SQL)、地端資料庫和自行管理的服務。 |
私人服務存取權
使用 私人服務存取權與 Looker (Google Cloud Core) 建立私人連線時,必須在建立執行個體時設定。Looker (Google Cloud Core) 執行個體可選擇在私人 (私人服務存取權) 連線中加入公開安全連線。建立使用私人服務存取權的執行個體後,您可以新增或移除該執行個體的私人連線。
如要建立私人 (私人服務存取) 連線,您必須在 VPC 中為 Looker (Google Cloud Core) 分配 /22 CIDR 範圍。
如要設定使用者存取權,讓使用者只能透過私人 (私人服務存取權) 連線存取執行個體,您必須設定自訂網域,並視貴機構需求設定網域存取權。如要連線至外部資源,您需要進行額外設定。規劃及執行這項設定時,具備內部網路專業知識會很有幫助。
如要建立 Looker (Google Cloud Core) 私人服務存取執行個體,請參閱「建立私人連線執行個體」說明文件頁面。
混合式連線設定
使用私人服務存取權或 Private Service Connect 建立私人連線的 Looker (Google Cloud Core) 執行個體,支援混合式連線設定。
使用私人服務存取權且具備混合式連線的 Looker (Google Cloud Core) 執行個體會具備公開網址,所有連入 (北向) 流量都會透過使用 HTTPS 的公開連線傳輸。外送 (南向) 流量會透過 VPC 傳送,您可以設定 VPC,只允許使用 HTTPS 或加密的私密連線流量。所有傳輸中的流量都會經過加密。
啟用 Private Service Connect 的 Looker (Google Cloud Core) 執行個體會使用客戶定義的 IP 位址,供虛擬私有雲進行輸入。與虛擬私有雲和內部部署或多雲端工作負載的通訊,會使用您為輸出流量部署的服務附件。
混合式連線設定可啟用部分Looker (Google Cloud Core) 功能,例如已連結試算表 BI 連接器,這些功能不適用於私人連線設定。
如何選擇網路選項
下表列出不同網路選項可用的功能。
| 網路需求 | |||||
|---|---|---|---|---|---|
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私人連線 (PSC) |
| 建立執行個體時,必須分配 IP 範圍 | 否 | 是 (每個執行個體、每個區域 /22)
|
是 (每個執行個體、每個區域 /22)
|
否 | 否 |
| Cloud Armor | 可以。Looker (Google Cloud Core) 使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。 | 可以。Looker (Google Cloud Core) 使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。 | 否 | 可以。Looker (Google Cloud Core) 使用 Google 管理的預設 Cloud Armor 規則。這些規則無法設定。 | 支援客戶管理的區域外部應用程式負載平衡器、Private Service Connect 後端和客戶管理的 Google Cloud Armor |
| 自訂網域 | 是 | 支援公開網址 | 是 | 支援公開網址 | 是 |
| 連入存取權 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私人連線 (PSC) |
| 公開網路 | 是 | 是 | 否 | 支援 Google 管理的區域性外部應用程式負載平衡器 | 支援客戶管理的區域外部應用程式負載平衡器、Private Service Connect 後端和自訂網域 |
| 虛擬私有雲對等互連 (私人服務存取權) | 否 | 是 | 是 | 否 | 否 |
| 以 PSC 為準的轉送 | 否 | 否 | 否 |
支援下列項目:
系統支援全球存取 (透過強化服務連結 URI),讓您從執行個體所在區域以外的區域存取執行個體。 |
|
| 混合式網路 | 否 | 是 | 是 | 是 | 是 |
| 連出存取權 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私人連線 (PSC) |
| 網際網路 | 是 | 否 | 否 | 支援區域性 TCP Proxy 內部負載平衡器、網際網路 NEG 和 Cloud NAT 閘道。 | |
| 虛擬私有雲對等互連 (私人服務存取權) | 否 | 是 | 是 | 否 | 否 |
| 以 Private Service Connect 為基礎的路由 | 否 | 否 | 否 | 支援區域型 TCP Proxy 內部負載平衡器和混合式 NEG | |
| 混合式網路 (多雲端和地端) | 否 | 是 | 是 | 支援區域性 TCP Proxy 內部負載平衡器、混合式 NEG 和Google Cloud 網路產品 | |
| 應用程式 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私人連線 (PSC) |
| GitHub | 是 | 支援 TCP Proxy 內部負載平衡器和網際網路 NEG | 可以。如需範例,請參閱 Looker PSC Southbound HTTPS Internet NEG 程式碼研究室。 | ||
| GitHub Enterprise | 否 | 是 | 是 | 是 | 是 |
| Cloud SQL | 是 | 支援與 Looker (Google Cloud Core) 部署在相同 VPC 中的 Cloud SQL | 是 | 是 | 是 |
| BigQuery | 是 | 是 | 是 | 是 | 是 |
| 嵌入 | 是 | 是 | 是 | 是 | 是 |
| Marketplace | 是 | 否 | 否 | 否 | 否 |
| 連結試算表 | 是 | 是 | 否 | 是 | 否 |
| SMTP | 是 | 是 | 是 | 可以。需要對外連線。 | |
| 優點 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私人連線 (PSC) |
| 優點 |
|
|
|
|
|
| 注意事項 | |||||
| 功能 | 公開安全連線 | 混合式連線 (PSA) | 私人連線 (PSA) | 混合式連線 (PSC) | 私人連線 (PSC) |
| 注意事項 | 如要使用自訂網址,必須設定完整網域名稱 (例如 looker.examplepetstore.com)。您無法使用 examplepetstore.looker.com 這類自訂網址。
|
|
|
|
|
後續步驟
- 建立公開安全連線 Looker (Google Cloud Core) 執行個體
- 搭配 Looker (Google Cloud Core) 使用 Private Service Connect
- 建立 Looker (Google Cloud Core) 私人連線 Private Service Connect 執行個體
- 按照教學課程操作,瞭解如何從 PSC 對 GitHub 執行外送 HTTPS 連線。
- 建立私人連線 (私人服務存取權) Looker (Google Cloud Core) 執行個體