En esta página, se explican las opciones de configuración de red para las instancias de Looker (Google Cloud Core).
La configuración de red de una instancia se establece durante la creación de la instancia. Es recomendable que determines qué opciones de redes deseas usar antes de comenzar el proceso de creación de la instancia. Esta página también te ayuda a determinar cuál de estas opciones es la más adecuada para las necesidades de tu organización.
Descripción general
Están disponibles las siguientes opciones de configuración de red para Looker (Google Cloud Core):
- Usar conexiones seguras públicas: Instancia que usa una dirección IP externa accesible a través de Internet.
Usa conexiones privadas: Las conexiones privadas usan redes privadas para acceder a las instancias de Looker (Google Cloud Core) y desde ellas. Existen dos opciones para usar redes privadas:
- Private Service Connect: Una instancia habilitada para Private Service Connect usa una dirección IP interna de la nube privada virtual (VPC) alojada en Google y usa Private Service Connect para conectarse de forma privada a Google y a servicios de terceros.
- Acceso privado a servicios: Una instancia habilitada para el acceso privado a servicios usa una dirección IP interna de nube privada virtual (VPC) alojada en Google y usa el acceso privado a servicios para conectarse de forma privada a servicios de Google y de terceros.
Usa conexiones híbridas: Instancia que admite una dirección IP pública para la entrada y una dirección IP de VPC interna alojada en Google, y acceso privado a servicios o Private Service Connect para la salida.
Cuando consideres una configuración de red para tu instancia de Looker (Google Cloud Core), la siguiente información puede ser útil para tomar una decisión:
- La configuración de red debe establecerse cuando se crea la instancia. Una instancia configurada para conexiones públicas seguras no se puede cambiar después de su creación. Una instancia configurada para conexiones híbridas se puede cambiar a conexiones privadas, o bien una instancia con conexiones privadas se puede cambiar a una configuración de conexiones híbridas después de que se cree la instancia.
- La disponibilidad de las funciones varía según la opción de red. Para obtener más información, consulta la página de documentación Disponibilidad de funciones en Looker (Google Cloud Core).
- Todas las conexiones a BigQuery se realizan a través de la red privada de Google, independientemente de la configuración de la red.
- Si se configura un proveedor de identidad externo para el inicio de sesión único, el navegador del usuario se comunica con el proveedor de identidad y, luego, se redirecciona a la instancia de Looker (Google Cloud Core). Siempre que se pueda acceder a la URL de redireccionamiento a través de la red del usuario, los proveedores de identidad de terceros funcionarán para todas las configuraciones de red.
Consulta también la tabla en la sección Cómo elegir una opción de redes de esta página de documentación para obtener más información sobre cómo decidir la configuración de redes adecuada para tu equipo.
Conexiones seguras públicas
Se puede acceder a Looker (Google Cloud Core) implementado como una instancia de conexión segura pública desde una dirección IP externa accesible a través de Internet. En esta configuración, se admite el tráfico entrante (norte) a Looker (Google Cloud Core), además del acceso saliente (sur) de Looker (Google Cloud Core) a los extremos de Internet. Esta configuración es similar a la de una instancia de Looker (original) alojada por Looker.
Las conexiones seguras públicas solo permiten el tráfico HTTPS en Looker (Google Cloud Core). Google aprovisiona automáticamente un certificado SSL cuando se actualiza el CNAME y Google puede ubicar los registros DIG. Este certificado se rota automáticamente cada cuatro meses. Para conectarte de forma segura a bases de datos externas desde una instancia de Looker (Google Cloud Core) con una conexión pública segura, puedes configurar una conexión SSL encriptada.
Las configuraciones de conexiones seguras públicas son sencillas de configurar y conectar, y no requieren configuración ni experiencia avanzadas en redes.
Para crear una instancia de conexión segura pública de Looker (Google Cloud Core), consulta la página de documentación Crea una instancia de conexión segura pública de Looker (Google Cloud Core).
Conexiones privadas
Una instancia de Looker (Google Cloud Core) configurada para usar conexiones privadas utiliza una dirección IP de VPC interna alojada en Google. Puedes usar esta dirección para comunicarte con otros recursos que pueden acceder a la VPC. Las conexiones privadas hacen que los servicios sean accesibles sin pasar por Internet público o usar direcciones IP externas. Debido a que no atraviesan Internet, las conexiones privadas suelen proporcionar una latencia más baja y vectores de ataque limitados.
En una configuración de conexiones privadas, Google administra por completo los certificados internos y no se exponen a nadie. Si aprovisionas una instancia de conexiones privadas con certificados personalizados, no es necesario que administres los certificados privados internos. En su lugar, usa tu propio certificado personalizado y asegúrate de que se mantenga la rotación de ese certificado.
En una configuración de conexiones privadas, Looker (Google Cloud Core) no tiene una URL pública. Controlas todo el tráfico entrante (norte) y todo el tráfico saliente (sur) se enrutará a través de tu VPC.
Si tu instancia usa solo una conexión privada, se requiere configuración adicional para establecer un dominio personalizado y el acceso de los usuarios a la instancia, usar algunas funciones de Looker (Google Cloud Core) o conectarse a recursos externos, como proveedores de Git. Es útil tener experiencia interna en redes para planificar y ejecutar esta configuración.
Looker (Google Cloud Core) admite las siguientes dos opciones para las conexiones privadas:
El uso del acceso privado a servicios o de Private Service Connect se debe decidir en el momento de la creación de la instancia.
Private Service Connect
El uso de Private Service Connect con Looker (Google Cloud Core) se debe configurar en el momento de la creación de la instancia.
Cuando se usa con Looker (Google Cloud Core), Private Service Connect difiere del acceso privado a servicios de las siguientes maneras:
- Los extremos y los backends admiten métodos de acceso públicos o privados.
- Looker (Google Cloud Core) puede conectarse a otros servicios de Google, como Cloud SQL, a los que se puede acceder a través de Private Service Connect.
- No es necesario asignar grandes bloques de IP.
- Las conexiones directas permiten la comunicación transitiva.
- No es necesario compartir una red con otros servicios.
- Es compatible con multiusuarios.
- Admite el acceso global.
- Admite certificados administrados por Google para dominios personalizados.
Tener experiencia interna en redes es útil para planificar y ejecutar las configuraciones de Private Service Connect.
Para obtener más información sobre las instancias de Private Service Connect, consulta la página de documentación Usa Private Service Connect con Looker (Google Cloud Core).
Accede a una instancia de Looker (Google Cloud Core) con Private Service Connect
Los backends de Private Service Connect se pueden usar para acceder de forma privada a las instancias de Private Service Connect de Looker (Google Cloud Core) o para acceder a Looker (Google Cloud Core) a través de Internet pública.
Conéctate a servicios externos con la salida nativa controlada
Looker (Google Cloud Core) usa la salida nativa controlada para simplificar la conectividad de salida a Internet (HTTPS) proporcionando una solución administrada integrada para las implementaciones basadas en Private Service Connect. Si usas la salida nativa controlada, no necesitas crear un servicio de productor para la salida a Internet en tu nube privada virtual (VPC). Las rutas de salida nativas controladas enrutan el tráfico de Internet a través de la VPC de Looker administrada por Google, lo que proporciona varios beneficios clave, principalmente enfocados en simplificar la configuración y mejorar la usabilidad para los clientes con entornos seguros.
Estos son los beneficios clave de la salida nativa controlada:
- Reduce la complejidad de la configuración: La configuración se simplifica quitando requisitos previos, como la implementación de balanceadores de cargas y puertas de enlace NAT, o la asignación de espacio de subred para un servicio de productor de Private Service Connect. Looker (Google Cloud Core) administra la salida nativa controlada para facilitar la salida a Internet a través de HTTPS.
- Elimina soluciones alternativas complicadas: Ofrece una forma simplificada de conectarse a servicios como Marketplace sin implementar infraestructura de red.
- Admite servicios externos clave: Permite la salida nativa configurable para nombres de dominio completamente calificados (FQDN) especificados por el cliente, como Marketplace administrado por Looker, github.com y gitlab.com.
Cuando elijas la salida nativa controlada, ten en cuenta lo siguiente:
- La salida nativa controlada admite la salida a Internet a través de HTTPS para los extremos públicos.
- Incluir la API de Looker (Google Cloud Core) en un perímetro de los Controles del servicio de VPC no bloquea la salida de Internet HTTPS que realiza la salida nativa controlada. Esto se debe a que los Controles del servicio de VPC bloquean googleapis, no la salida a Internet.
- El Action Hub de Looker no es compatible con la salida nativa controlada.
- El tráfico de las APIs de Google no es compatible con la salida nativa controlada.
Puedes configurar conexiones salientes con salida nativa controlada a través del parámetro de configuración FQDN global.
Para obtener una comparación entre las conexiones salientes que usan la salida nativa controlada o los servicios publicados de Private Service Connect, consulta la sección Comparación entre la salida nativa controlada y las conexiones de Private Service Connect.
Conéctate a servicios externos con Private Service Connect
Las instancias de Private Service Connect de Looker (Google Cloud Core) pueden usar extremos para conectarse a Google Cloud o recursos externos. Si un recurso es externo, también se deben configurar un grupo de extremos de red (NEG) y un balanceador de cargas. Además, cada conexión saliente a un servicio único requiere que el servicio se publique con Private Service Connect. En el extremo de Looker (Google Cloud Core), cada conexión de salida única se debe crear a través del parámetro de configuración FQDN local y mantener para cada servicio al que desees conectarte.
Para ver un ejemplo de cómo conectarse a un servicio externo con Private Service Connect, consulta el codelab de NEG de Internet HTTPS de salida de PSC de Looker.
Para comparar los tipos de conexiones salientes de Private Service Connect, consulta la sección Comparación entre el egreso nativo controlado y las conexiones de Private Service Connect.
Salida nativa controlada en comparación con las conexiones de Private Service Connect
En la siguiente tabla, se comparan las funciones clave de la conexión a servicios externos con salida nativa controlada o a través de conexiones de Private Service Connect descendentes.
| Función | Salida nativa controlada | Conexiones descendentes con Private Service Connect |
|---|---|---|
| Objetivo principal | Simplifica la configuración para acceder a servicios externos públicos específicos y comunes (por ejemplo, Marketplace y GitHub). | Permite que Looker (Google Cloud Core) actúe como consumidor de servicios para establecer comunicación con los servicios de tu VPC, tu red de varias nubes o Internet. |
| Administración y complejidad | Una función administrada y compilada de Private Service Connect de Looker (Google Cloud Core) diseñada para eliminar los requisitos complejos de conocimiento de redes. | El cliente debe realizar una configuración manual y detallada para establecer conexiones de salida. |
| Servicios segmentados | Diseñado para servicios de salida de Internet HTTPS (por ejemplo, Marketplace, github.com, gitlab.com) | Admite una amplia variedad de servicios salientes (tanto privados como públicos), incluidas las bases de datos administradas por Google (por ejemplo, Cloud SQL), las bases de datos locales y los servicios autoadministrados. |
Acceso privado a servicios
El uso de conexiones privadas de acceso privado a servicios con Looker (Google Cloud Core) se debe configurar en el momento de la creación de la instancia. Las instancias de Looker (Google Cloud Core) pueden incluir, de manera opcional, una conexión pública segura con su conexión privada (acceso privado a servicios). Después de crear una instancia que usa el acceso privado a servicios, puedes agregar o quitar una conexión privada a esa instancia.
Para crear una conexión privada (acceso a servicios privados), debes asignar un rango de CIDR /22 en tu VPC a Looker (Google Cloud Core).
Para configurar el acceso de los usuarios a una instancia que solo usa una conexión privada (acceso privado a servicios), debes configurar un dominio personalizado y configurar el acceso al dominio según las necesidades de tu organización. Para conectarte a recursos externos, deberás realizar una configuración adicional. Es útil tener experiencia interna en redes para planificar y ejecutar esta configuración.
Para crear una instancia de acceso privado a servicios de Looker (Google Cloud Core), consulta la página de documentación Crea una instancia de conexiones privadas.
Configuración de conexiones híbridas
Las instancias de Looker (Google Cloud Core) que usan el acceso privado a servicios o Private Service Connect para su conexión privada admiten una configuración de conexiones híbridas.
Una instancia de Looker (Google Cloud Core) que usa acceso privado a servicios y que tiene una conexión híbrida tiene una URL pública, y todo el tráfico entrante (norte) pasará por la conexión pública a través de HTTPS. El tráfico saliente (de salida) se enruta a través de tu VPC, que se puede configurar para permitir solo el tráfico de conexión privada, con HTTPS o encriptación. Todo el tráfico en tránsito está encriptado.
Una instancia de Looker (Google Cloud Core) habilitada para Private Service Connect usa una dirección IP definida por el cliente a la que se puede acceder en una VPC para la entrada. La comunicación con la VPC y las cargas de trabajo locales o de múltiples nubes usa adjuntos de servicio que implementas para el tráfico de salida.
Una configuración de conexiones híbridas permite el uso de algunas funciones de Looker (Google Cloud Core) que no están disponibles para las configuraciones de conexiones privadas, como el conector de BI de Hojas de cálculo conectadas.
Cómo elegir una opción de redes
En la siguiente tabla, se muestra la disponibilidad de las funciones para las diferentes opciones de redes.
| Requisitos de red | |||||
|---|---|---|---|---|---|
| Función | Conexiones seguras públicas | Conexiones híbridas (PSA) | Conexiones privadas (PSA) | Conexiones híbridas (PSC) | Conexiones privadas (PSC) |
| Requiere la asignación de un rango de IP para la creación de instancias | No | Sí (/22 por instancia y por región)
|
Sí (/22 por instancia y por región)
|
No | No |
| Cloud Armor | Sí. Looker (Google Cloud Core) usa reglas predeterminadas de Cloud Armor, que administra Google. Estas reglas no se pueden configurar. | Sí. Looker (Google Cloud Core) usa reglas predeterminadas de Cloud Armor, que administra Google. Estas reglas no se pueden configurar. | No | Sí. Looker (Google Cloud Core) usa reglas predeterminadas de Cloud Armor, que administra Google. Estas reglas no se pueden configurar. | Compatible con el balanceador de cargas de aplicaciones externo regional administrado por el cliente, el backend de Private Service Connect y Google Cloud Armor administrado por el cliente |
| Dominio personalizado | Sí | Se admite como URL pública | Sí | Se admite como URL pública | Sí |
| Acceso entrante | |||||
| Función | Conexiones seguras públicas | Conexiones híbridas (PSA) | Conexiones privadas (PSA) | Conexiones híbridas (PSC) | Conexiones privadas (PSC) |
| Internet pública | Sí | Sí | No | Es compatible con el balanceador de cargas de aplicaciones externo regional administrado por Google. | Compatible con el balanceador de cargas de aplicaciones externo regional administrado por el cliente, el backend de Private Service Connect y el dominio personalizado |
| Intercambio de tráfico entre VPCs (acceso privado a servicios) | No | Sí | Sí | No | No |
| Enrutamiento basado en PSC | No | No | No |
Se admite con lo siguiente:
Se admite el acceso global (con el URI de adjunto de servicio mejorado), lo que te permite acceder a tu instancia desde una región diferente a la que se encuentra. |
|
| Redes híbridas | No | Sí | Sí | Sí | Sí |
| Acceso saliente | |||||
| Función | Conexiones seguras públicas | Conexiones híbridas (PSA) | Conexiones privadas (PSA) | Conexiones híbridas (PSC) | Conexiones privadas (PSC) |
| Internet | Sí | No | No | Se admite con el balanceador de cargas interno de proxy TCP regional, el NEG de Internet y la puerta de enlace de Cloud NAT. | |
| Intercambio de tráfico entre VPCs (acceso privado a servicios) | No | Sí | Sí | No | No |
| Enrutamiento basado en Private Service Connect | No | No | No | Compatible con el balanceador de cargas interno de proxy TCP regional y el NEG híbrido | |
| Redes híbridas (múltiples nubes y locales) | No | Sí | Sí | Compatible con el balanceador de cargas interno de proxy TCP regional, el NEG híbrido y los productos de redesGoogle Cloud | |
| Aplicación | |||||
| Función | Conexiones seguras públicas | Conexiones híbridas (PSA) | Conexiones privadas (PSA) | Conexiones híbridas (PSC) | Conexiones privadas (PSC) |
| GitHub | Sí | Es compatible con el balanceador de cargas interno del proxy TCP y el NEG de Internet. | Sí. Si deseas ver un ejemplo, consulta el codelab del NEG de Internet HTTPS de salida de PSC de Looker. | ||
| GitHub Enterprise | No | Sí | Sí | Sí | Sí |
| Cloud SQL | Sí | Se admite con Cloud SQL implementado en la misma VPC que Looker (Google Cloud Core) | Sí | Sí | Sí |
| BigQuery | Sí | Sí | Sí | Sí | Sí |
| Incorporar | Sí | Sí | Sí | Sí | Sí |
| Marketplace | Sí | No | No | No | No |
| Hojas conectadas | Sí | Sí | No | Sí | No |
| SMTP | Sí | Sí | Sí | Sí. Requiere conectividad saliente. | |
| Beneficios | |||||
| Función | Conexiones seguras públicas | Conexiones híbridas (PSA) | Conexiones privadas (PSA) | Conexiones híbridas (PSC) | Conexiones privadas (PSC) |
| Beneficios |
|
|
|
|
|
| Consideraciones | |||||
| Función | Conexiones seguras públicas | Conexiones híbridas (PSA) | Conexiones privadas (PSA) | Conexiones híbridas (PSC) | Conexiones privadas (PSC) |
| Consideraciones | Si quieres una URL personalizada, debes configurar un nombre de dominio completamente calificado (por ejemplo, looker.examplepetstore.com). No puedes tener una URL personalizada como examplepetstore.looker.com.
|
|
|
|
|
¿Qué sigue?
- Crea una instancia de Looker (Google Cloud Core) con conexiones seguras públicas
- Usa Private Service Connect con Looker (Google Cloud Core)
- Crea una instancia de Private Service Connect de conexiones privadas de Looker (Google Cloud Core)
- Sigue un instructivo para realizar una conexión HTTPS saliente a GitHub desde un PSC.
- Crea una instancia de Looker (Google Cloud Core) con conexiones privadas (acceso privado a servicios)