Halaman ini diterjemahkan oleh Cloud Translation API.

Opsi jaringan Looker (Google Cloud core)

Halaman ini menjelaskan opsi konfigurasi jaringan untuk instance Looker (inti Google Cloud).

Anda menetapkan konfigurasi jaringan instance selama pembuatan instance. Sebaiknya tentukan opsi jaringan yang ingin Anda gunakan sebelum memulai proses pembuatan instance. Halaman ini juga membantu Anda menentukan opsi mana yang paling sesuai dengan kebutuhan organisasi Anda.

Ringkasan

Opsi konfigurasi jaringan berikut tersedia untuk Looker (Google Cloud core):

Menggunakan koneksi aman publik: Instance yang menggunakan alamat IP eksternal yang dapat diakses internet.
Gunakan koneksi pribadi: Koneksi pribadi menggunakan jaringan pribadi untuk akses ke dan dari instance Looker (Google Cloud core). Ada dua opsi untuk menggunakan jaringan pribadi:
- Private Service Connect: Instance yang diaktifkan untuk Private Service Connect menggunakan alamat IP Virtual Private Cloud (VPC) yang dihosting Google dan internal, serta menggunakan Private Service Connect untuk terhubung secara pribadi ke layanan Google dan pihak ketiga.
- Akses layanan pribadi: Instance yang diaktifkan untuk akses layanan pribadi menggunakan alamat IP Virtual Private Cloud (VPC) internal yang dihosting Google dan menggunakan akses layanan pribadi untuk terhubung secara pribadi ke layanan Google dan pihak ketiga.
Menggunakan koneksi hybrid: Instance yang mendukung alamat IP publik untuk ingress dan alamat IP VPC internal yang dihosting Google serta Private Services Access atau Private Service Connect untuk egress.

Saat mempertimbangkan konfigurasi jaringan untuk instance Looker (Google Cloud core), informasi berikut mungkin berguna saat Anda membuat keputusan:

Konfigurasi jaringan harus disetel saat instance dibuat. Instance yang dikonfigurasi untuk koneksi aman publik tidak dapat diubah setelah pembuatan instance. Instance yang dikonfigurasi untuk koneksi hybrid dapat diubah menjadi koneksi pribadi, atau instance dengan koneksi pribadi dapat diubah menjadi konfigurasi koneksi hybrid setelah instance dibuat.
Ketersediaan fitur bervariasi menurut opsi jaringan. Lihat halaman dokumentasi Ketersediaan fitur di Looker (Google Cloud Core) untuk mengetahui informasi selengkapnya.
Semua koneksi ke BigQuery dilakukan melalui jaringan pribadi Google, terlepas dari konfigurasi jaringan.
Jika penyedia identitas pihak ketiga dikonfigurasi untuk single sign-on, browser pengguna akan berkomunikasi dengan penyedia identitas, lalu dialihkan ke instance Looker (inti Google Cloud). Selama URL pengalihan dapat diakses melalui jaringan pengguna, penyedia identitas pihak ketiga berfungsi untuk semua konfigurasi jaringan.

Lihat juga tabel di bagian Cara memilih opsi jaringan di halaman dokumentasi ini untuk mengetahui informasi selengkapnya tentang cara memutuskan konfigurasi jaringan yang tepat untuk tim Anda.

Koneksi aman publik

Looker (inti Google Cloud) yang di-deploy sebagai instance koneksi aman publik dapat diakses dari alamat IP yang dapat diakses internet eksternal. Dalam konfigurasi ini, traffic masuk (arah utara) ke Looker (Google Cloud core) didukung selain akses keluar (arah selatan) Looker (Google Cloud core) ke endpoint internet. Konfigurasi ini mirip dengan konfigurasi instance Looker (asli) yang dihosting oleh Looker.

Traffic ke dan dari instance koneksi aman publik berpindah melalui internet publik.

Koneksi aman publik hanya mengizinkan traffic HTTPS ke Looker (inti Google Cloud). Google akan otomatis menyediakan sertifikat SSL saat CNAME diperbarui dan Google dapat menemukan data DIG. Sertifikat ini otomatis dirotasi setiap empat bulan. Untuk terhubung dengan aman ke database eksternal dari instance Looker (inti Google Cloud) koneksi aman publik, Anda dapat menyiapkan koneksi SSL terenkripsi.

Konfigurasi koneksi aman publik mudah disiapkan dan dihubungkan serta tidak memerlukan konfigurasi atau keahlian jaringan tingkat lanjut.

Untuk membuat instance koneksi aman publik Looker (Google Cloud core), lihat halaman dokumentasi Membuat instance Looker (Google Cloud core) koneksi aman publik.

Private connections

Instance Looker (inti Google Cloud) yang dikonfigurasi untuk menggunakan koneksi pribadi menggunakan alamat IP VPC internal yang dihosting Google. Anda dapat menggunakan alamat ini untuk berkomunikasi dengan resource lain yang dapat mengakses VPC. Koneksi pribadi membuat layanan dapat dijangkau tanpa melalui internet publik atau menggunakan alamat IP eksternal. Karena tidak melintasi internet, koneksi pribadi biasanya memberikan latensi yang lebih rendah dan vektor serangan terbatas.

Dalam konfigurasi koneksi pribadi, sertifikat internal dikelola sepenuhnya oleh Google dan tidak diekspos kepada siapa pun. Jika Anda menyediakan instance koneksi pribadi dengan sertifikat kustom, Anda tidak perlu mengelola sertifikat pribadi internal. Sebagai gantinya, gunakan sertifikat kustom Anda sendiri, dan pastikan rotasi sertifikat tersebut dipertahankan.

Dalam konfigurasi koneksi pribadi, Looker (Google Cloud core) tidak memiliki URL publik. Anda mengontrol semua traffic masuk (arah utara), dan semua traffic keluar (arah selatan) akan dirutekan melalui VPC Anda.

Jika instance Anda hanya menggunakan koneksi pribadi, konfigurasi tambahan diperlukan untuk menyiapkan domain kustom dan akses pengguna ke instance; menggunakan beberapa fitur Looker (inti Google Cloud); atau terhubung ke resource eksternal, seperti penyedia Git. Keahlian jaringan internal akan membantu merencanakan dan menjalankan konfigurasi ini.

Looker (Google Cloud core) mendukung dua opsi berikut untuk koneksi pribadi:

Akses layanan pribadi
Private Service Connect

Penggunaan Private Service Connect atau akses layanan pribadi harus diputuskan pada saat pembuatan instance.

Private Service Connect

Penggunaan Private Service Connect dengan Looker (inti Google Cloud) harus ditetapkan pada saat pembuatan instance.

Jika digunakan dengan Looker (inti Google Cloud), Private Service Connect berbeda dari akses layanan pribadi dalam hal berikut:

Endpoint dan backend mendukung metode akses publik atau pribadi.
Looker (inti Google Cloud) dapat terhubung ke layanan Google lainnya, seperti Cloud SQL, yang dapat diakses melalui Private Service Connect.
Tidak perlu mengalokasikan blok IP besar.
Koneksi langsung memungkinkan komunikasi transitif.
Anda tidak perlu membagikan jaringan dengan layanan lain.
Mendukung multi-tenancy.
Mendukung akses global.
Mendukung sertifikat yang dikelola Google untuk domain kustom.

Keahlian jaringan internal akan membantu dalam merencanakan dan menjalankan konfigurasi Private Service Connect.

Untuk mempelajari lebih lanjut instance Private Service Connect, lihat halaman dokumentasi Menggunakan Private Service Connect dengan Looker (inti Google Cloud).

Mengakses instance Looker (Google Cloud core) dengan Private Service Connect

Backend Private Service Connect dapat digunakan untuk mengakses instance Private Service Connect Looker (Google Cloud core) secara pribadi atau untuk mengakses Looker (Google Cloud core) melalui internet publik.

Menghubungkan ke layanan eksternal menggunakan keluar native yang dikontrol

Looker (inti Google Cloud) menggunakan egress native yang terkontrol untuk menyederhanakan konektivitas egress internet (HTTPS) dengan menyediakan solusi terkelola bawaan untuk deployment berbasis Private Service Connect. Jika Anda menggunakan egress native yang dikontrol, Anda tidak perlu membuat layanan produsen untuk egress internet di Virtual Private Cloud (VPC). Egress native yang dikontrol merutekan traffic internet melalui VPC Looker yang dikelola Google, yang memberikan beberapa manfaat utama, terutama berfokus pada penyederhanaan konfigurasi dan peningkatan kegunaan bagi pelanggan dengan lingkungan yang aman.

Berikut adalah manfaat utama keluar data native yang terkontrol:

Mempermudah kompleksitas konfigurasi: Konfigurasi disederhanakan dengan menghilangkan prasyarat seperti men-deploy load balancer dan gateway NAT, atau mengalokasikan ruang subnet untuk layanan produsen Private Service Connect. Traffic keluar native yang dikontrol dikelola oleh Looker (Google Cloud core) untuk memfasilitasi traffic keluar internet HTTPS.
Menghilangkan solusi rumit: Menawarkan cara yang lebih sederhana untuk terhubung ke layanan seperti Marketplace tanpa men-deploy infrastruktur jaringan.
Mendukung layanan eksternal utama: Memungkinkan egress native yang dapat dikonfigurasi untuk nama domain yang sepenuhnya memenuhi syarat (FQDN) yang ditentukan pelanggan, seperti Marketplace yang dikelola Looker, github.com, dan gitlab.com.

Saat memilih keluar native yang dikontrol, pertimbangkan hal berikut:

Egress native yang dikontrol mendukung egress internet HTTPS untuk endpoint publik.
Menyertakan Looker (inti Google Cloud) API dalam perimeter Kontrol Layanan VPC tidak memblokir traffic keluar internet HTTPS yang dilakukan oleh traffic keluar native yang dikontrol. Hal ini karena Kontrol Layanan VPC memblokir googleapis, bukan keluar (egress) internet.
Hub Tindakan Looker tidak didukung oleh keluar native yang dikontrol.
Traffic Google API tidak didukung oleh keluar native yang dikontrol.

Anda mengonfigurasi koneksi keluar dengan traffic keluar native yang terkontrol melalui setelan FQDN Global.

Untuk perbandingan antara koneksi keluar yang menggunakan traffic keluar native yang dikontrol atau layanan yang dipublikasikan Private Service Connect, lihat bagian Perbandingan koneksi traffic keluar native yang dikontrol dengan Private Service Connect.

Menghubungkan ke layanan eksternal menggunakan Private Service Connect

Instance Private Service Connect Looker (Google Cloud core) dapat menggunakan endpoint untuk terhubung ke Google Cloud atau resource eksternal. Jika resource bersifat eksternal, grup endpoint jaringan (NEG) dan load balancer juga perlu disiapkan. Selain itu, setiap koneksi keluar ke layanan unik mengharuskan layanan tersebut dipublikasikan menggunakan Private Service Connect. Di sisi Looker (Google Cloud core), setiap koneksi keluar yang unik harus dibuat melalui setelan FQDN Lokal dan dipertahankan untuk setiap layanan yang ingin Anda hubungkan.

Ringkasan topologi jaringan masuk dan keluar untuk Private Service Connect.

Untuk contoh menghubungkan ke layanan eksternal menggunakan Private Service Connect, lihat codelab NEG Internet HTTPS Southbound PSC Looker.

Untuk perbandingan jenis koneksi keluar untuk Private Service Connect, lihat bagian Koneksi keluar native yang dikontrol versus Private Service Connect.

Egress native yang dikontrol versus koneksi Private Service Connect

Tabel berikut membandingkan fitur utama untuk menghubungkan ke layanan eksternal dengan traffic keluar native yang dikontrol atau melalui koneksi Private Service Connect southbound.

Fitur	Traffic keluar native yang dikontrol	Koneksi ke selatan menggunakan Private Service Connect
Sasaran utama	Menyederhanakan konfigurasi untuk mengakses layanan eksternal publik umum tertentu (misalnya, Marketplace, GitHub).	Memungkinkan Looker (inti Google Cloud) bertindak sebagai konsumen layanan untuk membuat komunikasi dengan layanan di VPC, jaringan multi-cloud, atau internet.
Pengelolaan dan kompleksitas	Fitur Private Service Connect Looker (inti Google Cloud) terkelola dan bawaan, yang dirancang untuk menghilangkan persyaratan pengetahuan jaringan yang kompleks.	Memerlukan konfigurasi manual yang mendetail oleh pelanggan untuk menyiapkan koneksi ke selatan.
Layanan yang ditargetkan	Dirancang untuk layanan keluar internet HTTPS (misalnya, Marketplace, github.com, gitlab.com)	Mendukung berbagai layanan keluar (pribadi dan publik), termasuk database yang dikelola Google (misalnya, Cloud SQL), database lokal, dan layanan yang dikelola sendiri.

Akses layanan pribadi

Penggunaan koneksi pribadi akses layanan pribadi dengan Looker (Google Cloud core) harus ditetapkan pada saat pembuatan instance. Instance Looker (inti Google Cloud) dapat secara opsional menyertakan koneksi aman publik dengan koneksi pribadinya (akses layanan pribadi). Setelah membuat instance yang menggunakan akses layanan pribadi, Anda dapat menambahkan atau menghapus koneksi pribadi ke instance tersebut.

Untuk membuat koneksi pribadi (akses layanan pribadi), Anda harus mengalokasikan rentang CIDR /22 di VPC ke Looker (inti Google Cloud).

Untuk menyiapkan akses pengguna ke instance yang hanya menggunakan koneksi pribadi (akses layanan pribadi), Anda harus menyiapkan domain kustom dan mengonfigurasi akses ke domain bergantung pada kebutuhan organisasi Anda. Untuk terhubung ke resource eksternal, Anda harus melakukan konfigurasi tambahan. Keahlian jaringan internal akan membantu merencanakan dan menjalankan konfigurasi ini.

Untuk membuat instance akses layanan pribadi Looker (Google Cloud core), lihat halaman dokumentasi Membuat instance koneksi pribadi.

Konfigurasi koneksi hybrid

Instance Looker (inti Google Cloud) yang menggunakan akses layanan pribadi atau Private Service Connect untuk koneksi pribadinya mendukung konfigurasi koneksi hybrid.

Instance Looker (inti Google Cloud) yang menggunakan akses layanan pribadi dan memiliki koneksi hybrid memiliki URL publik, dan semua traffic masuk (arah utara) akan melalui koneksi publik menggunakan HTTPS. Traffic keluar (southbound) dirutekan melalui VPC Anda, yang dapat dikonfigurasi untuk mengizinkan hanya traffic koneksi pribadi, menggunakan HTTPS atau enkripsi. Semua traffic dalam pengiriman dienkripsi.

Instance Looker (inti Google Cloud) yang diaktifkan untuk Private Service Connect menggunakan alamat IP yang ditentukan pelanggan yang dapat diakses di VPC untuk ingress. Komunikasi ke VPC dan workload lokal atau multi-cloud menggunakan lampiran layanan yang Anda deploy untuk traffic keluar.

Dalam konfigurasi koneksi hybrid, traffic masuk melewati koneksi publik, dan traffic keluar melewati koneksi pribadi.

Konfigurasi koneksi hybrid memungkinkan penggunaan beberapa fitur Looker (inti Google Cloud) yang tidak tersedia untuk konfigurasi koneksi pribadi, seperti konektor BI Google Spreadsheet yang Terhubung.

Cara memilih opsi jaringan

Tabel berikut menunjukkan ketersediaan fitur untuk berbagai opsi jaringan.

Persyaratan jaringan
Fitur	Koneksi aman publik	Koneksi hybrid (PSA)	Koneksi pribadi (PSA)	Koneksi hybrid (PSC)	Koneksi pribadi (PSC)
Memerlukan alokasi rentang IP untuk pembuatan instance	Tidak	Ya (`/22` per instance, per region)	Ya (`/22` per instance, per region)	Tidak	Tidak
Cloud Armor	Ya. Looker (Google Cloud core) menggunakan aturan Cloud Armor default, yang dikelola oleh Google. Aturan ini tidak dapat dikonfigurasi.	Ya. Looker (Google Cloud core) menggunakan aturan Cloud Armor default, yang dikelola oleh Google. Aturan ini tidak dapat dikonfigurasi.	Tidak	Ya. Looker (Google Cloud core) menggunakan aturan Cloud Armor default, yang dikelola oleh Google. Aturan ini tidak dapat dikonfigurasi.	Didukung dengan Load Balancer Aplikasi eksternal regional yang dikelola pelanggan, backend Private Service Connect, dan Google Cloud Armor yang dikelola pelanggan
Domain kustom	Ya	Didukung sebagai URL publik	Ya	Didukung sebagai URL publik	Ya
Akses masuk
Fitur	Koneksi aman publik	Koneksi hybrid (PSA)	Koneksi pribadi (PSA)	Koneksi hybrid (PSC)	Koneksi pribadi (PSC)
Internet publik	Ya	Ya	Tidak	Didukung dengan Load Balancer Aplikasi eksternal regional yang dikelola Google	Didukung dengan Load Balancer Aplikasi eksternal regional yang dikelola pelanggan, backend Private Service Connect, dan domain kustom
Peering VPC (akses layanan pribadi)	Tidak	Ya	Ya	Tidak	Tidak
Perutean berbasis PSC	Tidak	Tidak	Tidak	Didukung dengan hal berikut: Load Balancer Aplikasi eksternal regional dan backend Private Service Connect Backend Private Service Connect dan Load Balancer Aplikasi internal regional Akses global didukung (dengan URI lampiran layanan yang ditingkatkan), sehingga Anda dapat mengakses instance dari region yang berbeda dengan lokasi instance.
Jaringan hybrid	Tidak	Ya	Ya	Ya	Ya
Akses keluar
Fitur	Koneksi aman publik	Koneksi hybrid (PSA)	Koneksi pribadi (PSA)	Koneksi hybrid (PSC)	Koneksi pribadi (PSC)
Internet	Ya	Tidak	Tidak	Didukung dengan load balancer internal proxy TCP regional, NEG internet, dan gateway Cloud NAT.
Peering VPC (akses layanan pribadi)	Tidak	Ya	Ya	Tidak	Tidak
Perutean berbasis Private Service Connect	Tidak	Tidak	Tidak	Didukung dengan load balancer internal proxy TCP regional dan NEG hibrida
Jaringan hybrid (multi-cloud dan lokal)	Tidak	Ya	Ya	Didukung dengan load balancer internal proxy TCP regional, NEG hibrida, dan Google Cloud produk jaringan
Aplikasi
Fitur	Koneksi aman publik	Koneksi hybrid (PSA)	Koneksi pribadi (PSA)	Koneksi hybrid (PSC)	Koneksi pribadi (PSC)
GitHub	Ya	Didukung dengan load balancer internal proxy TCP dan NEG internet		Ya. Untuk contoh, lihat codelab NEG HTTPS Southbound PSC Looker.
GitHub Enterprise	Tidak	Ya	Ya	Ya	Ya
Cloud SQL	Ya	Didukung dengan Cloud SQL yang di-deploy di VPC yang sama dengan Looker (Google Cloud core)	Ya	Ya	Ya
BigQuery	Ya	Ya	Ya	Ya	Ya
Penyematan	Ya	Ya	Ya	Ya	Ya
Marketplace	Ya	Tidak	Tidak	Tidak	Tidak
Sheet yang Terhubung	Ya	Ya	Tidak	Ya	Tidak
SMTP	Ya	Ya	Ya	Ya. Memerlukan konektivitas keluar.
Manfaat
Fitur	Koneksi aman publik	Koneksi hybrid (PSA)	Koneksi pribadi (PSA)	Koneksi hybrid (PSC)	Koneksi pribadi (PSC)
Manfaat	URL yang dapat diakses secara publik berarti mudah untuk terhubung ke Looker (Google Cloud core) dari layanan lain yang perlu mengakses instance atau mengalihkan ke Looker. Tidak perlu konfigurasi jaringan lanjutan.	Mengakses Looker (Google Cloud core) melalui URL publik Akses keluar ke lingkungan multi-cloud dicapai berdasarkan keterjangkauan IP	Instance pribadi untuk akses masuk dan keluar Akses keluar ke lingkungan multi-cloud dicapai berdasarkan keterjangkauan IP	Tidak ada batasan bersama dan tidak diperlukan koordinasi IP antara konsumen dan produsen Alokasi subnet untuk instansiasi Looker (Google Cloud core) tidak diperlukan Akses eksplisit ke Looker (Google Cloud core) dan endpoint Mendukung load balancer eksternal yang dikelola Google.	Tidak ada batasan bersama dan tidak diperlukan koordinasi IP antara konsumen dan produsen Alokasi subnet untuk instansiasi Looker (Google Cloud core) tidak diperlukan Akses eksplisit ke Looker (Google Cloud core) dan endpoint Mendukung akses publik dan pribadi ke Looker (Google Cloud core) dengan penggunaan backend Private Service Connect
Pertimbangan
Fitur	Koneksi aman publik	Koneksi hybrid (PSA)	Koneksi pribadi (PSA)	Koneksi hybrid (PSC)	Koneksi pribadi (PSC)
Pertimbangan	Jika menginginkan URL kustom, Anda harus mengonfigurasi nama domain yang memenuhi syarat (misalnya, `looker.examplepetstore.com`). Anda tidak dapat memiliki URL kustom seperti `examplepetstore.looker.com`.	Akses keluar ke lingkungan lokal dan multi-cloud memerlukan update firewall Men-deploy Looker (inti Google Cloud) dalam arsitektur VPC hub-and-spoke dengan peering VPC akan menghasilkan perutean non-transitif ke Looker jika diakses melalui jaringan hybrid dari jaringan lokal atau multi-cloud Infrastruktur tambahan untuk terhubung ke Git publik (VM proxy, NEG internet, dan load balancer)	Akses keluar ke lingkungan lokal dan multi-cloud memerlukan update firewall Men-deploy Looker (inti Google Cloud) dalam arsitektur VPC hub-and-spoke dengan peering VPC akan menghasilkan perutean non-transitif ke Looker jika diakses melalui jaringan hybrid dari jaringan lokal atau multi-cloud Infrastruktur tambahan untuk terhubung ke Git publik (VM proxy, NEG internet, dan load balancer)	Akses publik ke Looker (Google Cloud core) dikelola oleh Google. Setiap endpoint keluar (alamat IP) memerlukan layanan yang dipublikasikan Private Service Connect.	Akses publik ke Looker (inti Google Cloud) memerlukan integrasi dengan backend Private Service Connect dan Load Balancer Aplikasi eksternal Setiap endpoint keluar (alamat IP) memerlukan layanan yang dipublikasikan Private Service Connect

Opsi jaringan Looker (Google Cloud core) Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.