이 페이지에서는 Looker (Google Cloud 핵심 서비스) 인스턴스의 네트워크 구성 옵션을 설명합니다.
인스턴스를 만들 때 인스턴스의 네트워크 구성을 설정합니다. 인스턴스 생성 프로세스를 시작하기 전에 사용할 네트워킹 옵션을 결정하는 것이 좋습니다. 또한 이 페이지는 조직의 요구사항에 가장 적합한 옵션을 결정하는 데 도움이 됩니다.
개요
Looker (Google Cloud 핵심 서비스)에는 다음과 같은 네트워크 구성 옵션을 사용할 수 있습니다.
- 공개 보안 연결 사용: 인터넷에 액세스할 수 있는 외부 IP 주소를 사용하는 인스턴스입니다.
비공개 연결 사용: 비공개 연결은 Looker(Google Cloud 핵심 서비스) 인스턴스에 액세스하거나 Looker(Google Cloud 핵심 서비스) 인스턴스에서 액세스하는 데 비공개 네트워크를 사용합니다. 비공개 네트워크를 사용하는 방법에는 두 가지가 있습니다.
- Private Service Connect: Private Service Connect가 사용 설정된 인스턴스는 Google에서 호스팅하는 내부 가상 프라이빗 클라우드 (VPC) IP 주소를 사용하고 Private Service Connect를 사용하여 Google 및 서드 파티 서비스에 비공개로 연결합니다.
- 비공개 서비스 액세스: 비공개 서비스 액세스가 사용 설정된 인스턴스는 Google에서 호스팅하는 내부 가상 프라이빗 클라우드 (VPC) IP 주소를 사용하고 비공개 서비스 액세스를 사용하여 Google 및 서드 파티 서비스에 비공개로 연결합니다.
하이브리드 연결 사용: 인그레스를 위한 공개 IP 주소와 이그레스를 위한 Google에서 호스팅하는 내부 VPC IP 주소 및 비공개 서비스 액세스 또는 Private Service Connect를 지원하는 인스턴스입니다.
Looker(Google Cloud 핵심 서비스) 인스턴스의 네트워크 구성을 고려할 때 다음 정보가 결정에 도움이 될 수 있습니다.
- 인스턴스를 만들 때 네트워크 구성을 설정해야 합니다. 공개 보안 연결로 구성된 인스턴스는 인스턴스를 만든 후에는 변경할 수 없습니다. 하이브리드 연결용으로 구성된 인스턴스를 비공개 연결로 변경하거나 비공개 연결이 있는 인스턴스를 인스턴스 생성 후 하이브리드 연결 구성으로 변경할 수 있습니다.
- 기능 제공 여부는 네트워크 옵션에 따라 다릅니다. 자세한 내용은 Looker(Google Cloud 핵심 서비스)의 기능 제공 여부 문서 페이지를 참조하세요.
- 네트워크 구성과 관계없이 BigQuery에 대한 모든 연결은 Google의 비공개 네트워크를 통해 이루어집니다.
- 서드 파티 ID 공급업체가 싱글 사인온(SSO)에 구성된 경우 사용자의 브라우저가 ID 공급업체와 통신한 후 Looker(Google Cloud 핵심 서비스) 인스턴스로 리디렉션됩니다. 리디렉션 URL이 사용자의 네트워크를 통해 액세스할 수 있는 한 서드 파티 ID 공급자는 모든 네트워킹 구성에서 작동합니다.
이 문서 페이지의 네트워킹 옵션을 선택하는 방법 섹션에 있는 표에서 팀에 적합한 네트워킹 구성을 결정하는 방법도 자세히 알아보세요.
공개 보안 연결
공개 보안 연결 인스턴스로 배포된 Looker (Google Cloud 핵심 서비스)은 외부 인터넷 액세스 가능 IP 주소에서 액세스할 수 있습니다. 이 구성에서는 인터넷 엔드포인트에 대한 Looker (Google Cloud 핵심 서비스) 아웃바운드 (southbound) 액세스 외에도 Looker (Google Cloud 핵심 서비스)에 대한 인바운드 (northbound) 트래픽이 지원됩니다. 이 구성은 Looker에서 호스팅하는 Looker (원본) 인스턴스의 구성과 유사합니다.
공개 보안 연결은 Looker (Google Cloud 핵심 서비스)로의 HTTPS 트래픽만 허용합니다. CNAME이 업데이트되고 Google에서 DIG 레코드를 찾을 수 있으면 Google에서 SSL 인증서를 자동 프로비저닝합니다. 이 인증서는 4개월마다 자동으로 교체됩니다. 공개 보안 연결 Looker (Google Cloud 핵심 서비스) 인스턴스에서 외부 데이터베이스에 안전하게 연결하려면 암호화된 SSL 연결을 설정하면 됩니다.
공개 보안 연결 구성은 설정 및 연결이 간단하며 고급 네트워크 구성이나 전문 지식이 필요하지 않습니다.
Looker (Google Cloud 핵심 서비스) 공개 보안 연결 인스턴스를 만들려면 공개 보안 연결 Looker (Google Cloud 핵심 서비스) 인스턴스 만들기 문서 페이지를 참고하세요.
비공개 연결
비공개 연결을 사용하도록 구성된 Looker (Google Cloud 핵심 서비스) 인스턴스는 Google에서 호스팅하는 내부 VPC IP 주소를 사용합니다. 이 주소를 사용하여 VPC에 액세스할 수 있는 다른 리소스와 통신할 수 있습니다. 비공개 연결을 사용하면 공개 인터넷을 통하지 않거나 외부 IP 주소를 사용하지 않고도 서비스에 연결할 수 있습니다. 인터넷을 통과하지 않으므로 비공개 연결은 일반적으로 지연 시간이 짧고 공격 벡터가 제한됩니다.
비공개 연결 구성에서 내부 인증서는 Google에서 완전히 관리하며 누구에게도 노출되지 않습니다. 커스텀 인증서로 비공개 연결 인스턴스를 프로비저닝하는 경우 내부 비공개 인증서를 관리할 필요가 없습니다. 대신 자체 맞춤 인증서를 사용하고 해당 인증서의 순환이 유지되도록 하세요.
비공개 연결 구성에서는 Looker (Google Cloud 핵심 서비스)에 공개 URL이 없습니다. 사용자가 모든 인바운드 (northbound) 트래픽을 제어하며 모든 아웃바운드 (southbound) 트래픽은 VPC를 통해 라우팅됩니다.
인스턴스에서 비공개 연결만 사용하는 경우 커스텀 도메인 및 인스턴스에 대한 사용자 액세스를 설정하거나, 일부 Looker (Google Cloud 핵심 서비스) 기능을 사용하거나, Git 제공업체와 같은 외부 리소스에 연결하려면 추가 구성이 필요합니다. 사내 네트워킹 전문 지식이 있으면 이 구성을 계획하고 실행하는 데 도움이 됩니다.
Looker (Google Cloud 핵심 서비스)은 비공개 연결에 다음 두 가지 옵션을 지원합니다.
비공개 서비스 액세스 또는 Private Service Connect 사용 여부는 인스턴스를 만들 때 결정해야 합니다.
Private Service Connect
Looker(Google Cloud 핵심 서비스)에서 Private Service Connect를 사용하려면 인스턴스를 만들 때 설정해야 합니다.
Looker (Google Cloud 핵심 서비스)과 함께 사용하는 경우 Private Service Connect는 다음과 같은 점에서 비공개 서비스 액세스와 다릅니다.
- 엔드포인트와 백엔드가 공개 또는 비공개 액세스 방법을 지원합니다.
- Looker (Google Cloud 핵심 서비스)은 Private Service Connect를 통해 액세스할 수 있는 Cloud SQL과 같은 다른 Google 서비스에 연결할 수 있습니다.
- 대규모 IP 블록을 할당할 필요가 없습니다.
- 직접 연결을 사용하면 전이적 통신이 가능합니다.
- 다른 서비스와 네트워크를 공유할 필요가 없습니다.
- 멀티테넌시를 지원합니다.
- 전역 액세스를 지원합니다.
- 커스텀 도메인에 Google 관리형 인증서를 지원합니다.
사내 네트워킹 전문 지식이 있으면 Private Service Connect 구성을 계획하고 실행하는 데 도움이 됩니다.
Private Service Connect 인스턴스에 대한 자세한 내용은 Looker(Google Cloud 핵심 서비스)에서 Private Service Connect 사용하기 문서 페이지를 참조하세요.
Private Service Connect를 사용하여 Looker (Google Cloud 핵심 서비스) 인스턴스에 액세스
Private Service Connect 백엔드는 Looker (Google Cloud 핵심 서비스) Private Service Connect 인스턴스에 비공개로 액세스하거나 공용 인터넷을 통해 Looker (Google Cloud 핵심 서비스)에 액세스하는 데 사용할 수 있습니다.
관리되는 네이티브 이그레스를 사용하여 외부 서비스에 연결
Looker (Google Cloud 핵심 서비스)은 제어된 네이티브 이그레스를 사용하여 Private Service Connect 기반 배포를 위한 관리형 기본 제공 솔루션을 제공하여 인터넷 (HTTPS) 이그레스 연결을 간소화합니다. 제어된 네이티브 이그레스를 사용하는 경우 Virtual Private Cloud (VPC)에서 인터넷 이그레스용 프로듀서 서비스를 만들 필요가 없습니다. 관리형 네이티브 이그레스는 Google 관리형 Looker VPC를 통해 인터넷 트래픽을 라우팅하므로 여러 가지 주요 이점을 제공하며, 주로 보안 환경을 사용하는 고객의 구성을 간소화하고 사용성을 개선하는 데 중점을 둡니다.
관리형 네이티브 이그레스의 주요 이점은 다음과 같습니다.
- 구성 복잡성 완화: 부하 분산기 및 NAT 게이트웨이 배포 또는 Private Service Connect 프로듀서 서비스용 서브넷 공간 할당과 같은 기본 요건을 삭제하여 구성이 간소화됩니다. 제어된 네이티브 이그레스는 HTTPS 인터넷 이그레스를 용이하게 하기 위해 Looker (Google Cloud 핵심 서비스)에서 관리합니다.
- 복잡한 해결 방법 제거: 네트워크 인프라를 배포하지 않고도 마켓과 같은 서비스에 연결하는 간소화된 방법을 제공합니다.
- 주요 외부 서비스 지원: Looker 관리 Marketplace, github.com, gitlab.com과 같은 고객 지정 정규화된 도메인 이름 (FQDN)에 대해 구성 가능한 네이티브 이그레스를 지원합니다.
관리형 네이티브 이그레스를 선택할 때는 다음 사항을 고려하세요.
- 제어된 네이티브 이그레스는 공개 엔드포인트의 HTTPS 인터넷 이그레스를 지원합니다.
- Looker (Google Cloud 핵심 서비스) API를 VPC 서비스 제어 경계에 포함해도 제어된 네이티브 이그레스에서 실행되는 HTTPS 인터넷 이그레스는 차단되지 않습니다. VPC 서비스 제어는 인터넷 이그레스가 아닌 googleapis를 차단하기 때문입니다.
- Looker 작업 허브는 제어된 네이티브 이그레스에서 지원되지 않습니다.
- Google API 트래픽은 제어된 네이티브 이그레스에서 지원되지 않습니다.
전역 FQDN 설정을 통해 제어된 네이티브 이그레스로 아웃바운드 연결을 구성합니다.
제어된 네이티브 이그레스 또는 Private Service Connect 게시 서비스를 사용하는 아웃바운드 연결 간 비교는 제어된 네이티브 이그레스와 Private Service Connect 연결 비교 섹션을 참고하세요.
Private Service Connect를 사용하여 외부 서비스에 연결
Looker (Google Cloud 핵심 서비스) Private Service Connect 인스턴스는 엔드포인트를 사용하여 Google Cloud 또는 외부 리소스에 연결할 수 있습니다. 외부 리소스인 경우 네트워크 엔드포인트 그룹(NEG)과 부하 분산기도 설정해야 합니다. 또한 고유한 서비스에 대한 각 아웃바운드 연결을 위해서는 서비스가 Private Service Connect를 사용하여 게시되어야 합니다. Looker (Google Cloud 핵심 서비스) 측에서는 연결하려는 각 서비스에 대해 고유한 이그레스 연결을 로컬 FQDN 설정을 통해 생성하고 유지관리해야 합니다.
Private Service Connect를 사용하여 외부 서비스에 연결하는 예시는 Looker PSC Southbound HTTPS 인터넷 NEG Codelab을 참고하세요.
Private Service Connect의 아웃바운드 연결 유형 비교는 제어된 네이티브 이그레스와 Private Service Connect 연결 비교 섹션을 참고하세요.
제어된 네이티브 이그레스와 Private Service Connect 연결 비교
다음 표에서는 제어된 네이티브 이그레스 또는 사우스바운드 Private Service Connect 연결을 통해 외부 서비스에 연결하는 주요 기능을 비교합니다.
| 기능 | 제어된 네이티브 이그레스 | Private Service Connect를 사용한 하위 연결 |
|---|---|---|
| 기본 목표 | 일반적인 특정 공개 외부 서비스 (예: Marketplace, GitHub)에 액세스하기 위한 구성을 간소화합니다. | Looker (Google Cloud 핵심 서비스)이 서비스 소비자 역할을 하여 VPC, 멀티 클라우드 네트워크 또는 인터넷의 서비스와 통신을 설정할 수 있도록 지원합니다. |
| 관리 및 복잡성 | 복잡한 네트워크 지식 요구사항을 없애도록 설계된 관리형 내장 Looker (Google Cloud 핵심 서비스) Private Service Connect 기능입니다. | 고객이 사우스바운드 연결을 설정하기 위해 자세한 구성을 수동으로 해야 합니다. |
| 타겟팅된 서비스 | HTTPS 인터넷 이그레스 서비스 (예: Marketplace, github.com, gitlab.com)용으로 설계됨 | Google 관리 데이터베이스 (예: Cloud SQL), 온프레미스 데이터베이스, 자체 관리 서비스를 비롯한 다양한 아웃바운드 서비스 (비공개 및 공개)를 지원합니다. |
비공개 서비스 액세스
Looker (Google Cloud 핵심 서비스)에서 비공개 서비스 액세스 비공개 연결을 사용하려면 인스턴스를 만들 때 설정해야 합니다. Looker (Google Cloud 핵심 서비스) 인스턴스는 원하는 경우 비공개 (비공개 서비스 액세스) 연결과 함께 공개 보안 연결을 포함할 수 있습니다. 비공개 서비스 액세스를 사용하는 인스턴스를 만든 후 해당 인스턴스에 비공개 연결을 추가하거나 삭제할 수 있습니다.
비공개 (비공개 서비스 액세스) 연결을 만들려면 VPC의 /22 CIDR 범위를 Looker (Google Cloud 핵심 서비스)에 할당해야 합니다.
비공개 (비공개 서비스 액세스) 연결만 사용하는 인스턴스에 대한 사용자 액세스를 설정하려면 조직의 요구사항에 따라 커스텀 도메인을 설정하고 도메인에 대한 액세스를 구성해야 합니다. 외부 리소스에 연결하려면 추가 구성을 수행해야 합니다. 사내 네트워킹 전문 지식이 있으면 이 구성을 계획하고 실행하는 데 도움이 됩니다.
Looker (Google Cloud 핵심 서비스) 비공개 서비스 액세스 인스턴스를 만들려면 비공개 연결 인스턴스 만들기 문서 페이지를 참고하세요.
하이브리드 연결 구성
비공개 연결에 비공개 서비스 액세스 또는 Private Service Connect를 사용하는 Looker (Google Cloud 핵심 서비스) 인스턴스는 하이브리드 연결 구성을 지원합니다.
비공개 서비스 액세스를 사용하고 하이브리드 연결이 있는 Looker (Google Cloud 핵심 서비스) 인스턴스에는 공개 URL이 있으며 모든 인바운드 (상위) 트래픽은 HTTPS를 사용하여 공개 연결을 통과합니다. 발신 (남쪽) 트래픽은 HTTPS 또는 암호화를 사용하여 비공개 연결 트래픽만 허용하도록 구성할 수 있는 VPC를 통해 라우팅됩니다. 전송 중인 모든 트래픽은 암호화됩니다.
Private Service Connect가 사용 설정된 Looker (Google Cloud 핵심 서비스) 인스턴스는 VPC에서 액세스할 수 있는 고객 정의 IP 주소를 인그레스로 사용합니다. VPC 및 온프레미스 또는 멀티 클라우드 워크로드와의 통신은 이그레스 트래픽을 위해 배포하는 서비스 연결을 사용합니다.
하이브리드 연결 구성을 사용하면 연결된 시트 BI 커넥터와 같이 비공개 연결 구성에서는 사용할 수 없는 일부 Looker (Google Cloud 핵심 서비스) 기능을 사용할 수 있습니다.
네트워킹 옵션 선택 방법
다음 표에는 다양한 네트워킹 옵션에서 사용할 수 있는 기능이 나와 있습니다.
| 네트워크 요구사항 | |||||
|---|---|---|---|---|---|
| 기능 | 공개 보안 연결 | 하이브리드 연결 (PSA) | 비공개 연결 (PSA) | 하이브리드 연결 (PSC) | 비공개 연결 (PSC) |
| 인스턴스 생성을 위한 IP 범위 할당 필요 여부 | 아니요 | 예(인스턴스당 리전별 /22)
|
예(인스턴스당 리전별 /22)
|
아니요 | 아니요 |
| Cloud Armor | 예. Looker (Google Cloud 핵심 서비스)은 Google에서 관리하는 기본 Cloud Armor 규칙을 사용합니다. 이러한 규칙은 구성할 수 없습니다. | 예. Looker (Google Cloud 핵심 서비스)은 Google에서 관리하는 기본 Cloud Armor 규칙을 사용합니다. 이러한 규칙은 구성할 수 없습니다. | 아니요 | 예. Looker (Google Cloud 핵심 서비스)은 Google에서 관리하는 기본 Cloud Armor 규칙을 사용합니다. 이러한 규칙은 구성할 수 없습니다. | 고객 관리 리전 외부 애플리케이션 부하 분산기, Private Service Connect 백엔드, 고객 관리 Google Cloud Armor에서 지원 |
| 커스텀 도메인 | 예 | 공개 URL로 지원됨 | 예 | 공개 URL로 지원됨 | 예 |
| 인바운드 액세스 | |||||
| 기능 | 공개 보안 연결 | 하이브리드 연결 (PSA) | 비공개 연결 (PSA) | 하이브리드 연결 (PSC) | 비공개 연결 (PSC) |
| 공개 인터넷 | 예 | 예 | 아니요 | Google 관리 리전 외부 애플리케이션 부하 분산기에서 지원됨 | 고객 관리 리전 외부 애플리케이션 부하 분산기, Private Service Connect 백엔드, 커스텀 도메인으로 지원됨 |
| VPC 피어링 (비공개 서비스 액세스) | 아니요 | 예 | 예 | 아니요 | 아니요 |
| PSC 기반 라우팅 | 아니요 | 아니요 | 아니요 |
다음에서 지원됨:
글로벌 액세스가 지원되므로 (향상된 서비스 연결 URI 사용) 인스턴스가 있는 리전이 아닌 다른 리전에서 인스턴스에 액세스할 수 있습니다. |
|
| 하이브리드 네트워킹 | 아니요 | 예 | 예 | 예 | 예 |
| 아웃바운드 액세스 | |||||
| 기능 | 공개 보안 연결 | 하이브리드 연결 (PSA) | 비공개 연결 (PSA) | 하이브리드 연결 (PSC) | 비공개 연결 (PSC) |
| 인터넷 | 예 | 아니요 | 아니요 | 리전 TCP 프록시 내부 부하 분산기, 인터넷 NEG, Cloud NAT 게이트웨이에서 지원됨 | |
| VPC 피어링 (비공개 서비스 액세스) | 아니요 | 예 | 예 | 아니요 | 아니요 |
| Private Service Connect 기반 라우팅 | 아니요 | 아니요 | 아니요 | 리전 TCP 프록시 내부 부하 분산기 및 하이브리드 NEG에서 지원됨 | |
| 하이브리드 네트워킹 (멀티 클라우드 및 온프레미스) | 아니요 | 예 | 예 | 리전 TCP 프록시 내부 부하 분산기, 하이브리드 NEG, Google Cloud 네트워킹 제품에서 지원됨 | |
| 애플리케이션 | |||||
| 기능 | 공개 보안 연결 | 하이브리드 연결 (PSA) | 비공개 연결 (PSA) | 하이브리드 연결 (PSC) | 비공개 연결 (PSC) |
| GitHub | 예 | TCP 프록시 내부 부하 분산기 및 인터넷 NEG에서 지원됨 | 예. 예시는 Looker PSC Southbound HTTPS 인터넷 NEG Codelab을 참고하세요. | ||
| GitHub Enterprise | 아니요 | 예 | 예 | 예 | 예 |
| Cloud SQL | 예 | Looker (Google Cloud 핵심 서비스)과 동일한 VPC에 배포된 Cloud SQL에서 지원됨 | 예 | 예 | 예 |
| BigQuery | 예 | 예 | 예 | 예 | 예 |
| 삽입 | 예 | 예 | 예 | 예 | 예 |
| Marketplace | 예 | 아니요 | 아니요 | 아니요 | 아니요 |
| 연결된 시트 | 예 | 예 | 아니요 | 예 | 아니요 |
| SMTP | 예 | 예 | 예 | 예. 아웃바운드 연결이 필요합니다. | |
| 이점 | |||||
| 기능 | 공개 보안 연결 | 하이브리드 연결 (PSA) | 비공개 연결 (PSA) | 하이브리드 연결 (PSC) | 비공개 연결 (PSC) |
| 이점 |
|
|
|
|
|
| 고려사항 | |||||
| 기능 | 공개 보안 연결 | 하이브리드 연결 (PSA) | 비공개 연결 (PSA) | 하이브리드 연결 (PSC) | 비공개 연결 (PSC) |
| 고려사항 | 커스텀 URL을 사용하려면 정규화된 도메인 이름(예: looker.examplepetstore.com)을 구성해야 합니다. examplepetstore.looker.com과 같은 커스텀 URL은 사용할 수 없습니다.
|
|
|
|
|
다음 단계
- 공개 보안 연결 Looker (Google Cloud 핵심 서비스) 인스턴스 만들기
- Looker(Google Cloud 핵심 서비스)에서 Private Service Connect 사용
- Looker (Google Cloud 핵심 서비스) 비공개 연결 Private Service Connect 인스턴스 만들기
- PSC에서 GitHub로 아웃바운드 HTTPS 연결을 실행하는 방법에 관한 튜토리얼을 따르세요.
- 비공개 연결 (비공개 서비스 액세스) Looker (Google Cloud 핵심 서비스) 인스턴스 만들기