Esta página explica as opções de configuração de rede para instâncias do Looker (Google Cloud core).
Define a configuração de rede de uma instância durante a criação da instância. É recomendável determinar que opções de rede quer usar antes de iniciar o processo de criação da instância. Esta página também ajuda a determinar qual destas opções é mais adequada às necessidades da sua organização.
Vista geral
Estão disponíveis as seguintes opções de configuração de rede para o Looker (essencial para o Google Cloud):
- Usar ligações seguras públicas: uma instância que usa um endereço IP acessível à Internet externo.
Use ligações privadas: as ligações privadas usam redes privadas para aceder às instâncias do Looker (Google Cloud core) e a partir destas. Existem duas opções para usar redes privadas:
- Private Service Connect: uma instância ativada para o Private Service Connect usa um endereço IP da nuvem virtual privada (VPC) interno alojado na Google e usa o Private Service Connect para estabelecer ligação privada aos serviços Google e de terceiros.
- Acesso privado aos serviços: uma instância ativada para o acesso privado aos serviços usa um endereço IP da nuvem virtual privada (VPC) interno alojado na Google e usa o acesso privado aos serviços para se ligar de forma privada aos serviços Google e de terceiros.
Use ligações híbridas: uma instância que suporta um endereço IP público para entrada e um endereço IP de VPC interno alojado na Google e acesso a serviços privados ou Private Service Connect para saída.
Quando considerar uma configuração de rede para a sua instância do Looker (essencial para o Google Cloud), as seguintes informações podem ser úteis para tomar a sua decisão:
- A configuração da rede tem de ser definida quando a instância é criada. Não é possível alterar uma instância configurada para ligações seguras públicas após a criação da instância. Pode alterar uma instância configurada para ligações híbridas para ligações privadas, ou alterar uma instância com ligações privadas para uma configuração de ligações híbridas após a criação da instância.
- A disponibilidade das funcionalidades varia consoante a opção de rede. Consulte a página de documentação Disponibilidade de funcionalidades no Looker (Google Cloud core) para mais informações.
- Todas as ligações ao BigQuery são feitas através da rede privada da Google, independentemente da configuração de rede.
- Se um fornecedor de identidade de terceiros estiver configurado para o Início de sessão único, o navegador do utilizador comunica com o fornecedor de identidade e, em seguida, é redirecionado para a instância do Looker (Google Cloud core). Desde que o URL de redirecionamento esteja acessível através da rede do utilizador, os fornecedores de identidade de terceiros funcionam para todas as configurações de rede.
Consulte também a tabela na secção Como escolher uma opção de rede desta página de documentação para obter mais informações sobre como decidir a configuração de rede certa para a sua equipa.
Ligações públicas seguras
O Looker (Google Cloud core) implementado como uma instância de ligação segura pública é acessível a partir de um endereço IP acessível através da Internet externa. Nesta configuração, o tráfego de entrada (norte) para o Looker (Google Cloud Core) é suportado, além do acesso de saída (sul) do Looker (Google Cloud Core) aos pontos finais da Internet. Esta configuração é semelhante à configuração de uma instância do Looker (original) alojada pelo Looker.
As ligações seguras públicas permitem apenas tráfego HTTPS no Looker (Google Cloud core). A Google aprovisiona automaticamente um certificado SSL quando o CNAME é atualizado e a Google consegue localizar os registos DIG. Este certificado é alterado automaticamente a cada quatro meses. Para se ligar em segurança a bases de dados externas a partir de uma instância do Looker (Google Cloud core) com uma ligação segura pública, pode configurar uma ligação SSL encriptada.
As configurações de ligações seguras públicas são fáceis de configurar e estabelecer ligação, e não requerem configuração de rede avançada nem conhecimentos especializados.
Para criar uma instância de ligação segura pública do Looker (Google Cloud core), consulte a página de documentação Crie uma instância do Looker (Google Cloud core) de ligação segura pública.
Ligações privadas
Uma instância do Looker (Google Cloud core) configurada para usar ligações privadas usa um endereço IP VPC interno alojado na Google. Pode usar este endereço para comunicar com outros recursos que podem aceder à VPC. As ligações privadas tornam os serviços acessíveis sem passar pela Internet pública nem usar endereços IP externos. Como não atravessam a Internet, as ligações privadas oferecem normalmente uma latência mais baixa e vetores de ataque limitados.
Numa configuração de ligações privadas, os certificados internos são totalmente geridos pela Google e não são expostos a ninguém. Se estiver a aprovisionar uma instância de ligações privadas com certificados personalizados, não precisa de gerir os certificados privados internos. Em alternativa, use o seu próprio certificado personalizado e certifique-se de que a rotação desse certificado é mantida.
Numa configuração de ligações privadas, o Looker (Google Cloud core) não tem um URL público. Controla todo o tráfego de entrada (norte) e todo o tráfego de saída (sul) é encaminhado através da sua VPC.
Se a sua instância usar apenas uma ligação privada, é necessária uma configuração adicional para configurar um domínio personalizado e o acesso do utilizador à instância; usar algumas funcionalidades do Looker (Google Cloud core); ou estabelecer ligação a recursos externos, como fornecedores de Git. As competências internas de redes são úteis para planear e executar esta configuração.
O Looker (Google Cloud Core) suporta as seguintes duas opções para ligações privadas:
A utilização do acesso a serviços privados ou do Private Service Connect tem de ser decidida no momento da criação da instância.
Private Service Connect
A utilização do Private Service Connect com o Looker (essencial para o Google Cloud) tem de ser definida no momento da criação da instância.
Quando usado com o Looker (essencial para o Google Cloud), o Private Service Connect difere do acesso privado aos serviços das seguintes formas:
- Os pontos finais e os backends suportam métodos de acesso públicos ou privados.
- O Looker (essencial para o Google Cloud) pode estabelecer ligação a outros serviços Google, como o Cloud SQL, que são acessíveis através do Private Service Connect.
- Não é necessário atribuir grandes blocos de IPs.
- As ligações diretas permitem a comunicação transitiva.
- Não é necessário partilhar uma rede com outros serviços.
- Suporta multi-tenancy.
- Suporta acesso global.
- Suporta certificados geridos pela Google para domínios personalizados.
A experiência em rede interna é útil para planear e executar configurações do Private Service Connect.
Para saber mais sobre as instâncias do Private Service Connect, consulte a página de documentação Use o Private Service Connect com o Looker (Google Cloud core).
Aceder a uma instância do Looker (Google Cloud core) com o Private Service Connect
Os servidores de back-end do Private Service Connect podem ser usados para aceder de forma privada a instâncias do Private Service Connect do Looker (Google Cloud core) ou para aceder ao Looker (Google Cloud core) através da Internet pública.
Estabelecer ligação a serviços externos através da saída nativa controlada
O Looker (essencial para o Google Cloud) usa a saída nativa controlada para simplificar a conetividade de saída da Internet (HTTPS), fornecendo uma solução gerida integrada para implementações baseadas no Private Service Connect. Se usar a saída nativa controlada, não precisa de criar um serviço de produtor para a saída da Internet na sua nuvem virtual privada (VPC). As rotas de saída nativas controladas encaminham o tráfego da Internet através da VPC do Looker gerida pela Google, o que oferece várias vantagens importantes, focando-se principalmente na simplificação da configuração e no aumento da usabilidade para os clientes com ambientes seguros.
Seguem-se as principais vantagens da saída nativa controlada:
- Simplifica a complexidade da configuração: a configuração é simplificada através da remoção de pré-requisitos, como a implementação de balanceadores de carga e gateways NAT, ou a atribuição de espaço de sub-rede para um serviço de produtor do Private Service Connect. A saída nativa controlada é gerida pelo Looker (núcleo do Google Cloud) para facilitar a saída da Internet HTTPS.
- Elimina soluções alternativas complicadas: oferece uma forma simplificada de estabelecer ligação a serviços como o Marketplace sem implementar infraestrutura de rede.
- Suporta serviços externos de chaves: permite a saída nativa configurável para nomes de domínios totalmente qualificados (FQDNs) especificados pelo cliente, como o Marketplace gerido pelo Looker, github.com e gitlab.com.
Quando escolher a saída nativa controlada, considere o seguinte:
- A saída nativa controlada suporta a saída da Internet HTTPS para pontos finais públicos.
- A inclusão da API Looker (Google Cloud core) num perímetro dos VPC Service Controls não bloqueia a saída da Internet HTTPS realizada pela saída nativa controlada. Isto deve-se ao facto de os VPC Service Controls bloquearem googleapis e não a saída da Internet.
- O Action Hub do Looker não é suportado pela saída nativa controlada.
- O tráfego da API Google não é suportado pela saída nativa controlada.
Configura as ligações de saída com saída nativa controlada através da definição FQDN global.
Para uma comparação entre ligações de saída que usam a saída nativa controlada ou os serviços publicados do Private Service Connect, consulte a secção Comparação entre a saída nativa controlada e as ligações do Private Service Connect.
Estabelecer ligação a serviços externos através do Private Service Connect
As instâncias do Private Service Connect do Looker (essencial para o Google Cloud) podem usar pontos finais para estabelecer ligação a Google Cloud recursos externos. Se um recurso for externo, também tem de configurar um grupo de pontos finais de rede (NEG) e um balanceador de carga. Além disso, cada ligação de saída a um serviço único requer que o serviço seja publicado através do Private Service Connect. No lado do Looker (essencial para o Google Cloud), cada ligação de saída exclusiva tem de ser criada através da definição FQDN local e mantida para cada serviço ao qual quer estabelecer ligação.
Para ver um exemplo de ligação a um serviço externo através do Private Service Connect, consulte o codelab do NEG de Internet HTTPS de saída do PSC do Looker.
Para uma comparação dos tipos de ligações de saída para o Private Service Connect, consulte a secção Saída nativa controlada versus ligações do Private Service Connect.
Saída nativa controlada versus ligações do Private Service Connect
A tabela seguinte compara as principais funcionalidades da ligação a serviços externos com saída nativa controlada ou através de ligações do Private Service Connect a sul.
| Funcionalidade | Saída nativa controlada | Ligações de saída através do Private Service Connect |
|---|---|---|
| Objetivo principal | Simplificar a configuração para aceder a serviços externos públicos comuns específicos (por exemplo, Marketplace e GitHub). | Permite que o Looker (essencial para o Google Cloud) atue como um consumidor de serviços para estabelecer comunicação com serviços na sua VPC, na sua rede multicloud ou na Internet. |
| Gestão e complexidade | Uma funcionalidade do Private Service Connect do Looker (Google Cloud core) gerida e integrada, concebida para eliminar requisitos complexos de conhecimentos de rede. | Requer uma configuração manual e detalhada por parte do cliente para configurar ligações de saída. |
| Serviços segmentados | Concebido para serviços de saída da Internet HTTPS (por exemplo, Marketplace, github.com, gitlab.com) | Suporta uma grande variedade de serviços de saída (privados e públicos), incluindo bases de dados geridas pela Google (por exemplo, Cloud SQL), bases de dados no local e serviços autogeridos. |
Acesso a serviços privados
A utilização de ligações privadas de acesso a serviços privados com o Looker (essencial para o Google Cloud) tem de ser definida no momento da criação da instância. As instâncias do Looker (Google Cloud core) podem incluir opcionalmente uma ligação segura pública com a respetiva ligação privada (acesso a serviços privados). Após a criação de uma instância que usa o acesso a serviços privados, pode adicionar ou remover uma ligação privada a essa instância.
Para criar uma ligação privada (acesso a serviços privados), tem de atribuir um intervalo de /22CIDR na sua VPC ao Looker (Google Cloud core).
Para configurar o acesso do utilizador a uma instância que usa apenas uma ligação privada (acesso a serviços privados), tem de configurar um domínio personalizado e configurar o acesso ao domínio consoante as necessidades da sua organização. Para estabelecer ligação a recursos externos, tem de fazer uma configuração adicional. As competências internas de redes são úteis para planear e executar esta configuração.
Para criar uma instância de acesso aos serviços privados do Looker (Google Cloud core), consulte a página de documentação Crie uma instância de ligações privadas.
Configuração de ligações híbridas
As instâncias do Looker (Google Cloud core) que usam o acesso a serviços privados ou o Private Service Connect para a respetiva ligação privada suportam uma configuração de ligações híbridas.
Uma instância do Looker (Google Cloud core) que usa o acesso privado aos serviços e que tem uma ligação híbrida tem um URL público, e todo o tráfego de entrada (norte) passa pela ligação pública através de HTTPS. O tráfego de saída (sul) é encaminhado através da sua VPC, que pode ser configurada para permitir apenas tráfego de ligação privada, através de HTTPS ou encriptação. Todo o tráfego em trânsito é encriptado.
Uma instância do Looker (essencial para o Google Cloud) ativada para o Private Service Connect usa um endereço IP definido pelo cliente acessível numa VPC para entrada. A comunicação com a VPC e as cargas de trabalho nas instalações ou de várias nuvens usa anexos de serviços que implementa para o tráfego de saída.
Uma configuração de ligações híbridas permite a utilização de algumas funcionalidades do Looker (Google Cloud core) que não estão disponíveis para configurações de ligações privadas, como o conetor de BI do Connected Sheets.
Como escolher uma opção de rede
A tabela seguinte mostra a disponibilidade de funcionalidades para diferentes opções de rede.
| Requisitos de rede | |||||
|---|---|---|---|---|---|
| Funcionalidade | Ligações seguras públicas | Associações híbridas (PSA) | Ligações privadas (PSA) | Associações híbridas (PSC) | Ligações privadas (PSC) |
| Requer a atribuição de um intervalo de IP para a criação de instâncias | Não | Sim (/22 por instância, por região)
|
Sim (/22 por instância, por região)
|
Não | Não |
| Cloud Armor | Sim. O Looker (essencial para o Google Cloud) usa regras do Cloud Armor predefinidas, que são geridas pela Google. Estas regras não são configuráveis. | Sim. O Looker (essencial para o Google Cloud) usa regras do Cloud Armor predefinidas, que são geridas pela Google. Estas regras não são configuráveis. | Não | Sim. O Looker (essencial para o Google Cloud) usa regras do Cloud Armor predefinidas, que são geridas pela Google. Estas regras não são configuráveis. | Suportado com o Application Load Balancer externo regional gerido pelo cliente, o back-end do Private Service Connect e o Google Cloud Armor gerido pelo cliente |
| Domínio personalizado | Sim | Suportado como um URL público | Sim | Suportado como um URL público | Sim |
| Acesso de entrada | |||||
| Funcionalidade | Ligações seguras públicas | Associações híbridas (PSA) | Ligações privadas (PSA) | Associações híbridas (PSC) | Ligações privadas (PSC) |
| Internet pública | Sim | Sim | Não | Suportado com o Application Load Balancer externo regional gerido pela Google | Suportado com o balanceador de carga de aplicações externo regional gerido pelo cliente, o back-end do Private Service Connect e o domínio personalizado |
| Intercâmbio de VPC (acesso a serviços privados) | Não | Sim | Sim | Não | Não |
| Encaminhamento baseado em PSC | Não | Não | Não |
São suportados os seguintes elementos:
O acesso global é suportado (com o URI de associação de serviço melhorado), o que lhe permite aceder à sua instância a partir de uma região diferente daquela onde a instância se encontra. |
|
| Redes híbridas | Não | Sim | Sim | Sim | Sim |
| Acesso de saída | |||||
| Funcionalidade | Ligações seguras públicas | Associações híbridas (PSA) | Ligações privadas (PSA) | Associações híbridas (PSC) | Ligações privadas (PSC) |
| Internet | Sim | Não | Não | Suportado com o balanceador de carga interno do proxy TCP regional, o NEG da Internet e o gateway Cloud NAT. | |
| Intercâmbio de VPC (acesso a serviços privados) | Não | Sim | Sim | Não | Não |
| Encaminhamento baseado no Private Service Connect | Não | Não | Não | Suportado com o balanceador de carga interno do proxy TCP regional e o NEG híbrido | |
| Redes híbridas (várias nuvens e nas instalações) | Não | Sim | Sim | Suportado com o balanceador de carga interno do proxy TCP regional, o NEG híbrido e os Google Cloud produtos de rede | |
| Aplicação | |||||
| Funcionalidade | Ligações seguras públicas | Associações híbridas (PSA) | Ligações privadas (PSA) | Associações híbridas (PSC) | Ligações privadas (PSC) |
| GitHub | Sim | Suportado com o balanceador de carga interno do proxy TCP e o NEG da Internet | Sim. Para ver um exemplo, consulte o codelab do NEG de Internet HTTPS de saída do PSC do Looker. | ||
| GitHub Enterprise | Não | Sim | Sim | Sim | Sim |
| Cloud SQL | Sim | Suportado com o Cloud SQL implementado na mesma VPC que o Looker (essencial para o Google Cloud) | Sim | Sim | Sim |
| BigQuery | Sim | Sim | Sim | Sim | Sim |
| Incorporar | Sim | Sim | Sim | Sim | Sim |
| Marketplace | Sim | Não | Não | Não | Não |
| Páginas associadas | Sim | Sim | Não | Sim | Não |
| SMTP | Sim | Sim | Sim | Sim. Requer conetividade de saída. | |
| Vantagens | |||||
| Funcionalidade | Ligações seguras públicas | Associações híbridas (PSA) | Ligações privadas (PSA) | Associações híbridas (PSC) | Ligações privadas (PSC) |
| Vantagens |
|
|
|
|
|
| Considerações | |||||
| Funcionalidade | Ligações seguras públicas | Associações híbridas (PSA) | Ligações privadas (PSA) | Associações híbridas (PSC) | Ligações privadas (PSC) |
| Considerações | Se quiser um URL personalizado, tem de configurar um nome de domínio totalmente qualificado (por exemplo, looker.examplepetstore.com). Não pode ter um URL personalizado como examplepetstore.looker.com.
|
|
|
|
|
O que se segue?
- Crie uma instância do Looker (Google Cloud Core) com ligações seguras públicas
- Use o Private Service Connect com o Looker (Google Cloud core)
- Crie uma instância do Private Service Connect de ligações privadas do Looker (Google Cloud core)
- Siga um tutorial sobre como fazer uma ligação HTTPS de saída ao GitHub a partir de um PSC.
- Crie uma instância do Looker (Google Cloud Core) com ligações privadas (acesso a serviços privados)