Notez que vous consultez actuellement la documentation de Looker. Pour accéder à la documentation sur Looker Studio, consultez la page https://support.google.com/looker-studio.

Cette page a été traduite par l'API Cloud Translation.

Créer une connexion IP privée pour Looker (Google Cloud Core)

Les connexions IP privées rendent les services accessibles sans passer par Internet ni utiliser d'adresses IP externes. Comme elles ne passent pas par Internet, les connexions via une adresse IP privée offrent généralement une latence plus faible et des vecteurs d'attaque limités. Les connexions IP privées permettent à votre instance Looker (Google Cloud Core) de communiquer avec d'autres ressources de votre cloud privé virtuel (VPC), mais n'autorisent pas les communications entrantes provenant de l'Internet public.

La connectivité IP privée n'est pas compatible avec certaines fonctionnalités de Looker (Google Cloud Core). Pour en savoir plus, consultez le tableau sur la compatibilité des fonctionnalités.

Looker (Google Cloud Core) accepte les adresses IP privées pour les instances qui répondent aux critères suivants:

Les éditions de l'instance doivent être Enterprise ou Embed.

Pour configurer une instance d'adresse IP privée, vous devez disposer des autorisations IAM suivantes:

Administrateur Looker
Administrateur de réseaux Compute (ou être propriétaire de votre projet Google Cloud)

Avant de commencer

Afin d'obtenir les autorisations dont vous avez besoin pour créer des plages d'adresses IP allouées et gérer les connexions privées, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur de réseaux Compute (roles/compute.networkAdmin) pour le projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour créer des plages d'adresses IP allouées et gérer les connexions privées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises

Les autorisations suivantes sont requises pour créer des plages d'adresses IP allouées et gérer les connexions privées:
- Consultez les réseaux disponibles dans la liste déroulante Réseau :
  - compute.addresses.list
  - compute.globalAddresses.list
- Créez un réseau VPC :
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Allouez une plage d'adresses IP privées et configurez une connexion d'accès aux services privés : compute.networks.addPeering
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Remarque:Les rôles de base IAM peuvent également contenir des autorisations permettant de créer des plages d'adresses IP allouées et de gérer les connexions privées. Les rôles de base ne doivent pas être attribués dans un environnement de production, mais ils peuvent être attribués dans un environnement de développement ou de test.

Si vous créez une instance IP privée avec Terraform ou Google Cloud CLI et que vous utilisez un réseau privé déjà configuré, vous n'avez pas besoin de ces autorisations.
Activez l'API Compute Engine pour votre projet dans la console Google Cloud. Lors de l'activation de l'API, vous devrez peut-être actualiser la page de la console pour vérifier que l'API a bien été activée.
Activer l'API

Créer et configurer un réseau VPC

Avant de pouvoir créer une connexion IP privée, vous devez d'abord créer et configurer un réseau cloud privé virtuel (VPC).

Créez un réseau VPC dans votre projet. Si vous utilisez un VPC partagé au lieu de créer un réseau VPC, suivez la procédure décrite dans la section Créer une instance dans un VPC partagé, en plus des autres étapes de cette section concernant le VPC partagé.
Attribuez une plage d'adresses IP IPv4 (bloc CIDR) dans votre VPC pour une connexion privée à Looker (Google Cloud Core).

Avant d'allouer votre plage, tenez compte des contraintes.
Lorsque vous définissez la taille de la plage d'adresses IP, n'oubliez pas que la taille minimale est un bloc /22.
Looker (Google Cloud Core) est compatible avec toutes les plages IPv4 conformes à la RFC 1918. Celles-ci spécifient les adresses IP attribuées pour une utilisation en interne (c'est-à-dire au sein d'une organisation) et ne sont pas acheminées vers Internet. En particulier, il peut s'agir des éléments suivants :

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Les plages d'adresses IPv4 de classe E (240.0.0.0/4) sont réservées pour une utilisation future, comme indiqué dans les documents RFC 5735 et RFC 1112. Elles ne sont pas compatibles avec Looker (Google Cloud Core).

sous-réseau proxy réservé

Ajoutez la connexion d'accès aux services privés à votre réseau VPC à l'aide de la plage d'adresses IP allouée à l'étape précédente pour l'allocation attribuée.
Une fois votre réseau VPC créé, revenez à la page Créer une instance Looker dans votre projet Google Cloud. Vous devrez peut-être actualiser la page pour que votre réseau VPC soit reconnu.

Une fois ces étapes terminées, vous pouvez commencer à créer votre instance en suivant les étapes décrites sur la page de documentation Créer une instance Looker (Google Cloud Core) , en commençant par la section Avant de commencer.

Créer une instance dans un VPC partagé

Si vous créez une instance Looker (Google Cloud Core) dans un VPC partagé, procédez comme suit dans le projet hôte du VPC partagé:

Activez l'API Looker dans le projet hôte du VPC partagé depuis la console Google Cloud. Lors de l'activation de l'API, vous devrez peut-être actualiser la page de la console pour vérifier que l'API a bien été activée.
Activer l'API
Créez un compte de service dans le projet hôte du VPC partagé à l'aide de la commande services identity create gcloud:
```
gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
```
Remplacez SHARED_HOST_PROJECT_ID par le projet hôte du VPC partagé.
Accordez l'autorisation IAM compute.globalAddresses.get au compte de service dans le projet hôte.

Après avoir créé le compte de service et lui avoir accordé l'autorisation IAM, attendez quelques minutes que le compte de service et l'autorisation se propagent.

De plus, allouez une plage d'adresses IP IPv4 dans le VPC partagé et ajoutez-y la connexion d'accès aux services privés, comme décrit dans la section précédente, Créer et configurer un réseau VPC.

Configuration réseau à la création de l'instance

Pour configurer une adresse IP privée lors de la création de l'instance, sélectionnez l'une des options suivantes:

Console

Si vous sélectionnez uniquement Adresse IP privée ou à la fois Adresse IP privée et Adresse IP publique lors de la création de l'instance, procédez comme suit pour terminer la configuration:

Si un pop-up Activer les API requises s'affiche, vous devez activer des API supplémentaires pour votre projet Google Cloud. Afin d'activer les API requises pour une connexion réseau privée, cliquez sur TOUT ACTIVER.
Dans la liste déroulante Réseau, sélectionnez votre réseau VPC. Les réseaux IP privés nécessitent une connexion d'accès aux services privés, qui permet à vos services de communiquer exclusivement par le biais d'adresses IP internes. Consultez la page de documentation Configurer l'accès aux services privés pour en savoir plus sur la configuration d'une connexion IP privée. Si vous n'avez pas configuré de connexion aux services privés lors de la création de votre réseau VPC, vous pouvez cliquer sur CONFIGURER LA CONNEXION sous le message Connexion d'accès aux services privés requise. Cela ouvre un panneau latéral dans lequel vous pouvez allouer une plage d'adresses IP et créer une connexion.
Sous Plage d'adresses IP allouée, vous pouvez sélectionner une plage d'adresses IP au sein du VPC, dans laquelle Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core). Les sous-réseaux réservent une plage d'adresses IP qui ne peut pas être utilisée par d'autres ressources du réseau VPC. Vous ne pourrez plus modifier cette plage d'adresses IP après avoir créé l'instance Looker (Google Cloud Core). L'allocation de plages d'adresses IP comprend les options suivantes :
- Sélectionnez Utiliser une plage d'adresses IP attribuée automatiquement pour que Google attribue automatiquement une plage d'adresses IP afin de provisionner un sous-réseau pour le VPC.
- Sélectionnez une plage d'adresses IP définie lors de la configuration de l'accès aux services privés.
Terminez la création de l'instance, puis cliquez sur Créer pour créer l'instance.

gcloud

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

Remplacez les éléments suivants :

INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core). Il n'est pas associé à l'URL de l'instance.
PROJECT_ID: nom du projet Google Cloud dans lequel vous créez l'instance Looker (Google Cloud Core).
OAUTH_CLIENT_ID et OAUTH_CLIENT_SECRET: ID client OAuth et code secret OAuth que vous avez créés lors de la configuration de votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.
REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Sélectionnez la région qui correspond à celle du contrat d'abonnement. Les régions disponibles sont listées sur la page de documentation des emplacements Looker (Google Cloud Core).
EDITION: édition de l'instance. Ses valeurs possibles sont core-standard-annual, core-enterprise-annual ou core-embed-annual. Une fois l'instance créée, l'édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer vos données d'instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une autre édition.
CONSUMER_NETWORK: votre réseau VPC ou VPC partagé. Doit être défini si vous créez une instance IP privée.
RESERVED_RANGE: plage d'adresses IP au sein du VPC dans laquelle Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core). Ne définissez pas de plage si vous activez une connexion réseau IP privée pour votre instance.

Vous pouvez inclure les indicateurs suivants:

--private-ip-enabled active les adresses IP privées.
--public-ip-enabled active l'adresse IP publique.
--no-public-ip-enabled désactive l'adresse IP publique.

Configuration de l'instance après sa création

Si vous créez une instance qui n'est activée que pour les adresses IP privées, vous ne recevrez pas d'URL pour cette instance. Pour accéder à l'instance, vous devez effectuer les deux opérations suivantes:

Configurez un serveur proxy pour autoriser l'accès à une instance qui utilise une adresse IP privée.

Remarque :Si vous configurez un serveur proxy et que vous établissez des connexions à ce serveur proxy, vous devez également utiliser un domaine personnalisé.
Configurez un domaine personnalisé et ajoutez-le au client OAuth pour l'instance.

Vous pouvez également configurer davantage votre instance d'adresse IP privée en procédant comme suit:

Supprimez la route par défaut si vous utilisez VPC Service Controls.
Créez une liste d'autorisation de domaines de messagerie pour limiter l'envoi d'e-mails aux domaines externes.
Configurez votre instance d'adresse IP privée pour autoriser ou limiter la communication avec Internet ou des ressources externes.