Le connessioni con IP privato rendono i servizi raggiungibili senza connettersi a internet o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni su IP privato di solito forniscono una latenza inferiore e vettori d'attacco limitati. Le connessioni con IP privato consentono all'istanza di Looker (Google Cloud core) di comunicare con altre risorse nel tuo virtual private cloud (VPC), ma non consentono la comunicazione in entrata dalla rete internet pubblica.
La connettività con IP privato non è compatibile con alcune funzionalità di Looker (Google Cloud core). Per ulteriori informazioni, consulta la tabella relativa alla compatibilità delle funzionalità.
Looker (Google Cloud core) supporta l'IP privato per le istanze che soddisfano i seguenti criteri:
- Le versioni dell'istanza devono essere Enterprise o Embed.
Per configurare un'istanza IP privato, devi disporre delle seguenti autorizzazioni IAM:
- Amministratore Looker
- Amministratore rete Compute (o essere un proprietario del progetto Google Cloud)
Prima di iniziare
-
Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti Ruolo IAM Amministratore rete Compute (
roles/compute.networkAdmin
) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:
-
Controlla le reti disponibili nel menu a discesa Rete:
-
compute.addresses.list
-
compute.globalAddresses.list
-
compute.networks.list
-
compute.globalAddresses.list
-
-
Crea una nuova rete VPC:
-
compute.addresses.create
-
compute.globalAddresses.create
-
serviceusage.services.enable
-
-
Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi:
compute.networks.addPeering
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.
Se stai creando un'istanza IP privato con Terraform o Google Cloud CLI e utilizzi una rete privata già configurata, queste autorizzazioni non sono necessarie.
-
Controlla le reti disponibili nel menu a discesa Rete:
- Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.
Crea e configura una rete VPC
Per poter creare una connessione IP privato, devi prima creare e configurare una rete Virtual Private Cloud (VPC). Looker (Google Cloud core) supporta più istanze IP private nello stesso VPC, nella stessa regione o in regioni diverse.
- Crea una rete VPC nel progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi nella sezione seguente, Creazione di un'istanza in un VPC condiviso, oltre a completare i passaggi rimanenti in questa sezione per il VPC condiviso.
- Alloca un intervallo IP IPv4 (blocco CIDR) nel tuo VPC per una connessione privata a Looker (Google Cloud core).
- Prima di allocare l'intervallo, considera i vincoli.
- Quando imposti la dimensione dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco
/22
. - Looker (Google Cloud core) supporta tutti gli intervalli IPv4 in RFC 1918, che specifica gli indirizzi IP assegnati per essere utilizzati internamente (ossia all'interno di un'organizzazione) e non verranno instradati su internet. In particolare, si tratta di:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
- Gli intervalli IPv4 di classe E (
240.0.0.0/4
) sono riservati per un uso futuro, come indicato in RFC 5735 e RFC 1112, e non sono supportati per Looker (Google Cloud core). - Aggiungi la connessione di accesso privato ai servizi alla tua rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
- Una volta creata la rete VPC, torna alla pagina Crea istanza Looker nel progetto Google Cloud. Potresti dover aggiornare la pagina in modo che la tua rete VPC venga riconosciuta.
/26
della subnet /22
che prenoti quando crei l'istanza di Looker (Google Cloud core). Tutte le istanze di Looker con IP privato successivo (Google Cloud core) nello stesso VPC e nella stessa regione utilizzano la stessa subnet solo proxy.
Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo quelli nella pagina della documentazione Creare un'istanza di Looker (Google Cloud core) , a partire dalla sezione Prima di iniziare.
Creazione di un'istanza in un VPC condiviso
Se stai creando un'istanza di Looker (Google Cloud core) in un VPC condiviso, completa i seguenti passaggi nel progetto host del VPC condiviso:
- Abilita l'API Looker nel progetto host del VPC condiviso nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.
Crea un account di servizio nel progetto host del VPC condiviso utilizzando il comando
services identity create
gcloud:gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
Sostituisci SHARED_HOST_PROJECT_ID con il progetto host del VPC condiviso.
Concedi l'autorizzazione IAM
compute.globalAddresses.get
all'account di servizio nel progetto host.
Dopo aver creato l'account di servizio e avergli concesso l'autorizzazione IAM, attendi alcuni minuti affinché l'account di servizio e l'autorizzazione vengano propagati.
Inoltre, alloca un intervallo IP IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso, come descritto nella sezione precedente, Creare e configurare una rete VPC.
Configurazione di rete durante la creazione dell'istanza
Per configurare l'IP privato durante la creazione dell'istanza, seleziona una delle seguenti opzioni:
console
Se selezioni solo IP privato o sia IP privato che IP pubblico durante la creazione dell'istanza, utilizza il comando seguente per completare la configurazione:
- Se viene visualizzato il popup Abilita API richieste, devi abilitare API aggiuntive per il progetto Google Cloud. Per abilitare le API richieste per una connessione di rete privata, fai clic su ABILITA TUTTI.
- Nel menu a discesa Rete, seleziona la tua rete VPC. Le reti IP private richiedono una connessione di accesso privato ai servizi, che consente ai servizi di comunicare esclusivamente mediante indirizzi IP interni. Per saperne di più sulla configurazione di una connessione IP privato, consulta la pagina della documentazione Configurazione dell'accesso privato ai servizi. Se non hai configurato una connessione privata ai servizi quando hai creato la tua rete VPC, puoi fare clic su CONFIGURA CONNESSIONE nel messaggio Connessione di accesso privato ai servizi richiesta. Si apre un riquadro laterale in cui puoi allocare un intervallo IP e creare una connessione.
- In Allocato un intervallo IP, puoi selezionare un intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core). Le subnet prenotano un intervallo IP che non può essere utilizzato da altre risorse nella rete VPC. Non potrai modificare questo intervallo IP dopo aver creato l'istanza di Looker (Google Cloud core). L'allocazione dell'intervallo IP include le seguenti opzioni:
- Seleziona Utilizza intervallo IP assegnato automaticamente per fare in modo che Google allochi automaticamente un intervallo IP al fine di eseguire il provisioning di una subnet per il VPC.
- Seleziona un intervallo IP definito durante la configurazione dell'accesso privato ai servizi.
- Completa la creazione dell'istanza e fai clic su Crea per creare l'istanza.
gcloud
gcloud looker instances create INSTANCE_NAME \ --project=PROJECT_ID \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE [--no-public-ip-enabled] [--public-ip-enabled]
Sostituisci quanto segue:
INSTANCE_NAME
: un nome per l'istanza di Looker (Google Cloud core); non sarà associato all'URL dell'istanza.PROJECT_ID
: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).OAUTH_CLIENT_ID
eOAUTH_CLIENT_SECRET
: l'ID client e il secret OAuth che hai creato durante la configurazione del client OAuth. Dopo aver creato l'istanza, inserisci il relativo URL nella sezione URI di reindirizzamento autorizzati del client OAuth.REGION
: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione che corrisponde a quella indicata nel contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione delle località di Looker (Google Cloud core).EDITION
: la versione dell'istanza. I valori possibili sonocore-standard-annual
,core-enterprise-annual
ocore-embed-annual
. Le versioni non possono essere cambiate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.CONSUMER_NETWORK
: rete VPC o VPC condiviso. Deve essere impostato se stai creando un'istanza IP privato.RESERVED_RANGE
: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core). Non definire un intervallo se stai abilitando una connessione di rete IP privata per la tua istanza.
Puoi includere i seguenti flag:
--private-ip-enabled
abilita l'IP privato.--public-ip-enabled
abilita l'IP pubblico.--no-public-ip-enabled
disabilita l'IP pubblico.
Configurazione dell'istanza dopo la sua creazione
Se crei un'istanza abilitata solo per l'IP privato, non riceverai un URL per l'istanza. Per accedere all'istanza, devi configurare un dominio personalizzato per l'istanza. Per conoscere le diverse opzioni di networking con IP privato per la configurazione e l'accesso a un dominio personalizzato, consulta la pagina della documentazione Opzioni di networking del dominio personalizzato per le istanze IP privati di Looker (Google Cloud core).
In alternativa, puoi creare un dominio personalizzato, aggiornare le credenziali OAuth e configurare un server proxy IP pubblico per consentire l'accesso pubblico a un'istanza che utilizza un IP privato.
Puoi anche configurare ulteriormente l'istanza IP privato seguendo questi passaggi:
- Rimuovi la route predefinita se utilizzi i Controlli di servizio VPC.
- Crea una lista consentita di domini email per limitare il recapito delle email a domini esterni.
- Configura la tua istanza IP privato per consentire o limitare la comunicazione con internet o con risorse esterne.
Passaggi successivi
- Networking IP privato con Looker (Google Cloud core)
- Opzioni personalizzate di networking del dominio per istanze IP privati di Looker (Google Cloud core)