Créer une instance Looker (Google Cloud Core) avec une adresse IP privée

Cette page explique comment créer une instance de production ou une instance hors production Looker (Google Cloud Core) à adresse IP privée qui utilise l'accès aux services privés.

Les connexions IP privées permettent d'accéder aux services sans passer par Internet ni utiliser d'adresses IP externes. Comme elles ne traversent pas Internet, les connexions via une adresse IP privée offrent généralement une latence plus faible et des vecteurs d'attaque limités. Les connexions IP privées permettent à votre instance Looker (Google Cloud Core) de communiquer avec d'autres ressources de votre réseau de cloud privé virtuel (VPC), mais n'autorisent pas la communication entrante depuis l'Internet public.

La connectivité par adresse IP privée permet d'utiliser certaines fonctionnalités, comme VPC Service Controls. Toutefois, les connexions IP privées ne sont pas compatibles avec certaines fonctionnalités de Looker (Google Cloud Core). Pour en savoir plus, consultez le tableau de compatibilité des fonctionnalités.

Looker (Google Cloud Core) est compatible avec les adresses IP privées pour les éditions d'instance Enterprise ou Embed.

Rôles et autorisations requis

Pour configurer une instance d'adresse IP privée, vous devez disposer des autorisations IAM suivantes:

  1. Pour créer une instance Looker (Google Cloud Core), vous devez disposer du rôle Administrateur Looker (roles/looker.Admin).

  2. Pour obtenir les autorisations nécessaires pour créer des plages d'adresses IP attribuées et gérer des connexions privées, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseaux Compute (roles/compute.networkAdmin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

    Ce rôle prédéfini contient les autorisations requises pour créer des plages d'adresses IP attribuées et gérer des connexions privées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

    Autorisations requises

    Vous devez disposer des autorisations suivantes pour créer des plages d'adresses IP attribuées et gérer des connexions privées:

    • Consultez les réseaux disponibles dans la liste déroulante Network (Réseau) :
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Créez un réseau VPC :
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Allouez une plage d'adresses IP privée et configurez une connexion d'accès aux services privés : compute.networks.addPeering

    Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

    Si vous créez une instance d'adresse IP privée avec Terraform ou la Google Cloud CLI et que vous utilisez un réseau privé déjà configuré, vous n'avez pas besoin de ces autorisations.

Vous devrez peut-être également disposer de rôles IAM supplémentaires pour configurer VPC Service Controls ou des clés de chiffrement gérées par le client (CMEK). Pour en savoir plus sur ces fonctionnalités, consultez les pages de documentation Compatibilité de VPC Service Controls avec Looker (Google Cloud Core) ou Activer CMEK pour Looker (Google Cloud Core).

Avant de commencer

  1. Dans la console Google Cloud, sur la page de sélection du projet, créez un projet ou accédez à un projet existant dans lequel vous souhaitez créer l'instance Looker (Google Cloud core).

    Accéder au sélecteur de projet

  2. Activez l'API Looker pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  3. Activez l'API Service Networking pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  4. Activez l'API Compute Engine pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  5. Configurez un client OAuth et créez des identifiants d'autorisation. Le client OAuth vous permet de vous authentifier et d'accéder à l'instance. Vous devez configurer OAuth pour créer une instance Looker (Google Cloud Core), même si vous utilisez une autre méthode d'authentification pour authentifier les utilisateurs dans votre instance.

Créer et configurer un réseau VPC

Avant de pouvoir créer une connexion IP privée, vous devez d'abord créer et configurer un réseau cloud privé virtuel (VPC). Looker (Google Cloud Core) est compatible avec plusieurs instances d'adresses IP privées dans le même VPC, dans la même région ou dans différentes régions.

  1. Créez un réseau VPC dans votre projet. Si vous utilisez un VPC partagé au lieu de créer un réseau VPC, suivez les étapes de la section suivante, Créer une instance dans un VPC partagé, en plus de suivre les étapes restantes de cette section pour le VPC partagé.
  2. Allouez une plage d'adresses IPv4 (bloc CIDR) dans votre VPC pour une connexion d'accès aux services privés à Looker (Google Cloud Core).
    • Avant d'allouer votre plage, tenez compte des contraintes.
    • Lorsque vous définissez la taille de la plage d'adresses IP, sachez que la taille minimale est un bloc /22.
    • Looker (Google Cloud Core) est compatible avec toutes les plages IPv4 de la RFC 1918, qui spécifie les adresses IP affectées à une utilisation en interne (c'est-à-dire au sein d'une organisation) et qui ne s'acheminent pas sur Internet. Plus précisément, il s'agit des éléments suivants:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Les plages IPv4 de classe E (240.0.0.0/4) sont réservées à une utilisation future, comme indiqué dans les normes RFC 5735 et RFC 1112. Elles ne sont pas compatibles avec Looker (Google Cloud Core).
    Lorsqu'une instance Looker (Google Cloud Core) est créée pour la première fois dans une région d'un VPC, Looker crée un sous-réseau proxy réservé. Le sous-réseau proxy réservé utilise un sous-réseau de plage /26 du sous-réseau /22 que vous réservez lorsque vous créez l'instance Looker (Google Cloud Core). Toutes les instances Looker (Google Cloud Core) à adresse IP privée ultérieures du même VPC et de la même région utilisent le même sous-réseau réservé aux proxys.
  3. Ajoutez la connexion d'accès aux services privés à votre réseau VPC à l'aide de la plage d'adresses IP allouée à l'allocation attribuée à l'étape précédente.
  4. Une fois votre réseau VPC créé, revenez à la page Créer une instance Looker dans votre projet Google Cloud . Vous devrez peut-être actualiser la page pour que votre réseau VPC soit reconnu.

Une fois ces étapes terminées, vous pouvez commencer à créer votre instance en suivant la procédure décrite sur la page de documentation Créer une instance Looker (Google Cloud Core) , en commençant par la section Avant de commencer.

Plusieurs instances d'adresses IP privées dans le même VPC

Si deux ou plusieurs instances Looker (Google Cloud core) avec adresse IP privée se trouvent dans la même région et dans le même VPC, et que vous supprimez la première instance Looker (Google Cloud core) créée dans la région, le sous-réseau réservé aux proxys n'est pas libéré, car il est toujours utilisé par les instances restantes. Si vous essayez de créer une instance Looker (Google Cloud Core) avec une adresse IP privée qui utilise la même plage d'adresses que celle de l'instance supprimée (qui contient la plage d'adresses IP du sous-réseau proxy réservé), la création de l'instance échouera et une erreur "Plages d'adresses épuisées" s'affichera. Pour vérifier si une plage d'adresses IP est utilisée, vérifiez l'appairage de VPC pour Service Networking et les routes d'importation pour voir si elles utilisent la plage d'adresses IP qui vous intéresse.

Créer une instance dans un VPC partagé

Si vous créez une instance Looker (Google Cloud Core) dans un VPC partagé, procédez comme suit dans le projet hôte du VPC partagé:

  1. Activez l'API Looker dans le projet hôte du VPC partagé dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  2. Créez un compte de service dans le projet hôte du VPC partagé à l'aide de la commande services identity create gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Remplacez SHARED_HOST_PROJECT_ID par le projet hôte du VPC partagé.

  3. Accordez l'autorisation IAM compute.globalAddresses.get au compte de service dans le projet hôte.

Après avoir créé le compte de service et lui avoir accordé l'autorisation IAM, attendez quelques minutes pour que le compte de service et l'autorisation se propagent.

Allouez également une plage d'adresses IPv4 dans le VPC partagé et ajoutez la connexion d'accès aux services privés au VPC partagé, comme décrit dans la section précédente, Créer et configurer un réseau VPC.

Créer l'instance IP privée

Looker (Google Cloud Core) nécessite environ 60 minutes pour générer une nouvelle instance.

L'adresse IP privée doit être attribuée au moment de la création de l'instance. Une fois l'instance créée, vous ne pouvez plus ajouter ni supprimer d'adresse IP privée.

Pour configurer une adresse IP privée lors de la création d'une instance, sélectionnez l'une des options suivantes:

Console

  1. Accédez à la page produit Looker (Google Cloud Core) depuis votre projet dans la console Google Cloud. Si vous avez déjà créé une instance Looker (Google Cloud Core) dans ce projet, la page Instances s'ouvre.

    Accéder à Looker (Google Cloud Core)

  2. Cliquez sur CRÉER UNE INSTANCE.
  3. Dans la section Nom de l'instance, indiquez un nom pour votre instance Looker (Google Cloud Core). Le nom de l'instance n'est pas associé à l'URL de l'instance Looker (Google Cloud Core) une fois celle-ci créée. Une fois l'instance créée, vous ne pouvez plus modifier son nom.
  4. Dans la section Identifiants d'application OAuth, saisissez l'ID client OAuth et le secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth.

  5. Dans la section Région, sélectionnez l'option appropriée dans le menu déroulant pour héberger votre instance Looker (Google Cloud Core). Sélectionnez la région correspondant à celle du contrat d'abonnement, car c'est là que le quota de votre projet est alloué. Les régions disponibles sont listées sur la page de documentation Emplacements Looker (Google Cloud Core).

    Une fois l'instance créée, vous ne pouvez plus modifier la région.

  6. Dans la section Édition, choisissez une option d'édition Enterprise ou Embed pour un type d'instance hors production ou de production. Le type d'édition affecte certaines des fonctionnalités disponibles pour l'instance. Veillez à choisir le même type d'édition que celui indiqué dans votre contrat annuel et à disposer d'un quota alloué pour ce type d'édition.

    • Entreprise: plate-forme Looker (Google Cloud Core) dotée de fonctionnalités de sécurité renforcées pour répondre à une grande variété de cas d'utilisation internes d'informatique décisionnelle et d'analyse
    • Intégration: plate-forme Looker (Google Cloud Core) permettant de déployer et de gérer des applications personnalisées et des analyses externes fiables à grande échelle

    Une fois l'instance créée, son édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer les données de votre instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une autre édition.

  7. Dans la section Personnaliser votre instance, cliquez sur Afficher les options de configuration pour afficher un groupe de paramètres supplémentaires que vous pouvez personnaliser pour l'instance.

  8. Dans la section Connexions, sous Attribution d'adresses IP aux instances, sélectionnez Adresse IP privée uniquement ou Adresse IP privée et Adresse IP publique. Le type de connexion réseau sélectionné a une incidence sur les fonctionnalités Looker disponibles pour l'instance. Les options de connexion réseau suivantes sont disponibles:

    • Adresse IP publique: attribue une adresse IP externe accessible par Internet.
    • Adresse IP privée: attribue une adresse IP interne hébergée par Google, accessible sur un cloud privé virtuel (VPC). Vous pouvez utiliser cette adresse pour vous connecter à partir d'autres ressources ayant accès au VPC. Seules les éditions Enterprise et Embed sont compatibles avec les adresses IP privées. Si vous souhaitez utiliser VPC Service Controls, vous devez sélectionner Adresse IP privée uniquement.
    • Si les options Adresse IP privée et Adresse IP publique sont sélectionnées, le trafic entrant est dirigé via une adresse IP publique, et le trafic sortant via une adresse IP privée. L'instance Looker (Google Cloud Core) n'utilisera pas l'adresse IP publique pour générer du trafic sortant sur Internet.

  9. Sous Type d'adresse IP privée, sélectionnez Accès aux services privés (PSA).

  10. Si un pop-up Activer les API requises s'affiche, vous devez activer des API supplémentaires pour votre projet Google Cloud . Pour activer les API requises pour une connexion réseau privée, cliquez sur TOUT ACTIVER.

  11. Dans le menu déroulant Réseau, sélectionnez votre réseau VPC. Les réseaux IP privés nécessitent une connexion d'accès aux services privés, qui permet à vos services de communiquer exclusivement à l'aide d'adresses IP internes. Pour en savoir plus sur la configuration d'une connexion IP privée, consultez la page de documentation Configurer l'accès aux services privés. Si vous n'avez pas configuré de connexion aux services privés lorsque vous avez créé votre réseau VPC, vous pouvez cliquer sur CONFIGURER LA CONNEXION sous le message Connexion d'accès aux services privés requise. Un panneau latéral s'ouvre, dans lequel vous pouvez allouer une plage d'adresses IP et créer une connexion.

  12. Sous Plage d'adresses IP allouée, sélectionnez la plage d'adresses IP du VPC dans lequel Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core). Les sous-réseaux réservent une plage d'adresses IP qui ne peut pas être utilisée par d'autres ressources du réseau VPC. Vous ne pourrez plus modifier cette plage d'adresses IP une fois l'instance Looker (Google Cloud Core) créée. L'allocation de plage d'adresses IP inclut les options suivantes:

    • Sélectionnez Utiliser une plage d'adresses IP attribuée automatiquement pour que Google alloue automatiquement une plage d'adresses IP afin de provisionner un sous-réseau pour le VPC.
    • Sélectionnez une plage d'adresses IP définie lors de la configuration de l'accès aux services privés.

  13. Dans la section Chiffrement, vous pouvez sélectionner le type de chiffrement à utiliser sur votre instance. Les options de chiffrement suivantes sont disponibles:

  14. Dans la section Intervalle de maintenance, vous pouvez éventuellement spécifier le jour de la semaine et l'heure auxquels Looker (Google Cloud Core) planifie la maintenance. Les intervalles de maintenance durent une heure. Par défaut, l'option Intervalle souhaité dans Intervalle de maintenance est définie sur N'importe quel intervalle.

  15. Dans la section Période de refus de maintenance, vous pouvez spécifier un bloc de jours pendant lesquels Looker (Google Cloud Core) ne planifie pas de maintenance. Les périodes de refus de maintenance peuvent durer jusqu'à 60 jours. Vous devez prévoir une disponibilité pour maintenance d'au moins 14 jours entre deux périodes de refus de maintenance.

  16. Cliquez sur Créer.

gcloud

  1. Si vous utilisez CMEK, suivez les instructions pour créer un compte de service, un trousseau de clés et une clé avant de créer votre instance Looker (Google Cloud Core).

  2. Utilisez la commande gcloud looker instances create pour créer l'instance:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Remplacez les éléments suivants :

    • INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core). Il n'est pas associé à l'URL de l'instance.
    • PROJECT_ID: nom du projet Google Cloud dans lequel vous créez l'instance Looker (Google Cloud Core).
    • OAUTH_CLIENT_ID et OAUTH_CLIENT_SECRET: ID client OAuth et secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.
    • REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Sélectionnez la région correspondant à celle du contrat d'abonnement. Les régions disponibles sont listées sur la page de documentation Emplacements Looker (Google Cloud Core).
    • EDITION: édition et type d'environnement (production ou hors production) de l'instance. Pour une instance d'adresse IP privée, cette valeur doit être core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual ou nonprod-core-embed-annual. Veillez à choisir le même type d'édition que celui indiqué dans votre contrat annuel et à disposer d'un quota alloué. Une fois l'instance créée, son édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer les données de votre instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une autre édition.
    • CONSUMER_NETWORK: votre réseau VPC ou votre réseau VPC partagé. Doit être défini si vous créez une instance IP privée.
    • RESERVED_RANGE: plage d'adresses IP du VPC dans lequel Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core).

    Vous pouvez inclure les options suivantes:

    • --private-ip-enabled active l'adresse IP privée. Vous devez l'inclure pour créer une instance IP privée.
    • --public-ip-enabled active l'adresse IP publique.
    • --no-public-ip-enabled désactive l'adresse IP publique.
    • --async est recommandé lorsque vous créez une instance Looker (Google Cloud Core).

  3. Vous pouvez ajouter d'autres paramètres pour appliquer d'autres paramètres d'instance: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Remplacez les éléments suivants :

    • MAINTENANCE_WINDOW_DAY: doit être l'une des valeurs suivantes: friday, monday, saturday, sunday, thursday, tuesday ou wednesday. Pour en savoir plus sur les paramètres des intervalles de maintenance, consultez la page de documentation Gérer les règles de maintenance pour Looker (Google Cloud Core).
    • MAINTENANCE_WINDOW_TIME et DENY_MAINTENANCE_PERIOD_TIME: doivent être au format UTC de 24 heures (par exemple, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE et DENY_MAINTENANCE_PERIOD_END_DATE: doivent être au format YYYY-MM-DD.
    • KMS_KEY_ID: doit correspondre à la clé créée lors de la configuration des clés de chiffrement gérées par le client (CMEK).

    Vous pouvez inclure l'option --fips-enabled pour activer la conformité au niveau 1 de la certification FIPS 140-2.

Pendant la création de l'instance, vous pouvez consulter son état sur la page Instances de la console. Vous pouvez également consulter votre activité de création d'instances en cliquant sur l'icône de notification dans le menu de la console Google Cloud .

Si vous créez une instance avec une adresse IP privée uniquement, aucune URL n'apparaîtra sur la page Instances. Pour savoir comment configurer l'accès à votre instance d'adresse IP privée, consultez la section Accéder à une instance d'adresse IP privée après sa création.

Accéder à une instance IP privée après sa création

Si vous créez une instance activée uniquement pour les adresses IP privées, vous ne recevrez pas d'URL pour cette instance. Pour accéder à l'instance, vous devez configurer un domaine personnalisé pour celle-ci et ajouter ce domaine personnalisé aux identifiants OAuth de l'instance. Pour comprendre les différentes options de mise en réseau avec adresse IP privée permettant de configurer et d'accéder à un domaine personnalisé, consultez la page de documentation Options de mise en réseau avec domaine personnalisé pour les instances Looker (Google Cloud Core) avec adresse IP privée.

Étape suivante