Créer une instance Looker (Google Cloud Core) avec adresse IP privée

Les connexions IP privées rendent les services accessibles sans passer par Internet ni utiliser des adresses IP externes. Étant donné qu'elles ne passent pas par Internet, les connexions via une adresse IP privée fournissent généralement une latence plus faible et des vecteurs d'attaque limités. Les connexions IP privées permettent à votre instance Looker (Google Cloud Core) de communiquer avec d'autres ressources de votre réseau cloud privé virtuel (VPC), mais n'autorisent pas la communication entrante depuis l'Internet public.

La connectivité IP privée permet d'utiliser certaines fonctionnalités, telles que VPC Service Controls. Toutefois, les connexions IP privées ne sont pas compatibles avec certaines fonctionnalités de Looker (Google Cloud Core). Pour en savoir plus, consultez le tableau de compatibilité des fonctionnalités.

Looker (Google Cloud Core) est compatible avec les adresses IP privées pour les éditions d'instance Enterprise ou Embed.

Rôles et autorisations requis

Pour configurer une instance d'adresse IP privée, vous devez disposer des autorisations IAM suivantes:

  1. Pour créer une instance Looker (Google Cloud Core), vous devez disposer du rôle Administrateur Looker (roles/looker.Admin).

  2. Pour obtenir les autorisations nécessaires pour créer des plages d'adresses IP attribuées et gérer des connexions privées, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseaux Compute (roles/compute.networkAdmin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

    Ce rôle prédéfini contient les autorisations requises pour créer des plages d'adresses IP attribuées et gérer des connexions privées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

    Autorisations requises

    Les autorisations suivantes sont requises pour créer des plages d'adresses IP allouées et gérer des connexions privées:

    • Consultez les réseaux disponibles dans le menu déroulant Network (Réseau) :
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Créez un réseau VPC :
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Allouez une plage d'adresses IP privée et configurez une connexion d'accès aux services privés : compute.networks.addPeering

    Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

    Si vous créez une instance IP privée avec Terraform ou la Google Cloud CLI et que vous utilisez un réseau privé déjà configuré, vous n'avez pas besoin de ces autorisations.

Vous devrez peut-être également disposer de rôles IAM supplémentaires pour configurer VPC Service Controls ou des clés de chiffrement gérées par le client (CMEK). Pour en savoir plus sur ces fonctionnalités, consultez les pages de documentation Compatibilité de VPC Service Controls avec Looker (Google Cloud Core) ou Activer CMEK pour Looker (Google Cloud Core).

Avant de commencer

  1. Dans la console Google Cloud, sur la page de sélection du projet, créez un projet Google Cloud ou accédez à un projet existant dans lequel vous souhaitez créer l'instance Looker (Google Cloud Core).

    Accéder au sélecteur de projet

  2. Activez l'API Looker pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  3. Activez l'API Service Networking pour votre projet dans la console Google Cloud. Lors de l'activation de l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  4. Activez l'API Compute Engine pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  5. Configurez un client OAuth et créez des identifiants d'autorisation. Le client OAuth vous permet de vous authentifier et d'accéder à l'instance. Vous devez configurer OAuth pour créer une instance Looker (Google Cloud Core), même si vous utilisez une autre méthode d'authentification pour authentifier les utilisateurs dans votre instance.

Créer et configurer un réseau VPC

Avant de pouvoir créer une connexion IP privée, vous devez d'abord créer et configurer un réseau cloud privé virtuel (VPC). Looker (Google Cloud Core) accepte plusieurs instances d'adresses IP privées dans le même VPC, que ce soit dans la même région ou dans des régions différentes.

  1. Créez un réseau VPC dans votre projet. Si vous utilisez un VPC partagé au lieu de créer un réseau VPC, suivez les étapes décrites dans la section Créer une instance dans un VPC partagé, en plus des étapes restantes pour le VPC partagé.
  2. Allouez une plage d'adresses IPv4 (bloc CIDR) dans votre VPC pour une connexion d'accès aux services privés à Looker (Google Cloud Core).
    • Avant d'allouer la plage, tenez compte des contraintes.
    • Lorsque vous définissez la taille de la plage d'adresses IP, n'oubliez pas que la taille minimale est un bloc /22.
    • Looker (Google Cloud Core) est compatible avec toutes les plages IPv4 de la RFC 1918, qui spécifie les adresses IP affectées à une utilisation en interne (c'est-à-dire au sein d'une organisation) et qui ne s'acheminent pas sur Internet. Plus précisément, il s'agit des éléments suivants :
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Les plages IPv4 de classe E (240.0.0.0/4) sont réservées pour une utilisation ultérieure, comme indiqué dans les documents RFC 5735 et RFC 1112, et ne sont pas compatibles avec Looker (Google Cloud Core).
    Lorsqu'une instance Looker (Google Cloud Core) est créée pour la première fois dans une région au sein d'un VPC, Looker crée un sous-réseau proxy réservé. Le sous-réseau proxy réservé utilise un sous-réseau de plage /26 du sous-réseau /22 que vous réservez lorsque vous créez l'instance Looker (Google Cloud Core). Toutes les instances Looker (Google Cloud Core) d'adresse IP privée ultérieure dans le même VPC et dans la même région utilisent le même sous-réseau proxy réservé.
  3. Ajoutez la connexion d'accès aux services privés à votre réseau VPC en utilisant la plage d'adresses IP allouée à l'étape précédente pour l'allocation attribuée.
  4. Une fois votre réseau VPC créé, revenez à la page Créer une instance Looker dans votre projet Google Cloud. Vous devrez peut-être actualiser la page pour que votre réseau VPC soit reconnu.

Une fois ces étapes terminées, vous pouvez commencer à créer votre instance en suivant les instructions de la page Créer une instance Looker (Google Cloud Core) , en commençant par la section Avant de commencer.

Plusieurs instances d'adresses IP privées dans le même VPC

Si vous disposez de plusieurs instances d'adresses IP privées dans le même VPC, tenez compte des points suivants :

  • Si deux ou plusieurs instances Looker (Google Cloud core) avec adresse IP privée se trouvent dans la même région et dans le même VPC, et que vous supprimez la première instance Looker (Google Cloud core) créée dans la région, le sous-réseau réservé aux proxys n'est pas libéré, car il est toujours utilisé par les instances restantes. Si vous essayez de créer une instance Looker (Google Cloud Core) avec une adresse IP privée qui utilise la même plage d'adresses que celle de l'instance supprimée (qui contient la plage d'adresses IP du sous-réseau proxy réservé), la création de l'instance échouera et une erreur "Plages d'adresses épuisées" s'affichera. Pour vérifier si une plage d'adresses IP est utilisée, vérifiez l'appairage VPC pour Service Networking et les routes d'importation pour voir si elles utilisent la plage d'adresses IP qui vous intéresse.
  • Si deux ou plusieurs instances d'adresses IP privées se trouvent dans le même VPC et que vous supprimez l'une d'elles, redémarrez les autres instances pour reconnecter la connexion Service Networking de ces instances.

Créer une instance dans un VPC partagé

Si vous créez une instance Looker (Google Cloud Core) dans un VPC partagé, procédez comme suit dans le projet hôte du VPC partagé:

  1. Activez l'API Looker dans le projet hôte du VPC partagé dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.

    Activer l'API

  2. Créez un compte de service dans le projet hôte du VPC partagé à l'aide de la commande services identity create gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Remplacez SHARED_HOST_PROJECT_ID par le projet hôte du VPC partagé.

  3. Accordez l'autorisation IAM compute.globalAddresses.get au compte de service dans le projet hôte.

Après avoir créé le compte de service et lui avoir accordé l'autorisation IAM, attendez quelques minutes pour que le compte de service et l'autorisation se propagent.

De plus, allouez une plage d'adresses IP IPv4 dans le VPC partagé et ajoutez la connexion d'accès aux services privés au VPC partagé, comme décrit dans la section précédente, Créer et configurer un réseau VPC.

Créer l'instance d'adresse IP privée

Looker (Google Cloud Core) nécessite environ 60 minutes pour générer une nouvelle instance.

Une adresse IP privée doit être attribuée au moment de la création de l'instance. Une fois l'instance créée, il n'est pas possible d'ajouter ni de supprimer une adresse IP privée.

Pour configurer une adresse IP privée lors de la création d'une instance, sélectionnez l'une des options suivantes :

Console

  1. Accédez à la page du produit Looker (Google Cloud Core) depuis votre projet dans la console Google Cloud. Si vous avez déjà créé une instance Looker (Google Cloud Core) dans ce projet, la page Instances s'ouvre.

    Accéder à Looker (Google Cloud Core)

  2. Cliquez sur CRÉER UNE INSTANCE.
  3. Dans la section Nom de l'instance, indiquez un nom pour votre instance Looker (Google Cloud Core). Le nom de l'instance n'est pas associé à l'URL de l'instance Looker (Google Cloud Core) une fois celle-ci créée. Une fois l'instance créée, son nom ne peut plus être modifié.
  4. Dans la section Identifiants d'application OAuth, saisissez l'ID client OAuth et le secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth.

  5. Dans la section Région, sélectionnez l'option appropriée dans le menu déroulant pour héberger votre instance Looker (Google Cloud Core). Sélectionnez la région correspondant à celle du contrat d'abonnement, car c'est là que le quota de votre projet est alloué. Les régions disponibles sont listées sur la page de documentation des emplacements Looker (Google Cloud Core).

    Une fois l'instance créée, vous ne pouvez plus modifier la région.

  6. Dans la section Édition, choisissez une option d'édition Enterprise ou Embed. Le type d'édition affecte certaines des fonctionnalités disponibles pour l'instance. Veillez à choisir le même type d'édition que celui indiqué dans votre contrat annuel et à disposer d'un quota pour ce type d'édition.

    • Enterprise: plate-forme Looker (Google Cloud Core) dotée de fonctionnalités de sécurité améliorées permettant de traiter une grande variété de cas d'utilisation internes d'informatique décisionnelle et d'analyse.
    • Embed: plate-forme Looker (Google Cloud Core) permettant de déployer et de gérer des applications personnalisées et des analyses externes fiables à grande échelle

    Une fois l'instance créée, son édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer vos données d'instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une édition différente.

  7. Dans la section Personnaliser votre instance, cliquez sur Afficher les options de configuration pour afficher un groupe de paramètres supplémentaires que vous pouvez personnaliser pour l'instance.

  8. Dans la section Connexions, sélectionnez Adresse IP privée uniquement ou Adresse IP privée et Adresse IP publique. Le type de connexion réseau sélectionné a une incidence sur les fonctionnalités Looker disponibles pour l'instance. Les options de connexion réseau suivantes sont disponibles:

    • Adresse IP publique: attribue une adresse IP externe accessible par Internet.
    • Adresse IP privée: attribue une adresse IP interne hébergée par Google qui est accessible sur un cloud privé virtuel (VPC). Vous pouvez utiliser cette adresse pour vous connecter à partir d'autres ressources ayant accès au VPC. Seules les éditions Enterprise et Embed sont compatibles avec les adresses IP privées. Si vous souhaitez utiliser VPC Service Controls, vous devez sélectionner Adresse IP privée uniquement.
    • Si les options Adresse IP privée et Adresse IP publique sont sélectionnées, le trafic entrant est dirigé via une adresse IP publique, et le trafic sortant via une adresse IP privée. L'instance Looker (Google Cloud Core) n'utilise pas l'adresse IP publique pour générer le trafic Internet sortant.

  9. Si un pop-up Activer les API requises s'affiche, vous devez activer des API supplémentaires pour votre projet Google Cloud. Pour activer les API requises pour une connexion réseau privée, cliquez sur TOUT ACTIVER.

  10. Dans la liste déroulante Réseau, sélectionnez votre réseau VPC. Les réseaux IP privés nécessitent une connexion d'accès aux services privés, qui permet à vos services de communiquer exclusivement par le biais d'adresses IP internes. Pour en savoir plus sur la configuration d'une connexion IP privée, consultez la page de documentation Configurer l'accès aux services privés. Si vous n'avez pas configuré de connexion aux services privés lorsque vous avez créé votre réseau VPC, vous pouvez cliquer sur CONFIGURER LA CONNEXION sous le message Connexion d'accès aux services privés requise. Un panneau latéral s'ouvre, dans lequel vous pouvez allouer une plage d'adresses IP et créer une connexion.

  11. Sous Plage d'adresses IP allouées, sélectionnez la plage d'adresses IP dans le VPC dans laquelle Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core). Les sous-réseaux réservent une plage d'adresses IP qui ne peut pas être utilisée par d'autres ressources du réseau VPC. Vous ne pourrez plus modifier cette plage d'adresses IP après avoir créé l'instance Looker (Google Cloud Core). L'allocation de plage d'adresses IP inclut les options suivantes :

    • Sélectionnez Utiliser une plage d'adresses IP attribuée automatiquement pour que Google alloue automatiquement une plage d'adresses IP pour provisionner un sous-réseau pour le VPC.
    • Sélectionnez une plage d'adresses IP définie lors de la configuration de l'accès aux services privés.

  12. Dans la section Chiffrement, vous pouvez sélectionner le type de chiffrement à utiliser sur votre instance. Les options de chiffrement suivantes sont disponibles :

  13. Dans la section Intervalle de maintenance, vous pouvez éventuellement spécifier le jour de la semaine et l'heure pendant lesquels Looker (Google Cloud Core) planifie la maintenance. Les intervalles de maintenance durent une heure. Par défaut, l'option Intervalle souhaité de l'intervalle de maintenance est définie sur N'importe quel intervalle.

  14. Dans la section Période de refus de maintenance, vous pouvez éventuellement spécifier un bloc de jours pendant lesquels Looker (Google Cloud Core) ne planifie pas la maintenance. Les périodes de refus de maintenance peuvent durer jusqu'à 60 jours. Vous devez prévoir une disponibilité pour maintenance d'au moins 14 jours entre deux périodes de refus de maintenance.

  15. Cliquez sur Créer.

gcloud

  1. Si vous utilisez une CMEK, suivez les instructions pour créer un compte de service, un trousseau de clés et une clé avant de créer votre instance Looker (Google Cloud Core).

  2. Utilisez la commande gcloud looker instances create pour créer l'instance :

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Remplacez les éléments suivants :

    • INSTANCE_NAME : nom de votre instance Looker (Google Cloud Core). Il n'est pas associé à l'URL de l'instance.
    • PROJECT_ID : nom du projet Google Cloud dans lequel vous créez l'instance Looker (Google Cloud Core).
    • OAUTH_CLIENT_ID et OAUTH_CLIENT_SECRET: ID client OAuth et secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.
    • REGION : région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Sélectionnez la région correspondant à celle du contrat d'abonnement. Les régions disponibles sont listées sur la page de documentation Emplacements de Looker (Google Cloud Core).
    • EDITION: édition de l'instance. Pour une instance d'adresse IP privée, il doit s'agir de core-enterprise-annual ou core-embed-annual. Veillez à choisir le type d'édition indiqué dans votre contrat annuel et à disposer d'un quota. Une fois l'instance créée, son édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer vos données d'instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une édition différente.
    • CONSUMER_NETWORK: votre réseau VPC ou votre réseau VPC partagé. Doit être défini si vous créez une instance IP privée.
    • RESERVED_RANGE : plage d'adresses IP du VPC dans lequel Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core).

    Vous pouvez inclure les options suivantes :

    • --private-ip-enabled active l'adresse IP privée. Vous devez l'inclure pour créer une instance IP privée.
    • --public-ip-enabled active l'adresse IP publique.
    • --no-public-ip-enabled désactive l'adresse IP publique.
    • --async est recommandé lorsque vous créez une instance Looker (Google Cloud Core).

  3. Vous pouvez ajouter d'autres paramètres pour appliquer d'autres paramètres d'instance : 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Remplacez les éléments suivants :

    • MAINTENANCE_WINDOW_DAY : doit être l'une des valeurs suivantes : friday, monday, saturday, sunday, thursday, tuesday ou wednesday. Pour en savoir plus sur les paramètres des intervalles de maintenance, consultez la page de documentation Gérer les règles de maintenance pour Looker (Google Cloud Core).
    • MAINTENANCE_WINDOW_TIME et DENY_MAINTENANCE_PERIOD_TIME: doivent être au format 24 heures UTC (par exemple, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE et DENY_MAINTENANCE_PERIOD_END_DATE : doivent être au format YYYY-MM-DD.
    • KMS_KEY_ID: doit être la clé créée lors de la configuration des clés de chiffrement gérées par le client (CMEK).

    Vous pouvez inclure l'option --fips-enabled pour activer la conformité au niveau 1 de la certification FIPS 140-2.

Pendant la création de l'instance, vous pouvez consulter son état sur la page Instances de la console. Vous pouvez également consulter votre activité de création d'instances en cliquant sur l'icône de notification dans le menu de la console Google Cloud.

Si vous créez une instance avec une adresse IP privée uniquement, aucune URL n'apparaîtra sur la page Instances. Consultez la section Accéder à une instance d'adresse IP privée après la création pour en savoir plus sur la configuration de l'accès à votre instance d'adresse IP privée.

Accéder à une instance d'adresse IP privée après sa création

Si vous créez une instance activée uniquement pour les adresses IP privées, vous ne recevrez pas d'URL pour cette instance. Pour accéder à l'instance, vous devez configurer un domaine personnalisé pour celle-ci et ajouter ce domaine personnalisé aux identifiants OAuth de l'instance. Pour comprendre les différentes options de mise en réseau avec adresse IP privée permettant de configurer et d'accéder à un domaine personnalisé, consultez la page de documentation Options de mise en réseau avec domaine personnalisé pour les instances Looker (Google Cloud Core) avec adresse IP privée.

Étape suivante