Las conexiones de IP privadas permiten acceder a los servicios sin pasar por Internet ni usar direcciones IP externas. Debido a que no atraviesan Internet, las conexiones mediante IP privadas suelen proporcionar una latencia más baja y vectores de ataque limitados. Las conexiones de IP privada permiten que tu instancia de Looker (Google Cloud Core) se comunique con otros recursos de tu nube privada virtual (VPC), pero no permiten la comunicación entrante desde la Internet pública.
La conectividad de IP privada permite el uso de algunas funciones, como los Controles del servicio de VPC. Sin embargo, las conexiones de IP privadas no son compatibles con algunas funciones de Looker (Google Cloud Core). Consulta la tabla de compatibilidad de funciones para obtener más información.
Looker (Google Cloud Core) admite IP privada para las ediciones de instancias Enterprise o Embed.
Roles y permisos requeridos
Para configurar una instancia de IP privada, debes tener los siguientes permisos de IAM:
- Para crear una instancia de Looker (Google Cloud Core), debes tener el rol de administrador de Looker (
roles/looker.Admin
). -
Si quieres obtener los permisos que necesitas para crear rangos de direcciones IP asignados y administrar conexiones privadas, solicita a tu administrador que te otorgue el Rol de IAM Administrador de red de Compute (
roles/compute.networkAdmin
) en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.Este rol predefinido contiene los permisos necesarios para crear rangos de direcciones IP asignados y administrar conexiones privadas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para crear rangos de direcciones IP asignados y administrar conexiones privadas:
-
Consulta las redes disponibles en el menú desplegable Red:
-
compute.addresses.list
-
compute.globalAddresses.list
-
compute.networks.list
-
compute.globalAddresses.list
-
-
Crea una nueva red de VPC:
-
compute.addresses.create
-
compute.globalAddresses.create
-
serviceusage.services.enable
-
-
Asigna un rango de IP privado y configura una conexión de acceso a servicios privados:
compute.networks.addPeering
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Si estás creando una instancia de IP privada con Terraform o Google Cloud CLI, y usas una red privada que ya se configuró, no necesitas estos permisos.
-
Consulta las redes disponibles en el menú desplegable Red:
Es posible que también necesites roles de IAM adicionales para configurar los Controles del servicio de VPC o las claves de encriptación administradas por el cliente (CMEK). Si quieres obtener más información, visita las páginas de documentación sobre la compatibilidad de los Controles del servicio de VPC para Looker (Google Cloud Core) o Habilitar CMEK para Looker (Google Cloud Core) para esas funciones.
Antes de comenzar
- En la consola de Google Cloud, en la página del selector de proyectos, crea un proyecto de Google Cloud o navega a uno existente en el que quieras crear la instancia de Looker (Google Cloud Core).
- Habilita la API de Looker para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
- Habilita la API de Service Networking para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
- Habilita la API de Compute Engine para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
- Configura un cliente de OAuth y crea credenciales de autorización. El cliente de OAuth te permite autenticarte y acceder a la instancia. Debes configurar OAuth para crear una instancia de Looker (Google Cloud Core), incluso si usas un método de autenticación diferente para autenticar usuarios en tu instancia.
Crea y configura una red de VPC
Antes de crear una conexión IP privada, primero debes crear y configurar una red de nube privada virtual (VPC). Looker (Google Cloud Core) admite varias instancias de IP privadas en la misma VPC, ya sea en la misma región o en diferentes regiones.
- Crea una red de VPC en tu proyecto. Como alternativa, si usas una VPC compartida en lugar de crear una nueva red de VPC, completa los pasos de la siguiente sección, Cómo crear una instancia en una VPC compartida, además de completar los pasos restantes de esta sección para la VPC compartida.
- Asigna un rango de IP IPv4 (bloque CIDR) en tu VPC para una conexión de acceso a servicios privados a Looker (Google Cloud Core).
- Antes de asignar el rango, ten en cuenta las restricciones.
- Cuando configures el tamaño del rango de direcciones IP, ten en cuenta que el tamaño mínimo es un bloque
/22
. - Looker (núcleo de Google Cloud) admite todos los rangos de IPv4 dentro de la RFC 1918, que especifica las direcciones IP que se asignan para usar de manera interna (es decir, dentro de una organización) y que no se enrutarán en Internet. En concreto, estos son los siguientes:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
- Los rangos IPv4 de clase E (
240.0.0.0/4
) están reservados para uso futuro, como se indica en RFC 5735 y RFC 1112, y no son compatibles con Looker (Google Cloud Core). - Agrega la conexión de acceso privado a servicios a tu red de VPC con el rango de IP asignado en el paso anterior para la Asignación designada.
- Una vez creada la red de VPC, regresa a la página Crear instancia de Looker en tu proyecto de Google Cloud. Es posible que debas actualizar la página para que se reconozca tu red de VPC.
/26
de la subred /22
que reservas cuando creas la instancia de Looker (Google Cloud Core). Cualquier instancia posterior de Looker con IP privada (Google Cloud Core) en la misma VPC y en la misma región usará la misma subred de solo proxy.
Una vez que completes estos pasos, podrás comenzar a crear tu instancia siguiendo los pasos de la página de documentación Crea una instancia de Looker (Google Cloud Core) , comenzando por la sección Antes de comenzar.
Varias instancias de IP privadas en la misma VPC
Si tienes varias instancias de IP privada en la misma VPC, ten en cuenta las siguientes consideraciones:
- Si dos o más instancias de Looker (Google Cloud Core) de IP privada están ubicadas en la misma región y en la misma VPC, y borras la primera instancia de Looker (Google Cloud Core) que se creó en la región, la subred de solo proxy no se libera porque todavía está en uso en las instancias restantes. Si intentas crear una nueva instancia de IP privada de Looker (Google Cloud Core) que use el mismo rango de direcciones que usaste para la instancia borrada (que contiene el rango de direcciones IP de la subred de solo proxy), la creación de la instancia fallará y verás el mensaje “Rangos de IP agotados” . Para verificar si un rango de IP está en uso, verifica el intercambio de tráfico entre VPC de Service Networking y las rutas de importación para ver si usan el rango de IP que te interesa.
- Si hay dos o más instancias de IP privadas ubicadas en la misma VPC y borras una de las instancias, reinicia las instancias restantes para volver a conectar la conexión de Service Networking para esas instancias.
Crea una instancia en una VPC compartida
Si creas una instancia de Looker (núcleo de Google Cloud) en una VPC compartida, completa los siguientes pasos en el proyecto host de la VPC compartida:
- Habilita la API de Looker en el proyecto host de la VPC compartida en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
Crea una cuenta de servicio en el proyecto host de la VPC compartida con el comando
services identity create
de gcloud:gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
Reemplaza SHARED_HOST_PROJECT_ID por el proyecto host de la VPC compartida.
Otorga el permiso de IAM
compute.globalAddresses.get
a la cuenta de servicio en el proyecto host.
Después de crear la cuenta de servicio y otorgarle el permiso de IAM, espera unos minutos para que la cuenta de servicio y el permiso se propaguen.
Además, asigna un rango de IP IPv4 en la VPC compartida y agrega la conexión de acceso privado a servicios a la VPC compartida, como se describe en la sección anterior Crea y configura una red de VPC.
Crea la instancia de IP privada
Looker (Google Cloud Core) requiere aproximadamente 60 minutos para generar una instancia nueva.
La IP privada se debe asignar cuando se crea la instancia. No se puede agregar ni quitar una IP privada de una instancia después de crearla.
Para configurar la IP privada durante la creación de la instancia, selecciona una de las siguientes opciones:
Console
- Navega a la página del producto Looker (Google Cloud Core) desde tu proyecto en la consola de Google Cloud. Si ya creaste una instancia de Looker (Google Cloud Core) en este proyecto, se abrirá la página Instancias.
- Haz clic en CREAR INSTANCIA.
- En la sección Nombre de la instancia, proporciona un nombre para tu instancia de Looker (Google Cloud Core). El nombre de la instancia no está asociado con la URL de la instancia de Looker (Google Cloud Core) una vez que se crea. El nombre de la instancia no se puede cambiar después de que se crea.
- En la sección OAuth Application Credentials, ingresa el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth.
En la sección Región, selecciona la opción adecuada del menú desplegable para alojar tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la región en el contrato de suscripción, que es donde se asigna la cuota para tu proyecto. Las regiones disponibles se enumeran en la página de documentación de las ubicaciones de Looker (Google Cloud Core).
No puedes cambiar la región una vez que se crea la instancia.
En la sección Edición, elige una opción de edición Embebida o Empresarial. El tipo de edición afecta algunas de las funciones disponibles para la instancia. Asegúrate de elegir el mismo tipo de edición que se indica en tu contrato anual y de tener una cuota asignada para ese tipo de edición.
- Empresarial: Plataforma de Looker (Google Cloud Core) con funciones de seguridad mejoradas para abordar una amplia variedad de casos de uso de IE interna y estadísticas
- Embed: Plataforma de Looker (Google Cloud Core) para implementar y mantener estadísticas externas confiables y aplicaciones personalizadas a gran escala.
No se pueden cambiar las ediciones después de crear la instancia. Si quieres cambiar una edición, puedes usar la función de importación y exportación para trasladar los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.
En la sección Personaliza tu instancia, haz clic en MOSTRAR OPCIONES DE CONFIGURACIÓN para ver un grupo de parámetros de configuración adicionales que puedes personalizar para la instancia.
En la sección Conexiones, elige solo IP privada o ambas opciones: IP privada y IP pública. El tipo de conexión de red que se selecciona afecta las funciones de Looker disponibles para la instancia. Las siguientes opciones de conexión de red están disponibles:
- IP pública: Asigna una dirección IP externa a la que se puede acceder a través de Internet.
- IP privada: Asigna una dirección IP interna alojada por Google a la que se puede acceder en una nube privada virtual (VPC). Puedes usar esta dirección para conectarte desde otros recursos con acceso a la VPC. Solo las ediciones Embed y Enterprise admiten IP privada. Si quieres usar los Controles del servicio de VPC, debes seleccionar solo IP privada.
- Si seleccionas IP privada y IP pública, el tráfico entrante se enrutará a través de una IP pública, mientras que el saliente se enrutará a través de una IP privada. La instancia de Looker (Google Cloud Core) no usará la IP pública para generar tráfico saliente de Internet.
Si aparece una ventana emergente con el mensaje Enable Required APIs, debes habilitar APIs adicionales para tu proyecto de Google Cloud. Para habilitar las APIs necesarias para una conexión de red privada, haz clic en HABILITAR TODAS.
En el menú desplegable Red, selecciona tu red de VPC. Las redes de IP privadas requieren una conexión de acceso a servicios privados, que permite que tus servicios se comuniquen de forma exclusiva mediante direcciones IP internas. Consulta la página de documentación Configura el acceso a los servicios privados para obtener más información sobre cómo configurar una conexión de IP privada. Si no configuraste una conexión de servicios privados cuando creaste tu red de VPC, puedes hacer clic en CONFIGURAR CONEXIÓN debajo del mensaje Se requiere una conexión de acceso privado a servicios. Se abrirá un panel lateral en el que podrás asignar un rango de IP y crear una conexión.
En Rango de IP asignado, selecciona el rango de IP dentro de la VPC en la que Google aprovisionará una subred para tu instancia de Looker (Google Cloud Core). Las subredes reservan un rango de IP que otros recursos de la red de VPC no pueden usar. No podrás modificar este rango de IP después de crear la instancia de Looker (Google Cloud Core). La asignación del rango de IP incluye las siguientes opciones:
- Selecciona Usar un rango de IP asignado automáticamente para que Google asigne un rango de IP automáticamente para aprovisionar una subred para la VPC.
- Selecciona un rango de IP que se definió durante la configuración del acceso privado a servicios.
En la sección Encriptación, puedes seleccionar el tipo de encriptación que deseas usar en tu instancia. Las siguientes opciones de encriptación están disponibles:
- Clave de encriptación administrada por Google: Esta es la opción predeterminada y no requiere ninguna configuración adicional.
- Clave de encriptación administrada por el cliente (CMEK): Consulta la página de documentación Usa claves de encriptación administradas por el cliente con Looker (Google Cloud Core) para obtener más información sobre CMEK y cómo configurarla durante la creación de la instancia. No se puede cambiar el tipo de encriptación después de crear la instancia.
- Habilita la encriptación validada con FIPS 140-2: Consulta la página de documentación Habilita el cumplimiento del estándar FIPS 140-2 de nivel 1 en una instancia de Looker (Google Cloud Core) para obtener más información sobre la compatibilidad con FIPS 140-2 en Looker (Google Cloud Core).
En la sección Período de mantenimiento, puedes especificar el día de la semana y la hora en que Looker (Google Cloud Core) programa el mantenimiento de forma opcional. Los períodos de mantenimiento duran una hora. De forma predeterminada, la opción Período preferido del Período de mantenimiento está configurada en Cualquier período.
En la sección Período de denegación de mantenimiento, puedes especificar un bloque de días en el que Looker (núcleo de Google Cloud) no programe el mantenimiento. Los períodos de rechazo del mantenimiento pueden ser de hasta 60 días. Debes permitir al menos 14 días de disponibilidad de mantenimiento entre cualquiera de los 2 períodos de rechazo del mantenimiento.
Haz clic en Crear.
gcloud
- Si usas CMEK, sigue las instrucciones para crear una cuenta de servicio, un llavero de claves y una clave antes de crear tu instancia de Looker (Google Cloud Core).
Usa el comando
gcloud looker instances create
para crear la instancia:gcloud looker instances create INSTANCE_NAME \ --project=PROJECT_ID \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --private-ip-enabled \ --consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE [--no-public-ip-enabled] [--public-ip-enabled]
Reemplaza lo siguiente:
INSTANCE_NAME
: Es un nombre para tu instancia de Looker (Google Cloud Core). no está asociada con la URL de la instancia.PROJECT_ID
: El nombre del proyecto de Google Cloud en el que creas la instancia de Looker (Google Cloud Core).OAUTH_CLIENT_ID
yOAUTH_CLIENT_SECRET
: Son el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth. Después de crear la instancia, ingresa la URL de la instancia en la sección URIs de redireccionamiento autorizados del cliente de OAuth.REGION
: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la del contrato de suscripción. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).EDITION
: Es la edición de la instancia. Para una instancia de IP privada, debe sercore-enterprise-annual
ocore-embed-annual
. Asegúrate de elegir el mismo tipo de edición que se indica en tu contrato anual y de que tengas una cuota asignada. Las ediciones no se pueden cambiar después de crear la instancia. Si quieres cambiar una edición, puedes usar la importación y exportación para mover los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.CONSUMER_NETWORK
: Es tu red de VPC o red de VPC compartida. Se debe configurar si creas una instancia de IP privada.RESERVED_RANGE
: Es el rango de direcciones IP dentro de la VPC en la que Google aprovisionará una subred para tu instancia de Looker (Google Cloud core).
Puedes incluir las siguientes marcas:
--private-ip-enabled
habilita la IP privada. Se debe incluir para crear una instancia de IP privada.--public-ip-enabled
habilita la IP pública.--no-public-ip-enabled
inhabilita la IP pública.- Se recomienda
--async
cuando creas una instancia de Looker (Google Cloud Core).
Puedes agregar más parámetros para aplicar otros parámetros de configuración de la instancia:
Reemplaza lo siguiente:[--maintenance-window-day=MAINTENANCE_WINDOW_DAY --maintenance-window-time=MAINTENANCE_WINDOW_TIME] [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME] [--kms-key=KMS_KEY_ID] [--fips-enabled]
MAINTENANCE_WINDOW_DAY
: Debe ser una de las siguientes opciones:friday
,monday
,saturday
,sunday
,thursday
,tuesday
owednesday
. Consulta la página de documentación Administra las políticas de mantenimiento para Looker (Google Cloud Core) para obtener más información sobre la configuración del período de mantenimiento.MAINTENANCE_WINDOW_TIME
yDENY_MAINTENANCE_PERIOD_TIME
: Deben estar en la hora UTC en formato de 24 horas (por ejemplo, 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATE
yDENY_MAINTENANCE_PERIOD_END_DATE
deben tener el formatoYYYY-MM-DD
.KMS_KEY_ID
: Debe ser la clave que se crea cuando se configuran las claves de encriptación administradas por el cliente (CMEK).
Puedes incluir la marca
--fips-enabled
para habilitar el cumplimiento del nivel 1 del estándar FIPS 140-2.
Mientras se crea la instancia, puedes ver su estado en la página Instancias de la consola. También puedes ver tu actividad de creación de instancias haciendo clic en el ícono de notificaciones en el menú de la consola de Google Cloud.
Si creas una instancia de solo IP privada, no aparecerá una URL en la página Instancias. Consulta la siguiente sección Cómo acceder a una instancia de IP privada después de su creación para obtener más información sobre cómo configurar el acceso a tu instancia de IP privada.
Accede a una instancia de IP privada después de su creación
Si creas una instancia que solo está habilitada para IP privada, no recibirás una URL para ella. Para acceder a la instancia, debes configurar un dominio personalizado para la instancia y agregarlo a las credenciales de OAuth de la instancia. Para comprender las diferentes opciones de redes de IP privadas para configurar un dominio personalizado y acceder a él, visita la página de documentación Opciones de redes de dominios personalizados para instancias de IP privadas de Looker (Google Cloud Core).