Crea una instancia de Looker (Google Cloud Core) con IP privada

En esta página, se explica cómo crear una instancia de producción o no de producción de Looker (Google Cloud Core) con IP privada que use acceso a servicios privados.

Las conexiones de IP privadas permiten acceder a los servicios sin pasar por Internet ni usar direcciones IP externas. Debido a que no atraviesan Internet, las conexiones mediante IP privadas suelen proporcionar una latencia más baja y vectores de ataque limitados. Las conexiones de IP privada permiten que tu instancia de Looker (Google Cloud Core) se comunique con otros recursos de tu nube privada virtual (VPC), pero no permiten la comunicación entrante desde Internet público.

La conectividad de IP privada permite el uso de algunas funciones, como los Controles del servicio de VPC. Sin embargo, las conexiones de IP privadas no son compatibles con algunas funciones de Looker (Google Cloud Core). Consulta la tabla de compatibilidad de funciones para obtener más información.

Looker (Google Cloud Core) admite IPs privadas para las ediciones de instancias Enterprise o Embedded.

Roles y permisos requeridos

Para configurar una instancia de IP privada, debes tener los siguientes permisos de IAM:

  1. Para crear una instancia de Looker (Google Cloud Core), debes tener el rol de administrador de Looker (roles/looker.Admin).

  2. Para obtener los permisos que necesitas para crear rangos de direcciones IP asignados y administrar conexiones privadas, pídele a tu administrador que te otorgue el rol de IAM Administrador de red de Compute (roles/compute.networkAdmin) en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    Este rol predefinido contiene los permisos necesarios para crear rangos de direcciones IP asignados y administrar conexiones privadas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

    Permisos necesarios

    Se requieren los siguientes permisos para crear rangos de direcciones IP asignados y administrar conexiones privadas:

    • Consulta las redes disponibles en el menú desplegable Red:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crea una nueva red de VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Asigna un rango de IP privado y configura una conexión de acceso a servicios privados: compute.networks.addPeering

    También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

    Si creas una instancia de IP privada con Terraform o Google Cloud CLI y usas una red privada que ya se configuró, no necesitas estos permisos.

Es posible que también necesites roles de IAM adicionales para configurar los Controles del servicio de VPC o las claves de encriptación administradas por el cliente (CMEK). Para obtener más información, consulta las páginas de documentación Compatibilidad de los Controles del servicio de VPC con Looker (Google Cloud Core) o Habilita CMEK para Looker (Google Cloud Core) sobre esas funciones.

Antes de comenzar

  1. En la página del selector de proyectos de la consola de Google Cloud, crea un Google Cloud proyecto o navega a uno existente en el que deseas crear la instancia de Looker (núcleo de Google Cloud).

    Ir al selector de proyectos

  2. Habilita la API de Looker para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.

    Habilita la API

  3. Habilita la API de Service Networking para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.

    Habilita la API

  4. Habilita la API de Compute Engine para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.

    Habilita la API

  5. Configura un cliente de OAuth y crea credenciales de autorización. El cliente de OAuth te permite autenticarte y acceder a la instancia. Debes configurar OAuth para crear una instancia de Looker (Google Cloud Core), incluso si usas un método de autenticación diferente para autenticar a los usuarios en tu instancia.

Crea y configura una red de VPC

Para crear una conexión de IP privada, primero debes crear y configurar una red de nube privada virtual (VPC). Looker (Google Cloud Core) admite varias instancias de IP privadas en la misma VPC, ya sea en la misma región o en regiones diferentes.

  1. Crea una red de VPC en tu proyecto. Como alternativa, si usas una VPC compartida en lugar de crear una nueva red de VPC, completa los pasos de la siguiente sección, Cómo crear una instancia en una VPC compartida, además de completar los pasos restantes de esta sección para la VPC compartida.
  2. Asigna un rango de IP IPv4 (bloque CIDR) en tu VPC para una conexión de acceso a servicios privados a Looker (Google Cloud Core).
    • Antes de asignar el rango, ten en cuenta las restricciones.
    • Cuando establezcas el tamaño del rango de direcciones IP, ten en cuenta que el tamaño mínimo es un bloque /22.
    • Looker (núcleo de Google Cloud) admite todos los rangos de IPv4 dentro de la RFC 1918, que especifica las direcciones IP que se asignan para usar de manera interna (es decir, dentro de una organización) y que no se enrutarán en Internet. Específicamente, estas son las siguientes:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Los rangos IPv4 de clase E (240.0.0.0/4) se reservan para uso futuro, como se indica en RFC 5735 y RFC 1112, y no son compatibles con Looker (núcleo de Google Cloud).
    Cuando se crea una instancia de Looker (Google Cloud Core) por primera vez en una región dentro de una VPC, Looker crea una subred de solo proxy. La subred de solo proxy usa una subred de rango /26 de la subred /22 que reservas cuando creas la instancia de Looker (Google Cloud Core). Todas las instancias posteriores de Looker (Google Cloud Core) con IP privada en la misma VPC y en la misma región usan la misma subred de solo proxy.
  3. Agrega la conexión de acceso a servicios privados a tu red de VPC con el rango de IP asignado en el paso anterior para la asignación asignada.
  4. Una vez que se cree tu red de VPC, vuelve a la página Crear instancia de Looker en tu Google Cloud proyecto. Es posible que debas actualizar la página para que se reconozca tu red de VPC.

Una vez que hayas completado estos pasos, puedes comenzar a crear tu instancia. Para ello, sigue los pasos que se indican en la página de documentación Crea una instancia de Looker (Google Cloud Core) , comenzando por la sección Antes de comenzar.

Varias instancias de IP privada en la misma VPC

Si dos o más instancias de Looker (Google Cloud Core) con IP privada se encuentran en la misma región y en la misma VPC, y borras la primera instancia de Looker (Google Cloud Core) que se creó en la región, no se liberará la subred de solo proxy porque las instancias restantes aún la usan. Si intentas crear una nueva instancia de Looker (Google Cloud Core) con IP privada que use el mismo rango de direcciones que usaste para la instancia borrada (que contiene el rango de direcciones IP de la subred de solo proxy), la creación de la instancia fallará y verás un error que indica que se agotaron los rangos de IP. Para verificar si un rango de IP está en uso, verifica el intercambio de tráfico entre redes de VPC para la creación de redes de servicios y las rutas de importación para ver si usan el rango de IP que te interesa.

Crea una instancia en una VPC compartida

Si creas una instancia de Looker (núcleo de Google Cloud) en una VPC compartida, completa los siguientes pasos en el proyecto host de la VPC compartida:

  1. Habilita la API de Looker en el proyecto host de la VPC compartida en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.

    Habilita la API

  2. Crea una cuenta de servicio en el proyecto host de la VPC compartida con el comando services identity create de gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Reemplaza SHARED_HOST_PROJECT_ID por el proyecto host de la VPC compartida.

  3. Otorga el permiso de IAM compute.globalAddresses.get a la cuenta de servicio en el proyecto host.

Después de crear la cuenta de servicio y otorgarle el permiso de IAM, espera unos minutos para que la cuenta de servicio y el permiso se propaguen.

Además, asigna un rango de IP IPv4 en la VPC compartida y agrega la conexión de acceso a servicios privados a la VPC compartida como se describe en la sección anterior, Crea y configura una red de VPC.

Crea la instancia de IP privada

Looker (Google Cloud Core) requiere aproximadamente 60 minutos para generar una instancia nueva.

La IP privada se debe asignar en el momento de la creación de la instancia. No se puede agregar ni quitar una IP privada de una instancia después de crearla.

Para configurar una IP privada durante la creación de la instancia, selecciona una de las siguientes opciones:

Console

  1. Navega a la página del producto Looker (Google Cloud Core) desde tu proyecto en la consola de Google Cloud. Si ya creaste una instancia de Looker (Google Cloud Core) en este proyecto, se abrirá la página Instancias.

    Ir a Looker (Google Cloud Core)

  2. Haz clic en CREAR INSTANCIA.
  3. En la sección Nombre de la instancia, proporciona un nombre para tu instancia de Looker (Google Cloud Core). El nombre de la instancia no está asociado con la URL de la instancia de Looker (Google Cloud Core) una vez que se crea. No se puede cambiar el nombre de la instancia después de crearla.
  4. En la sección Credenciales de la aplicación de OAuth, ingresa el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth.

  5. En la sección Región, selecciona la opción adecuada del menú desplegable para alojar tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la del contrato de suscripción, ya que es aquí donde se asigna la cuota de tu proyecto. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).

    No puedes cambiar la región una vez que se crea la instancia.

  6. En la sección Edición, elige una opción de edición Embebida o Empresarial para un tipo de instancia de producción o de no producción. El tipo de edición afecta algunas de las funciones disponibles para la instancia. Asegúrate de elegir el mismo tipo de edición que aparece en tu contrato anual y de tener una cuota asignada para ese tipo de edición.

    • Empresarial: Plataforma de Looker (Google Cloud Core) con funciones de seguridad mejoradas para abordar una amplia variedad de casos de uso internos de IE y estadísticas
    • Incorporación: Plataforma de Looker (Google Cloud Core) para implementar y mantener estadísticas externas y aplicaciones personalizadas confiables a gran escala

    No se pueden cambiar las ediciones después de crear la instancia. Si quieres cambiar una edición, puedes usar la importación y exportación para mover los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.

  7. En la sección Personaliza tu instancia, haz clic en MOSTRAR OPCIONES DE CONFIGURACIÓN para mostrar un grupo de parámetros de configuración adicionales que puedes personalizar para la instancia.

  8. En la sección Conexiones, en Asignación de IP de la instancia, elige solo IP privada o ambas opciones: IP privada y IP pública. El tipo de conexión de red que se selecciona afecta las funciones de Looker disponibles para la instancia. Las siguientes opciones de conexión de red están disponibles:

    • IP pública: Asigna una dirección IP externa a la que se puede acceder a través de Internet.
    • IP privada: Asigna una dirección IP interna alojada por Google a la que se puede acceder en una nube privada virtual (VPC). Puedes usar esta dirección para conectarte desde otros recursos con acceso a la VPC. Solo las ediciones Enterprise y Embedded admiten IP privada. Si quieres usar los Controles del servicio de VPC, debes seleccionar solo IP privada.
    • Si se seleccionan IP privada y IP pública, el tráfico entrante se enrutará a través de la IP pública y el tráfico saliente, a través de la IP privada. La instancia de Looker (Google Cloud Core) no usará la IP pública para generar tráfico saliente de Internet.

  9. En Tipo de IP privada, selecciona Acceso privado a servicios (PSA).

  10. Si aparece una ventana emergente Habilitar APIs requeridas, debes habilitar APIs adicionales para tu Google Cloud proyecto. Para habilitar las APIs requeridas para una conexión de red privada, haz clic en HABILITAR TODO.

  11. En el menú desplegable Red, selecciona tu red de VPC. Las redes de IP privadas requieren una conexión de acceso a servicios privados, que permite que tus servicios se comuniquen de forma exclusiva mediante direcciones IP internas. Consulta la página de documentación Configura el acceso a los servicios privados para obtener más información sobre cómo configurar una conexión de IP privada. Si no configuraste una conexión de servicios privados cuando creaste tu red de VPC, puedes hacer clic en CONFIGURAR CONEXIÓN debajo del mensaje Se requiere una conexión de acceso privado a servicios. Se abrirá un panel lateral en el que puedes asignar un rango de IP y crear una conexión.

  12. En Rango de IP asignado, selecciona el rango de IP dentro de la VPC en el que Google aprovisionará una subred para tu instancia de Looker (Google Cloud Core). Las subredes reservan un rango de IP que otros recursos de la red de VPC no pueden usar. No podrás modificar este rango de IP después de crear la instancia de Looker (Google Cloud Core). La asignación de rangos de IP incluye las siguientes opciones:

    • Selecciona Usar rango de IP asignado automáticamente para que Google asigne un rango de IP automáticamente para aprovisionar una subred para la VPC.
    • Selecciona un rango de IP que se definió durante la configuración del acceso a servicios privados.

  13. En la sección Encriptación, puedes seleccionar el tipo de encriptación que deseas usar en tu instancia. Las siguientes opciones de encriptación están disponibles:

  14. En la sección Período de mantenimiento, puedes especificar el día de la semana y la hora en que Looker (Google Cloud Core) programa el mantenimiento. Los períodos de mantenimiento duran una hora. De forma predeterminada, la opción Período preferido en Período de mantenimiento está establecida en Cualquier período.

  15. En la sección Período de denegación de mantenimiento, puedes especificar un bloque de días en el que Looker (núcleo de Google Cloud) no programe el mantenimiento. Los períodos de rechazo del mantenimiento pueden ser de hasta 60 días. Debes permitir al menos 14 días de disponibilidad de mantenimiento entre cualquiera de los 2 períodos de rechazo del mantenimiento.

  16. En la sección Gemini en Looker, puedes hacer que las funciones de Gemini en Looker estén disponibles para la instancia de Looker (Google Cloud Core). Para habilitar Gemini en Looker, selecciona Gemini y, luego, Funciones de Verificador de confianza. Cuando se habilitan las funciones de Verificador de confianza, los usuarios pueden acceder a las funciones de Verificador de confianza de Gemini en Looker. Puedes solicitar acceso a las funciones privadas de Verificador de confianza completando el formulario de versión preliminar de Gemini en Looker por cada usuario. Debes habilitar este parámetro de configuración para usar Gemini durante la vista previa previa a la DG. De manera opcional, selecciona Uso de los datos de Verificador de confianza. Cuando este parámetro de configuración está habilitado, otorgas tu consentimiento para que Google use tus datos como se describe en las condiciones del Google Cloud Programa de Verificadores de confianza de Gemini. Para inhabilitar Gemini en una instancia de Looker (Google Cloud Core), borra el parámetro de configuración Gemini.

  17. Haz clic en Crear.

gcloud

  1. Si usas CMEK, sigue las instrucciones para crear una cuenta de servicio, un llavero y una clave antes de crear tu instancia de Looker (Google Cloud Core).

  2. Usa el comando gcloud looker instances create para crear la instancia:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Reemplaza lo siguiente:

    • INSTANCE_NAME: Es un nombre para tu instancia de Looker (Google Cloud Core). No está asociado con la URL de la instancia.
    • PROJECT_ID: Es el nombre del Google Cloud proyecto en el que creas la instancia de Looker (Google Cloud Core).
    • OAUTH_CLIENT_ID y OAUTH_CLIENT_SECRET: el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth. Después de crear la instancia, ingresa su URL en la sección URIs de redireccionamiento autorizados del cliente de OAuth.
    • REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la del contrato de suscripción. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).
    • EDITION: Es la edición y el tipo de entorno (producción o no producción) de la instancia. Para una instancia de IP privada, debe ser core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual o nonprod-core-embed-annual. Asegúrate de elegir el mismo tipo de edición que aparece en tu contrato anual y de que tengas una cuota asignada. No se pueden cambiar las ediciones después de crear la instancia. Si quieres cambiar una edición, puedes usar la importación y exportación para mover los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.
    • CONSUMER_NETWORK: Tu red de VPC o de VPC compartida. Se debe establecer si creas una instancia de IP privada.
    • RESERVED_RANGE: Es el rango de direcciones IP dentro de la VPC en la que Google aprovisionará una subred para tu instancia de Looker (Google Cloud core).

    Puedes incluir las siguientes marcas:

    • --private-ip-enabled habilita la IP privada. Se debe incluir para crear una instancia de IP privada.
    • --public-ip-enabled habilita la IP pública.
    • --no-public-ip-enabled inhabilita la IP pública.
    • Se recomienda --async cuando creas una instancia de Looker (Google Cloud Core).

  3. Puedes agregar más parámetros para aplicar otros parámetros de configuración de la instancia: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Reemplaza lo siguiente:

    • MAINTENANCE_WINDOW_DAY: Debe ser una de las siguientes opciones: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Consulta la página de documentación Administra las políticas de mantenimiento de Looker (Google Cloud Core) para obtener más información sobre la configuración de los períodos de mantenimiento.
    • MAINTENANCE_WINDOW_TIME y DENY_MAINTENANCE_PERIOD_TIME: Deben estar en la hora UTC en formato de 24 horas (por ejemplo, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE y DENY_MAINTENANCE_PERIOD_END_DATE: deben tener el formato YYYY-MM-DD.
    • KMS_KEY_ID: Debe ser la clave que se crea cuando se configuran las claves de encriptación administradas por el cliente (CMEK).

    Puedes incluir la marca --fips-enabled para habilitar el cumplimiento del nivel 1 del estándar FIPS 140-2.

Mientras se crea la instancia, puedes ver su estado en la página Instancias de la consola. También puedes ver la actividad de creación de tu instancia haciendo clic en el ícono de notificaciones en el menú de la consola de Google Cloud.

Si creas una instancia solo con IP privada, no aparecerá una URL en la página Instancias. Consulta la siguiente sección Cómo acceder a una instancia de IP privada después de su creación para obtener más información sobre cómo configurar el acceso a tu instancia de IP privada.

Accede a una instancia de IP privada después de su creación

Si creas una instancia que solo está habilitada para IP privada, no recibirás una URL para ella. Para acceder a la instancia, debes configurar un dominio personalizado para ella y agregarlo a las credenciales de OAuth de la instancia. Para comprender las diferentes opciones de redes de IP privada para configurar un dominio personalizado y acceder a él, visita la página de documentación Opciones de redes de dominio personalizado para instancias de IP privada de Looker (Google Cloud Core).

¿Qué sigue?