Beachten Sie, dass Sie sich die Looker-Dokumentation ansehen. Dokumentation zu Looker Studio finden Sie unter https://support.google.com/looker-studio.

Private IP-Verbindung für Looker (Google Cloud Core) erstellen

Mit privaten IP-Verbindungen sind Dienste erreichbar, ohne das Internet zu nutzen oder externe IP-Adressen zu verwenden. Da sie nicht das Internet durchlaufen, bieten Verbindungen über private IP-Adressen in der Regel eine geringere Latenz und begrenzte Angriffsvektoren. Private IP-Verbindungen ermöglichen es Ihrer Looker (Google Cloud Core)-Instanz, mit anderen Ressourcen in Ihrer Virtual Private Cloud (VPC) zu kommunizieren. Sie lassen jedoch keine eingehende Kommunikation aus dem öffentlichen Internet zu.

Die private IP-Verbindung ist mit einigen Features von Looker (Google Cloud Core) nicht kompatibel. Weitere Informationen finden Sie in der Tabelle zur Kompatibilität der Funktionen.

Looker (Google Cloud Core) unterstützt private IP-Adressen für Instanzen, die die folgenden Kriterien erfüllen:

Instanzversionen müssen Enterprise oder Embed sein.

Zum Einrichten einer privaten IP-Instanz benötigen Sie die folgenden IAM-Berechtigungen:

Looker-Administrator
Compute-Netzwerkadministrator (oder Inhaber Ihres Google Cloud-Projekts)

Hinweise

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute Network Admin (roles/compute.networkAdmin) für das Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Erstellen von zugewiesenen IP-Adressbereichen und zum Verwalten privater Verbindungen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen zugewiesener IP-Adressbereiche und zum Verwalten privater Verbindungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um zugewiesene IP-Adressbereiche zu erstellen und private Verbindungen zu verwalten:
- Die verfügbaren Netzwerke finden Sie im Drop-down-Menü Netzwerk:
  - compute.addresses.list
  - compute.globalAddresses.list
- Erstellen Sie ein neues VPC-Netzwerk:
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Weisen Sie einen privaten IP-Bereich zu und richten Sie eine Verbindung für den Zugriff auf private Dienste ein: compute.networks.addPeering
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Hinweis: Einfache IAM-Rollen können auch Berechtigungen zum Erstellen zugewiesener IP-Adressbereiche und zum Verwalten privater Verbindungen enthalten. In einer Produktionsumgebung sollten Sie keine einfachen Rollen zuweisen, Sie können sie aber in einer Entwicklungs- oder Testumgebung gewähren.

Wenn Sie eine private IP-Instanz mit Terraform oder der Google Cloud CLI erstellen und ein bereits eingerichtetes privates Netzwerk verwenden, benötigen Sie diese Berechtigungen nicht.
Aktivieren Sie die Compute Engine API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie möglicherweise die Konsolenseite aktualisieren, um zu prüfen, ob die API aktiviert wurde.
API aktivieren

VPC-Netzwerk erstellen und konfigurieren

Bevor Sie eine private IP-Verbindung erstellen können, müssen Sie zuerst ein VPC-Netzwerk (Virtual Private Cloud) erstellen und konfigurieren.

Erstellen Sie ein VPC-Netzwerk in Ihrem Projekt. Wenn Sie eine freigegebene VPC verwenden, anstatt ein neues VPC-Netzwerk zu erstellen, führen Sie alternativ die Schritte im Abschnitt Instanz in einer freigegebenen VPC erstellen aus.
Weisen Sie einen IPv4-IP-Bereich (CIDR-Block) in Ihrer VPC für eine private Verbindung zu Looker (Google Cloud Core) zu.

Prüfen Sie vor dem Zuweisen des Bereichs die Einschränkungen.
Beachten Sie beim Festlegen der Größe des IP-Adressbereichs, dass die Mindestgröße ein /22-Block ist.
Looker (Google Cloud Core) unterstützt alle IPv4-Bereiche innerhalb von RFC 1918. Darin werden IP-Adressen angegeben, die zur internen Verwendung (d. h. innerhalb einer Organisation) zugewiesen und nicht über das Internet weitergeleitet werden. Dazu zählen insbesondere Folgende:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

IPv4-Bereiche der Klasse E (240.0.0.0/4) sind für die zukünftige Verwendung gemäß RFC 5735 und RFC 1112 reserviert und werden für Looker (Google Cloud Core) nicht unterstützt.

Nur-Proxy-Subnetz

Fügen Sie Ihrem VPC-Netzwerk die Verbindung für den Zugriff auf private Dienste hinzu. Verwenden Sie dazu den im vorherigen Schritt für Zugewiesene Zuweisung zugewiesenen IP-Bereich.
Kehren Sie nach dem Erstellen des VPC-Netzwerk zur Seite Looker-Instanz erstellen in Ihrem Google Cloud-Projekt zurück. Möglicherweise müssen Sie die Seite aktualisieren, damit Ihr VPC-Netzwerk erkannt wird.

Nachdem Sie diese Schritte ausgeführt haben, können Sie mit dem Erstellen Ihrer Instanz beginnen. Folgen Sie dazu der Anleitung auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz erstellen , beginnend mit dem Abschnitt Vorbereitung.

Instanz in einer freigegebene VPC erstellen

Wenn Sie eine Looker-Instanz (Google Cloud Core) in einer freigegebenen VPC erstellen, führen Sie im Hostprojekt der freigegebene VPC die folgenden Schritte aus:

Aktivieren Sie die Looker API in der Google Cloud Console im Hostprojekt der freigegebene VPC. Wenn Sie die API aktivieren, müssen Sie möglicherweise die Konsolenseite aktualisieren, um zu prüfen, ob die API aktiviert wurde.
API aktivieren
Erstellen Sie mit dem gcloud-Befehl services identity create von gcloud ein Dienstkonto im Hostprojekt der freigegebene VPC:
```
gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
```
Ersetzen Sie SHARED_HOST_PROJECT_ID durch das Hostprojekt der freigegebene VPC.
Gewähren Sie dem Dienstkonto im Hostprojekt die IAM-Berechtigung compute.globalAddresses.get.

Nachdem Sie das Dienstkonto erstellt und ihm die IAM-Berechtigung gewährt haben, warten Sie einige Minuten, bis das Dienstkonto und die Berechtigung weitergegeben wurden.

Weisen Sie außerdem in der freigegebene VPC einen IPv4-IP-Bereich zu und fügen Sie der freigegebene VPC die Verbindung für den Zugriff auf private Dienste hinzu, wie im vorherigen Abschnitt VPC-Netzwerk erstellen und konfigurieren beschrieben.

Netzwerkkonfiguration während der Instanzerstellung

Wählen Sie eine der folgenden Optionen aus, um beim Erstellen der Instanz eine private IP-Adresse zu konfigurieren:

Console

Wenn Sie beim Erstellen der Instanz nur Private IP-Adresse oder sowohl Private IP-Adresse als auch Öffentliche IP-Adresse auswählen, schließen Sie die Konfiguration so ab:

Wenn das Pop-up-Fenster Erforderliche APIs aktivieren angezeigt wird, müssen Sie zusätzliche APIs für Ihr Google Cloud-Projekt aktivieren. Klicken Sie auf ALLE AKTIVIEREN, um die erforderlichen APIs für eine private Netzwerkverbindung zu aktivieren.
Wählen Sie im Drop-down-Menü Netzwerk Ihr VPC-Netzwerk aus. Private IP-Netzwerke benötigen eine Verbindung für den Zugriff auf private Dienste, die es Ihren Diensten ermöglicht, ausschließlich über interne IP-Adressen zu kommunizieren. Weitere Informationen zum Einrichten einer privaten IP-Verbindung finden Sie auf der Dokumentationsseite Zugriff auf private Dienste konfigurieren. Wenn Sie beim Erstellen Ihres VPC-Netzwerk keine Verbindung zu privaten Diensten eingerichtet haben, können Sie unter der Meldung Verbindung für privaten Dienstzugriff erforderlich auf VERBINDUNG EINRICHTEN klicken. Dadurch wird eine Seitenleiste geöffnet, in der Sie einen IP-Bereich zuweisen und eine Verbindung erstellen können.
Unter Zugewiesener IP-Bereich können Sie einen IP-Adressbereich innerhalb der VPC auswählen, in dem Google ein Subnetzwerk für Ihre Looker (Google Cloud Core)-Instanz bereitstellt. Subnetzwerke reservieren einen IP-Bereich, der nicht von anderen Ressourcen im VPC-Netzwerk verwendet werden kann. Sie können diesen IP-Bereich nach dem Erstellen der Looker (Google Cloud Core)-Instanz nicht mehr ändern. Die Zuweisung von IP-Bereichen umfasst folgende Optionen:
- Wählen Sie Automatisch zugewiesenen IP-Bereich verwenden aus, damit Google automatisch einen IP-Bereich zuweist, um ein Subnetzwerk für die VPC bereitzustellen.
- Wählen Sie einen IP-Bereich aus, der bei der Einrichtung des Zugriffs auf private Dienste definiert wurde.
Schließen Sie die Instanzerstellung ab und klicken Sie auf Erstellen, um die Instanz anzulegen.

gcloud

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

Ersetzen Sie Folgendes:

INSTANCE_NAME: ein Name für Ihre Looker (Google Cloud Core)-Instanz. Er ist nicht mit der Instanz-URL verknüpft.
PROJECT_ID: der Name des Google Cloud-Projekts, in dem Sie die Looker (Google Cloud Core)-Instanz erstellen.
OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie bei der Einrichtung des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.
REGION: Die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird. Wählen Sie die Region aus, die mit der Region im Abovertrag übereinstimmt. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.
EDITION: die Version für die Instanz. Mögliche Werte sind core-standard-annual, core-enterprise-annual oder core-embed-annual. Versionen können nach dem Erstellen der Instanz nicht mehr geändert werden. Wenn Sie eine Edition ändern möchten, können Sie die Daten Ihrer Looker (Google Cloud Core)-Instanzdaten mit Import und Export in eine neue Instanz verschieben, die für eine andere Edition konfiguriert ist.
CONSUMER_NETWORK: Ihr VPC-Netzwerk oder Ihre freigegebene VPC. Muss festgelegt werden, wenn Sie eine private IP-Instanz erstellen.
RESERVED_RANGE: der IP-Adressbereich innerhalb der VPC, in dem Google ein Subnetzwerk für Ihre Looker (Google Cloud Core)-Instanz bereitstellt. Muss festgelegt werden, wenn Sie eine private IP-Instanz erstellen.

Sie können die folgenden Flags angeben:

--private-ip-enabled aktiviert private IP-Adressen.
--public-ip-enabled aktiviert öffentliche IP-Adressen.
--no-public-ip-enabled deaktiviert öffentliche IP-Adressen.

Instanzkonfiguration nach der Instanzerstellung

Wenn Sie eine Instanz erstellen, die nur für private IP-Adressen aktiviert ist, erhalten Sie keine URL für die Instanz. Führen Sie die folgenden beiden Schritte aus, um auf die Instanz zuzugreifen:

Richten Sie einen Proxyserver ein, um den Zugriff auf eine Instanz mit einer privaten IP-Adresse zuzulassen.

Hinweis :Wenn Sie einen Proxyserver und Verbindungen zu diesem Proxyserver einrichten, müssen Sie auch eine benutzerdefinierte Domain verwenden.
Konfigurieren Sie eine benutzerdefinierte Domain und fügen Sie diese Domain dem OAuth-Client für die Instanz hinzu.

Sie können Ihre private IP-Instanz auch weiter konfigurieren. Gehen Sie dazu so vor:

Entfernen Sie die Standardroute, wenn Sie VPC Service Controls verwenden.
Erstellen Sie eine Zulassungsliste für E-Mail-Domains, um die Zustellung von E-Mails auf externe Domains zu beschränken.
Konfigurieren Sie Ihre private IP-Instanz, um die Kommunikation mit dem Internet oder externen Ressourcen zuzulassen oder einzuschränken.