Looker (Google Cloud Core)-Instanz mit privaten Verbindungen (Zugriff auf private Dienste) erstellen

Auf dieser Seite wird erläutert, wie Sie eine Produktions- oder Nicht-Produktionsinstanz von Looker (Google Cloud Core) mit Zugriff auf private Dienste (Private Service Access, PSA) erstellen, die PSA verwendet.

Private Verbindungen machen Dienste erreichbar, ohne das Internet zu nutzen oder externe IP-Adressen zu verwenden. Da sie nicht über das Internet übertragen werden, bieten private Verbindungen in der Regel eine geringere Latenz und eingeschränkte Angriffsvektoren. Private Verbindungen ermöglichen es Ihrer Looker (Google Cloud Core)-Instanz, mit anderen Ressourcen in Ihrer Virtual Private Cloud (VPC) zu kommunizieren, lassen aber keine eingehende Kommunikation aus dem öffentlichen Internet zu.

Private Verbindungen ermöglichen die Verwendung einiger Funktionen wie VPC Service Controls. Private Verbindungen sind jedoch nicht mit einigen Looker (Google Cloud Core)-Funktionen kompatibel. Weitere Informationen finden Sie in der Tabelle zur Funktionskompatibilität.

Looker (Google Cloud Core) unterstützt private Verbindungen (Private Service Access, PSA) für Enterprise- oder Embed-Instanzversionen.

Erforderliche Rollen und Berechtigungen

Zum Einrichten einer Instanz für den privaten Dienstzugriff (Private Service Access, PSA) benötigen Sie die folgenden IAM-Berechtigungen:

  1. Zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen Sie die Rolle Looker-Administrator (roles/looker.Admin).

  2. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen zugewiesener IP-Adressbereiche und zum Verwalten privater Verbindungen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen zugewiesener IP-Adressbereiche und zum Verwalten privater Verbindungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

    Erforderliche Berechtigungen

    Die folgenden Berechtigungen sind erforderlich, um zugewiesene IP-Adressbereiche zu erstellen und private Verbindungen zu verwalten:

    • Verfügbare Netzwerke werden im Drop-down-Menü Netzwerk angezeigt:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Erstellen Sie ein neues VPC-Netzwerk:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Weisen Sie einen privaten IP-Bereich zu und richten Sie eine Verbindung für den Zugriff auf private Dienste ein: compute.networks.addPeering

    Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

    Wenn Sie ein privates Netzwerk verwenden, das bereits eingerichtet wurde, benötigen Sie diese Berechtigungen nicht.

Möglicherweise benötigen Sie auch zusätzliche IAM-Rollen, um VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) einzurichten. Weitere Informationen zu diesen Funktionen finden Sie auf den Dokumentationsseiten Unterstützung von VPC Service Controls für Looker (Google Cloud Core) und CMEK für Looker (Google Cloud Core) aktivieren.

Hinweise

  1. Wenden Sie sich an den Vertrieb, um sicherzustellen, dass Ihr Jahresvertrag abgeschlossen ist und Ihrem Projekt Kontingent zugewiesen wurde.
  2. Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein.
  3. Erstellen Sie Google Cloud in der Google Cloud Console auf der Seite der Projektauswahl ein Projekt oder rufen Sie ein vorhandenes Projekt auf, in dem Sie die Looker (Google Cloud Core)-Instanz erstellen möchten.

    Zur Projektauswahl

  4. Aktivieren Sie die Looker API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Seite der Console möglicherweise aktualisieren, um zu bestätigen, dass die API aktiviert wurde.

    API aktivieren

  5. Aktivieren Sie die Service Networking API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Seite der Console möglicherweise aktualisieren, um zu bestätigen, dass die API aktiviert wurde.

    API aktivieren

  6. Aktivieren Sie die Compute Engine API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Konsolenseite möglicherweise aktualisieren, um zu bestätigen, dass die API aktiviert wurde.

    API aktivieren

  7. OAuth-Client einrichten und Autorisierungsanmeldedaten erstellen Mit dem OAuth-Client können Sie sich authentifizieren und auf die Instanz zugreifen. Sie müssen OAuth einrichten, um eine Looker (Google Cloud Core)-Instanz zu erstellen, auch wenn Sie eine andere Authentifizierungsmethode verwenden, um Nutzer in Ihrer Instanz zu authentifizieren.

VPC-Netzwerk erstellen und konfigurieren

Bevor Sie eine private Verbindung erstellen können, müssen Sie zuerst ein VPC-Netzwerk (Virtual Private Cloud) erstellen und konfigurieren. Looker (Google Cloud Core) unterstützt mehrere private Service Access-Instanzen (PSA) in derselben VPC, entweder in derselben Region oder in verschiedenen Regionen.

  1. Erstellen Sie ein VPC-Netzwerk in Ihrem Projekt. Wenn Sie anstelle eines neuen VPC-Netzwerk eine freigegebene VPC verwenden, führen Sie zusätzlich zu den verbleibenden Schritten in diesem Abschnitt für die freigegebene VPC die Schritte im folgenden Abschnitt Instanz in einer freigegebenen VPC erstellen aus.
  2. Weisen Sie einen IPv4-IP-Bereich (CIDR-Block) in Ihrer VPC für eine Verbindung für den Zugriff auf private Dienste zu Looker (Google Cloud Core) zu.
    • Beachten Sie vor dem Zuweisen des Bereichs die Einschränkungen.
    • Achten Sie beim Festlegen der Größe des IP-Adressbereichs darauf, dass die Mindestgröße ein /22-Block ist.
    • Looker (Google Cloud Core) unterstützt alle IPv4-Bereiche innerhalb von RFC 1918, in dem IP-Adressen angegeben werden, die intern (d. h. innerhalb einer Organisation) zugewiesen und nicht ins Internet weitergeleitet werden. Dazu gehören insbesondere:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • IPv4-Bereiche der Klasse E (240.0.0.0/4) sind für die zukünftige Verwendung reserviert, wie in RFC 5735 und RFC 1112 angegeben. Sie werden für Looker (Google Cloud Core) nicht unterstützt.
    Wenn eine Looker (Google Cloud Core)-Instanz zum ersten Mal in einer Region innerhalb einer VPC erstellt wird, erstellt Looker ein Nur-Proxy-Subnetz. Das Nur-Proxy-Subnetz verwendet ein /26-Bereichssubnetz des /22-Subnetzes, das Sie beim Erstellen der Looker (Google Cloud Core)-Instanz reservieren. Alle nachfolgenden privaten Verbindungen (Private Service Access, PSA) für Looker (Google Cloud Core)-Instanzen in derselben VPC und derselben Region verwenden dasselbe Proxy-only-Subnetz.
  3. Fügen Sie Ihrem VPC-Netzwerk die Verbindung für den Zugriff auf private Dienste hinzu. Verwenden Sie dazu den im vorherigen Schritt zugewiesenen IP-Bereich für die zugewiesene Zuweisung.
  4. Kehren Sie nach der Erstellung des VPC-Netzwerk in Ihrem Google Cloud Projekt zur Seite Looker-Instanz erstellen zurück. Möglicherweise müssen Sie die Seite aktualisieren, damit Ihr VPC-Netzwerk erkannt wird.

Nachdem Sie diese Schritte ausgeführt haben, können Sie Ihre Instanz erstellen. Folgen Sie dazu der Anleitung auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz erstellen , beginnend mit dem Abschnitt Vorbereitung.

Mehrere Instanzen privater Verbindungen in derselben VPC

Wenn sich zwei oder mehr private Verbindungen für Looker (Google Cloud Core)-Instanzen in derselben Region und in derselben VPC befinden und Sie die erste Looker (Google Cloud Core)-Instanz löschen, die in der Region erstellt wurde, wird das Proxy-only-Subnetz nicht freigegeben, da es weiterhin von den verbleibenden Instanzen verwendet wird. Wenn Sie versuchen, eine neue Looker (Google Cloud Core)-Instanz mit privater Verbindung (Private Service Access, PSA) zu erstellen, die denselben Adressbereich wie die gelöschte Instanz verwendet (der den IP-Adressbereich des reinen Proxy-Subnetzes enthält), schlägt die Instanzerstellung fehl und Sie sehen den Fehler „IP-Bereiche erschöpft“. Wenn Sie prüfen möchten, ob ein IP-Bereich verwendet wird, sehen Sie sich das VPC-Peering für Service Networking und die importierten Routen an. Dort können Sie sehen, ob der gewünschte IP-Bereich verwendet wird.

Instanz in einer freigegebene VPC erstellen

Wenn Sie eine Looker (Google Cloud Core)-Instanz in einer freigegebenen VPC erstellen, führen Sie die folgenden Schritte im Hostprojekt der freigegebene VPC aus:

  1. Aktivieren Sie die Looker API im Hostprojekt der freigegebene VPC in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Konsolenseite möglicherweise aktualisieren, um zu bestätigen, dass die API aktiviert wurde.

    API aktivieren

  2. Erstellen Sie mit dem gcloud-Befehl services identity create ein Dienstkonto im Hostprojekt der freigegebene VPC:

    gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID

    Ersetzen Sie SHARED_HOST_PROJECT_ID durch die ID des Hostprojekts der freigegebene VPC.

  3. Weisen Sie dem Dienstkonto im Hostprojekt der freigegebene VPC eine IAM-Rolle zu, die die IAM-Berechtigung compute.globalAddresses.get enthält. Führen Sie als Nächstes den Befehl add-iam-policy-binding aus:

    gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME

    Ersetzen Sie Folgendes:

    • SHARED_HOST_PROJECT_ID: Die ID des Hostprojekts der freigegebenen VPC.

    • SA_EMAIL: Die E-Mail-Adresse des Dienstkontos, das Sie im Hostprojekt der freigegebene VPC erstellt haben.

    • ROLE_NAME: Der Name der Rolle, die die Berechtigung compute.globalAddresses.get enthält. Verwenden Sie eines der folgenden Formate:

      • Vordefinierte Rollen: roles/SERVICE.IDENTIFIER
      • Benutzerdefinierte Rollen auf Projektebene: projects/PROJECT_ID/roles/IDENTIFIER
      • Benutzerdefinierte Rollen auf Organisationsebene: organizations/ORG_ID/roles/IDENTIFIER

      Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.

Nachdem Sie das Dienstkonto erstellt und ihm die IAM-Berechtigung erteilt haben, warten Sie einige Minuten, bis das Dienstkonto und die Berechtigung übernommen wurden.

Weisen Sie außerdem einen IPv4-IP-Bereich im freigegebene VPC zu und fügen Sie die Verbindung für den Zugriff auf private Dienste dem freigegebene VPC hinzu, wie im vorherigen Abschnitt VPC-Netzwerk erstellen und konfigurieren beschrieben.

Private Connections-Instanz erstellen

Looker (Google Cloud Core) erfordert etwa 60 Minuten, um eine neue Instanz zu generieren.

Wenn Sie eine Instanz mit Zugriff auf private Dienste (Private Service Access, PSA) benötigen, müssen Sie die Google Cloud CLI oder Terraform verwenden und die Instanz beim Erstellen als PSA-Instanz konfigurieren. Private Verbindungen können einer Instanz nach der Erstellung nicht mehr hinzugefügt oder daraus entfernt werden.

So erstellen Sie eine Instanz für private Servicezugriffe (PSA) mit der Google Cloud CLI:

  1. Wenn Sie CMEK verwenden, folgen Sie der Anleitung zum Erstellen eines Dienstkontos, eines Schlüsselbunds und eines Schlüssels, bevor Sie Ihre Looker (Google Cloud Core)‑Instanz erstellen.

  2. Erstellen Sie die Instanz mit dem Befehl gcloud looker instances create:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Ersetzen Sie Folgendes:

    • INSTANCE_NAME: Ein Name für Ihre Looker (Google Cloud Core)-Instanz. Er ist nicht mit der Instanz-URL verknüpft.
    • PROJECT_ID: Der Name des Google Cloud Projekts, in dem Sie die Looker (Google Cloud Core)-Instanz erstellen.
    • OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.
    • REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird. Wählen Sie die Region aus, die der Region im Abovertrag entspricht. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker-Standorte (Google Cloud Core) aufgeführt.
    • EDITION: die Edition, der Umgebungstyp (Produktion oder Nicht-Produktion) und ob es sich um eine Testversion für die Instanz handelt. Für eine Instanz mit privaten Verbindungen (PSA) sollte dies core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-enterprise oder core-trial-embed sein. Achten Sie darauf, dass Sie denselben Editionstyp wie in Ihrem Jahresvertrag auswählen und dass Ihnen Kontingent zugewiesen ist. Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie die Edition ändern möchten, können Sie Importieren und Exportieren verwenden, um die Daten Ihrer Looker (Google Cloud Core)-Instanz in eine neue Instanz zu verschieben, die mit einer anderen Edition konfiguriert ist.
    • CONSUMER_NETWORK: Ihr VPC-Netzwerk oder freigegebenes VPC-Netzwerk. Muss festgelegt werden, wenn Sie eine Instanz für den Zugriff auf private Dienste erstellen.
    • RESERVED_RANGE: Der Bereich der IP-Adressen innerhalb der VPC, in dem Google ein Subnetzwerk für Ihre Looker-Instanz (Google Cloud Core) bereitstellt.

    Sie können die folgenden Flags einfügen:

    • --private-ip-enabled ermöglicht private Verbindungen (PSA). Dies muss enthalten sein, um eine Instanz für den Zugriff auf private Dienste zu erstellen.
    • --public-ip-enabled ermöglicht die Verwendung öffentlicher IP-Adressen.
    • --no-public-ip-enabled deaktiviert öffentliche IP-Adressen.
    • --async wird empfohlen, wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen.

  3. Sie können weitere Parameter hinzufügen, um andere Instanzeinstellungen festzulegen: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Ersetzen Sie Folgendes:

    • MAINTENANCE_WINDOW_DAY: muss einer der folgenden Werte sein: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Weitere Informationen zu den Einstellungen für Wartungsfenster finden Sie auf der Dokumentationsseite Wartungsrichtlinien für Looker (Google Cloud Core) verwalten.
    • MAINTENANCE_WINDOW_TIME und DENY_MAINTENANCE_PERIOD_TIME: müssen in UTC im 24-Stunden-Format angegeben werden (z. B. 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE und DENY_MAINTENANCE_PERIOD_END_DATE: müssen das Format YYYY-MM-DD haben.
    • KMS_KEY_ID: Muss der Schlüssel sein, der beim Einrichten von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) erstellt wird.

    Sie können das Flag --fips-enabled einfügen, um FIPS 140‑2 Level 1-Konformität zu aktivieren.

Während die Instanz erstellt wird, können Sie ihren Status in der Console auf der Seite Instanzen ansehen. Sie können die Aktivitäten zur Instanzerstellung auch aufrufen, indem Sie im Google Cloud -Konsolenmenü auf das Benachrichtigungssymbol klicken.

Wenn Sie eine Instanz erstellen, die nur private Verbindungen (Private Service Access, PSA) verwendet, wird auf der Seite Instanzen keine URL angezeigt. Weitere Informationen zum Einrichten des Zugriffs auf Ihre Instanz für private Verbindungen (PSA) finden Sie im folgenden Abschnitt Nach der Erstellung auf eine Instanz für private Verbindungen (PSA) zugreifen.

Nach der Erstellung auf eine Instanz mit privater Verbindung (Zugriff auf private Dienste) zugreifen

Wenn Sie eine Instanz erstellen, die nur für private Verbindungen (PSA) aktiviert ist, erhalten Sie keine URL für die Instanz. Wenn Sie auf die Instanz zugreifen möchten, müssen Sie eine benutzerdefinierte Domain für die Instanz konfigurieren und diese benutzerdefinierte Domain den OAuth-Anmeldedaten der Instanz hinzufügen. Informationen zu den verschiedenen Netzwerkoptionen für private Verbindungen zum Einrichten und Zugreifen auf eine benutzerdefinierte Domain finden Sie auf der Dokumentationsseite Netzwerkoptionen für benutzerdefinierte Domains für Looker (Google Cloud Core)-Instanzen mit privaten Verbindungen.

Nächste Schritte