Tieni presente che stai visualizzando la documentazione di Looker. Per la documentazione di Looker Studio, visita https://support.google.com/looker-studio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Crea una connessione a IP privato per Looker (Google Cloud core)

Le connessioni IP privati rendono i servizi raggiungibili senza dover passare attraverso internet o utilizzare indirizzi IP esterni. Dato che non attraversano internet, le connessioni su IP privato forniscono tipicamente minore latenza e vettori di attacco limitati. Le connessioni a IP privato consentono alla tua istanza di Looker (Google Cloud core) di comunicare con altre risorse nel tuo Virtual Private Cloud (VPC), ma non consentono la comunicazione in entrata dalla rete internet pubblica.

La connettività con IP privato non è compatibile con alcune funzionalità di Looker (Google Cloud core). Per saperne di più, consulta la tabella relativa alla compatibilità delle funzionalità.

Looker (Google Cloud core) supporta l'IP privato per le istanze che soddisfano i seguenti criteri:

Le versioni dell'istanza devono essere Enterprise o Embed.

Per configurare un'istanza di IP privato, devi disporre delle seguenti autorizzazioni IAM:

Amministratore Looker
Amministratore rete Compute (o essere un proprietario del progetto Google Cloud)

Prima di iniziare

Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti il ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) per il progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie

Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:
- Vedi le reti disponibili nel menu a discesa Rete:
  - compute.addresses.list
  - compute.globalAddresses.list
- Crea una nuova rete VPC:
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi: compute.networks.addPeering
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Nota:i ruoli IAM di base potrebbero anche contenere autorizzazioni per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Non puoi concedere ruoli di base in un ambiente di produzione, ma puoi concederli in un ambiente di sviluppo o di test.

Se stai creando un'istanza di IP privato con Terraform o Google Cloud CLI e stai utilizzando una rete privata già configurata, non hai bisogno di queste autorizzazioni.
Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.
Abilita l'API

Crea e configura una rete VPC

Prima di poter creare una connessione IP privato, devi creare e configurare una rete Virtual Private Cloud (VPC).

Crea una rete VPC nel tuo progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi descritti nella sezione seguente, Creare un'istanza in un VPC condiviso, oltre a completare i passaggi rimanenti di questa sezione per il VPC condiviso.
Alloca un intervallo IP IPv4 (blocco CIDR) nel tuo VPC per una connessione privata a Looker (Google Cloud core).

Prima di allocare l'intervallo, considera i vincoli.
Quando imposti la dimensione dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco /22.
Looker (Google Cloud core) supporta tutti gli intervalli IPv4 in RFC 1918, che specifica gli indirizzi IP assegnati per l'utilizzo interno, ovvero all'interno di un'organizzazione, e che non verranno instradati su internet. In particolare:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Gli intervalli IPv4 di classe E (240.0.0.0/4) sono riservati per un uso futuro, come indicato in RFC 5735 e RFC 1112 e non sono supportati per Looker (Google Cloud core).

subnet solo proxy

Aggiungi la connessione di accesso privato ai servizi alla tua rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
Una volta creata la rete VPC, torna alla pagina Crea istanza Looker nel tuo progetto Google Cloud. Potresti dover aggiornare la pagina affinché la tua rete VPC venga riconosciuta.

Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo i passaggi riportati nella pagina della documentazione Creare un'istanza di Looker (Google Cloud core) , a partire dalla sezione Prima di iniziare.

Creazione di un'istanza in un VPC condiviso

Se stai creando un'istanza di Looker (Google Cloud core) in un VPC condiviso, completa i seguenti passaggi nel progetto host del VPC condiviso:

Abilita l'API Looker nel progetto host del VPC condiviso nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.
Abilita l'API
Crea un account di servizio nel progetto host del VPC condiviso utilizzando il comando gcloud services identity create:
```
gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
```
Sostituisci SHARED_HOST_PROJECT_ID con il progetto host del VPC condiviso.
Concedi l'autorizzazione IAM compute.globalAddresses.get all'account di servizio nel progetto host.

Dopo aver creato l'account di servizio e aver concesso l'autorizzazione IAM, attendi qualche minuto per la propagazione dell'account di servizio e dell'autorizzazione.

Inoltre, alloca un intervallo IP IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso come descritto nella sezione precedente, Creare e configurare una rete VPC.

Configurazione di rete durante la creazione dell'istanza

Per configurare l'IP privato durante la creazione dell'istanza, seleziona una delle seguenti opzioni:

console

Se selezioni solo IP privato o sia IP privato sia IP pubblico durante la creazione dell'istanza, utilizza il comando seguente per completare la configurazione:

Se viene visualizzato il popup Abilita API richieste, devi abilitare API aggiuntive per il progetto Google Cloud. Per abilitare le API richieste per una connessione di rete privata, fai clic su ABILITA TUTTI.
Nell'elenco a discesa Rete, seleziona la tua rete VPC. Le reti IP private richiedono una connessione di accesso privato ai servizi, che consente ai servizi di comunicare esclusivamente mediante indirizzi IP interni. Per ulteriori informazioni sulla configurazione di una connessione IP privato, consulta la pagina della documentazione Configurare l'accesso privato ai servizi. Se non hai configurato una connessione privata ai servizi quando hai creato la rete VPC, puoi fare clic su CONFIGURA CONNESSIONE nel messaggio È richiesta la connessione di accesso privato ai servizi. Si apre un riquadro laterale in cui puoi allocare un intervallo IP e creare una connessione.
In Intervallo IP allocato, puoi selezionare un intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core). Le subnet prenotano un intervallo IP che non può essere utilizzato da altre risorse nella rete VPC. Non potrai modificare questo intervallo IP dopo aver creato l'istanza di Looker (Google Cloud core). L'allocazione dell'intervallo IP include le seguenti opzioni:
- Seleziona Utilizza intervallo IP assegnato automaticamente per fare in modo che Google alloca automaticamente un intervallo IP per eseguire il provisioning di una subnet per il VPC.
- Seleziona un intervallo IP definito durante la configurazione dell'accesso privato ai servizi.
Completa la creazione dell'istanza e fai clic su Crea per creare l'istanza.

gcloud

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

Sostituisci quanto segue:

INSTANCE_NAME: nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.
PROJECT_ID: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).
OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client OAuth e il secret OAuth che hai creato quando hai configurato il client OAuth. Dopo aver creato l'istanza, inserisci l'URL dell'istanza nella sezione URI di reindirizzamento autorizzati del client OAuth.
REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella indicata nel contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione delle località di Looker (Google Cloud core).
EDITION: la versione dell'istanza. I valori possibili sono core-standard-annual, core-enterprise-annual o core-embed-annual. Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare versione, puoi utilizzare le funzioni di importazione e esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
CONSUMER_NETWORK: la tua rete VPC o il VPC condiviso. Deve essere impostato se stai creando un'istanza di IP privato.
RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza Looker (Google Cloud core). Non definire un intervallo se stai abilitando una connessione di rete con IP privato per la tua istanza.

Puoi includere i seguenti flag:

--private-ip-enabled abilita l'IP privato.
--public-ip-enabled abilita l'IP pubblico.
--no-public-ip-enabled disabilita l'IP pubblico.

Configurazione dell'istanza dopo la creazione dell'istanza

Se crei un'istanza abilitata solo per l'IP privato, non riceverai un URL per l'istanza. Per accedere all'istanza, devi eseguire entrambe le seguenti operazioni:

Configura un server proxy per consentire l'accesso a un'istanza che utilizza un IP privato.

Nota: se configuri un server proxy e configuri le connessioni a quel server proxy, devi utilizzare anche un dominio personalizzato.
Configura un dominio personalizzato e aggiungilo al client OAuth per l'istanza.

Puoi anche configurare ulteriormente l'istanza dell'IP privato seguendo questi passaggi:

Rimuovi la route predefinita se utilizzi Controlli di servizio VPC.
Crea una lista consentita di domini email per limitare il recapito delle email a domini esterni.
Configura la tua istanza dell'IP privato per consentire o limitare la comunicazione con internet o risorse esterne.