Esta é a documentação do Looker. Para conferir a documentação do Looker Studio, acesse https://support.google.com/looker-studio.

Esta página foi traduzida pela API Cloud Translation.

Criar uma conexão IP particular para o Looker (Google Cloud Core)

As conexões de IP privado tornam os serviços acessíveis sem passar pela Internet ou usar endereços IP externo. Como elas não passam pela Internet, as conexões por IP privado geralmente oferecem menor latência e vetores de ataque limitados. As conexões de IP privado permitem que sua instância do Looker (Google Cloud Core) se comunique com outros recursos na nuvem privada virtual (VPC), mas não permitem comunicação de entrada da Internet pública.

A conectividade de IP particular não é compatível com alguns recursos do Looker (Google Cloud Core). Consulte a tabela de compatibilidade de recursos para mais informações.

O Looker (Google Cloud Core) oferece suporte a IPs privados para instâncias que atendem aos seguintes critérios:

As edições de instância precisam ser Enterprise ou Embed.

Para configurar uma instância de IP particular, é preciso ter as seguintes permissões do IAM:

Administrador do Looker
Administrador de rede do Compute (ou proprietário do seu projeto do Google Cloud)

Antes de começar

Para ter as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares, peça ao administrador para conceder a você o papel do IAM Administrador de rede do Compute (roles/compute.networkAdmin) no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias

As seguintes permissões são necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares:
- Confira as redes disponíveis no menu suspenso Rede:
  - compute.addresses.list
  - compute.globalAddresses.list
  - compute.networks.list
  - compute.globalAddresses.list
- Crie uma nova rede VPC:
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Aloque um intervalo de IP particular e configure uma conexão de acesso a serviços particulares: compute.networks.addPeering
Também é possível receber essas permissões com papéis personalizados ou outros papéis predefinidos.

Observação:os papéis básicos do IAM também podem conter permissões para criar intervalos de endereços IP alocados e gerenciar conexões particulares. Não conceda papéis básicos em um ambiente de produção, mas é possível fazer isso em um ambiente de desenvolvimento ou teste.

Se você estiver criando uma instância de IP particular com o Terraform ou a Google Cloud CLI e usando uma rede particular que já foi configurada, não precisará dessas permissões.
Ative a API Compute Engine para seu projeto no console do Google Cloud. Quando você ativa a API, pode ser necessário atualizar a página do console para confirmar que ela foi ativada.
Ativar a API

Criar e configurar uma rede VPC

Antes de criar uma conexão de IP privado, crie e configure uma rede de nuvem privada virtual (VPC). O Looker (Google Cloud Core) oferece suporte a várias instâncias de IP particular na mesma VPC, em regiões diferentes ou na mesma região.

Crie uma rede VPC no seu projeto. Como alternativa, se você estiver usando uma VPC compartilhada em vez de criar uma nova rede VPC, conclua as etapas na seção a seguir, Como criar uma instância em uma VPC compartilhada, além de concluir as etapas restantes nesta seção para a VPC compartilhada.
Aloque um intervalo de IP IPv4 (bloco CIDR) na sua VPC para uma conexão particular com o Looker (Google Cloud Core).

Antes de alocar seu intervalo, considere as restrições.
Ao definir o tamanho do intervalo de endereços IP, lembre-se de que o tamanho mínimo é um bloco /22.
O Looker (Google Cloud Core) oferece suporte a todos os intervalos IPv4 na RFC 1918, que especifica os endereços IP atribuídos para uso interno (ou seja, em uma organização) e que não serão roteados na Internet. São eles:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Os intervalos IPv4 de classe E (240.0.0.0/4) são reservados para uso futuro conforme indicado no RFC 5735 e no RFC 1112 e não são compatíveis com o Looker (Google Cloud Core).

sub-rede somente proxy

/26

/22

Cuidado:se mais de uma instância de IP privado do Looker (Google Cloud Core) estiver localizada na mesma região e na mesma VPC e você excluir a primeira instância do Looker (Google Cloud Core) criada na região, a sub-rede somente proxy não vai ser liberada porque ainda está sendo usada pelas instâncias restantes. Se você tentar criar uma nova instância de IP privado do Looker (Google Cloud Core) que use o mesmo intervalo de endereços da instância excluída (que contém o intervalo de endereços IP da sub-rede somente proxy), a criação da instância vai falhar, e você vai receber a mensagem de erro "Intervalos de IP esgotados". Para verificar se um intervalo de IP está em uso, verifique o peering de VPC para o Service Networking e verifique as rotas de importação para ver se elas estão usando o intervalo de IP em que você tem interesse.

Adicione a conexão de acesso a serviços particulares à rede VPC usando o intervalo de IP alocado na etapa anterior para Alocação atribuída.
Depois que a rede VPC for criada, retorne à página Criar instância do Looker no seu projeto do Google Cloud. Talvez seja necessário atualizar a página para que sua rede VPC seja reconhecida.

Depois de concluir essas etapas, comece a criar sua instância seguindo as etapas da página da documentação Criar uma instância do Looker (Google Cloud Core) , começando pela seção Antes de começar.

Como criar uma instância em uma VPC compartilhada

Se você estiver criando uma instância do Looker (Google Cloud Core) em uma VPC compartilhada, conclua as etapas a seguir no projeto host da VPC compartilhada:

Ative a API Looker no projeto host da VPC compartilhada no console do Google Cloud. Quando você ativa a API, pode ser necessário atualizar a página do console para confirmar que ela foi ativada.
Ativar a API
Crie uma conta de serviço no projeto host da VPC compartilhada usando o comando services identity create da gcloud:
```
gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
```
Substitua SHARED_HOST_PROJECT_ID pelo projeto host da VPC compartilhada.
Conceda a permissão do IAM compute.globalAddresses.get à conta de serviço no projeto host.

Depois de criar a conta de serviço e conceder a ela a permissão do IAM, aguarde alguns minutos para que a conta de serviço e a permissão sejam propagadas.

Além disso, aloque um intervalo de IP IPv4 na VPC compartilhada e adicione a conexão de acesso a serviços particulares, conforme descrito na seção anterior, Criar e configurar uma rede VPC.

Configuração de rede durante a criação da instância

Para configurar o IP privado durante a criação da instância, selecione uma das seguintes opções:

Console

Se você selecionar apenas IP privado ou IP privado e IP público durante a criação da instância, faça o seguinte para concluir a configuração:

Se o pop-up Ativar as APIs necessárias aparecer, você terá que ativar outras APIs para o projeto do Google Cloud. Para ativar as APIs necessárias para uma conexão de rede privada, clique em ATIVAR TODAS.
No menu suspenso Rede, selecione sua rede VPC. As redes IP privadas exigem uma conexão de acesso a serviços particulares para que seus serviços se comuniquem exclusivamente por meio de endereços IP internos. Consulte a página de documentação Configurar o acesso a serviços particulares para mais informações sobre como configurar uma conexão IP particular. Se você não tiver configurado uma conexão de serviços privados quando criou a rede VPC, clique em CONFIGURAR CONEXÃO na mensagem Conexão de acesso a serviços privados necessária. Isso abre um painel lateral onde é possível alocar um intervalo de IP e criar uma conexão.
Em Intervalo de IP alocado, é possível selecionar um intervalo de endereços IP na VPC em que o Google vai provisionar uma sub-rede para sua instância do Looker (Google Cloud Core). As sub-redes reservam um intervalo de IP que não pode ser usado por outros recursos na rede VPC. Não vai ser possível modificar esse intervalo de IP depois de criar a instância do Looker (Google Cloud Core). A alocação do intervalo de IP inclui estas opções:
- Selecione Usar intervalo de IP atribuído automaticamente para que o Google aloque um intervalo de IP automaticamente e provisione uma sub-rede para a VPC.
- Selecione um intervalo de IP definido durante a configuração do acesso a serviços particulares.
Conclua a criação da instância e clique em Criar.

gcloud

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

Substitua:

INSTANCE_NAME: um nome para sua instância do Looker (Google Cloud Core), que não está associado ao URL da instância.
PROJECT_ID: o nome do projeto do Google Cloud em que você está criando a instância do Looker (Google Cloud Core).
OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: o ID e a chave secreta do cliente OAuth que você criou quando configurou o cliente OAuth. Após a criação da instância, insira o URL da instância na seção URIs de redirecionamento autorizados do cliente OAuth.
REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada. Selecione a região que corresponde à região no contrato de assinatura. As regiões disponíveis estão listadas na página de documentação dos locais do Looker (Google Cloud Core).
EDITION: a edição da instância. Os valores possíveis são core-standard-annual, core-enterprise-annual ou core-embed-annual. Não é possível alterar as edições após a criação da instância. Se quiser mudar uma edição, use a opção de importação e exportação para migrar os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com outra edição.
CONSUMER_NETWORK: sua rede VPC ou VPC compartilhada. Precisa ser definido se você estiver criando uma instância de IP particular.
RESERVED_RANGE: o intervalo de endereços IP na VPC em que o Google vai provisionar uma sub-rede para sua instância do Looker (Google Cloud Core). Não defina um intervalo se você estiver ativando uma conexão de rede IP particular para sua instância.

Você pode incluir as seguintes sinalizações:

--private-ip-enabled ativa o IP privado.
--public-ip-enabled ativa o IP público.
--no-public-ip-enabled desativa o IP público.

Configuração da instância após a criação dela

Se criar uma instância ativada apenas para IP privado, você não receberá um URL para a instância. Para acessar a instância, faça o seguinte:

Configure um servidor proxy para permitir o acesso a uma instância que usa um IP particular.

Observação :se você configurar um servidor proxy e conexões com ele, também precisará usar um domínio personalizado.
Configure um domínio personalizado e adicione-o ao cliente OAuth da instância.

Também é possível configurar ainda mais sua instância de IP particular fazendo o seguinte:

Remova a rota padrão se você estiver usando o VPC Service Controls.
Crie uma lista de permissões de domínio de e-mail para restringir a entrega de e-mails a domínios externos.
Configure sua instância de IP particular para permitir ou restringir a comunicação com a Internet ou recursos externos.