Criar uma conexão IP privada para o Looker (Google Cloud Core)

As conexões IP privadas tornam os serviços acessíveis sem passar pela Internet ou usar endereços IP externo. Por não atravessarem a Internet, as conexões por IP privado costumam oferecer menor latência e vetores de ataque limitados. As conexões IP privadas permitem que sua instância do Looker (Google Cloud Core) se comunique com outros recursos na sua nuvem privada virtual (VPC), mas não permitem a comunicação de entrada da Internet pública.

A conectividade de IP privado não é compatível com alguns recursos do Looker (Google Cloud Core). Consulte a tabela de compatibilidade de recursos para mais informações.

O Looker (Google Cloud Core) oferece suporte a IPs privados para instâncias que atendem aos seguintes critérios:

Para configurar uma instância de IP particular, é necessário ter as seguintes permissões do IAM:

Antes de começar

  1. Para ter as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares, peça ao administrador para conceder a você o papel do IAM de administrador de rede do Compute (roles/compute.networkAdmin) no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

    Esse papel predefinido contém as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

    Permissões necessárias

    As seguintes permissões são necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares:

    • Veja as redes disponíveis no menu suspenso Rede:
      • compute.addresses.list
      • compute.globalAddresses.list
    • Crie uma rede VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Aloque um intervalo de IP particular e configure uma conexão de acesso a serviços particulares: compute.networks.addPeering

    Talvez você também consiga receber essas permissões com papéis personalizados ou outros papéis predefinidos.

    Se você estiver criando uma instância de IP particular com o Terraform ou a Google Cloud CLI e estiver usando uma rede privada que já foi configurada, essas permissões não serão necessárias.

  2. Ative a API Compute Engine para o projeto no console do Google Cloud. Talvez seja necessário atualizar a página do console para confirmar que a API foi ativada.

    Ativar a API

Criar e configurar uma rede VPC

Antes de criar uma conexão IP privada, crie e configure uma rede de nuvem privada virtual (VPC).

  1. Crie uma rede VPC no projeto. Como alternativa, se você estiver usando uma VPC compartilhada em vez de criar uma nova rede VPC, conclua as etapas da seção Como criar uma instância em uma VPC compartilhada, além de concluir as etapas restantes desta seção para a VPC compartilhada.
  2. Aloque um intervalo de IP IPv4 (bloco CIDR) na sua VPC para ter uma conexão particular com o Looker (Google Cloud Core).
    • Antes de alocar seu intervalo, considere as restrições.
    • Ao definir o tamanho do intervalo de endereços IP, o tamanho mínimo é um bloco /22.
    • O Looker (Google Cloud Core) oferece suporte a todos os intervalos IPv4 na RFC 1918, que especifica os endereços IP atribuídos para uso interno (ou seja, dentro de uma organização) e que não serão roteados pela Internet. São eles:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Os intervalos IPv4 de classe E (240.0.0.0/4) são reservados para uso futuro, conforme indicado na RFC 5735 e na RFC 1112 (links em inglês), e não são compatíveis com o Looker (Google Cloud Core).
    Quando uma instância do Looker (Google Cloud Core) é criada pela primeira vez em uma VPC, o Looker cria uma sub-rede somente proxy. Todas as instâncias subsequentes do Looker (Google Cloud Core) de IP privado na mesma VPC vão usar a mesma sub-rede.
  3. Adicione a conexão de acesso a serviços particulares à rede VPC usando o intervalo de IP alocado na etapa anterior para Alocação atribuída.
  4. Depois que a rede VPC for criada, volte à página Criar instância do Looker no projeto do Google Cloud. Talvez seja necessário atualizar a página para que sua rede VPC seja reconhecida.

Depois de concluir essas etapas, comece a criar sua instância seguindo as etapas da página de documentação Criar uma instância do Looker (Google Cloud Core) , começando pela seção Antes de começar.

Como criar uma instância em uma VPC compartilhada

Se você estiver criando uma instância do Looker (Google Cloud Core) em uma VPC compartilhada, conclua as etapas a seguir no projeto host da VPC compartilhada:

  1. Ative a API Looker no projeto host da VPC compartilhada no console do Google Cloud. Talvez seja necessário atualizar a página do console para confirmar que a API foi ativada.

    Ativar a API

  2. Crie uma conta de serviço no projeto host da VPC compartilhada usando o comando services identity create da gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Substitua SHARED_HOST_PROJECT_ID pelo projeto host da VPC compartilhada.

  3. Conceda a permissão do IAM compute.globalAddresses.get à conta de serviço no projeto host.

Depois de criar a conta de serviço e conceder a ela a permissão do IAM, aguarde alguns minutos para que a conta e a permissão sejam propagadas.

Aloque também um intervalo de IP IPv4 na VPC compartilhada e adicione a conexão de acesso a serviços particulares a ela, conforme descrito na seção anterior, Criar e configurar uma rede VPC.

Configuração de rede durante a criação da instância

Para configurar o IP privado durante a criação da instância, selecione uma das seguintes opções:

Console

Se você selecionar apenas IP privado ou IP privado e IP público durante a criação da instância, use o seguinte para concluir a configuração:

  1. Se um pop-up Ativar APIs necessárias aparecer, você vai precisar ativar mais APIs para seu projeto do Google Cloud. Para ativar as APIs necessárias para uma conexão de rede privada, clique em ATIVAR TUDO.
  2. No menu suspenso Rede, selecione sua rede VPC. As redes IP privadas exigem uma conexão de Acesso a serviços privados, o que permite que seus serviços se comuniquem exclusivamente usando endereços IP internos. Consulte a página de documentação Configurar o acesso a serviços particulares para mais informações sobre como configurar uma conexão IP particular. Se você não tiver configurado uma conexão de serviços particulares quando criou a rede VPC, clique em CONFIGURAR CONEXÃO na mensagem Conexão de acesso a serviços particulares obrigatória. Isso abre um painel lateral onde você pode alocar um intervalo de IP e criar uma conexão.
  3. Em Alocado um intervalo de IP, é possível selecionar um intervalo de endereços IP na VPC em que o Google vai provisionar uma sub-rede para sua instância do Looker (Google Cloud Core). As sub-redes reservam um intervalo de IP que não pode ser usado por outros recursos na rede VPC. Não será possível modificar esse intervalo de IP depois de criar a instância do Looker (Google Cloud Core). A alocação de intervalo de IP inclui estas opções:
    • Selecione Usar intervalo de IP atribuído automaticamente para que o Google aloque um intervalo de IP automaticamente e provisionar uma sub-rede para a VPC.
    • Selecione um intervalo de IP definido durante a configuração do acesso a serviços particulares.
  4. Conclua a criação da instância e clique em Criar.

gcloud 

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

Substitua:

  • INSTANCE_NAME: um nome para sua instância do Looker (Google Cloud Core). Ele não está associado ao URL da instância.
  • PROJECT_ID: o nome do projeto do Google Cloud em que você está criando a instância do Looker (Google Cloud Core).
  • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: o ID do cliente e a chave secreta do OAuth que você criou ao configurar o cliente OAuth. Após a criação da instância, insira o URL da instância na seção URIs de redirecionamento autorizados do cliente OAuth.
  • REGION: a região em que a instância do Looker (Google Cloud Core) está hospedada. Selecione a região que corresponde à região no contrato de assinatura. As regiões disponíveis estão listadas na página de documentação dos locais do Looker (Google Cloud Core).
  • EDITION: a edição da instância. Os valores possíveis são core-standard-annual, core-enterprise-annual ou core-embed-annual. Não é possível alterar as edições após a criação da instância. Caso queira mudar uma edição, use as importações e exportações para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com outra edição.
  • CONSUMER_NETWORK: sua rede VPC ou a VPC compartilhada. Precisa ser definido se você criar uma instância de IP particular.
  • RESERVED_RANGE: o intervalo de endereços IP na VPC em que o Google vai provisionar uma sub-rede para sua instância do Looker (Google Cloud Core). Não defina um intervalo se você ativar uma conexão de rede IP particular para sua instância.

É possível incluir as seguintes sinalizações:

  • --private-ip-enabled ativa o IP privado.
  • --public-ip-enabled ativa o IP público.
  • --no-public-ip-enabled desativa o IP público.

Configuração da instância após a criação dela

Se você criar uma instância ativada apenas para IP privado, não receberá um URL para ela. Para acessar a instância, faça o seguinte:

Configure também sua instância de IP privado fazendo o seguinte:

A seguir