Crea una connessione con IP privato per Looker (Google Cloud core)

Le connessioni con IP privato rendono i servizi raggiungibili senza connettersi a internet o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni su IP privato di solito forniscono una latenza inferiore e vettori d'attacco limitati. Le connessioni con IP privato consentono all'istanza di Looker (Google Cloud core) di comunicare con altre risorse nel tuo virtual private cloud (VPC), ma non consentono la comunicazione in entrata dalla rete internet pubblica.

La connettività con IP privato non è compatibile con alcune funzionalità di Looker (Google Cloud core). Per ulteriori informazioni, consulta la tabella relativa alla compatibilità delle funzionalità.

Looker (Google Cloud core) supporta l'IP privato per le istanze che soddisfano i seguenti criteri:

Per configurare un'istanza IP privato, devi disporre delle seguenti autorizzazioni IAM:

Prima di iniziare

  1. Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti il ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) per il progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

    Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:

    Autorizzazioni obbligatorie

    Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:

    • Controlla le reti disponibili nel menu a discesa Rete:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crea una nuova rete VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi: compute.networks.addPeering

    Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

    Se stai creando un'istanza IP privato con Terraform o Google Cloud CLI e utilizzi una rete privata già configurata, queste autorizzazioni non sono necessarie.

  2. Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilita l'API

Crea e configura una rete VPC

Per poter creare una connessione IP privato, devi prima creare e configurare una rete Virtual Private Cloud (VPC). Looker (Google Cloud core) supporta più istanze IP private nello stesso VPC, nella stessa regione o in regioni diverse.

  1. Crea una rete VPC nel progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi nella sezione seguente, Creazione di un'istanza in un VPC condiviso, oltre a completare i passaggi rimanenti in questa sezione per il VPC condiviso.
  2. Alloca un intervallo IP IPv4 (blocco CIDR) nel tuo VPC per una connessione privata a Looker (Google Cloud core).
    • Prima di allocare l'intervallo, considera i vincoli.
    • Quando imposti la dimensione dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco /22.
    • Looker (Google Cloud core) supporta tutti gli intervalli IPv4 in RFC 1918, che specifica gli indirizzi IP assegnati per essere utilizzati internamente (ossia all'interno di un'organizzazione) e non verranno instradati su internet. In particolare, si tratta di:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Gli intervalli IPv4 di classe E (240.0.0.0/4) sono riservati per un uso futuro, come indicato in RFC 5735 e RFC 1112, e non sono supportati per Looker (Google Cloud core).
    Quando viene creata per la prima volta un'istanza di Looker (Google Cloud core) in una regione all'interno di un VPC, Looker crea una subnet solo proxy nel VPC del progetto tenant di Service Networking. La subnet solo proxy utilizza una subnet di intervallo /26 della subnet /22 che prenoti quando crei l'istanza di Looker (Google Cloud core). Tutte le istanze di Looker con IP privato successivo (Google Cloud core) nello stesso VPC e nella stessa regione utilizzano la stessa subnet solo proxy.
  3. Aggiungi la connessione di accesso privato ai servizi alla tua rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
  4. Una volta creata la rete VPC, torna alla pagina Crea istanza Looker nel progetto Google Cloud. Potresti dover aggiornare la pagina in modo che la tua rete VPC venga riconosciuta.

Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo quelli nella pagina della documentazione Creare un'istanza di Looker (Google Cloud core) , a partire dalla sezione Prima di iniziare.

Creazione di un'istanza in un VPC condiviso

Se stai creando un'istanza di Looker (Google Cloud core) in un VPC condiviso, completa i seguenti passaggi nel progetto host del VPC condiviso:

  1. Abilita l'API Looker nel progetto host del VPC condiviso nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilita l'API

  2. Crea un account di servizio nel progetto host del VPC condiviso utilizzando il comando services identity create gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
    

    Sostituisci SHARED_HOST_PROJECT_ID con il progetto host del VPC condiviso.

  3. Concedi l'autorizzazione IAM compute.globalAddresses.get all'account di servizio nel progetto host.

Dopo aver creato l'account di servizio e avergli concesso l'autorizzazione IAM, attendi alcuni minuti affinché l'account di servizio e l'autorizzazione vengano propagati.

Inoltre, alloca un intervallo IP IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso, come descritto nella sezione precedente, Creare e configurare una rete VPC.

Configurazione di rete durante la creazione dell'istanza

Per configurare l'IP privato durante la creazione dell'istanza, seleziona una delle seguenti opzioni:

console

Se selezioni solo IP privato o sia IP privato che IP pubblico durante la creazione dell'istanza, utilizza il comando seguente per completare la configurazione:

  1. Se viene visualizzato il popup Abilita API richieste, devi abilitare API aggiuntive per il progetto Google Cloud. Per abilitare le API richieste per una connessione di rete privata, fai clic su ABILITA TUTTI.
  2. Nel menu a discesa Rete, seleziona la tua rete VPC. Le reti IP private richiedono una connessione di accesso privato ai servizi, che consente ai servizi di comunicare esclusivamente mediante indirizzi IP interni. Per saperne di più sulla configurazione di una connessione IP privato, consulta la pagina della documentazione Configurazione dell'accesso privato ai servizi. Se non hai configurato una connessione privata ai servizi quando hai creato la tua rete VPC, puoi fare clic su CONFIGURA CONNESSIONE nel messaggio Connessione di accesso privato ai servizi richiesta. Si apre un riquadro laterale in cui puoi allocare un intervallo IP e creare una connessione.
  3. In Allocato un intervallo IP, puoi selezionare un intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core). Le subnet prenotano un intervallo IP che non può essere utilizzato da altre risorse nella rete VPC. Non potrai modificare questo intervallo IP dopo aver creato l'istanza di Looker (Google Cloud core). L'allocazione dell'intervallo IP include le seguenti opzioni:
    • Seleziona Utilizza intervallo IP assegnato automaticamente per fare in modo che Google allochi automaticamente un intervallo IP al fine di eseguire il provisioning di una subnet per il VPC.
    • Seleziona un intervallo IP definito durante la configurazione dell'accesso privato ai servizi.
  4. Completa la creazione dell'istanza e fai clic su Crea per creare l'istanza.

gcloud

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

Sostituisci quanto segue:

  • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.
  • PROJECT_ID: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).
  • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client e il secret OAuth che hai creato durante la configurazione del client OAuth. Dopo aver creato l'istanza, inserisci il relativo URL nella sezione URI di reindirizzamento autorizzati del client OAuth.
  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione che corrisponde a quella indicata nel contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione delle località di Looker (Google Cloud core).
  • EDITION: la versione dell'istanza. I valori possibili sono core-standard-annual, core-enterprise-annual o core-embed-annual. Le versioni non possono essere cambiate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
  • CONSUMER_NETWORK: rete VPC o VPC condiviso. Deve essere impostato se stai creando un'istanza IP privato.
  • RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core). Non definire un intervallo se stai abilitando una connessione di rete IP privata per la tua istanza.

Puoi includere i seguenti flag:

  • --private-ip-enabled abilita l'IP privato.
  • --public-ip-enabled abilita l'IP pubblico.
  • --no-public-ip-enabled disabilita l'IP pubblico.

Configurazione dell'istanza dopo la sua creazione

Se crei un'istanza abilitata solo per l'IP privato, non riceverai un URL per l'istanza. Per accedere all'istanza, devi eseguire entrambe le operazioni seguenti:

Puoi anche configurare ulteriormente l'istanza IP privato seguendo questi passaggi:

Passaggi successivi