Notez que vous consultez la documentation Looker. Pour accéder à la documentation sur Looker Studio, consultez la page https://support.google.com/looker-studio.

Cette page a été traduite par l'API Cloud Translation.

Créer une connexion IP privée pour Looker (Google Cloud Core)

Les connexions IP privées rendent les services accessibles sans passer par Internet ni utiliser des adresses IP externes. Étant donné qu'elles ne passent pas par Internet, les connexions via une adresse IP privée fournissent généralement une latence plus faible et des vecteurs d'attaque limités. Les connexions IP privées permettent à votre instance Looker (Google Cloud Core) de communiquer avec d'autres ressources de votre cloud privé virtuel (VPC), mais n'autorisent pas les communications entrantes depuis l'Internet public.

La connectivité IP privée n'est pas compatible avec certaines fonctionnalités de Looker (Google Cloud Core). Pour en savoir plus, consultez le tableau sur la compatibilité des fonctionnalités.

Looker (Google Cloud Core) accepte les adresses IP privées pour les instances qui répondent aux critères suivants:

Les éditions d'instances doivent être de type Enterprise ou Embed.

Pour configurer une instance d'adresse IP privée, vous devez disposer des autorisations IAM suivantes:

Administrateur Looker
Administrateur de réseaux Compute (ou être propriétaire de votre projet Google Cloud)

Avant de commencer

Pour obtenir les autorisations nécessaires pour créer des plages d'adresses IP allouées et gérer les connexions privées, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseaux Compute (roles/compute.networkAdmin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour créer des plages d'adresses IP allouées et gérer les connexions privées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises

Les autorisations suivantes sont requises pour créer des plages d'adresses IP allouées et gérer des connexions privées:
- Consultez les réseaux disponibles dans la liste déroulante Réseau :
  - compute.addresses.list
  - compute.globalAddresses.list
  - compute.networks.list
  - compute.globalAddresses.list
- Créez un réseau VPC :
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Allouez une plage d'adresses IP privées et configurez une connexion d'accès aux services privés : compute.networks.addPeering
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Remarque:Les rôles de base IAM peuvent également contenir des autorisations permettant de créer des plages d'adresses IP allouées et de gérer les connexions privées. Les rôles de base ne doivent pas être attribués dans un environnement de production, mais ils peuvent être attribués dans un environnement de développement ou de test.

Si vous créez une instance IP privée avec Terraform ou Google Cloud CLI et que vous utilisez un réseau privé déjà configuré, vous n'avez pas besoin de ces autorisations.
Activez l'API Compute Engine pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.
Activer l'API

Créer et configurer un réseau VPC

Avant de pouvoir créer une connexion IP privée, vous devez d'abord créer et configurer un réseau cloud privé virtuel (VPC). Looker (Google Cloud Core) accepte plusieurs instances d'adresses IP privées dans le même VPC, que ce soit dans la même région ou dans des régions différentes.

Créez un réseau VPC dans votre projet. Si vous utilisez un VPC partagé au lieu de créer un réseau VPC, suivez la procédure décrite dans la section Créer une instance dans un VPC partagé, en plus des étapes restantes pour le VPC partagé.
Attribuez une plage d'adresses IP IPv4 (bloc CIDR) dans votre VPC pour établir une connexion privée à Looker (Google Cloud Core).

Avant d'allouer la plage, tenez compte des contraintes.
Lorsque vous définissez la taille de la plage d'adresses IP, n'oubliez pas que la taille minimale est un bloc /22.
Looker (Google Cloud Core) est compatible avec toutes les plages IPv4 de la RFC 1918, qui spécifie les adresses IP attribuées pour être utilisées en interne (c'est-à-dire au sein d'une organisation) et qui ne sont pas acheminées sur Internet. En particulier, il peut s'agir des éléments suivants :

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Les plages IPv4 de classe E (240.0.0.0/4) sont réservées pour une utilisation ultérieure, comme indiqué dans les documents RFC 5735 et RFC 1112, et ne sont pas compatibles avec Looker (Google Cloud Core).

sous-réseau proxy réservé

/26

/22

Attention:Si plusieurs instances Looker (Google Cloud Core) avec adresse IP privée se trouvent dans la même région et dans le même VPC, et que vous supprimez la première instance Looker (Google Cloud Core) créée dans la région, le sous-réseau proxy réservé n'est pas publié, car il est toujours utilisé par les instances restantes. Si vous tentez de créer une instance Looker (Google Cloud Core) d'adresse IP privée utilisant la même plage d'adresses que celle que vous avez utilisée pour l'instance supprimée (qui contient la plage d'adresses IP du sous-réseau proxy réservé), la création de l'instance échoue et le message d'erreur "Plages d'adresses IP épuisées" s'affiche. Pour vérifier si une plage d'adresses IP est utilisée, vérifiez l'appairage de VPC pour Service Networking, et vérifiez les routes d'importation pour voir si elles utilisent la plage d'adresses IP qui vous intéresse.

Ajoutez la connexion d'accès aux services privés à votre réseau VPC en utilisant la plage d'adresses IP allouée à l'étape précédente pour l'allocation attribuée.
Une fois votre réseau VPC créé, revenez à la page Créer une instance Looker dans votre projet Google Cloud. Vous devrez peut-être actualiser la page pour que votre réseau VPC soit reconnu.

Une fois ces étapes terminées, vous pouvez commencer à créer votre instance en suivant les instructions de la page Créer une instance Looker (Google Cloud Core) , en commençant par la section Avant de commencer.

Créer une instance dans un VPC partagé

Si vous créez une instance Looker (Google Cloud Core) dans un VPC partagé, procédez comme suit dans le projet hôte du VPC partagé:

Activez l'API Looker dans le projet hôte du VPC partagé dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.
Activer l'API
Créez un compte de service dans le projet hôte du VPC partagé à l'aide de la commande services identity create gcloud:
```
gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
```
Remplacez SHARED_HOST_PROJECT_ID par le projet hôte du VPC partagé.
Accordez l'autorisation IAM compute.globalAddresses.get au compte de service dans le projet hôte.

Après avoir créé le compte de service et lui avoir accordé l'autorisation IAM, attendez quelques minutes que le compte de service et l'autorisation se propagent.

De plus, allouez une plage d'adresses IP IPv4 dans le VPC partagé et ajoutez la connexion d'accès aux services privés au VPC partagé, comme décrit dans la section précédente, Créer et configurer un réseau VPC.

Configuration réseau lors de la création de l'instance

Pour configurer une adresse IP privée lors de la création de l'instance, sélectionnez l'une des options suivantes:

Console

Si vous sélectionnez uniquement Adresse IP privée ou à la fois Adresse IP privée et Adresse IP publique lors de la création de l'instance, utilisez la commande suivante pour terminer la configuration:

Si un pop-up Activer les API requises s'affiche, vous devez activer des API supplémentaires pour votre projet Google Cloud. Pour activer les API requises pour une connexion à un réseau privé, cliquez sur TOUT ACTIVER.
Dans la liste déroulante Réseau, sélectionnez votre réseau VPC. Les réseaux IP privés nécessitent une connexion d'accès aux services privés, qui permet à vos services de communiquer exclusivement par le biais d'adresses IP internes. Pour en savoir plus sur la configuration d'une connexion IP privée, consultez la page de documentation Configurer l'accès aux services privés. Si vous n'avez pas configuré de connexion aux services privés lors de la création de votre réseau VPC, vous pouvez cliquer sur CONFIGURER LA CONNEXION sous le message Connexion d'accès aux services privés requise. Un panneau latéral s'ouvre, dans lequel vous pouvez allouer une plage d'adresses IP et créer une connexion.
Sous Allocation d'une plage d'adresses IP, vous pouvez sélectionner une plage d'adresses IP dans le VPC dans lequel Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core). Les sous-réseaux réservent une plage d'adresses IP qui ne peut pas être utilisée par d'autres ressources du réseau VPC. Vous ne pourrez plus modifier cette plage d'adresses IP après avoir créé l'instance Looker (Google Cloud Core). L'allocation de plages d'adresses IP comprend les options suivantes :
- Sélectionnez Utiliser une plage d'adresses IP attribuée automatiquement pour que Google alloue automatiquement une plage d'adresses IP afin de provisionner un sous-réseau pour le VPC.
- Sélectionnez une plage d'adresses IP définie lors de la configuration de l'accès aux services privés.
Terminez la création de l'instance, puis cliquez sur Créer pour créer l'instance.

gcloud

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

Remplacez les éléments suivants :

INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core), non associé à l'URL de l'instance.
PROJECT_ID: nom du projet Google Cloud dans lequel vous créez l'instance Looker (Google Cloud Core).
OAUTH_CLIENT_ID et OAUTH_CLIENT_SECRET: ID client OAuth et secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.
REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Sélectionnez la région correspondant à celle indiquée dans le contrat d'abonnement. Les régions disponibles sont listées sur la page de documentation des emplacements Looker (Google Cloud Core).
EDITION: édition de l'instance. Ses valeurs possibles sont core-standard-annual, core-enterprise-annual ou core-embed-annual. Une fois l'instance créée, l'édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer vos données d'instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une édition différente.
CONSUMER_NETWORK: votre réseau VPC ou votre VPC partagé Doit être défini si vous créez une instance d'adresse IP privée.
RESERVED_RANGE: plage d'adresses IP au sein du VPC dans laquelle Google provisionne un sous-réseau pour votre instance Looker (Google Cloud Core). Ne définissez pas de plage si vous activez une connexion réseau IP privée pour votre instance.

Vous pouvez inclure les options suivantes:

--private-ip-enabled active les adresses IP privées.
--public-ip-enabled active les adresses IP publiques.
--no-public-ip-enabled désactive l'adresse IP publique.

Configuration de l'instance après sa création

Si vous créez une instance activée uniquement pour une adresse IP privée, vous ne recevrez pas d'URL pour cette instance. Pour accéder à l'instance, vous devez effectuer les deux opérations suivantes:

Configurez un serveur proxy pour autoriser l'accès à une instance utilisant une adresse IP privée.

Remarque :Si vous configurez un serveur proxy et que vous configurez des connexions à ce serveur, vous devez également utiliser un domaine personnalisé.
Configurez un domaine personnalisé, puis ajoutez-le au client OAuth pour l'instance.

Vous pouvez également approfondir la configuration de votre instance d'adresse IP privée en procédant comme suit:

Supprimez la route par défaut si vous utilisez VPC Service Controls.
Créez une liste d'autorisation de domaines de messagerie pour limiter la distribution d'e-mails aux domaines externes.
Configurez votre instance d'adresse IP privée pour autoriser ou restreindre la communication avec Internet ou des ressources externes.