创建专用连接(专用服务访问通道)Looker (Google Cloud Core) 实例

本页面介绍了如何创建使用专用服务访问通道 (PSA) 的专用连接 (PSA) Looker (Google Cloud Core) 生产或非生产实例

专用连接可让您不必通过互联网或使用外部 IP 地址即可访问服务。由于专用连接不需要遍历互联网,因此通常可缩短延迟时间并限制攻击途径。专用连接允许 Looker (Google Cloud Core) 实例与虚拟私有云 (VPC) 中的其他资源进行通信,但不允许来自公共互联网的入站通信。

专用连接可用于实现某些功能,例如 VPC Service Controls。不过,专用连接与某些 Looker (Google Cloud Core) 功能不兼容。如需了解详情,请参阅功能兼容性表格。

Looker (Google Cloud Core) 支持企业版嵌入式 实例版本的专用连接 (PSA)。

所需的角色和权限

如需设置专用连接 (PSA) 实例,您必须拥有以下 IAM 权限:

  1. 如需创建 Looker (Google Cloud Core) 实例,您必须拥有 Looker Admin (roles/looker.Admin) 角色。

  2. 如需获得创建已分配 IP 地址范围和管理专用连接所需的权限,请让您的管理员为您授予项目的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    此预定义角色包含创建已分配 IP 地址范围和管理专用连接所需的权限。如需查看所需的确切权限,请展开所需权限部分:

    所需权限

    如需创建分配的 IP 地址范围和管理专用连接,需要具备以下权限:

    • 网络下拉菜单中查看可用的网络:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • 创建新的 VPC 网络:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • 分配专用 IP 范围并设置专用服务访问通道连接: compute.networks.addPeering

    您也可以使用自定义角色或其他预定义角色来获取这些权限。

    如果您使用的是已设置好的专用网络,则无需这些权限。

您可能还需要其他 IAM 角色才能设置 VPC Service Controls 或客户管理的加密密钥 (CMEK)。如需详细了解这些功能,请访问 VPC Service Controls 对 Looker (Google Cloud Core) 的支持为 Looker (Google Cloud Core) 启用 CMEK 文档页面。

准备工作

  1. 与销售团队合作,确保您已完成年度合同,并且您的项目中已分配配额
  2. 确保您的 Google Cloud 项目已启用结算功能
  3. 在 Google Cloud 控制台的项目选择器页面上,创建 Google Cloud 项目,或前往要创建 Looker (Google Cloud Core) 实例的现有项目。

    前往“项目选择器”页面

  4. 在 Google Cloud 控制台中为您的项目启用 Looker API。启用 API 后,您可能需要刷新控制台页面才能确认相应 API 已启用。

    启用 API

  5. 在 Google Cloud 控制台中为您的项目启用 Service Networking API。启用 API 后,您可能需要刷新控制台页面才能确认相应 API 已启用。

    启用 API

  6. 在 Google Cloud 控制台中为您的项目启用 Compute Engine API。启用 API 后,您可能需要刷新控制台页面才能确认相应 API 已启用。

    启用 API

  7. 设置 OAuth 客户端并创建授权凭据。借助 OAuth 客户端,您可以进行身份验证并访问实例。您必须设置 OAuth 才能创建 Looker (Google Cloud Core) 实例,即使您使用其他身份验证方法对用户进行身份验证以登录您的实例也是如此。

创建和配置 VPC 网络

在创建专用连接之前,您必须先创建并配置 Virtual Private Cloud (VPC) 网络。Looker (Google Cloud Core) 支持在同一 VPC 中(无论是在同一区域还是不同区域)创建多个专用服务访问 (PSA) 实例。

  1. 在项目中创建 VPC 网络。或者,如果您使用的是共享 VPC 而不是创建新的 VPC 网络,请完成下一部分中的步骤在共享 VPC 中创建实例,并完成本部分中针对共享 VPC 的其余步骤。
  2. 在 VPC 中为 Looker (Google Cloud Core) 的专用服务访问通道连接分配 IPv4 IP 范围 (CIDR 块)
    • 在分配范围之前,请考虑限制
    • 设置 IP 地址范围大小时,请注意最小大小为 /22 块。
    • Looker (Google Cloud Core)支持 RFC 1918 中的所有 IPv4 范围,该 RFC 指定了分配给内部(即组织内)使用的 IP 地址,这些地址不会在互联网上路由。具体来说,这些是以下内容:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • RFC 5735RFC 1112 中所述,E 类 IPv4 范围 (240.0.0.0/4) 预留以供将来使用,Looker (Google Cloud Core)不支持这些范围。
    当在 VPC 中的某个区域内首次创建 Looker (Google Cloud Core) 实例时,Looker 会创建一个代理专用子网。代理专用子网使用您在创建 Looker (Google Cloud Core) 实例时预留的 /22 子网的 /26 范围子网。同一 VPC 中和同一区域中的任何后续专用服务访问通道 (PSA) Looker (Google Cloud Core) 实例都使用相同的代理专用子网。
  3. 使用上一步中为分配的分配分配的 IP 范围,将专用服务访问通道连接添加到您的 VPC 网络。
  4. 创建 VPC 网络后,返回 Google Cloud 项目中的创建 Looker 实例页面。您可能需要刷新页面,以便系统识别您的 VPC 网络。

完成上述步骤后,您可以按照创建 Looker (Google Cloud Core) 实例 文档页面中的步骤开始创建实例,首先从准备工作部分开始。

同一 VPC 中的多个专用连接实例

如果两个或多个 Looker (Google Cloud Core) 实例位于同一区域和同一 VPC 中,并且您删除了在该区域中创建的第一个 Looker (Google Cloud Core) 实例,则仅代理子网不会释放,因为其余实例仍在使用该子网。如果您尝试创建新的专用连接 (PSA) Looker (Google Cloud Core) 实例,但该实例使用的地址范围与已删除的实例相同(其中包含仅限代理的子网的 IP 地址范围),则实例创建会失败,并且您会看到“IP 范围已用尽”错误。如需检查某个 IP 范围是否正在使用,请检查服务联网的 VPC 对等互连,并检查导入的路由,看看它们是否正在使用您感兴趣的 IP 范围。

在共享 VPC 中创建实例

如果您要在共享 VPC 中创建 Looker (Google Cloud Core) 实例,请在共享 VPC 的宿主项目中完成以下步骤:

  1. 在 Google Cloud 控制台中的共享 VPC 宿主项目中启用 Looker API。启用 API 后,您可能需要刷新控制台页面才能确认相应 API 已启用。

    启用 API

  2. 使用 gcloud services identity create 命令在共享 VPC 的宿主项目中创建服务账号

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    SHARED_HOST_PROJECT_ID 替换为共享 VPC 的宿主项目。

  3. 向宿主项目中的服务账号授予 compute.globalAddresses.get IAM 权限。

创建服务账号并授予其 IAM 权限后,请等待几分钟,以便服务账号和权限传播。

此外,在共享 VPC 中分配一个 IPv4 IP 范围,并按照上一部分创建和配置 VPC 网络中的说明,将专用服务访问通道连接添加到共享 VPC。

创建专用连接实例

Looker (Google Cloud Core) 生成新实例大约需要 60 分钟。

如果您想要使用专用连接 (PSA) 实例,则必须使用 Google Cloud CLI 或 Terraform,并且在创建实例时必须将其配置为专用连接 (PSA)。创建实例后,您无法向实例添加专用连接或从实例中移除专用连接。

如需使用 Google Cloud CLI 创建专用服务访问通道 (PSA) 实例,请执行以下步骤:

  1. 如果您使用的是 CMEK,请按照说明创建服务账号、密钥环和密钥,然后再创建 Looker (Google Cloud Core) 实例。

  2. 使用 gcloud looker instances create 命令创建实例:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    替换以下内容:

    • INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称;它与实例网址无关。
    • PROJECT_ID:您要在其中创建 Looker (Google Cloud Core) 实例的 Google Cloud 项目的名称。
    • OAUTH_CLIENT_IDOAUTH_CLIENT_SECRET:您在设置 OAuth 客户端时创建的 OAuth 客户端 ID 和 OAuth secret。创建实例后,在 OAuth 客户端的已获授权的重定向 URI 部分中输入实例的网址
    • REGION:Looker (Google Cloud Core) 实例的托管区域。选择与订阅合同中的区域相匹配的区域。如需查看可用区域,请参阅 Looker (Google Cloud Core) 位置文档页面。
    • EDITION:实例的版本和环境类型(生产或非生产)。对于专用连接 (PSA) 实例,此值应为 core-enterprise-annualcore-embed-annualnonprod-core-enterprise-annualnonprod-core-embed-annual。请确保您选择的版型与年度合同中列出的版型相同,并且您已分配配额。实例创建完毕后,版本便无法更改。如果您想更改版本,可以使用导入和导出功能将 Looker (Google Cloud Core) 实例数据迁移到配置了其他版本的新实例中。
    • CONSUMER_NETWORK您的 VPC 网络或共享 VPC 网络。如果您要创建专用服务访问通道 (PSA) 实例,则必须设置此参数。
    • RESERVED_RANGE:VPC 内的 IP 地址范围,Google 将在此范围内为 Looker (Google Cloud Core) 实例预配子网。

    您可以添加以下标志:

    • --private-ip-enabled 用于启用专用连接 (PSA)。必须包含此参数才能创建专用连接 (PSA) 实例。
    • --public-ip-enabled 用于启用公共 IP。
    • --no-public-ip-enabled 停用公共 IP。
    • 建议在创建 Looker (Google Cloud Core) 实例时使用 --async

  3. 您可以添加更多参数来应用其他实例设置: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    请替换以下内容:

    • MAINTENANCE_WINDOW_DAY:必须是以下值之一:fridaymondaysaturdaysundaythursdaytuesdaywednesday。如需详细了解维护窗口设置,请参阅管理 Looker (Google Cloud Core) 的维护政策文档页面。
    • MAINTENANCE_WINDOW_TIMEDENY_MAINTENANCE_PERIOD_TIME:必须采用 24 小时制 UTC 时间格式(例如 13:00、17:45)。
    • DENY_MAINTENANCE_PERIOD_START_DATEDENY_MAINTENANCE_PERIOD_END_DATE:必须采用 YYYY-MM-DD 格式。
    • KMS_KEY_ID:必须是在设置客户管理的加密密钥 (CMEK) 时创建的密钥。

    您可以添加 --fips-enabled 标志以启用 FIPS 140-2 1 级合规性

在创建实例的过程中,您可以在控制台的实例页面中查看其状态。您还可以点击 Google Cloud 控制台菜单中的通知图标,查看实例创建活动。

如果您创建仅具有专用连接 (PSA) 的实例,则 实例页面上不会显示网址。如需详细了解如何设置对专用连接 (PSA) 实例的访问权限,请参阅创建专用连接 (PSA) 实例后访问该实例部分。

创建专用连接 (PSA) 实例后访问该实例

如果您创建的实例仅启用专用连接 (PSA),您将不会收到该实例的网址。如需访问实例,您必须为该实例配置自定义网域,并将该自定义网域添加到实例的 OAuth 凭据中。如需了解用于设置和访问自定义网域的不同专用连接网络选项,请访问 Looker (Google Cloud Core) 专用连接实例的自定义网域网络选项文档页面。

后续步骤