Segera kirimkan hack Anda ke Looker Hackathon 2025 [Edisi Sektor Publik]. Menangkan hadiah “Hack Terbaik” yang sebenarnya dan tunjukkan kehebatan Anda dalam mengolah data. Lihat FAQ dan aturan resmi untuk mengetahui informasi selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat instance Looker (Google Cloud core) koneksi pribadi (akses layanan pribadi)

Halaman ini menjelaskan cara membuat instance produksi atau non-produksi Looker (inti Google Cloud) dengan koneksi pribadi (PSA) yang menggunakan akses layanan pribadi (PSA).

Koneksi pribadi membuat layanan dapat dijangkau tanpa melalui internet atau menggunakan alamat IP eksternal. Karena tidak melintasi internet, koneksi pribadi biasanya memberikan latensi yang lebih rendah dan vektor serangan terbatas. Koneksi pribadi memungkinkan instance Looker (inti Google Cloud) Anda berkomunikasi dengan resource lain di Virtual Private Cloud (VPC) Anda, tetapi tidak mengizinkan komunikasi masuk dari internet publik.

Konektivitas pribadi memungkinkan penggunaan beberapa fitur, seperti VPC Service Controls. Namun, koneksi pribadi tidak kompatibel dengan beberapa fitur Looker (Google Cloud core). Lihat tabel kompatibilitas fitur untuk mengetahui informasi selengkapnya.

Looker (Google Cloud core) mendukung koneksi pribadi (PSA) untuk edisi instance Enterprise atau Embed.

Peran dan izin yang diperlukan

Untuk menyiapkan instance koneksi pribadi (PSA), Anda harus memiliki izin IAM berikut:

Untuk membuat instance Looker (Google Cloud core), Anda harus memiliki peran Looker Admin (roles/looker.Admin).
Untuk mendapatkan izin yang diperlukan untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi, minta administrator untuk memberi Anda peran IAM Compute Network Admin (roles/compute.networkAdmin) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan

Izin berikut diperlukan untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi:
- Lihat jaringan yang tersedia di drop-down Jaringan:
  - compute.addresses.list
  - compute.globalAddresses.list
  - compute.networks.list
  - compute.globalAddresses.list
- Buat jaringan VPC baru:
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Alokasikan rentang IP pribadi dan siapkan koneksi akses layanan pribadi: compute.networks.addPeering
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Catatan: Peran dasar IAM mungkin juga berisi izin untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi. Anda tidak boleh memberikan peran dasar dalam lingkungan produksi, tetapi Anda dapat memberikannya dalam lingkungan pengembangan atau pengujian.

Jika Anda menggunakan jaringan pribadi yang telah disiapkan, Anda tidak memerlukan izin ini.

Anda mungkin juga memerlukan peran IAM tambahan untuk menyiapkan Kontrol Layanan VPC atau kunci enkripsi yang dikelola pelanggan (CMEK). Pelajari lebih lanjut dengan membuka halaman dokumentasi Dukungan Kontrol Layanan VPC untuk Looker (inti Google Cloud) atau Mengaktifkan CMEK untuk Looker (inti Google Cloud) untuk fitur tersebut.

Sebelum memulai

Bekerja sama dengan Tim Penjualan untuk memastikan bahwa kontrak tahunan Anda telah selesai dan Anda telah mendapatkan kuota yang dialokasikan di project Anda.
Pastikan penagihan diaktifkan untuk Google Cloud project Anda.
Di konsol Google Cloud, pada halaman pemilih project, buat Google Cloud project atau buka project yang sudah ada tempat Anda ingin membuat instance Looker (Google Cloud core).
Buka pemilih project
Aktifkan Looker API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
Mengaktifkan API

Perhatian: Menonaktifkan Looker API setelah pembuatan instance akan memengaruhi fitur Looker (Google Cloud core). Misalnya, menonaktifkan API akan menonaktifkan kemampuan untuk membuat pencadangan instance.
Aktifkan Service Networking API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
Mengaktifkan API
Aktifkan Compute Engine API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
Mengaktifkan API
Siapkan klien OAuth dan buat kredensial otorisasi. Klien OAuth memungkinkan Anda mengautentikasi dan mengakses instance. Anda harus menyiapkan OAuth untuk membuat instance Looker (inti Google Cloud), meskipun Anda menggunakan metode autentikasi yang berbeda untuk mengautentikasi pengguna ke instance Anda.

Membuat dan mengonfigurasi jaringan VPC

Sebelum dapat membuat koneksi pribadi, Anda harus membuat dan mengonfigurasi jaringan Virtual Private Cloud (VPC) terlebih dahulu. Looker (Google Cloud core) mendukung beberapa instance koneksi pribadi (PSA) di VPC yang sama, baik di region yang sama maupun di region yang berbeda.

Buat jaringan VPC di project Anda. Atau, jika Anda menggunakan VPC Bersama, bukan membuat jaringan VPC baru, selesaikan langkah-langkah di bagian berikut, Membuat instance di VPC Bersama, selain menyelesaikan langkah-langkah yang tersisa di bagian ini untuk VPC Bersama.
Alokasikan rentang IP IPv4 (blok CIDR) di VPC Anda untuk koneksi akses layanan pribadi ke Looker (inti Google Cloud).

Sebelum mengalokasikan rentang, pertimbangkan batasan yang ada.
Saat menetapkan ukuran rentang alamat IP, perhatikan bahwa ukuran minimum adalah blok /22.
Looker (inti Google Cloud) mendukung semua rentang IPv4 dalam RFC 1918, yang menentukan alamat IP yang ditetapkan untuk digunakan secara internal (yaitu, dalam organisasi) dan tidak akan dirutekan di Internet. Secara khusus, berikut ini adalah:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Rentang IPv4 Class E (240.0.0.0/4) dicadangkan untuk penggunaan mendatang seperti yang tercantum dalam RFC 5735 dan RFC 1112 dan tidak didukung untuk Looker (inti Google Cloud).

subnet khusus proxy

/26

/22

Tambahkan koneksi akses layanan pribadi ke jaringan VPC Anda menggunakan rentang IP yang dialokasikan pada langkah sebelumnya untuk Alokasi yang ditetapkan.
Setelah jaringan VPC dibuat, kembali ke halaman Create Looker instance di project Google Cloud Anda. Anda mungkin perlu memuat ulang halaman agar jaringan VPC Anda dikenali.

Setelah menyelesaikan langkah-langkah ini, Anda dapat mulai membuat instance dengan mengikuti langkah-langkah di halaman dokumentasi Membuat instance Looker (Google Cloud core) , dimulai dengan bagian Sebelum memulai.

Beberapa instance koneksi pribadi dalam VPC yang sama

Jika dua atau beberapa instance Looker (Google Cloud core) koneksi pribadi berada di region yang sama dan di VPC yang sama, dan Anda menghapus instance Looker (Google Cloud core) pertama yang dibuat di region tersebut, subnet khusus proxy tidak akan dilepaskan karena masih digunakan oleh instance yang tersisa. Jika Anda mencoba membuat instance Looker (inti Google Cloud) koneksi pribadi (PSA) baru yang menggunakan rentang alamat yang sama dengan yang Anda gunakan untuk instance yang dihapus (yang berisi rentang alamat IP subnet khusus proxy), pembuatan instance akan gagal, dan Anda akan melihat error "Rentang IP habis". Untuk memeriksa apakah rentang IP sedang digunakan, periksa peering VPC untuk Service Networking, dan periksa rute impor untuk melihat apakah rute tersebut menggunakan rentang IP yang Anda minati.

Membuat instance di VPC Bersama

Jika Anda membuat instance Looker (Google Cloud core) di VPC Bersama, selesaikan langkah-langkah berikut di project host VPC Bersama:

Aktifkan Looker API di project host VPC Bersama di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
Mengaktifkan API
Buat akun layanan di project host VPC Bersama, menggunakan perintah gcloud services identity create:
```
gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID
```
Ganti SHARED_HOST_PROJECT_ID dengan ID project host VPC Bersama.
Beri akun layanan di project host VPC Bersama peran IAM yang berisi izin IAM compute.globalAddresses.get. Selanjutnya, jalankan perintah add-iam-policy-binding:
```
gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME
```
Ganti kode berikut:
- SHARED_HOST_PROJECT_ID: ID project host VPC Bersama.
- SA_EMAIL: Alamat email akun layanan yang Anda buat di project host VPC Bersama.
- ROLE_NAME: Nama peran yang berisi izin compute.globalAddresses.get. Gunakan salah satu format berikut:
  - Peran bawaan: roles/SERVICE.IDENTIFIER
  - Peran khusus level project: projects/PROJECT_ID/roles/IDENTIFIER
  - Peran khusus level organisasi: organizations/ORG_ID/roles/IDENTIFIER
  Untuk mengetahui daftar peran bawaan, lihat Memahami peran.

Setelah membuat akun layanan dan memberikan izin IAM, tunggu beberapa menit hingga akun layanan dan izin diterapkan.

Selain itu, alokasikan rentang IP IPv4 di VPC Bersama dan tambahkan koneksi akses layanan pribadi ke VPC Bersama seperti yang dijelaskan di bagian sebelumnya, Buat dan konfigurasi jaringan VPC.

Buat instance koneksi pribadi

Looker (Google Cloud core) memerlukan waktu sekitar 60 menit untuk membuat instance baru.

Jika menginginkan instance koneksi pribadi (PSA), Anda harus menggunakan Google Cloud CLI atau Terraform dan mengonfigurasi instance sebagai koneksi pribadi (PSA) saat membuatnya. Koneksi pribadi tidak dapat ditambahkan ke atau dihapus dari instance setelah instance dibuat.

Untuk membuat instance koneksi pribadi (PSA) menggunakan Google Cloud CLI, lakukan langkah-langkah berikut:

Jika Anda menggunakan CMEK, ikuti petunjuk untuk membuat akun layanan, key ring, dan kunci sebelum membuat instance Looker (Google Cloud core).
Gunakan perintah gcloud looker instances create untuk membuat instance:
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]
```
Ganti kode berikut:
- INSTANCE_NAME: nama untuk instance Looker (Google Cloud core) Anda; nama ini tidak terkait dengan URL instance.
- PROJECT_ID: nama Google Cloud project tempat Anda membuat instance Looker (Google Cloud core).
- OAUTH_CLIENT_ID dan OAUTH_CLIENT_SECRET: Client ID OAuth dan secret OAuth yang Anda buat saat menyiapkan klien OAuth. Setelah instance dibuat, masukkan URL instance di bagian URI pengalihan yang diizinkan pada klien OAuth.
- REGION: region tempat instance Looker (Google Cloud core) Anda dihosting. Pilih region yang cocok dengan region dalam kontrak langganan. Region yang tersedia tercantum di halaman dokumentasi Lokasi Looker (Google Cloud Core).
- EDITION: edisi, jenis lingkungan (produksi atau non-produksi), dan apakah ini edisi uji coba untuk instance. Untuk instance koneksi pribadi (PSA), nilai ini harus berupa core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-enterprise, atau core-trial-embed. Pastikan Anda memilih jenis edisi yang sama seperti yang tercantum dalam kontrak tahunan dan Anda telah mengalokasikan kuota. Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (Google Cloud core) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.
- CONSUMER_NETWORK: jaringan VPC atau jaringan VPC Bersama Anda. Harus disetel jika Anda membuat instance koneksi pribadi (PSA).
- RESERVED_RANGE: rentang alamat IP dalam VPC tempat Google akan menyediakan subnetwork untuk instance Looker (inti Google Cloud) Anda.
Anda dapat menyertakan tanda berikut:
- --private-ip-enabled mengaktifkan koneksi pribadi (PSA). Parameter ini harus disertakan untuk membuat instance koneksi pribadi (PSA).
- --public-ip-enabled mengaktifkan IP publik.
- --no-public-ip-enabled menonaktifkan IP publik.
- --async direkomendasikan saat Anda membuat instance Looker (Google Cloud core).
Anda dapat menambahkan parameter lainnya untuk menerapkan setelan instance lainnya:
```
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
```
Ganti kode berikut:
- MAINTENANCE_WINDOW_DAY: harus berupa salah satu dari berikut ini: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Lihat halaman dokumentasi Mengelola kebijakan pemeliharaan untuk Looker (inti Google Cloud) untuk mengetahui informasi selengkapnya tentang setelan periode pemeliharaan.
- MAINTENANCE_WINDOW_TIME dan DENY_MAINTENANCE_PERIOD_TIME: harus dalam waktu UTC dengan format 24 jam (misalnya, 13:00, 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE dan DENY_MAINTENANCE_PERIOD_END_DATE: harus dalam format YYYY-MM-DD.
- KMS_KEY_ID: harus berupa kunci yang dibuat saat menyiapkan kunci enkripsi yang dikelola pelanggan (CMEK).
Anda dapat menyertakan tanda --fips-enabled untuk mengaktifkan kepatuhan terhadap FIPS 140-2 level 1.

Tips: Anda harus memiliki kuota untuk jenis edisi yang tepat guna membuat instance. Jika Anda tidak memiliki kuota, hubungi Tim Penjualan untuk mengalokasikan kuota ke project Anda.

Saat instance dibuat, Anda dapat melihat statusnya di halaman Instances dalam konsol. Anda juga dapat melihat aktivitas pembuatan instance dengan mengklik ikon notifikasi di menu konsol Google Cloud .

Jika Anda membuat instance khusus koneksi pribadi (PSA), URL tidak akan muncul di halaman Instances. Lihat bagian Mengakses instance koneksi pribadi (PSA) setelah pembuatan berikut untuk mengetahui informasi selengkapnya tentang cara menyiapkan akses ke instance koneksi pribadi (PSA).

Mengakses instance koneksi pribadi (PSA) setelah pembuatan

Jika membuat instance yang hanya diaktifkan untuk koneksi pribadi (PSA), Anda tidak akan menerima URL untuk instance tersebut. Untuk mengakses instance, Anda harus mengonfigurasi domain kustom untuk instance dan menambahkan domain kustom tersebut ke kredensial OAuth instance. Untuk memahami berbagai opsi jaringan koneksi pribadi untuk menyiapkan dan mengakses domain kustom, buka halaman dokumentasi Opsi jaringan domain kustom untuk instance koneksi pribadi Looker (inti Google Cloud).

Langkah berikutnya

Opsi jaringan domain kustom untuk instance koneksi pribadi Looker (Google Cloud core)