Você está visualizando a documentação do Looker. Para conferir a documentação do Looker Studio, acesse https://support.google.com/looker-studio.

Esta página foi traduzida pela API Cloud Translation.

Criar uma instância de IP particular do Looker (Google Cloud Core)

As conexões de IP particulares tornam os serviços acessíveis sem passar pela Internet ou usar endereços IP externos. Como elas não passam pela Internet, as conexões por IP privado geralmente oferecem menor latência e vetores de ataque limitados. As conexões de IP privado permitem que sua instância do Looker (Google Cloud Core) se comunique com outros recursos na nuvem privada virtual (VPC), mas não permitem comunicação de entrada da Internet pública.

A conectividade de IP particular permite o uso de alguns recursos, como o VPC Service Controls. No entanto, as conexões IP particulares não são compatíveis com alguns recursos do Looker (Google Cloud Core). Consulte a tabela de compatibilidade de recursos para mais informações.

O Looker (Google Cloud Core) oferece suporte a IPs particulares para as edições de instâncias Enterprise ou Embed.

Papéis e permissões necessárias

Para configurar uma instância de IP particular, é preciso ter as seguintes permissões do IAM:

Para criar uma instância do Looker (Google Cloud Core), é necessário ter o papel Administrador do Looker (roles/looker.Admin).
Para ter as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares, peça ao administrador para conceder a você Papel do IAM Administrador de rede do Compute (roles/compute.networkAdmin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões privadas. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias

As seguintes permissões são necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares:
- Veja as redes disponíveis na lista suspensa Rede:
  - compute.addresses.list
  - compute.globalAddresses.list
  - compute.networks.list
  - compute.globalAddresses.list
- Crie uma nova rede VPC:
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Aloque um intervalo de IP particular e configure uma conexão de acesso a serviços particulares: compute.networks.addPeering
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Observação: IAM básico papéis também podem ter permissões para criar intervalos de endereços IP alocados e gerenciar conexões particulares. Não conceda papéis básicos em um ambiente de produção, mas é possível fazer isso em um ambiente de desenvolvimento ou teste.

Se você estiver criando uma instância de IP particular com o Terraform ou a Google Cloud CLI e usando uma rede particular que já foi configurada, essas permissões não serão necessárias.

Talvez você também precise de outros papéis do IAM para configurar o VPC Service Controls ou as chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Para saber mais, acesse as páginas de documentação Suporte do VPC Service Controls para o Looker (Google Cloud Core) ou Ativar o CMEK para o Looker (Google Cloud Core) para esses recursos.

Antes de começar

No console do Google Cloud, na página do seletor de projetos, crie um projeto do Google Cloud ou acesse um projeto em que você quer criar a instância do Looker (Google Cloud Core).
Acessar o seletor de projetos
Ative a API Looker para seu projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.
Ativar a API

Cuidado:desativar a API Looker após a criação da instância afetará os recursos do Looker (Google Cloud Core). Por exemplo, se a API for desativada, não será mais possível criar backups de instâncias.
Ative a API Service Networking no projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.
Ativar a API
Ative a API Compute Engine no projeto no console do Google Cloud. Quando você ativa a API, pode ser necessário atualizar a página do console para confirmar que ela foi ativada.
Ativar a API
Configure um cliente OAuth e crie credenciais de autorização. O cliente OAuth permite que você autentique e acesse a instância. É necessário configurar o OAuth para criar uma instância do Looker (Google Cloud Core), mesmo que você esteja usando outro método de autenticação para autenticar usuários na instância.

Criar e configurar uma rede VPC

Antes de criar uma conexão de IP particular, você precisa criar e configurar uma rede de nuvem privada virtual (VPC). O Looker (Google Cloud Core) oferece suporte a várias instâncias de IP particular na mesma VPC, na mesma região ou em regiões diferentes.

Crie uma rede VPC no seu projeto. Se você estiver usando uma VPC compartilhada em vez de criar uma nova rede VPC, siga as etapas na seção a seguir, Criar uma instância em uma VPC compartilhada, além de concluir as etapas restantes nesta seção para a VPC compartilhada.
Aloque um intervalo de IP IPv4 (bloco CIDR) na VPC para uma conexão de acesso a serviços particulares ao Looker (Google Cloud Core).

Antes de alocar seu intervalo, considere as restrições.
Ao definir o tamanho do intervalo de endereços IP, lembre-se de que o tamanho mínimo é um bloco /22.
O Looker (núcleo do Google Cloud) é compatível com todos os intervalos de IPv4 no RFC 1918, que especifica os endereços IP atribuídos para uso interno (ou seja, em uma organização) e que não são roteados na Internet. Especificamente, são os seguintes:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Os intervalos IPv4 de classe E (240.0.0.0/4) são reservados para uso futuro conforme indicado no RFC 5735 e no RFC 1112 e não são compatíveis com o Looker (Google Cloud Core).

sub-rede somente proxy

/26

/22

Adicione a conexão de acesso a serviços particulares à rede VPC usando o intervalo de IP alocado na etapa anterior para Alocação atribuída.
Depois que a rede VPC for criada, volte à página Criar instância do Looker no projeto do Google Cloud. Talvez seja necessário atualizar a página para que sua rede VPC seja reconhecida.

Depois de concluir essas etapas, comece a criar sua instância seguindo as etapas da página da documentação Criar uma instância do Looker (Google Cloud Core) , começando pela seção Antes de começar.

Várias instâncias de IP particular na mesma VPC

Se você tiver várias instâncias de IP particular na mesma VPC, tenha em mente as seguintes considerações:

Se duas ou mais instâncias de IP privado do Looker (Google Cloud Core) estiverem localizadas na mesma região e na mesma VPC e você excluir a primeira instância do Looker (Google Cloud Core) que foi criada na região, a sub-rede somente proxy não será liberada porque ainda está em uso pelas instâncias restantes. Se você tentar criar uma nova instância do Looker (Google Cloud Core) com IP particular que use o mesmo intervalo de endereços usado na instância excluída (que contém o intervalo de endereços IP da sub-rede apenas de proxy), a criação da instância vai falhar e você vai receber uma mensagem de erro "Intervalos de IP esgotados". Para verificar se um intervalo de IP está em uso, verifique o peering de VPC para a Service Networking e as rotas de importação para saber se elas estão usando o intervalo de IP de seu interesse.
Se duas ou mais instâncias de IP particulares estiverem localizadas na mesma VPC e você excluir uma delas, reinicie as instâncias restantes para reconectar a rede de serviços delas.

Criar uma instância em uma VPC compartilhada

Se você estiver criando uma instância do Looker (Google Cloud Core) em uma VPC compartilhada, conclua as etapas a seguir no projeto host da VPC compartilhada:

Ative a API Looker no projeto host da VPC compartilhada no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.
Ativar a API
Crie uma conta de serviço no projeto host da VPC compartilhada usando o comando services identity create do gcloud:
```
gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
```
Substitua SHARED_HOST_PROJECT_ID pelo projeto host da VPC compartilhada.
Conceda a permissão do IAM compute.globalAddresses.get à conta de serviço no projeto host.

Depois de criar a conta de serviço e conceder a ela a permissão do IAM, aguarde alguns minutos até que a conta de serviço e a permissão sejam propagadas.

Além disso, aloque um intervalo de IP IPv4 na VPC compartilhada e adicione a conexão de acesso a serviços particulares à VPC compartilhada, conforme descrito na seção anterior, Criar e configurar uma rede VPC.

Criar a instância de IP particular

O Looker (Google Cloud Core) leva aproximadamente 60 minutos para gerar uma nova instância.

O IP particular precisa ser atribuído no momento da criação da instância. Não é possível adicionar ou remover um IP particular de uma instância depois que ela é criada.

Para configurar o IP particular durante a criação de instâncias, selecione uma das seguintes opções:

Console

Acesse a página do produto Looker (Google Cloud Core) do seu projeto no console do Google Cloud. Se você já tiver criado uma instância do Looker (Google Cloud Core) nesse projeto, a página Instâncias será aberta.
Acessar o Looker (Google Cloud Core)
Clique em CRIAR INSTÂNCIA.
Na seção Nome da instância, informe um nome para sua instância do Looker (Google Cloud Core). O nome da instância não é associado ao URL da instância do Looker (Google Cloud Core) após a criação. O nome da instância não pode ser alterado após a criação dela.
Na seção Credenciais do aplicativo OAuth, insira o ID do cliente OAuth e a chave secreta OAuth que você criou ao configurar o cliente OAuth.
Na seção Região, selecione a opção adequada no menu suspenso para hospedar sua instância do Looker (Google Cloud Core). Selecione a região que corresponde ao contrato de assinatura, que é onde a cota do seu projeto é alocada. As regiões disponíveis estão listadas na página de documentação dos locais do Looker (Google Cloud Core).

Não é possível mudar a região depois que a instância é criada.
Na seção Edição, escolha uma opção de edição Enterprise ou Inserir. O tipo de edição afeta alguns dos recursos disponíveis para a instância. Escolha o mesmo tipo de edição listado no contrato anual e se você tem cota alocada para ele.
- Enterprise: plataforma do Looker (Google Cloud Core) com recursos de segurança reforçada para atender a uma ampla variedade de casos de uso internos de BI e análise
- Incorporar: plataforma Looker (Google Cloud Core) para implantar e manter análises externas e aplicativos personalizados confiáveis em grande escala
Não é possível mudar as edições após a criação da instância. Se você quiser mudar de edição, use a importação e exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.
Na seção Personalizar sua instância, clique em MOSTRAR OPÇÕES DE CONFIGURAÇÃO para exibir um grupo de configurações extras que podem ser personalizadas para a instância.
Na seção Conexões, escolha Apenas IP privado ou IP privado e IP público. O tipo de conexão de rede selecionado afeta os recursos do Looker disponíveis para a instância. As seguintes opções de conexão de rede estão disponíveis:
- IP público: atribui um endereço IP externo acessível pela Internet.
- IP particular: atribui um endereço IP interno hospedado pelo Google que pode ser acessado em uma nuvem privada virtual (VPC). É possível usar esse endereço para se conectar a partir de outros recursos com acesso à VPC. Apenas as edições Enterprise e Embed aceitam IP particular. Se você quiser usar o VPC Service Controls, selecione apenas IP particular.
Observação: o IP privado precisa ser atribuído no momento da criação da instância. O IP privado não pode ser adicionado ou removido de uma instância depois que ela for criada. Se o IP público e o privado forem atribuídos no momento da criação da instância, a opção de IP público poderá ser desativada mais tarde.
- Se IP particular e IP público estiverem selecionados, o tráfego de entrada será roteado pelo IP público e o tráfego de saída pelo IP particular. A instância do Looker (Google Cloud Core) não vai usar o IP público para originar o tráfego de saída da Internet.
Se o pop-up Ativar as APIs necessárias aparecer, você terá que ativar outras APIs para o projeto do Google Cloud. Para ativar as APIs necessárias para uma conexão de rede privada, clique em ATIVAR TODAS.
No menu suspenso Rede, selecione a rede VPC. As redes IP particulares exigem uma conexão de acesso a serviços particulares, que permite que seus serviços se comuniquem exclusivamente usando endereços IP internos. Consulte a página de documentação Configurar o acesso particular a serviços para mais informações sobre como configurar uma conexão IP particular. Se você não tiver configurado uma conexão de serviços particulares ao criar a rede VPC, clique em CONFIGURAR CONEXÃO na mensagem Conexão de acesso a serviços particulares necessária. Isso abre um painel lateral em que é possível alocar um intervalo de IP e criar uma conexão.
Em Intervalo de IP alocado, selecione o intervalo de IP na VPC em que o Google vai provisionar uma sub-rede para sua instância do Looker (Google Cloud Core). As sub-redes reservam um intervalo de IP que não pode ser usado por outros recursos na rede VPC. Não vai ser possível modificar esse intervalo de IP depois de criar a instância do Looker (Google Cloud Core). A alocação do intervalo de IP inclui estas opções:
- Selecione Usar intervalo de IP atribuído automaticamente para que o Google aloque um intervalo de IP automaticamente e provisione uma sub-rede para a VPC.
- Selecione um intervalo de IP definido durante a configuração do acesso a serviços particulares.
Na seção Criptografia, é possível selecionar o tipo de criptografia a ser usado na instância. As seguintes opções de criptografia estão disponíveis:
- Chave de criptografia gerenciada pelo Google: essa é a opção padrão e não requer nenhuma configuração adicional.
- Chave de criptografia gerenciada pelo cliente (CMEK): consulte a página de documentação Como usar chaves de criptografia gerenciadas pelo cliente com o Looker (Google Cloud Core) para mais informações sobre a CMEK e como configurá-la durante a criação da instância. O tipo de criptografia não pode ser alterado após a criação da instância.
- Ative a criptografia validada FIPS 140-2: consulte a página da documentação Ativar conformidade FIPS 140-2 nível 1 em uma instância do Looker (Google Cloud Core) para mais informações sobre o suporte ao FIPS 140-2 no Looker (Google Cloud Core).
Na seção Janela de manutenção, você pode especificar o dia da semana e a hora em que o Looker (Google Cloud core) programa a manutenção. As janelas de manutenção duram uma hora. Por padrão, a opção Janela preferencial em Janela de manutenção é definida como Qualquer janela.
Na seção Período de negação de manutenção, é possível especificar um bloco de dias em que o Looker (Google Cloud Core) não vai programar a manutenção. Os períodos de bloqueio de manutenção podem ser de até 60 dias. É preciso oferecer pelo menos 14 dias de disponibilidade de manutenção entre dois períodos de bloqueio de manutenção.
Clique em Criar.

gcloud

Se você estiver usando a CMEK, siga as instruções para criar uma conta de serviço, um keyring e uma chave antes de criar sua instância do Looker (Google Cloud Core).
Use o comando gcloud looker instances create para criar a instância:
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]
```
Substitua:
- INSTANCE_NAME: um nome para sua instância do Looker (Google Cloud Core); ela não está associada ao URL da instância.
- PROJECT_ID: o nome do projeto do Google Cloud em que você está criando a instância do Looker (Google Cloud Core).
- OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: o ID e a chave secreta do cliente OAuth que você criou quando configurou o cliente OAuth. Após a criação da instância, insira o URL da instância na seção URIs de redirecionamento autorizados do cliente OAuth.
- REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada. Selecione a região que corresponde à região no contrato de assinatura. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core).
- EDITION: a edição da instância. Para uma instância de IP particular, precisa ser core-enterprise-annual ou core-embed-annual. Escolha o mesmo tipo de edição listado no seu contrato anual e verifique se você tem cota alocada. Não é possível alterar as edições após a criação da instância. Se quiser mudar uma edição, use a opção de importação e exportação para migrar os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com outra edição.
- CONSUMER_NETWORK: sua rede VPC ou rede VPC compartilhada. Precisa ser definido se você estiver criando uma instância de IP particular.
- RESERVED_RANGE: o intervalo de endereços IP na VPC em que o Google provisionará uma sub-rede para sua instância do Looker (Google Cloud Core).
Você pode incluir as seguintes sinalizações:
- --private-ip-enabled ativa o IP privado. Ela precisa ser incluída para criar uma instância de IP particular.
- --public-ip-enabled ativa o IP público.
- --no-public-ip-enabled desativa o IP público.
- Recomendamos usar --async ao criar uma instância do Looker (Google Cloud Core).
É possível adicionar mais parâmetros para aplicar outras configurações da instância:
```
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
```
Substitua:
- MAINTENANCE_WINDOW_DAY: precisa ser um destes valores: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Consulte a página de documentação Gerenciar políticas de manutenção do Looker (Google Cloud Core) para mais informações sobre as configurações da janela de manutenção.
- MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: precisam estar na hora UTC no formato de 24 horas (por exemplo, 13:00, 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: precisam estar no formato YYYY-MM-DD.
- KMS_KEY_ID: precisa ser a chave criada ao configurar chaves de criptografia gerenciadas pelo cliente (CMEK).
Inclua a flag --fips-enabled para ativar a conformidade com o FIPS 140-2 nível 1.

Enquanto a instância está sendo criada, é possível conferir o status dela na página Instâncias do console. Também é possível conferir a atividade de criação de instâncias clicando no ícone de notificações no menu do console do Google Cloud.

Se você criar uma instância somente de IP privado, um URL não aparecerá na página Instâncias. Consulte a seção Como acessar uma instância de IP particular após a criação para mais informações sobre como configurar o acesso à sua instância de IP particular.

Acessar uma instância de IP particular após a criação

Se você criar uma instância ativada apenas para IP particular, não vai receber um URL para ela. Para acessar a instância, você precisa configurar um domínio personalizado para ela e adicioná-lo às credenciais de OAuth da instância. Para entender as diferentes opções de rede IP privada para configurar e acessar um domínio personalizado, acesse a página de documentação Opções de rede de domínio personalizado para instâncias de IP particular do Looker (Google Cloud Core).

A seguir

Opções de rede de domínios personalizados para instâncias de IP particular do Looker (Google Cloud Core)