Membuat instance Looker (Google Cloud core) IP pribadi

Halaman dokumentasi ini menjelaskan cara membuat instance Looker (Google Cloud core) IP pribadi yang menggunakan akses layanan pribadi.

Koneksi IP pribadi membuat layanan dapat dijangkau tanpa melalui internet atau menggunakan alamat IP eksternal. Karena tidak melintasi internet, koneksi melalui IP pribadi biasanya memberikan latensi yang lebih rendah dan vektor serangan terbatas. Koneksi IP pribadi memungkinkan instance Looker (inti Google Cloud) berkomunikasi dengan resource lain di Virtual Private Cloud (VPC), tetapi tidak mengizinkan komunikasi masuk dari internet publik.

Konektivitas IP pribadi memungkinkan penggunaan beberapa fitur, seperti Kontrol Layanan VPC. Namun, koneksi IP pribadi tidak kompatibel dengan beberapa fitur Looker (Google Cloud core). Lihat tabel kompatibilitas fitur untuk mengetahui informasi selengkapnya.

Looker (Google Cloud core) mendukung IP pribadi untuk edisi instance Enterprise atau Embed.

Peran dan izin yang diperlukan

Untuk menyiapkan instance IP pribadi, Anda harus memiliki izin IAM berikut:

  1. Untuk membuat instance Looker (Google Cloud core), Anda harus memiliki peran Looker Admin (roles/looker.Admin).

  2. Untuk mendapatkan izin yang diperlukan guna membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi, minta administrator untuk memberi Anda peran IAM Compute Network Admin (roles/compute.networkAdmin) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Peran bawaan ini berisi izin yang diperlukan untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

    Izin yang diperlukan

    Izin berikut diperlukan untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi:

    • Lihat jaringan yang tersedia di drop-down Jaringan:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Buat jaringan VPC baru:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Alokasikan rentang IP pribadi dan siapkan koneksi akses layanan pribadi: compute.networks.addPeering

    Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

    Jika Anda membuat instance IP pribadi dengan Terraform atau Google Cloud CLI dan menggunakan jaringan pribadi yang telah disiapkan, Anda tidak memerlukan izin ini.

Anda mungkin juga memerlukan peran IAM tambahan untuk menyiapkan Kontrol Layanan VPC atau kunci enkripsi yang dikelola pelanggan (CMEK). Pelajari lebih lanjut dengan membuka halaman dokumentasi Dukungan Kontrol Layanan VPC untuk Looker (inti Google Cloud) atau Mengaktifkan CMEK untuk Looker (inti Google Cloud) untuk fitur tersebut.

Sebelum memulai

  1. Di konsol Google Cloud, pada halaman pemilih project, buat project Google Cloud atau buka project yang sudah ada tempat Anda ingin membuat instance Looker (inti Google Cloud).

    Buka pemilih project

  2. Aktifkan Looker API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.

    Mengaktifkan API

  3. Aktifkan Service Networking API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.

    Mengaktifkan API

  4. Aktifkan Compute Engine API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.

    Mengaktifkan API

  5. Siapkan klien OAuth dan buat kredensial otorisasi. Klien OAuth memungkinkan Anda mengautentikasi dan mengakses instance. Anda harus menyiapkan OAuth untuk membuat instance Looker (inti Google Cloud), meskipun Anda menggunakan metode autentikasi yang berbeda untuk mengautentikasi pengguna ke instance Anda.

Membuat dan mengonfigurasi jaringan VPC

Sebelum dapat membuat koneksi IP pribadi, Anda harus membuat dan mengonfigurasi jaringan Virtual Private Cloud (VPC) terlebih dahulu. Looker (inti Google Cloud) mendukung beberapa instance IP pribadi di VPC yang sama, baik di region yang sama maupun di region yang berbeda.

  1. Buat jaringan VPC di project Anda. Atau, jika Anda menggunakan VPC Bersama, bukan membuat jaringan VPC baru, selesaikan langkah-langkah di bagian berikut, Membuat instance di VPC Bersama, selain menyelesaikan langkah-langkah lainnya di bagian ini untuk VPC Bersama.
  2. Alokasikan rentang IP IPv4 (blok CIDR) di VPC Anda untuk koneksi akses layanan pribadi ke Looker (inti Google Cloud).
    • Sebelum mengalokasikan rentang, pertimbangkan batasan.
    • Saat menetapkan ukuran rentang alamat IP, perhatikan bahwa ukuran minimumnya adalah blok /22.
    • Looker (inti Google Cloud) mendukung semua rentang IPv4 dalam RFC 1918, yang menentukan alamat IP yang ditetapkan untuk digunakan secara internal (yaitu, dalam organisasi) dan tidak akan dirutekan di internet. Secara khusus, hal-hal tersebut adalah:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Rentang IPv4 Class E (240.0.0.0/4) dicadangkan untuk penggunaan mendatang seperti yang tercantum dalam RFC 5735 dan RFC 1112 serta tidak didukung untuk Looker (inti Google Cloud).
    Saat instance Looker (Google Cloud core) dibuat untuk pertama kalinya di region dalam VPC, Looker akan membuat subnet khusus proxy. Subnet khusus proxy menggunakan subnet rentang /26 dari subnet /22 yang Anda reservasi saat membuat instance Looker (inti Google Cloud). Setiap instance Looker (inti Google Cloud) IP pribadi berikutnya di VPC yang sama dan di region yang sama menggunakan subnet khusus proxy yang sama.
  3. Tambahkan koneksi akses layanan pribadi ke jaringan VPC Anda menggunakan rentang IP yang dialokasikan pada langkah sebelumnya untuk Alokasi yang ditetapkan.
  4. Setelah jaringan VPC dibuat, kembali ke halaman Buat instance Looker di project Google Cloud Anda. Anda mungkin perlu memuat ulang halaman agar jaringan VPC Anda dikenali.

Setelah menyelesaikan langkah-langkah ini, Anda dapat mulai membuat instance dengan mengikuti langkah-langkah di halaman dokumentasi Membuat instance Looker (inti Google Cloud) , dimulai dengan bagian Sebelum memulai.

Beberapa instance IP pribadi di VPC yang sama

Jika Anda memiliki beberapa instance IP pribadi di VPC yang sama, perhatikan pertimbangan berikut:

  • Jika dua atau beberapa instance Looker (Google Cloud core) IP pribadi berada di region yang sama dan di VPC yang sama, dan Anda menghapus instance Looker (Google Cloud core) pertama yang dibuat di region tersebut, subnet khusus proxy tidak akan dirilis karena masih digunakan oleh instance yang tersisa. Jika Anda mencoba membuat instance Looker (inti Google Cloud) IP pribadi baru yang menggunakan rentang alamat yang sama dengan yang Anda gunakan untuk instance yang dihapus (yang berisi rentang alamat IP subnet khusus proxy), pembuatan instance akan gagal, dan Anda akan melihat error "Rentang IP habis". Untuk memeriksa apakah rentang IP sedang digunakan, periksa peering VPC untuk Jaringan Layanan, dan periksa rute impor untuk melihat apakah rute tersebut menggunakan rentang IP yang Anda minati.
  • Jika dua atau beberapa instance IP pribadi berada di VPC yang sama, dan Anda menghapus salah satu instance, restart instance yang tersisa untuk menghubungkan kembali koneksi Jaringan Layanan untuk instance tersebut.

Membuat instance di VPC Bersama

Jika Anda membuat instance Looker (inti Google Cloud) di VPC Bersama, selesaikan langkah-langkah berikut di project host VPC Bersama:

  1. Aktifkan Looker API di project host Shared VPC di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.

    Mengaktifkan API

  2. Buat akun layanan di project host VPC Bersama, menggunakan perintah services identity create gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Ganti SHARED_HOST_PROJECT_ID dengan project host VPC Bersama.

  3. Berikan izin IAM compute.globalAddresses.get ke akun layanan di project host.

Setelah membuat akun layanan dan memberikan izin IAM, tunggu beberapa menit hingga akun layanan dan izin diterapkan.

Selain itu, alokasikan rentang IP IPv4 di VPC Bersama dan tambahkan koneksi akses layanan pribadi ke VPC Bersama seperti yang dijelaskan di bagian sebelumnya, Membuat dan mengonfigurasi jaringan VPC.

Membuat instance IP pribadi

Looker (Google Cloud core) memerlukan waktu sekitar 60 menit untuk membuat instance baru.

IP pribadi harus ditetapkan pada saat pembuatan instance. IP pribadi tidak dapat ditambahkan ke atau dihapus dari instance setelah instance dibuat.

Untuk mengonfigurasi IP pribadi selama pembuatan instance, pilih salah satu opsi berikut:

console

  1. Buka halaman produk Looker (inti Google Cloud) dari project Anda di konsol Google Cloud. Jika Anda telah membuat instance Looker (Google Cloud core) dalam project ini, tindakan ini akan membuka halaman Instance.

    Buka Looker (Google Cloud core)

  2. Klik CREATE INSTANCE.
  3. Di bagian Instance name, berikan nama untuk instance Looker (Google Cloud core) Anda. Nama instance tidak dikaitkan dengan URL instance Looker (Google Cloud core) setelah dibuat. Nama instance tidak dapat diubah setelah pembuatan instance.
  4. Di bagian Kredensial Aplikasi OAuth, masukkan client ID OAuth dan secret OAuth yang Anda buat saat menyiapkan klien OAuth.

  5. Di bagian Region, pilih opsi yang sesuai dari menu drop-down untuk menghosting instance Looker (inti Google Cloud) Anda. Pilih region yang cocok dengan region dalam kontrak langganan, tempat kuota untuk project Anda dialokasikan. Region yang tersedia tercantum di halaman dokumentasi lokasi Looker (Google Cloud Core).

    Anda tidak dapat mengubah region setelah instance dibuat.

  6. Di bagian Edisi, pilih opsi edisi Enterprise atau Sisipkan. Jenis edisi memengaruhi beberapa fitur yang tersedia untuk instance. Pastikan Anda memilih jenis edisi yang sama seperti yang tercantum dalam kontrak tahunan dan Anda memiliki kuota yang dialokasikan untuk jenis edisi tersebut.

    • Enterprise: Platform Looker (Google Cloud core) dengan fitur keamanan yang ditingkatkan untuk menangani berbagai kasus penggunaan BI dan analisis internal
    • Sisipkan: Platform Looker (Google Cloud core) untuk men-deploy dan mengelola analisis eksternal dan aplikasi kustom yang andal dalam skala besar

    Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (inti Google Cloud) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.

  7. Di bagian Sesuaikan instance Anda, klik TAMPILKAN OPSI KONFIGURASI untuk menampilkan grup setelan tambahan yang dapat Anda sesuaikan untuk instance.

  8. Di bagian Connections, pada Instance IP assignment, pilih Private IP saja atau Private IP dan Public IP. Jenis koneksi jaringan yang dipilih memengaruhi fitur Looker yang tersedia untuk instance. Opsi koneksi jaringan berikut tersedia:

    • IP Publik: Menetapkan alamat IP eksternal yang dapat diakses internet.
    • IP Pribadi: Menetapkan alamat IP internal yang dihosting Google dan dapat diakses di Virtual Private Cloud (VPC). Anda dapat menggunakan alamat ini untuk terhubung dari resource lain yang memiliki akses ke VPC. Hanya edisi Enterprise dan Embed yang mendukung IP pribadi. Jika ingin menggunakan Kontrol Layanan VPC, Anda hanya boleh memilih IP Pribadi.
    • Jika Private IP dan Public IP dipilih, traffic masuk akan dirutekan melalui IP publik dan traffic keluar akan dirutekan melalui IP pribadi. Instance Looker (Google Cloud core) tidak akan menggunakan IP publik untuk memulai traffic keluar internet.

  9. Di bagian Private IP Type, pilih Private Services Access (PSA).

  10. Jika pop-up Enable Required APIs ditampilkan, Anda harus mengaktifkan API tambahan untuk project Google Cloud Anda. Untuk mengaktifkan API yang diperlukan untuk koneksi jaringan pribadi, klik ENABLE ALL.

  11. Di menu drop-down Network, pilih jaringan VPC Anda. Jaringan IP pribadi memerlukan koneksi akses layanan pribadi, yang memungkinkan layanan Anda berkomunikasi secara eksklusif menggunakan alamat IP internal. Lihat halaman dokumentasi Mengonfigurasi akses layanan pribadi untuk mengetahui informasi selengkapnya tentang cara menyiapkan koneksi IP pribadi. Jika tidak menyiapkan koneksi layanan pribadi saat membuat jaringan VPC, Anda dapat mengklik SET UP CONNECTION di bawah pesan Private services access connection required. Tindakan ini akan membuka panel samping tempat Anda dapat mengalokasikan rentang IP dan membuat koneksi.

  12. Di bagian Rentang IP yang dialokasikan, pilih rentang IP dalam VPC tempat Google akan menyediakan subjaringan untuk instance Looker (inti Google Cloud) Anda. Subnetwork mencadangkan rentang IP yang tidak dapat digunakan oleh resource lain di jaringan VPC. Anda tidak akan dapat mengubah rentang IP ini setelah membuat instance Looker (inti Google Cloud). Alokasi rentang IP mencakup opsi berikut:

    • Pilih Use automatically assigned IP range agar Google mengalokasikan rentang IP secara otomatis untuk menyediakan subjaringan bagi VPC.
    • Pilih rentang IP yang ditentukan selama penyiapan akses layanan pribadi.

  13. Di bagian Enkripsi, Anda dapat memilih jenis enkripsi yang akan digunakan di instance. Opsi enkripsi berikut tersedia:

  14. Di bagian Maintenance Window, Anda dapat menentukan hari dan jam saat Looker (inti Google Cloud) menjadwalkan pemeliharaan. Masa pemeliharaan berlangsung selama satu jam. Secara default, opsi Periode Pilihan di Periode Pemeliharaan ditetapkan ke Periode apa pun.

  15. Di bagian Tolak Periode Pemeliharaan, Anda dapat menentukan blok hari saat Looker (inti Google Cloud) tidak menjadwalkan pemeliharaan. Periode pemeliharaan penolakan dapat berlangsung hingga 60 hari. Anda harus memberikan waktu minimal 14 hari dari waktu pemeliharaan di antara 2 periode pemeliharaan yang ditolak.

  16. Klik Create.

gcloud

  1. Jika Anda menggunakan CMEK, ikuti petunjuk untuk membuat akun layanan, key ring, dan kunci sebelum membuat instance Looker (Google Cloud core).

  2. Gunakan perintah gcloud looker instances create untuk membuat instance:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Ganti kode berikut:

    • INSTANCE_NAME: nama untuk instance Looker (Google Cloud core) Anda; nama ini tidak terkait dengan URL instance.
    • PROJECT_ID: nama project Google Cloud tempat Anda membuat instance Looker (Google Cloud core).
    • OAUTH_CLIENT_ID dan OAUTH_CLIENT_SECRET: client ID OAuth dan secret OAuth yang Anda buat saat menyiapkan klien OAuth. Setelah instance dibuat, masukkan URL instance di bagian Authorized redirect URI pada klien OAuth.
    • REGION: region tempat instance Looker (Google Cloud core) Anda dihosting. Pilih region yang cocok dengan region dalam kontrak langganan. Region yang tersedia tercantum di halaman dokumentasi lokasi Looker (Google Cloud Core).
    • EDITION: edisi untuk instance. Untuk instance IP pribadi, nilai ini harus berupa core-enterprise-annual atau core-embed-annual. Pastikan Anda memilih jenis edisi yang sama dengan yang tercantum dalam kontrak tahunan dan Anda memiliki kuota yang dialokasikan. Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (inti Google Cloud) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.
    • CONSUMER_NETWORK: Jaringan VPC atau VPC Bersama Anda. Harus ditetapkan jika Anda membuat instance IP pribadi.
    • RESERVED_RANGE: rentang alamat IP dalam VPC tempat Google akan menyediakan subjaringan untuk instance Looker (inti Google Cloud) Anda.

    Anda dapat menyertakan flag berikut:

    • --private-ip-enabled mengaktifkan IP pribadi. Ini harus disertakan untuk membuat instance IP pribadi.
    • --public-ip-enabled mengaktifkan IP publik.
    • --no-public-ip-enabled menonaktifkan IP publik.
    • --async direkomendasikan saat Anda membuat instance Looker (Google Cloud core).

  3. Anda dapat menambahkan parameter lainnya untuk menerapkan setelan instance lainnya: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Ganti kode berikut:

    • MAINTENANCE_WINDOW_DAY: harus berupa salah satu dari hal berikut: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Lihat halaman dokumentasi Mengelola kebijakan pemeliharaan untuk Looker (inti Google Cloud) untuk mengetahui informasi selengkapnya tentang setelan periode pemeliharaan.
    • MAINTENANCE_WINDOW_TIME dan DENY_MAINTENANCE_PERIOD_TIME: harus dalam waktu UTC dalam format 24 jam (misalnya, 13.00, 17.45).
    • DENY_MAINTENANCE_PERIOD_START_DATE dan DENY_MAINTENANCE_PERIOD_END_DATE: harus dalam format YYYY-MM-DD.
    • KMS_KEY_ID: harus berupa kunci yang dibuat saat menyiapkan kunci enkripsi yang dikelola pelanggan (CMEK).

    Anda dapat menyertakan flag --fips-enabled untuk mengaktifkan kepatuhan FIPS 140-2 level 1.

Saat instance sedang dibuat, Anda dapat melihat statusnya di halaman Instances dalam konsol. Anda juga dapat melihat aktivitas pembuatan instance dengan mengklik ikon notifikasi di menu konsol Google Cloud.

Jika Anda membuat instance khusus IP pribadi, URL tidak akan muncul di halaman Instance. Lihat bagian Mengakses instance IP pribadi setelah pembuatan berikut untuk mengetahui informasi selengkapnya tentang cara menyiapkan akses ke instance IP pribadi Anda.

Mengakses instance IP pribadi setelah pembuatan

Jika membuat instance yang hanya diaktifkan untuk IP pribadi, Anda tidak akan menerima URL untuk instance tersebut. Untuk mengakses instance, Anda harus mengonfigurasi domain kustom untuk instance dan menambahkan domain kustom tersebut ke kredensial OAuth instance. Untuk memahami berbagai opsi jaringan IP pribadi guna menyiapkan dan mengakses domain kustom, buka halaman dokumentasi Opsi jaringan domain kustom untuk instance IP pribadi Looker (Google Cloud core).

Langkah selanjutnya