Questa pagina della documentazione spiega come creare un'istanza di Looker (Google Cloud core) con IP privato che utilizza l'accesso ai servizi privati.
Le connessioni IP private rendono i servizi raggiungibili senza passare da internet o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni tramite IP privato in genere offrono una latenza inferiore e vettori di attacco limitati. Le connessioni con IP privato consentono all'istanza di Looker (Google Cloud core) di comunicare con altre risorse nel tuo Virtual Private Cloud (VPC), ma non consentono la comunicazione in entrata dall'internet pubblico.
La connettività IP privata consente l'utilizzo di alcune funzionalità, come i Controlli di servizio VPC. Tuttavia, le connessioni con IP privato non sono compatibili con alcune funzionalità di Looker (Google Cloud core). Per saperne di più, consulta la tabella relativa alla compatibilità delle funzionalità.
Looker (Google Cloud core) supporta l'IP privato per le versioni delle istanze Enterprise o Embed.
Ruoli e autorizzazioni richiesti
Per configurare un'istanza IP privato, devi disporre delle seguenti autorizzazioni IAM:
- Per creare un'istanza di Looker (Google Cloud core), devi disporre del ruolo Amministratore di Looker (
roles/looker.Admin
). -
Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute (
roles/compute.networkAdmin
) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:
-
Visualizza le reti disponibili nel menu a discesa Rete:
-
compute.addresses.list
-
compute.globalAddresses.list
-
compute.networks.list
-
compute.globalAddresses.list
-
-
Crea una nuova rete VPC:
-
compute.addresses.create
-
compute.globalAddresses.create
-
serviceusage.services.enable
-
-
Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi:
compute.networks.addPeering
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Se stai creando un'istanza IP privato con Terraform o Google Cloud CLI e utilizzi una rete privata già configurata, non hai bisogno di queste autorizzazioni.
-
Visualizza le reti disponibili nel menu a discesa Rete:
Potresti anche aver bisogno di ruoli IAM aggiuntivi per configurare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK). Scopri di più consultando la pagina Supporto di Controlli di servizio VPC per Looker (Google Cloud core) o le pagine di documentazione Abilita CMEK per Looker (Google Cloud core) relative a queste funzionalità.
Prima di iniziare
- Nella console Google Cloud, nella pagina di selezione del progetto, crea un progetto Google Cloud o vai a un progetto esistente in cui vuoi creare l'istanza di Looker (Google Cloud core).
- Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata abilitata.
- Abilita l'API Service Networking per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata abilitata.
- Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando attivi l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata attivata.
- Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth ti consente di autenticarti e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nella tua istanza.
Creare e configurare una rete VPC
Prima di poter creare una connessione IP privata, devi creare e configurare una rete Virtual Private Cloud (VPC). Looker (Google Cloud core) supporta più istanze con IP privati nello stesso VPC, nella stessa regione o in regioni diverse.
- Crea una rete VPC nel tuo progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi descritti nella sezione Creare un'istanza in un VPC condiviso, oltre ai passaggi rimanenti in questa sezione per il VPC condiviso.
- Alloca un intervallo di indirizzi IP IPv4 (blocco CIDR) nella tua VPC per una connessione di accesso privato ai servizi a Looker (Google Cloud core).
- Prima di allocare l'intervallo, tieni conto delle limitazioni.
- Quando imposti la dimensione dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco
/22
. - Looker (Google Cloud core) supporta tutti gli intervalli IPv4 conformi allo standard RFC 1918, che specifica gli indirizzi IP assegnati per l'utilizzo interno (ovvero all'interno di un'organizzazione) e che non verranno instradati su internet. Nello specifico:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
- Gli intervalli IPv4 di classe E (
240.0.0.0/4
) sono riservati per uso futuro, come indicato in RFC 5735 e RFC 1112, e non sono supportati per Looker (Google Cloud core). - Aggiungi la connessione di accesso privato ai servizi alla tua rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
- Una volta creata la rete VPC, torna alla pagina Crea istanza di Looker nel tuo progetto Google Cloud. Potresti dover aggiornare la pagina in modo che la rete VPC venga riconosciuta.
/26
della subnet /22
che prenoti quando crei l'istanza di Looker (Google Cloud core). Eventuali istanze di Looker (Google Cloud core) con IP privato successive nello stesso VPC e nella stessa regione utilizzano la stessa sottorete solo proxy.
Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo i passaggi descritti nella pagina della documentazione Creare un'istanza di Looker (Google Cloud core) , a partire dalla sezione Prima di iniziare.
Più istanze IP private nello stesso VPC
Se hai più istanze IP private nella stessa VPC, tieni presente le seguenti considerazioni:
- Se due o più istanze di Looker (Google Cloud core) con IP privato si trovano nella stessa regione e nello stesso VPC ed elimini la prima istanza di Looker (Google Cloud core) creata nella regione, la subnet solo proxy non viene rilasciata perché è ancora in uso dalle istanze rimanenti. Se provi a creare una nuova istanza di Looker (Google Cloud core) con IP privato che utilizza lo stesso intervallo di indirizzi utilizzato per l'istanza eliminata (che contiene l'intervallo di indirizzi IP della subnet solo proxy), la creazione dell'istanza non andrà a buon fine e verrà visualizzato l'errore "Intervalli IP esauriti". Per verificare se un intervallo IP è in uso, controlla il peering VPC per la rete di servizi e le route di importazione per vedere se utilizzano l'intervallo IP che ti interessa.
- Se due o più istanze IP private si trovano nello stesso VPC ed elimini una delle istanze, restart le istanze rimanenti per ricollegare la connessione di Service Networking per queste istanze.
Creare un'istanza in una VPC condiviso
Se stai creando un'istanza di Looker (Google Cloud core) in una VPC condivisa, completa i seguenti passaggi nel progetto host della VPC condiviso:
- Abilita l'API Looker nel progetto host della VPC condiviso nella console Google Cloud. Quando attivi l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata attivata.
Crea un account di servizio nel progetto host del VPC condiviso utilizzando il
services identity create
comando gcloud:gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
Sostituisci SHARED_HOST_PROJECT_ID con il progetto host della VPC condiviso.
Concedi l'autorizzazione IAM
compute.globalAddresses.get
all'account di servizio nel progetto host.
Dopo aver creato l'account di servizio e avergli concesso l'autorizzazione IAM, attendi alcuni minuti per la propagazione dell'account di servizio e dell'autorizzazione.
Inoltre, alloca un intervallo di indirizzi IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso come descritto nella sezione precedente Creare e configurare una rete VPC.
Crea l'istanza IP privato
Looker (Google Cloud core) richiede circa 60 minuti per generare una nuova istanza.
L'IP privato deve essere assegnato al momento della creazione dell'istanza. L'IP privato non può essere aggiunto o rimosso da un'istanza dopo la sua creazione.
Per configurare l'IP privato durante la creazione dell'istanza, seleziona una delle seguenti opzioni:
console
- Vai alla pagina del prodotto Looker (Google Cloud core) dal tuo progetto nella console Google Cloud. Se hai già creato un'istanza di Looker (Google Cloud core) in questo progetto, si aprirà la pagina Istanze.
- Fai clic su CREA ISTANZA.
- Nella sezione Nome istanza, fornisci un nome per l'istanza di Looker (Google Cloud core). Il nome dell'istanza non è associato all'URL dell'istanza di Looker (Google Cloud core) una volta creata. Il nome dell'istanza non può essere modificato dopo la creazione.
- Nella sezione Credenziali applicazione OAuth, inserisci l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth.
Nella sezione Regione, seleziona l'opzione appropriata dal menu a discesa per ospitare l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella nel contratto di abbonamento, dove viene allocata la quota per il tuo progetto. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core).
Non puoi modificare la regione dopo aver creato l'istanza.
Nella sezione Versione, scegli un'opzione di versione Enterprise o Incorpora. Il tipo di versione influisce su alcune delle funzionalità disponibili per l'istanza. Assicurati di scegliere lo stesso tipo di versione indicato nel contratto annuale e di disporre della quota allocata per quel tipo di versione.
- Enterprise: piattaforma Looker (Google Cloud core) con funzionalità di sicurezza avanzate per gestire un'ampia gamma di casi d'uso interni per BI e analisi
- Incorporato: piattaforma Looker (Google Cloud core) per il deployment e la gestione di applicazioni esterne di analisi e personalizzate affidabili su larga scala
Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
Nella sezione Personalizza l'istanza, fai clic su MOSTRA OPZIONI DI CONFIGURAZIONE per visualizzare un gruppo di impostazioni aggiuntive che puoi personalizzare per l'istanza.
Nella sezione Connessioni, in Assegnazione IP istanza, scegli solo IP privato o entrambi IP privato e IP pubblico. Il tipo di connessione di rete selezionato influisce sulle funzionalità di Looker disponibili per l'istanza. Sono disponibili le seguenti opzioni di connessione di rete:
- IP pubblico: assegna un indirizzo IP esterno accessibile da internet.
- IP privato: assegna un indirizzo IP interno ospitato da Google accessibile su un Virtual Private Cloud (VPC). Puoi utilizzare questo indirizzo per connetterti da altre risorse con accesso al VPC. Solo le versioni Enterprise ed Embed supportano l'IP privato. Se vuoi utilizzare i Controlli di servizio VPC, devi selezionare solo IP privato.
- Se sono selezionati sia IP privato sia IP pubblico, il traffico in entrata verrà instradato tramite IP pubblico e quello in uscita tramite IP privato. L'istanza di Looker (Google Cloud core) non utilizzerà l'IP pubblico per generare traffico in uscita su internet.
In Tipo di IP privato, seleziona Accesso privato ai servizi (PSA).
Se viene visualizzato un popup Abilita API richieste, devi abilitare API aggiuntive per il tuo progetto Google Cloud. Per abilitare le API richieste per una connessione di rete privata, fai clic su ABILITA TUTTO.
Nel menu a discesa Rete, seleziona la rete VPC. Le reti IP private richiedono una connessione di accesso privato ai servizi, che consente ai servizi di comunicare esclusivamente mediante indirizzi IP interni. Per ulteriori informazioni sulla configurazione di una connessione IP privata, consulta la pagina della documentazione Configurare l'accesso ai servizi privati. Se non hai configurato una connessione di accesso privato ai servizi quando hai creato la rete VPC, puoi fare clic su CONFIGURA CONNESSIONE sotto il messaggio Connessione di accesso privato ai servizi richiesta. Si apre un riquadro laterale in cui puoi allocare un intervallo IP e creare una connessione.
In Intervallo IP allocato, seleziona l'intervallo IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core). Le subnet riservano un intervallo IP che non può essere utilizzato da altre risorse nella rete VPC. Non potrai modificare questo intervallo IP dopo aver creato l'istanza di Looker (Google Cloud core). L'allocazione dell'intervallo IP include le seguenti opzioni:
- Seleziona Utilizza intervallo IP assegnato automaticamente per consentire a Google di allocare automaticamente un intervallo IP per eseguire il provisioning di una subnet per il VPC.
- Seleziona un intervallo IP definito durante la configurazione dell'accesso privato ai servizi.
Nella sezione Crittografia, puoi selezionare il tipo di crittografia da utilizzare nell'istanza. Sono disponibili le seguenti opzioni di crittografia:
- Chiave di crittografia gestita da Google: questa è l'opzione predefinita e non richiede alcuna configurazione aggiuntiva.
- Chiave di crittografia gestita dal cliente (CMEK): consulta la pagina della documentazione Utilizzare le chiavi di crittografia gestite dal cliente con Looker (Google Cloud core) per ulteriori informazioni sulle chiavi CMEK e su come configurarle durante la creazione dell'istanza. Il tipo di crittografia non può essere modificato dopo la creazione dell'istanza.
- Abilita la crittografia convalidata FIPS 140-2: consulta la pagina della documentazione Abilita la conformità al livello 1 FIPS 140-2 in un'istanza di Looker (Google Cloud core) per ulteriori informazioni sul supporto di FIPS 140-2 in Looker (Google Cloud core).
Nella sezione Finestra di manutenzione, se vuoi, puoi specificare il giorno della settimana e l'ora in cui Looker (Google Cloud core) pianifica la manutenzione. I periodi di manutenzione durano un'ora. Per impostazione predefinita, l'opzione Finestra preferita in Finestra di manutenzione è impostata su Qualsiasi finestra.
Nella sezione Periodo di rifiuto della manutenzione, se vuoi, puoi specificare un blocco di giorni in cui Looker (Google Cloud core) non pianifica la manutenzione. I periodi in cui evitare la manutenzione possono durare fino a 60 giorni. Devi consentire almeno 14 giorni di disponibilità per la manutenzione tra un periodo in cui evitare la manutenzione e l'altro.
Fai clic su Crea.
gcloud
- Se utilizzi CMEK, segui le istruzioni per creare un account di servizio, un portachiavi e una chiave prima di creare l'istanza di Looker (Google Cloud core).
Utilizza il comando
gcloud looker instances create
per creare l'istanza:gcloud looker instances create INSTANCE_NAME \ --project=PROJECT_ID \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --private-ip-enabled \ --consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE [--no-public-ip-enabled] [--public-ip-enabled]
Sostituisci quanto segue:
INSTANCE_NAME
: un nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.PROJECT_ID
: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).OAUTH_CLIENT_ID
eOAUTH_CLIENT_SECRET
: l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth. Dopo aver creato l'istanza, inserisci l'URL dell'istanza nella sezione URI di reindirizzamento autorizzati del client OAuth.REGION
: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella nel contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core).EDITION
: la versione dell'istanza. Per un'istanza con IP privato, deve esserecore-enterprise-annual
ocore-embed-annual
. Assicurati di scegliere lo stesso tipo di versione indicato nel contratto annuale e di disporre della quota allocata. Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.CONSUMER_NETWORK
: la rete VPC o VPC condiviso. Deve essere impostato se stai creando un'istanza con IP privato.RESERVED_RANGE
: l'intervallo di indirizzi IP all'interno della VPC in cui Google eseguirà il provisioning di una sottorete per la tua istanza di Looker (Google Cloud core).
Puoi includere i seguenti flag:
--private-ip-enabled
attiva l'IP privato. Questo valore deve essere incluso per creare un'istanza IP privata.--public-ip-enabled
attiva l'IP pubblico.--no-public-ip-enabled
disattiva l'IP pubblico.--async
è consigliato quando crei un'istanza di Looker (Google Cloud core).
Puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza:
Sostituisci quanto segue:[--maintenance-window-day=MAINTENANCE_WINDOW_DAY --maintenance-window-time=MAINTENANCE_WINDOW_TIME] [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME] [--kms-key=KMS_KEY_ID] [--fips-enabled]
MAINTENANCE_WINDOW_DAY
: deve essere uno dei seguenti:friday
,monday
,saturday
,sunday
,thursday
,tuesday
,wednesday
. Per ulteriori informazioni sulle impostazioni periodo di manutenzione, consulta la pagina della documentazione Gestire i criteri di manutenzione per Looker (Google Cloud core).MAINTENANCE_WINDOW_TIME
eDENY_MAINTENANCE_PERIOD_TIME
: devono essere in ora UTC nel formato 24 ore (ad es. 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATE
eDENY_MAINTENANCE_PERIOD_END_DATE
: devono essere nel formatoYYYY-MM-DD
.KMS_KEY_ID
: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).
Puoi includere il flag
--fips-enabled
per abilitare la conformità al livello 1 di FIPS 140-2.
Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione delle istanze facendo clic sull'icona delle notifiche nel menu della console Google Cloud.
Se crei un'istanza solo con IP privato, nella pagina Istanze non verrà visualizzato un URL. Per ulteriori informazioni su come configurare l'accesso all'istanza IP privata, consulta la sezione Accedere a un'istanza IP privata dopo la creazione.
Accedere a un'istanza IP privata dopo la creazione
Se crei un'istanza abilitata solo per l'IP privato, non riceverai un URL per l'istanza. Per accedere all'istanza, devi configurare un dominio personalizzato per l'istanza e aggiungerlo alle credenziali OAuth dell'istanza. Per comprendere le diverse opzioni di networking con IP privato per la configurazione e l'accesso a un dominio personalizzato, consulta la pagina della documentazione Opzioni di networking per i domini personalizzati per le istanze con IP privato di Looker (Google Cloud core).