Crea un'istanza di Looker (Google Cloud core) con IP privato

Le connessioni con IP privato rendono i servizi raggiungibili senza connettersi a internet o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni tramite IP privato in genere offrono una latenza inferiore e vettori di attacco limitati. Le connessioni con IP privato consentono all'istanza di Looker (Google Cloud core) di comunicare con altre risorse nel tuo virtual private cloud (VPC), ma non consentono la comunicazione in entrata dalla rete internet pubblica.

La connettività IP privata consente l'utilizzo di alcune funzionalità, come i Controlli di servizio VPC. Tuttavia, le connessioni con IP privato non sono compatibili con alcune funzionalità di Looker (Google Cloud core). Per ulteriori informazioni, consulta la tabella relativa alla compatibilità delle funzionalità.

Looker (Google Cloud core) supporta l'IP privato per le versioni delle istanze Enterprise o Embed.

Ruoli e autorizzazioni richiesti

Per configurare un'istanza IP privato, devi disporre delle seguenti autorizzazioni IAM:

  1. Per creare un'istanza di Looker (Google Cloud core), devi disporre del ruolo Amministratore Looker (roles/looker.Admin).

  2. Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute (roles/compute.networkAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

    Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

    Autorizzazioni obbligatorie

    Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:

    • Visualizza le reti disponibili nel menu a discesa Rete:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crea una nuova rete VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi: compute.networks.addPeering

    Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

    Se stai creando un'istanza IP privato con Terraform o la CLI Google Cloud e utilizzi una rete privata già configurata, non hai bisogno di queste autorizzazioni.

Potresti anche aver bisogno di ruoli IAM aggiuntivi per configurare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK). Scopri di più consultando la pagina Supporto di Controlli di servizio VPC per Looker (Google Cloud core) o le pagine di documentazione Abilita CMEK per Looker (Google Cloud core) per queste funzionalità.

Prima di iniziare

  1. Nella console Google Cloud, nella pagina di selezione del progetto, crea un progetto Google Cloud o vai a un progetto esistente in cui vuoi creare l'istanza di Looker (Google Cloud core).

    Vai al selettore progetti

  2. Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilitare l'API

  3. Abilita l'API Service Networking per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilitare l'API

  4. Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Attiva l'API

  5. Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth ti consente di autenticarti e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nella tua istanza.

Crea e configura una rete VPC

Per poter creare una connessione IP privato, devi prima creare e configurare una rete Virtual Private Cloud (VPC). Looker (Google Cloud core) supporta più istanze IP private nello stesso VPC, nella stessa regione o in regioni diverse.

  1. Crea una rete VPC nel progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi descritti nella sezione Creare un'istanza in un VPC condiviso, oltre ai passaggi rimanenti in questa sezione per il VPC condiviso.
  2. Alloca un intervallo IP IPv4 (blocco CIDR) nel VPC per una connessione di accesso privato ai servizi a Looker (Google Cloud core).
    • Prima di allocare l'intervallo, considera i vincoli.
    • Quando imposti la dimensione dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco /22.
    • Looker (componente principale di Google Cloud) supporta tutti gli intervalli IPv4 conformi allo standard RFC 1918, che specifica gli indirizzi IP assegnati per l'utilizzo interno (ovvero all'interno di un'organizzazione) e che non verranno instradati su internet. Nello specifico:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Gli intervalli IPv4 di classe E (240.0.0.0/4) sono riservati per un uso futuro, come indicato in RFC 5735 e RFC 1112, e non sono supportati per Looker (Google Cloud core).
    Quando un'istanza di Looker (Google Cloud core) viene creata per la prima volta in una regione all'interno di un VPC, Looker crea una subnet solo proxy. La subnet solo proxy utilizza una subnet dell'intervallo /26 della subnet /22 che prenoti quando crei l'istanza di Looker (Google Cloud core). Eventuali istanze di Looker (Google Cloud core) con IP privato successive nello stesso VPC e nella stessa regione utilizzano la stessa sottorete solo proxy.
  3. Aggiungi la connessione di accesso privato ai servizi alla tua rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
  4. Una volta creata la rete VPC, torna alla pagina Crea istanza Looker nel progetto Google Cloud. Potresti dover aggiornare la pagina in modo che la rete VPC venga riconosciuta.

Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo la procedura descritta nella pagina della documentazione Creare un'istanza di Looker (Google Cloud core), a partire dalla sezione Prima di iniziare.

Più istanze IP private nella stessa VPC

Se hai più istanze IP private nella stessa VPC, tieni presente le seguenti considerazioni:

  • Se due o più istanze di Looker (Google Cloud core) con IP privato si trovano nella stessa regione e nello stesso VPC ed elimini la prima istanza di Looker (Google Cloud core) creata nella regione, la subnet solo proxy non viene rilasciata perché è ancora in uso dalle istanze rimanenti. Se tenti di creare una nuova istanza Looker con IP privato (Google Cloud core) che utilizza lo stesso intervallo di indirizzi utilizzato per l'istanza eliminata (che contiene l'intervallo di indirizzi IP della subnet solo proxy), la creazione dell'istanza non riuscirà e verrà visualizzato il messaggio "Intervalli IP esauriti" . Per verificare se un intervallo IP è in uso, controlla il peering VPC per Service Networking e controlla le route di importazione per vedere se utilizzano l'intervallo IP che ti interessa.
  • Se due o più istanze IP private si trovano nello stesso VPC ed elimini una delle istanze, riavvia le istanze rimanenti per ricollegare la connessione di Service Networking per queste istanze.

Creare un'istanza in una VPC condivisa

Se stai creando un'istanza di Looker (Google Cloud core) in una VPC condivisa, completa i seguenti passaggi nel progetto host della VPC condivisa:

  1. Abilita l'API Looker nel progetto host del VPC condiviso nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilitare l'API

  2. Crea un account di servizio nel progetto host del VPC condiviso utilizzando il services identity createcomando gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Sostituisci SHARED_HOST_PROJECT_ID con il progetto host della VPC condivisa.

  3. Concedi l'autorizzazione IAM compute.globalAddresses.get all'account di servizio nel progetto host.

Dopo aver creato l'account di servizio e avergli concesso l'autorizzazione IAM, attendi alcuni minuti per la propagazione dell'account di servizio e dell'autorizzazione.

Inoltre, alloca un intervallo IP IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso, come descritto nella sezione precedente, Creare e configurare una rete VPC.

Crea l'istanza IP privato

Looker (Google Cloud core) richiede circa 60 minuti per generare una nuova istanza.

L'IP privato deve essere assegnato al momento della creazione dell'istanza. L'IP privato non può essere aggiunto o rimosso da un'istanza dopo la sua creazione.

Per configurare l'IP privato durante la creazione dell'istanza, seleziona una delle seguenti opzioni:

console

  1. Vai alla pagina del prodotto Looker (Google Cloud core) dal tuo progetto nella console Google Cloud. Se hai già creato un'istanza di Looker (Google Cloud core) in questo progetto, si aprirà la pagina Istanze.

    Vai a Looker (Google Cloud core)

  2. Fai clic su CREA ISTANZA.
  3. Nella sezione Nome istanza, specifica un nome per l'istanza di Looker (Google Cloud core). Il nome dell'istanza non è associato all'URL dell'istanza di Looker (Google Cloud core) una volta creata. Il nome dell'istanza non può essere modificato dopo la creazione dell'istanza.
  4. Nella sezione Credenziali applicazione OAuth, inserisci l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth.

  5. Nella sezione Regione, seleziona l'opzione appropriata dal menu a discesa per ospitare la tua istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella nel contratto di abbonamento, dove viene allocata la quota per il tuo progetto. Le regioni disponibili sono elencate nella pagina della documentazione delle località di Looker (Google Cloud core).

    Non puoi modificare la regione dopo aver creato l'istanza.

  6. Nella sezione Edizione, scegli un'opzione per la versione Enterprise o Incorpora. Il tipo di edizione influisce su alcune delle funzionalità disponibili per l'istanza. Assicurati di scegliere lo stesso tipo di versione indicato nel contratto annuale e di disporre della quota allocata per quel tipo di versione.

    • Enterprise: piattaforma Looker (Google Cloud core) con funzionalità di sicurezza avanzate per gestire un'ampia gamma di casi d'uso interni per BI e analisi
    • Incorporato: piattaforma Looker (Google Cloud core) per il deployment e la gestione di applicazioni esterne di analisi e personalizzate affidabili su larga scala

    Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.

  7. Nella sezione Personalizza la tua istanza, fai clic su MOSTRA OPZIONI DI CONFIGURAZIONE per visualizzare un gruppo di impostazioni aggiuntive che puoi personalizzare per l'istanza.

  8. Nella sezione Connessioni, scegli solo IP privato o entrambi IP privato e IP pubblico. Il tipo di connessione di rete selezionato influisce sulle funzionalità di Looker disponibili per l'istanza. Sono disponibili le seguenti opzioni di connessione di rete:

    • IP pubblico: assegna un indirizzo IP esterno accessibile da internet.
    • IP privato: assegna un indirizzo IP interno ospitato da Google accessibile su un Virtual Private Cloud (VPC). Puoi utilizzare questo indirizzo per connetterti da altre risorse con accesso al VPC. Solo le versioni Enterprise e Embed supportano l'IP privato. Se vuoi utilizzare i Controlli di servizio VPC, devi selezionare solo IP privato.
    • Se sono selezionate sia IP privato che IP pubblico, il traffico in entrata verrà instradato tramite IP pubblico, mentre quello in uscita verrà instradato tramite IP privato. L'istanza di Looker (Google Cloud core) non utilizzerà l'IP pubblico per generare traffico in uscita su internet.

  9. Se viene visualizzato un popup Abilita API richieste, devi abilitare API aggiuntive per il tuo progetto Google Cloud. Per abilitare le API richieste per una connessione di rete privata, fai clic su ABILITA TUTTO.

  10. Nel menu a discesa Rete, seleziona la tua rete VPC. Le reti IP private richiedono una connessione di accesso privato ai servizi, che consente ai servizi di comunicare esclusivamente mediante indirizzi IP interni. Per saperne di più sulla configurazione di una connessione IP privato, consulta la pagina della documentazione Configurazione dell'accesso privato ai servizi. Se non hai configurato una connessione di accesso privato ai servizi quando hai creato la rete VPC, puoi fare clic su CONFIGURA CONNESSIONE sotto il messaggio Connessione di accesso privato ai servizi richiesta. Si apre un riquadro laterale in cui puoi allocare un intervallo IP e creare una connessione.

  11. In Intervallo IP allocato, seleziona l'intervallo IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per l'istanza Looker (core di Google Cloud). Le subnet prenotano un intervallo IP che non può essere utilizzato da altre risorse nella rete VPC. Non potrai modificare questo intervallo IP dopo aver creato l'istanza di Looker (Google Cloud core). L'allocazione dell'intervallo IP include le seguenti opzioni:

    • Seleziona Utilizza intervallo IP assegnato automaticamente per fare in modo che Google allochi automaticamente un intervallo IP al fine di eseguire il provisioning di una subnet per il VPC.
    • Seleziona un intervallo IP definito durante la configurazione dell'accesso privato ai servizi.

  12. Nella sezione Crittografia, puoi selezionare il tipo di crittografia da utilizzare per l'istanza. Sono disponibili le seguenti opzioni di crittografia:

  13. Nella sezione Periodo di manutenzione, puoi specificare il giorno della settimana e l'ora in cui Looker (Google Cloud core) pianifica la manutenzione. I periodi di manutenzione durano un'ora. Per impostazione predefinita, l'opzione Finestra preferita nel Periodo di manutenzione è impostata su Qualsiasi periodo.

  14. Nella sezione Periodo in cui evitare la manutenzione, puoi facoltativamente specificare un periodo di giorni in cui Looker (Google Cloud core) non pianifica la manutenzione. I periodi in cui evitare la manutenzione possono durare fino a 60 giorni. Devi consentire almeno 14 giorni di disponibilità per la manutenzione tra un periodo in cui evitare la manutenzione e l'altro.

  15. Fai clic su Crea.

gcloud

  1. Se utilizzi CMEK, segui le istruzioni per creare un account di servizio, un keyring e una chiave prima di creare l'istanza di Looker (Google Cloud core).

  2. Utilizza il comando gcloud looker instances create per creare l'istanza:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Sostituisci quanto segue:

    • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.
    • PROJECT_ID: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth. Dopo aver creato l'istanza, inserisci l'URL dell'istanza nella sezione URI di reindirizzamento autorizzati del client OAuth.
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella nel contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core).
    • EDITION: la versione dell'istanza. Per un'istanza con IP privato, dovrebbe essere core-enterprise-annual o core-embed-annual. Assicurati di scegliere lo stesso tipo di versione indicato nel contratto annuale e di disporre della quota allocata. Le versioni non possono essere cambiate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
    • CONSUMER_NETWORK: la tua rete VPC o rete VPC condivisa. Deve essere impostato se stai creando un'istanza IP privato.
    • RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core).

    Puoi includere i seguenti flag:

    • --private-ip-enabled attiva l'IP privato. Questo valore deve essere incluso per creare un'istanza IP privata.
    • --public-ip-enabled attiva l'IP pubblico.
    • --no-public-ip-enabled disabilita l'IP pubblico.
    • L'opzione --async è consigliata quando crei un'istanza di Looker (Google Cloud core).

  3. Puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Sostituisci quanto segue:

    • MAINTENANCE_WINDOW_DAY: deve essere uno dei seguenti: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Per saperne di più sulle impostazioni del periodo di manutenzione, consulta la pagina della documentazione Gestire i criteri di manutenzione per Looker (Google Cloud core).
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: devono essere in ora UTC nel formato 24 ore (ad es. 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: devono essere nel formato YYYY-MM-DD.
    • KMS_KEY_ID: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).

    Puoi includere il flag --fips-enabled per abilitare la conformità a livello 1 a FIPS 140-2.

Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione delle istanze facendo clic sull'icona delle notifiche nel menu della console Google Cloud.

Se crei un'istanza solo con IP privato, un URL non verrà visualizzato nella pagina Istanze. Per saperne di più su come configurare l'accesso all'istanza con IP privato, consulta la sezione Accesso a un'istanza con IP privato dopo la creazione.

Accedere a un'istanza IP privata dopo la creazione

Se crei un'istanza abilitata solo per l'IP privato, non riceverai un URL per l'istanza. Per accedere all'istanza, devi configurare un dominio personalizzato per l'istanza e aggiungerlo alle credenziali OAuth dell'istanza. Per comprendere le diverse opzioni di networking con IP privato per la configurazione e l'accesso a un dominio personalizzato, consulta la pagina della documentazione Opzioni di networking per i domini personalizzati per le istanze con IP privato di Looker (Google Cloud core).

Passaggi successivi