为 Looker (Google Cloud Core) 创建专用 IP 连接

专用 IP 连接使您无需通过互联网或使用外部 IP 地址即可访问服务。由于它们不遍历互联网，因此通过专用 IP 的连接通常可缩短延迟时间并限制攻击途径。专用 IP 连接可让您的 Looker (Google Cloud Core) 实例与虚拟私有云 (VPC) 中的其他资源进行通信，但不允许来自公共互联网的入站通信。

专用 IP 连接与某些 Looker (Google Cloud Core) 功能不兼容。如需了解详情，请参阅功能兼容性表。

Looker (Google Cloud Core) 支持为满足以下条件的实例使用专用 IP 地址：

• 实例版本必须是企业版或嵌入版本。

如需设置专用 IP 实例，您必须拥有以下 IAM 权限：

• Looker 管理员
• Compute Network Admin（或者是 Google Cloud 项目的所有者）

准备工作

1. 如需获取创建分配的 IP 地址范围和管理专用连接所需的权限，请让管理员授予您项目的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理访问权限。

   此预定义角色包含创建分配的 IP 地址范围和管理专用连接所需的权限。如需查看所需的确切权限，请展开所需权限部分：

   所需权限

   如需创建分配的 IP 地址范围和管理专用连接，您需要拥有以下权限：

   • 在网络下拉菜单中查看可用网络：
     • compute.addresses.list
     • compute.globalAddresses.list
     • compute.networks.list
     • compute.globalAddresses.list
   • 创建新的 VPC 网络：
     • compute.addresses.create
     • compute.globalAddresses.create
     • serviceusage.services.enable
   • 分配专用 IP 范围并设置专用服务访问连接： compute.networks.addPeering

   您也可以使用自定义角色或其他预定义角色来获取这些权限。

   如果您使用 Terraform 或 Google Cloud CLI 创建专用 IP 实例，并且使用的是已设置的专用网络，则无需这些权限。

2. 在 Google Cloud 控制台中为您的项目启用 Compute Engine API。启用 API 时，您可能需要刷新控制台页面，确认 API 是否已启用。

   启用 API

创建和配置 VPC 网络

您必须先创建和配置虚拟私有云 (VPC) 网络，然后才能创建专用 IP 连接。Looker (Google Cloud Core) 支持同一 VPC（位于同一区域或不同区域）中的多个专用 IP 实例。

1. 在项目中创建 VPC 网络。或者，如果您使用的是共享 VPC 而不是创建新的 VPC 网络，请完成下一部分（在共享 VPC 中创建实例部分）中的步骤，同时完成本部分针对共享 VPC 的其余步骤。
2. 在 VPC 中分配 IPv4 IP 范围（CIDR 块），以实现与 Looker (Google Cloud Core) 的专用连接。
• 在分配范围之前，请考虑限制条件。
• 设置 IP 地址范围大小时，请注意最小大小为 /22 块。
• Looker (Google Cloud Core) 支持 RFC 1918 中的所有 IPv4 范围，RFC 1918 指定了分配给内部（即组织内）使用且不通过互联网路由的 IP 地址。具体包括：
• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• 如 RFC 5735 和 RFC 1112 中所述，E 类 IPv4 范围 (240.0.0.0/4) 已预留供日后使用，并且不受 Looker (Google Cloud Core) 支持。
首次在 VPC 内的区域中创建 Looker (Google Cloud Core) 实例时，Looker 会在 Service Networking 租户项目的 VPC 中创建一个代理专用子网。代理专用子网会使用您在创建 Looker (Google Cloud Core) 实例时预留的 /22 子网的 /26 范围子网。同一 VPC 和同一区域中的任何后续专用 IP Looker (Google Cloud Core) 实例都使用同一代理专用子网。
3. 使用在上一步为分配的分配分配的 IP 范围，将专用服务访问通道连接添加到您的 VPC 网络。
4. VPC 网络创建后，返回 Google Cloud 项目中的创建 Looker 实例页面。您可能需要刷新页面，以便系统识别您的 VPC 网络。

完成上述步骤后，您就可以按照创建 Looker (Google Cloud Core) 实例 文档页面中的步骤（从准备工作部分开始）开始创建实例。

在共享 VPC 中创建实例

如果要在共享 VPC 中创建 Looker (Google Cloud Core) 实例，请在共享 VPC 的宿主项目中完成以下步骤：

1. 在 Google Cloud 控制台的共享 VPC 宿主项目中启用 Looker API。启用 API 时，您可能需要刷新控制台页面，确认 API 是否已启用。

   启用 API

2. 使用 gcloud services identity create 命令在共享 VPC 的宿主项目中创建服务账号：

   gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
   

   将 SHARED_HOST_PROJECT_ID 替换为共享 VPC 的宿主项目。

3. 向宿主项目中的服务帐号授予 compute.globalAddresses.get IAM 权限。

创建服务帐号并向其授予 IAM 权限后，请等待几分钟，以便服务帐号和权限传播。

此外，请按照上一部分创建和配置 VPC 网络中的说明，在共享 VPC 中分配 IPv4 IP 范围，并将专用服务访问通道连接添加到共享 VPC。

创建实例期间的网络配置

如需在创建实例期间配置专用 IP，请选择以下选项之一：

  gcloud looker instances create INSTANCE_NAME \
  --project=PROJECT_ID \
  --oauth-client-id=OAUTH_CLIENT_ID \
  --oauth-client-secret=OAUTH_CLIENT_SECRET \
  --region=REGION \
  --edition=EDITION \
  --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE
  [--no-public-ip-enabled]
  [--public-ip-enabled]

创建实例后的实例配置

如果您创建仅启用了专用 IP 的实例，则不会收到该实例的网址。如需访问该实例，您必须执行以下两项操作：

• 设置代理服务器以允许访问使用专用 IP 的实例。

• 配置自定义网域并将该网域添加到实例的 OAuth 客户端。

您可能还需要通过执行以下操作进一步配置专用 IP 实例：

• 如果您使用的是 VPC Service Controls，请移除默认路由。
• 创建电子邮件网域许可名单，限制向外部网域递送电子邮件。
• 配置您的专用 IP 实例，以允许或限制与互联网或外部资源的通信。

后续步骤

• 创建 Looker (Google Cloud Core) 实例
• 为 Looker (Google Cloud Core) 实例设置自定义网域
• 将专用 IP 网络与 Looker (Google Cloud Core) 搭配使用
• 将 Looker (Google Cloud Core) 连接到您的数据库
• 配置 Looker (Google Cloud Core) 实例