Las conexiones IP privadas hacen que los servicios sean accesibles sin pasar por Internet ni usar direcciones IP externas. Debido a que no se desvían a Internet, las conexiones a través de IP privadas suelen proporcionar una latencia más baja y vectores de ataque limitados. Las conexiones IP privadas permiten que la instancia de Looker (Google Cloud Core) se comunique con otros recursos de tu nube privada virtual (VPC), pero no permiten la comunicación entrante desde la Internet pública.
La conectividad de IP privada no es compatible con algunas funciones de Looker (Google Cloud Core). Consulta la tabla de compatibilidad de funciones para obtener más información.
Looker (Google Cloud Core) admite IP privadas para las instancias que cumplen con los siguientes criterios:
- Las ediciones de instancias deben ser Enterprise o Embed.
Para configurar una instancia de IP privada, debes tener los siguientes permisos de IAM:
- Administrador de Looker
- Administrador de red de Compute (o es propietario de tu proyecto de Google Cloud)
Antes de comenzar
-
Si quieres obtener los permisos necesarios para crear rangos de direcciones IP asignados y administrar conexiones privadas, pídele a tu administrador que te otorgue el rol de IAM Administrador de red de Compute (
roles/compute.networkAdmin
) en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.Este rol predefinido contiene los permisos necesarios para crear rangos de direcciones IP asignados y administrar conexiones privadas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para crear rangos de direcciones IP asignados y administrar conexiones privadas:
-
Consulta las redes disponibles en el menú desplegable Red:
-
compute.addresses.list
-
compute.globalAddresses.list
-
compute.networks.list
-
compute.globalAddresses.list
-
-
Crea una nueva red de VPC:
-
compute.addresses.create
-
compute.globalAddresses.create
-
serviceusage.services.enable
-
-
Asigna un rango de IP privado y configura una conexión de acceso a servicios privados:
compute.networks.addPeering
Es posible que también puedas obtener estos permisos con funciones personalizadas o con otras funciones predefinidas.
Si creas una instancia de IP privada con Terraform o Google Cloud CLI y usas una red privada que ya se configuró, no necesitas estos permisos.
-
Consulta las redes disponibles en el menú desplegable Red:
- Habilita la API de Compute Engine para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se haya habilitado.
Crea y configura una red de VPC
Antes de crear una conexión IP privada, debes crear y configurar una red de nube privada virtual (VPC). Looker (Google Cloud Core) admite varias instancias de IP privadas en la misma VPC, ya sea en la misma región o en diferentes regiones.
- Crea una red de VPC en tu proyecto. Como alternativa, si usas una VPC compartida en lugar de crear una nueva red de VPC, completa los pasos de la siguiente sección, Crea una instancia en una VPC compartida, y completa los pasos restantes de esta sección para la VPC compartida.
- Asigna un rango de IP IPv4 (bloque CIDR) en tu VPC para obtener una conexión privada a Looker (Google Cloud Core).
- Antes de asignar el rango, considera las restricciones.
- Cuando configures el tamaño del rango de direcciones IP, ten en cuenta que el tamaño mínimo es un bloque
/22
. - Looker (Google Cloud Core) admite todos los rangos IPv4 dentro de la RFC 1918, que especifica las direcciones IP que se asignan para usarse internamente (es decir, dentro de una organización) y que no se enrutarán en Internet. En concreto, las siguientes:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
- Los rangos IPv4 de clase E (
240.0.0.0/4
) están reservados para uso futuro, como se indica en RFC 5735 y RFC 1112, y no son compatibles con Looker (Google Cloud Core). - Agrega la conexión de acceso a servicios privados a tu red de VPC con el rango de IP asignado en el paso anterior para la Asignación asignada.
- Una vez que se haya creado la red de VPC, regresa a la página Crear instancia de Looker en tu proyecto de Google Cloud. Es posible que debas actualizar la página para que se reconozca tu red de VPC.
/26
de la subred /22
que reservas cuando creas la instancia de Looker (Google Cloud Core). Cualquier instancia posterior de IP privada de Looker (Google Cloud Core) en la misma VPC y en la misma región usa la misma subred de solo proxy.
Una vez que hayas completado estos pasos, podrás comenzar a crear tu instancia siguiendo los pasos de la página de documentación Crea una instancia de Looker (Google Cloud Core) , comenzando por la sección Antes de comenzar.
Crea una instancia en una VPC compartida
Si quieres crear una instancia de Looker (Google Cloud Core) en una VPC compartida, completa los siguientes pasos en el proyecto host de la VPC compartida:
- Habilita la API de Looker en el proyecto host de la VPC compartida en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se haya habilitado.
Crea una cuenta de servicio en el proyecto host de la VPC compartida con el comando
services identity create
de gcloud:gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
Reemplaza SHARED_HOST_PROJECT_ID por el proyecto host de la VPC compartida.
Otorga el permiso de IAM
compute.globalAddresses.get
a la cuenta de servicio en el proyecto host.
Después de crear la cuenta de servicio y otorgarle el permiso de IAM, espera unos minutos hasta que la cuenta de servicio y el permiso se propaguen.
Además, asigna un rango de IP IPv4 en la VPC compartida y agrega la conexión de acceso a servicios privados a la VPC compartida como se describe en la sección anterior, Crea y configura una red de VPC.
Configuración de red durante la creación de instancias
Para configurar la IP privada durante la creación de la instancia, selecciona una de las siguientes opciones:
Console
Si seleccionas solo IP privada o IP privada y IP pública durante la creación de la instancia, usa lo siguiente para finalizar la configuración:
- Si se muestra una ventana emergente con la opción Enable Required APIs, debes habilitar APIs adicionales para tu proyecto de Google Cloud. Si quieres habilitar las APIs necesarias para una conexión de red privada, haz clic en HABILITAR TODOS.
- En el menú desplegable Red, selecciona tu red de VPC. Las redes de IP privadas requieren una conexión de acceso a servicios privados, que permite que tus servicios se comuniquen de forma exclusiva mediante el uso de direcciones IP internas. Consulta la página de documentación Configura el acceso privado a servicios si necesitas más información para configurar una conexión de IP privada. Si no configuraste una conexión de servicios privados cuando creaste la red de VPC, puedes hacer clic en CONFIGURAR CONEXIÓN en el mensaje Se requiere una conexión de acceso privado a servicios. Se abrirá un panel lateral en el que podrás asignar un rango de IP y crear una conexión.
- En Rango de IP asignado, puedes seleccionar un rango de direcciones IP dentro de la VPC en la que Google aprovisionará una subred para tu instancia de Looker (Google Cloud Core). Las subredes reservan un rango de IP que no pueden usarse otros recursos en la red de VPC. No podrás modificar este rango de IP después de crear la instancia de Looker (Google Cloud Core). La asignación del rango de IP incluye estas opciones:
- Selecciona Usar el rango de IP asignado automáticamente para que Google asigne un rango de IP automáticamente y así aprovisionar una subred para la VPC.
- Selecciona un rango de IP que se definió durante la configuración del acceso privado a servicios.
- Completa la creación de la instancia y haz clic en Crear para crearla.
gcloud
gcloud looker instances create INSTANCE_NAME \ --project=PROJECT_ID \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE [--no-public-ip-enabled] [--public-ip-enabled]
Reemplaza lo siguiente:
INSTANCE_NAME
: Es un nombre para la instancia de Looker (Google Cloud Core); no está asociado con la URL de la instancia.PROJECT_ID
: Es el nombre del proyecto de Google Cloud en el que crearás la instancia de Looker (Google Cloud Core).OAUTH_CLIENT_ID
yOAUTH_CLIENT_SECRET
: El ID y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth. Después de crear la instancia, ingresa su URL en la sección URI de redireccionamiento autorizados del cliente de OAuth.REGION
: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la región del contrato de suscripción. Las regiones disponibles se enumeran en la página de documentación de las ubicaciones de Looker (Google Cloud Core).EDITION
: Es la edición de la instancia. Sus valores posibles soncore-standard-annual
,core-enterprise-annual
ocore-embed-annual
. Las ediciones no se pueden cambiar después de crear la instancia. Si quieres cambiar una edición, puedes usar la opción importar y exportar para trasladar los datos de tu instancia de Looker (Google Cloud Core) a una nueva instancia configurada con una edición diferente.CONSUMER_NETWORK
: tu red de VPC o VPC compartida. Se debe configurar si creas una instancia de IP privada.RESERVED_RANGE
: Es el rango de direcciones IP dentro de la VPC en el que Google aprovisionará una subred para tu instancia de Looker (Google Cloud Core). No definas un rango si habilitas una conexión de red IP privada para tu instancia.
Puedes incluir las siguientes marcas:
--private-ip-enabled
habilita la IP privada.--public-ip-enabled
habilita la IP pública.--no-public-ip-enabled
inhabilita la IP pública.
Configuración de la instancia después de su creación
Si creas una instancia habilitada solo para IP privadas, no recibirás una URL para la instancia. Para acceder a la instancia, debes realizar las siguientes dos acciones:
Configura un servidor proxy para permitir el acceso a una instancia que usa una IP privada.
Configura un dominio personalizado y agrégalo al cliente de OAuth para la instancia.
También puedes configurar más tu instancia de IP privada de la siguiente manera:
- Quita la ruta predeterminada si usas los Controles del servicio de VPC.
- Crea una lista de dominios de correo electrónico permitidos para restringir las entregas de correo electrónico a dominios externos.
- Configura tu instancia de IP privada para permitir o restringir la comunicación con Internet o con recursos externos.
¿Qué sigue?
- Crea una instancia de Looker (Google Cloud Core)
- Configura un dominio personalizado para una instancia de Looker (Google Cloud Core)
- Herramientas de redes de IP privadas con Looker (Google Cloud Core)
- Conecta Looker (Google Cloud Core) a tu base de datos
- Configura una instancia de Looker (Google Cloud Core)