Beachten Sie, dass Sie sich gerade die Looker-Dokumentation ansehen. Die Looker Studio-Dokumentation finden Sie unter https://support.google.com/looker-studio.

Diese Seite wurde von der Cloud Translation API übersetzt.

Private Service Connect-Instanz von Looker (Google Cloud Core) erstellen

Auf dieser Seite wird beschrieben, wie Sie mit der gcloud CLI eine Looker (Google Cloud Core)-Instanz mit aktiviertem Private Service Connect erstellen.

Private Service Connect kann für eine Looker (Google Cloud Core)-Instanz aktiviert werden, die die folgenden Kriterien erfüllt:

Die Instanz von Looker (Google Cloud Core) muss neu sein. Private Service Connect kann nur beim Erstellen der Instanz aktiviert werden.
Für die Instanz darf keine öffentliche IP-Adresse aktiviert sein.
Die Instanzversion muss Enterprise (core-enterprise-annual) oder Embed (core-embed-annual) sein.

Hinweise

Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl das Projekt aus, in dem Sie die Private Service Connect-Instanz erstellen möchten.
Zur Projektauswahl
Aktivieren Sie die Looker API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Console-Seite möglicherweise aktualisieren, um zu prüfen, ob die API aktiviert wurde.
API aktivieren
Aktivieren Sie in der Google Cloud Console die Service Networking API für Ihr Projekt. Wenn Sie die API aktivieren, müssen Sie möglicherweise die Konsolenseite aktualisieren, um zu bestätigen, dass die API aktiviert wurde.
API aktivieren
Richten Sie einen OAuth-Client ein und erstellen Sie Anmeldedaten für die Autorisierung. Mit dem OAuth-Client können Sie sich authentifizieren und auf die Instanz zugreifen. Sie müssen OAuth einrichten, um eine Looker (Google Cloud Core)-Instanz zu erstellen, auch wenn Sie eine andere Authentifizierungsmethode zur Authentifizierung von Nutzern bei Ihrer Instanz verwenden.
Wenn Sie VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) mit der von Ihnen erstellten Looker (Google Cloud Core)-Instanz verwenden möchten, ist vor dem Erstellen der Instanz eine zusätzliche Einrichtung erforderlich. Möglicherweise sind auch eine zusätzliche Versions- und Netzwerkkonfiguration erforderlich.

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen, bitten Sie Ihren Administrator, Ihnen Die IAM-Rolle Looker-Administrator (roles/looker.admin) für das Projekt, in dem sich die Instanz befindet. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Möglicherweise benötigen Sie auch zusätzliche IAM-Rollen, um VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) einzurichten. Weitere Informationen finden Sie auf den Dokumentationsseiten zu diesen Funktionen.

Private Service Connect-Instanz erstellen

Führen Sie zum Erstellen einer Private Service Connect-Instanz den Befehl gcloud looker instances create mit den folgenden Flags aus:


gcloud looker instances create INSTANCE_NAME \
--no-public-ip-enabled \
--psc-enabled \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \
 --async

Ersetzen Sie Folgendes:

INSTANCE_NAME: ein Name für Ihre Looker (Google Cloud Core)-Instanz; nicht mit der Instanz-URL verknüpft.
OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.
REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird. Wählen Sie die Region aus, die mit der Region im Abovertrag übereinstimmt. Verfügbare Regionen sind auf der Dokumentationsseite Standorte für Looker (Google Cloud Core) aufgeführt.
EDITION ist die Edition für die Instanz. Mögliche Werte sind core-enterprise-annual oder core-embed-annual. Versionen können nach dem Erstellen der Instanz nicht mehr geändert werden. Wenn Sie eine Version ändern möchten, können Sie die Daten Ihrer Looker (Google Cloud Core)-Instanz mithilfe von Import und Export in eine neue Instanz verschieben, die mit einer anderen Version konfiguriert ist.
ALLOWED_VPC: eine VPC, die eingehenden Traffic in Looker zulässt. Wenn Sie von außerhalb der VPC, in der sich die Instanz befindet, auf die Instanz zugreifen möchten, müssen Sie mindestens eine VPC auflisten. Geben Sie eine VPC mit einem der folgenden Formate an:
- projects/{project}/global/networks/{network}
- https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: Alle weiteren VPCs, die eingehenden Traffic in Looker zulassen sollen, können dem Flag --psc-allowed-vpcs in einer durch Kommas getrennten Liste hinzugefügt werden.

Der Vorgang zum Erstellen einer Private Service Connect-Instanz unterscheidet sich in folgenden Punkten vom Vorgang zum Erstellen einer regulären Looker (Google Cloud Core)-Instanz:

Bei der Einrichtung von Private Service Connect sind die Flags --consumer-network und --reserved-range nicht erforderlich.
Private Service Connect-Instanzen erfordern zwei zusätzliche Flags: --no-public-ip-enabled und --psc-enabled.
Das Flag --psc-allowed-vpcs ist eine durch Kommas getrennte Liste von VPCs. Sie können in der Liste beliebig viele VPCs angeben.

Geben Sie die verbleibenden Felder so an, wie Sie dies bei einer normalen Looker (Google Cloud Core)-Instanz tun würden.

Status der Instanz prüfen

Es dauert etwa 40 bis 60 Minuten, bis die Instanz erstellt ist. Prüfen Sie den Status mit dem Befehl gcloud looker instances describe:

gcloud looker instances describe INSTANCE_NAME --region=REGION

Ersetzen Sie INSTANCE_NAME durch den Namen Ihrer Looker (Google Cloud Core)-Instanz.

Die Instanz ist bereit, sobald sie den Status ACTIVE erreicht.

Private Service Connect für externe Dienste einrichten

Damit Ihre Looker (Google Cloud Core)-Instanz eine Verbindung zu einem externen Dienst herstellen kann, muss dieser externe Dienst über Private Service Connect veröffentlicht werden. Folgen Sie der Anleitung zum Veröffentlichen von Diensten mit Private Service Connect für jeden Dienst, den Sie veröffentlichen möchten.

Dienste können mit automatischer Genehmigung oder mit expliziter Genehmigung veröffentlicht werden. Wenn Sie sich für die Veröffentlichung mit expliziter Genehmigung entscheiden, müssen Sie den Dienstanhang so konfigurieren:

Legen Sie die Zulassungsliste für Dienstanhänge so fest, dass Projekte (nicht Netzwerke) verwendet werden.
Fügen Sie die Looker-Mandantenprojekt-ID der Zulassungsliste hinzu.

Die ID des Looker-Mandantenprojekts ermitteln Sie, nachdem die Instanz erstellt wurde. Führen Sie dazu den folgenden Befehl aus:

gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

Ersetzen Sie Folgendes:

INSTANCE_NAME: der Name Ihrer Looker (Google Cloud Core)-Instanz.
REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.

In der Befehlsausgabe enthält das Feld looker_service_attachment_uri Ihre Looker-Mandantenprojekt-ID. Sie hat folgendes Format: projects/{Looker tenant project ID}/regions/….

URI des Dienstanhangs

Wenn Sie Ihre Looker (Google Cloud Core)-Instanz später aktualisieren, um eine Verbindung zu Ihrem Dienst herzustellen, benötigen Sie den vollständigen URI des Dienstanhangs. Der URI wird so angegeben, wobei das Projekt, die Region und der Name verwendet werden, mit denen Sie den Dienstanhang erstellt haben:

projects/{project}/regions/{region}/serviceAttachments/{name}

Private Service Connect-Instanz für Looker (Google Cloud Core) aktualisieren

Nachdem die Private Service Connect-Instanz von Looker (Google Cloud Core) erstellt wurde, können Sie die folgenden Änderungen vornehmen:

Ausgehende Verbindungen angeben
Zulässige VPCs aktualisieren

Ausgehende Verbindungen angeben

Verwenden Sie --psc-service-attachment-Flags, um Verbindungen zu externen Diensten zu ermöglichen, für die Sie Private Service Connect bereits eingerichtet haben:

gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment  domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \
--region=REGION

Ersetzen Sie Folgendes:

INSTANCE_NAME: der Name Ihrer Looker-Instanz (Google Cloud Core)
DOMAIN_1 und DOMAIN_2: Wenn Sie eine Verbindung zu einem öffentlichen Dienst herstellen, verwenden Sie den Domainnamen des Dienstes. Wenn Sie eine Verbindung zu einem privaten Dienst herstellen, verwenden Sie einen vollständig qualifizierten Domainnamen Ihrer Wahl. Für den Domainnamen gelten die folgenden Einschränkungen:
- Jede ausgehende Verbindung unterstützt nur eine Domain.
- Der Domainname muss aus mindestens drei Teilen bestehen. mydomain.github.com ist beispielsweise akzeptabel, github.com jedoch nicht.
- Der letzte Teil des Namens darf Folgendes nicht enthalten:
  - googleapis.com
  - google.com
  - gcr.io
  - pkg.dev
Wenn Sie von Ihrer Looker (Google Cloud Core)-Instanz eine Verbindung zu Ihrem Dienst einrichten, verwenden Sie diese Domain als Alias für Ihren Dienst.
SERVICE_ATTACHMENT_1 und SERVICE_ATTACHMENT_2: der vollständige URI des Dienstanhangs. Auf jeden URI eines Dienstanhangs kann von einer einzelnen Domain zugegriffen werden.
REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.

Alle Verbindungen einschließen, die aktiviert werden sollen

Jedes Mal, wenn Sie einen Aktualisierungsbefehl mit --psc-service-attachment-Flags ausführen, müssen Sie jede Verbindung einschließen, die aktiviert werden soll, einschließlich der Verbindungen, die zuvor aktiviert wurden. Angenommen, Sie haben zuvor eine Instanz namens my-instance wie hier beschrieben mit der Domain www.cloud.com verbunden:

gcloud looker instances update my-instance
--psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud

Wenn Sie den folgenden Befehl ausführen, um eine neue www.me.com-Verbindung hinzuzufügen, wird die www.cloud.com-Verbindung gelöscht:

gcloud looker instances update my-instance \
--psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Damit die www.cloud.com-Verbindung beim Hinzufügen der neuen www.me.com-Verbindung nicht gelöscht wird, fügen Sie im Aktualisierungsbefehl ein separates psc-service-attachment-Flag für die vorhandene und die neue Verbindung ein:

gcloud looker instances update my-instance \
--psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \
--psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Status der ausgehenden Verbindung prüfen

Sie können den Status Ihrer ausgehenden Verbindungen prüfen, indem Sie den Befehl gcloud looker instances describe --format=json noch einmal ausführen. Für jeden Dienstanhang sollte das Feld connection_status angegeben werden.

Alle ausgehenden Verbindungen löschen

Führen Sie den folgenden Befehl aus, um alle ausgehenden Verbindungen zu löschen:

gcloud looker instances update MY_INSTANCE \ --clear-psc-service-attachments \
--region=REGION

Zulässige VPCs aktualisieren

Verwenden Sie das Flag --psc-allowed-vpcs, um die Liste der VPCs zu aktualisieren, die bei der Instanz eingehen können.

Wenn Sie die zulässigen VPCs aktualisieren, müssen Sie die gesamte Liste angeben, die nach der Aktualisierung gelten soll. Angenommen, die VPC ALLOWED_VPC_1 ist bereits zulässig und Sie möchten die VPC ALLOWED_VPC_2 hinzufügen. Wenn Sie die VPC ALLOWED_VPC_1 hinzufügen und gleichzeitig dafür sorgen möchten, dass VPC ALLOWED_VPC_2 weiterhin zulässig ist, fügen Sie das Flag --psc-allowed-vpcs so hinzu:

gcloud looker instances update INSTANCE_NAME --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION

Ersetzen Sie Folgendes:

INSTANCE_NAME: der Name Ihrer Looker-Instanz (Google Cloud Core)
ALLOWED_VPC_1 und ALLOWED_VPC_2: die VPCs, die eingehenden Traffic in Looker zulassen. Geben Sie jede zulässige VPC in einem der folgenden Formate an:
- projects/{project}/global/networks/{network}
- https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.

Alle zulässigen VPCs löschen

Führen Sie den folgenden Befehl aus, um alle zulässigen VPCs zu löschen:

gcloud looker instances update MY_INSTANCE \ --clear-psc-allowed-vpcs \
--region=REGION

Auf die Instanz zugreifen

Folgen Sie für den Zugriff auf Ihre Instanz zuerst der Anleitung zum Erstellen eines Private Service Connect-Endpunkts innerhalb eines VPC-Netzwerks, der eingehenden Traffic zu Ihrer Looker (Google Cloud Core)-Instanz zulässt. Folgen Sie dann diesen Richtlinien:

Legen Sie das Feld Zieldienst (für die Google Cloud Console) oder die Variable SERVICE\_ATTACHMENT (wenn Sie der Google Cloud CLI oder API-Anleitung folgen) auf looker_service_attachment_uri fest. Sie können jedes beliebige Subnetz verwenden.
Aktivieren Sie nicht den globalen Zugriff.

Ähnlich wie bei privaten IP-Instanzen können Sie für den Zugriff auf Ihre Private Service Connect-Instanz einen öffentlichen IP-Proxyserver einrichten. Folgen Sie der Anleitung zum Einrichten eines Proxyservers, beachten Sie aber folgende Unterschiede:

Schritt 3: Verwenden Sie für NETWORK das VPC-Netzwerk, in dem Sie einen Private Service Connect-Endpunkt erstellt haben. Sie können jedes Subnetz in diesem Netzwerk verwenden.
Schritt 7: Verwenden Sie für PRIVATE\_IP\_ADDRESS die IP-Adresse des von Ihnen erstellten Private Service Connect-Endpunkts. Rufen Sie dazu in der Google Cloud Console die Seite Private Service Connect Ihres Projekts auf.