Cette page explique comment utiliser la CLI gcloud pour créer une instance de production ou une instance hors production Looker (Google Cloud Core) avec Private Service Connect activé.
Private Service Connect peut être activé pour une instance Looker (Google Cloud Core) qui répond aux critères suivants:
- L'instance Looker (Google Cloud Core) doit être nouvelle. Private Service Connect ne peut être activé qu'au moment de la création de l'instance.
- L'adresse IP publique ne doit pas être activée sur l'instance.
- L'édition de l'instance doit être Enterprise (
core-enterprise-annual) ou Intégration (core-embed-annual).
Avant de commencer
- Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez le projet dans lequel vous souhaitez créer l'instance Private Service Connect.
- Activez l'API Looker pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.
- Configurez un client OAuth et créez des identifiants d'autorisation. Le client OAuth vous permet de vous authentifier et d'accéder à l'instance. Vous devez configurer OAuth pour créer une instance Looker (Google Cloud Core), même si vous utilisez une autre méthode d'authentification pour authentifier les utilisateurs dans votre instance.
- Si vous souhaitez utiliser VPC Service Controls ou des clés de chiffrement gérées par le client (CMEK) avec l'instance Looker (Google Cloud Core) que vous créez, une configuration supplémentaire est requise avant de créer l'instance. Une édition et une configuration réseau supplémentaires peuvent également être requises lors de la création de l'instance.
Rôles requis
Pour obtenir les autorisations nécessaires pour créer une instance Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle IAM Administrateur Looker (roles/looker.admin) sur le projet dans lequel l'instance résidera.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Vous devrez peut-être également disposer de rôles IAM supplémentaires pour configurer VPC Service Controls ou des clés de chiffrement gérées par le client (CMEK). Pour en savoir plus, consultez les pages de documentation de ces fonctionnalités.
Créer une instance Private Service Connect
Console
- Accédez à la page produit Looker (Google Cloud Core) depuis votre projet dans la console Google Cloud. Si vous avez déjà créé une instance Looker (Google Cloud Core) dans ce projet, la page Instances s'ouvre.
- Cliquez sur CRÉER UNE INSTANCE.
- Dans la section Nom de l'instance, indiquez un nom pour votre instance Looker (Google Cloud Core). Le nom de l'instance n'est pas associé à l'URL de l'instance Looker (Google Cloud Core) une fois celle-ci créée. Une fois l'instance créée, vous ne pouvez plus modifier son nom.
- Dans la section Identifiants d'application OAuth, saisissez l'ID client OAuth et le secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth.
Dans la section Région, sélectionnez l'option appropriée dans le menu déroulant pour héberger votre instance Looker (Google Cloud Core). Sélectionnez la région correspondant à celle du contrat d'abonnement, car c'est là que le quota de votre projet est alloué. Les régions disponibles sont listées sur la page de documentation Emplacements de Looker (Google Cloud Core).
Une fois l'instance créée, vous ne pouvez plus modifier la région.
Dans la section Édition, choisissez une option d'édition Enterprise ou Embed pour un type d'instance hors production ou de production. Le type d'édition affecte certaines des fonctionnalités disponibles pour l'instance. Veillez à choisir le même type d'édition que celui indiqué dans votre contrat annuel et à disposer d'un quota alloué pour ce type d'édition.
- Entreprise: plate-forme Looker (Google Cloud Core) dotée de fonctionnalités de sécurité renforcées pour répondre à une grande variété de cas d'utilisation internes d'informatique décisionnelle et d'analyse
- Intégration: plate-forme Looker (Google Cloud Core) permettant de déployer et de gérer des applications personnalisées et des analyses externes fiables à grande échelle
Une fois l'instance créée, son édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer les données de votre instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une autre édition.
Dans la section Personnaliser votre instance, cliquez sur Afficher les options de configuration pour afficher un groupe de paramètres supplémentaires que vous pouvez personnaliser pour l'instance.
Dans la section Connexions, sous Attribution d'adresses IP aux instances, sélectionnez uniquement Adresse IP privée. Le type de connexion réseau que vous sélectionnez a une incidence sur les fonctionnalités Looker disponibles pour l'instance.
Sous Type d'adresse IP privée, sélectionnez Private Service Connect (PSC).
Sous VPC autorisés, cliquez sur Ajouter un élément pour ajouter les VPC autorisés à accéder à l'instance Looker (Google Cloud Core). Dans le champ Project (Projet), sélectionnez le projet dans lequel le réseau a été créé. Dans le menu déroulant Network (Réseau), sélectionnez le réseau. Ajoutez d'autres VPC en cliquant sur Ajouter un élément si nécessaire.
Dans la section Chiffrement, vous pouvez sélectionner le type de chiffrement à utiliser sur votre instance. Les options de chiffrement suivantes sont disponibles:
- gérée par Google basée sur Google Cloud: cette option est définie par défaut et ne nécessite aucune configuration supplémentaire.
- Clé de chiffrement gérée par le client (CMEK): consultez la page de documentation Utiliser des clés de chiffrement gérées par le client avec Looker (Google Cloud Core) pour en savoir plus sur les CMEK et découvrir comment les configurer lors de la création d'une instance. Le type de chiffrement ne peut pas être modifié après la création de l'instance.
- Activer le chiffrement certifié FIPS 140-2: consultez la page de documentation Activer la conformité de niveau 1 FIPS 140-2 sur une instance Looker (Google Cloud Core) pour en savoir plus sur la prise en charge de la norme FIPS 140-2 dans Looker (Google Cloud Core).
Dans la section Intervalle de maintenance, vous pouvez éventuellement spécifier le jour de la semaine et l'heure auxquels Looker (Google Cloud Core) planifie la maintenance. Les intervalles de maintenance durent une heure. Par défaut, l'option Intervalle souhaité dans Intervalle de maintenance est définie sur N'importe quel intervalle.
Dans la section Période de refus de la maintenance, vous pouvez spécifier un bloc de jours pendant lesquels Looker (Google Cloud Core) ne planifie pas de maintenance. Les périodes de refus de maintenance peuvent durer jusqu'à 60 jours. Vous devez prévoir une disponibilité pour maintenance d'au moins 14 jours entre deux périodes de refus de maintenance.
Cliquez sur Créer.
gcloud
Pour créer une instance Private Service Connect, exécutez la commande gcloud looker instances create avec toutes les options suivantes:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core). Il n'est pas associé à l'URL de l'instance.OAUTH_CLIENT_IDetOAUTH_CLIENT_SECRET: ID client OAuth et secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Sélectionnez la région correspondant à celle du contrat d'abonnement. Les régions disponibles sont listées sur la page de documentation Emplacements Looker (Google Cloud Core).EDITION: édition et type d'environnement (production ou hors production) de l'instance. Les valeurs possibles sontcore-enterprise-annual,core-embed-annual,nonprod-core-enterprise-annualounonprod-core-embed-annual. Une fois l'instance créée, son édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer les données de votre instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une autre édition.ALLOWED_VPC: VPC autorisé à accéder à Looker (Google Cloud Core) en sens nord (entrée). Pour accéder à l'instance depuis l'extérieur du VPC dans lequel elle se trouve, vous devez lister au moins un VPC. Spécifiez un VPC à l'aide de l'un des formats suivants :projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: tous les VPC supplémentaires autorisés à accéder à Looker (Google Cloud Core) en direction du nord peuvent être ajoutés à l'indicateur--psc-allowed-vpcsdans une liste séparée par une virgule.
Si vous le souhaitez, vous pouvez ajouter d'autres paramètres pour appliquer d'autres paramètres d'instance:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: doit être l'une des valeurs suivantes:friday,monday,saturday,sunday,thursday,tuesdayouwednesday. Pour en savoir plus sur les paramètres des intervalles de maintenance, consultez la page de documentation Gérer les règles de maintenance pour Looker (Google Cloud Core).MAINTENANCE_WINDOW_TIMEetDENY_MAINTENANCE_PERIOD_TIME: doivent être au format UTC de 24 heures (par exemple, 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEetDENY_MAINTENANCE_PERIOD_END_DATE: doivent être au formatYYYY-MM-DD.KMS_KEY_ID: doit correspondre à la clé créée lors de la configuration des clés de chiffrement gérées par le client (CMEK).
Vous pouvez inclure l'option --fips-enabled pour activer la conformité au niveau 1 de la certification FIPS 140-2.
Le processus de création d'une instance Private Service Connect diffère de celui de création d'une instance Looker (Google Cloud Core) (accès aux services privés) comme suit:
- Avec la configuration de Private Service Connect, les options
--consumer-networket--reserved-rangene sont pas nécessaires. - Les instances Private Service Connect nécessitent deux options supplémentaires:
--no-public-ip-enabledet--psc-enabled. - L'indicateur
--psc-allowed-vpcsest une liste de VPC séparés par une virgule. Vous pouvez spécifier autant de VPC que vous le souhaitez dans la liste.
Vérifier l'état de l'instance
La création de l'instance prend environ 40 à 60 minutes.
Console
Pendant la création de l'instance, vous pouvez consulter son état sur la page Instances de la console. Vous pouvez également consulter votre activité de création d'instances en cliquant sur l'icône de notification dans le menu de la console Google Cloud . Sur la page Détails de l'instance, son état indique Active une fois qu'elle est créée.
gcloud
Pour vérifier l'état, utilisez la commande gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
L'instance est prête une fois qu'elle atteint l'état ACTIVE.
Configurer Private Service Connect pour les services externes
Pour que votre instance Looker (Google Cloud Core) puisse se connecter à un service externe, ce service externe doit être publié à l'aide de Private Service Connect. Suivez les instructions pour publier des services à l'aide de Private Service Connect pour chaque service que vous souhaitez publier.
Les services peuvent être publiés avec une approbation automatique ou une approbation explicite. Si vous choisissez de publier avec approbation explicite, vous devez configurer le rattachement de service comme suit:
- Définissez votre liste d'autorisation de rattachement de service pour utiliser des projets (et non des réseaux).
- Ajoutez l'ID du projet locataire Looker à la liste d'autorisation.
Une fois votre instance créée, vous pouvez trouver l'ID de projet de votre locataire Looker en exécutant la commande suivante:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Dans la résultat de la commande, le champ looker_service_attachment_uri contient l'ID de votre projet de locataire Looker. Son format est le suivant: projects/{Looker tenant project ID}/regions/….
URI du rattachement de service
Lorsque vous mettrez à jour votre instance Looker (Google Cloud Core) pour vous connecter à votre service, vous aurez besoin de l'URI complet du rattachement de service pour le service externe. L'URI sera spécifié comme suit, en utilisant le projet, la région et le nom que vous avez utilisés pour créer le rattachement de service:
projects/{project}/regions/{region}/serviceAttachments/{name}
Mettre à jour une instance Private Service Connect Looker (Google Cloud Core)
Une fois votre instance Private Service Connect Looker (Google Cloud Core) créée, vous pouvez apporter les modifications suivantes:
Spécifier les connexions northbound
Console
- Sur la page Instances, cliquez sur le nom de l'instance pour laquelle vous souhaitez activer les connexions southbound (sortie).
- Cliquez sur Modifier.
- Développez la section Connexions.
- Pour modifier un rattachement de service existant, mettez à jour le nom de domaine complet du service dans le champ Nom de domaine complet local et l'URI du rattachement de service dans le champ URI du rattachement de service cible.
- Pour ajouter une pièce jointe de service, cliquez sur Ajouter un élément. Saisissez ensuite le nom de domaine complet du service dans le champ Nom de domaine complet local et l'URI du rattachement de service dans le champ URI du rattachement de service cible.
- Cliquez sur Enregistrer.
gcloud
Utilisez les indicateurs --psc-service-attachment pour activer les connexions vers le sud (sortie) vers des services externes pour lesquels vous avez déjà configuré Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).DOMAIN_1etDOMAIN_2: si vous vous connectez à un service public, utilisez le nom de domaine du service. Si vous vous connectez à un service privé, utilisez un nom de domaine complet de votre choix. Les restrictions suivantes s'appliquent au nom de domaine:Chaque connexion montante ne prend en charge qu'un seul domaine.
Le nom de domaine doit comporter au moins trois parties. Par exemple,
mydomain.github.comest acceptable, maisgithub.comne l'est pas.La dernière partie du nom ne peut pas être l'une des suivantes:
googleapis.comgoogle.comgcr.iopkg.dev
Lorsque vous configurez une connexion à votre service à partir de votre instance Looker (Google Cloud Core), utilisez ce domaine comme alias pour votre service.
SERVICE_ATTACHMENT_1etSERVICE_ATTACHMENT_2: URI du rattachement de service complet du service publié auquel vous vous connectez. Chaque URI de rattachement de service ne peut être accessible que par un seul domaine.REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Si vous vous connectez à un service géré par un tiers autre que Google dans une région différente de celle de votre instance Looker (Google Cloud Core), activez l'accès mondial sur l'équilibreur de charge du producteur.
Inclure toutes les connexions à activer
Chaque fois que vous exécutez une commande de mise à jour avec des indicateurs --psc-service-attachment, vous devez inclure toutes les connexions que vous souhaitez activer, y compris celles qui l'étaient déjà auparavant. Par exemple, supposons que vous ayez déjà connecté une instance appelée my-instance au domaine www.cloud.com comme suit:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
L'exécution de la commande suivante pour ajouter une connexion www.me.com supprimerait la connexion www.cloud.com:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Pour éviter la suppression de la connexion www.cloud.com lorsque vous ajoutez la nouvelle connexion www.me.com, incluez un indicateur psc-service-attachment distinct pour la connexion existante et la nouvelle connexion dans la commande de mise à jour, comme suit:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Vérifier l'état de la connexion vers le sud
Vous pouvez vérifier l'état de vos connexions southbound (sortie) en exécutant à nouveau la commande gcloud looker instances describe --format=json. Chaque pièce jointe de service doit être renseignée avec un champ connection_status.
Supprimer toutes les connexions vers le sud
Pour supprimer toutes les connexions southbound (sortie), exécutez la commande suivante:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Mettre à jour les VPC autorisés
Console
- Sur la page Instances, cliquez sur le nom de l'instance pour laquelle vous souhaitez mettre à jour les VPC autorisés à accéder à l'instance en direction du nord.
- Cliquez sur Modifier.
- Développez la section Connexions.
- Pour ajouter un VPC, cliquez sur Ajouter un élément. Sélectionnez ensuite le projet dans lequel se trouve le VPC dans le champ Project (Projet), puis le réseau dans le menu déroulant Network (Réseau).
- Pour supprimer un VPC, cliquez sur l'icône Corbeille Supprimer l'élément qui s'affiche lorsque vous maintenez le pointeur sur le réseau.
- Cliquez sur Enregistrer.
gcloud
Utilisez l'option --psc-allowed-vpcs pour mettre à jour la liste des VPC ayant autorisé l'accès nord-sud à l'instance.
Lorsque vous mettez à jour les VPC autorisés, vous devez spécifier la liste complète que vous souhaitez voir prendre effet après la mise à jour. Par exemple, supposons que le VPC ALLOWED_VPC_1 soit déjà autorisé et que vous souhaitiez ajouter le VPC ALLOWED_VPC_2. Pour ajouter le VPC ALLOWED_VPC_1 tout en vous assurant que le VPC ALLOWED_VPC_2 reste autorisé, ajoutez l'option --psc-allowed-vpcs comme suit:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).ALLOWED_VPC_1etALLOWED_VPC_2: VPC autorisés à accéder à Looker (Google Cloud Core). Spécifiez chaque VPC autorisé à l'aide de l'un des formats suivants :projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Supprimer tous les VPC autorisés
Pour supprimer tous les VPC autorisés, exécutez la commande suivante:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Accès nord-sud à votre instance
Une fois l'instance Looker (Google Cloud Core) (Private Service Connect) créée, vous pouvez configurer un accès nord-sud pour autoriser vos utilisateurs à accéder à l'instance.
Pour accéder à votre instance à partir d'un autre réseau VPC, suivez d'abord les instructions de création d'un point de terminaison Private Service Connect. Assurez-vous que le réseau est autorisé à accéder à votre instance Looker (Google Cloud Core) en direction du nord et suivez ces consignes lorsque vous créez le point de terminaison:
Définissez le champ Service cible (pour la console Google Cloud ) ou la variable
SERVICE_ATTACHMENT(si vous suivez les instructions de la Google Cloud CLI ou de l'API) sur l'URI d'attachement du service Looker, que vous trouverez dans l'onglet Détails de la page de configuration de l'instance de la console ou en exécutant la commande suivante:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Vous pouvez utiliser n'importe quel sous-réseau hébergé dans la même région que l'instance Looker (Google Cloud Core).
N'activez pas l'accès mondial.
Pour accéder à votre instance à partir d'un environnement de réseautage hybride, vous pouvez suivre les instructions de la page de documentation Accès nord-sud à une instance Looker (Google Cloud Core) à l'aide de Private Service Connect pour configurer un domaine personnalisé et accéder à l'instance.