Cette page explique comment utiliser la Google Cloud CLI pour créer une instance Looker (Google Cloud Core) avec Private Service Connect activé.
Private Service Connect peut être activé pour une instance Looker (Google Cloud Core) qui répond aux critères suivants :
- L'instance Looker (Google Cloud Core) doit être nouvelle. Private Service Connect ne peut être activé qu'au moment de la création de l'instance.
- L'adresse IP publique ne doit pas être activée sur l'instance.
- L'édition de l'instance doit être Enterprise (
core-enterprise-annual) ou Intégration (core-embed-annual).
Avant de commencer
- Dans la console Google Cloud, sur la page du sélecteur de projet, sélectionnez le projet dans lequel vous souhaitez créer l'instance Private Service Connect.
- Activez l'API Looker pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour vérifier qu'elle a bien été activée.
- Configurez un client OAuth et créez des identifiants d'autorisation. Le client OAuth vous permet de vous authentifier et d'accéder à l'instance. Vous devez configurer OAuth pour créer une instance Looker (Google Cloud Core), même si vous utilisez une autre méthode d'authentification pour authentifier les utilisateurs dans votre instance.
- Si vous souhaitez utiliser VPC Service Controls ou des clés de chiffrement gérées par le client (CMEK) avec l'instance Looker (Google Cloud Core) que vous créez, une configuration supplémentaire est requise avant de créer l'instance. Une édition supplémentaire et une configuration réseau peuvent également être requises lors de la création de l'instance.
Rôles requis
Pour obtenir les autorisations nécessaires pour créer une instance Looker (Google Cloud Core),
demandez à votre administrateur de vous accorder le
Rôle IAM Administrateur Looker (roles/looker.admin) sur le projet dans lequel résidera l'instance.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Vous devrez peut-être également disposer de rôles IAM supplémentaires pour configurer VPC Service Controls ou des clés de chiffrement gérées par le client (CMEK). Pour en savoir plus sur ces fonctionnalités, consultez les pages de documentation correspondantes.
Créer une instance Private Service Connect
Pour créer une instance Private Service Connect, exécutez la commande gcloud looker instances create avec toutes les options suivantes:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core) il n'est pas associé à l'URL de l'instance.OAUTH_CLIENT_IDetOAUTH_CLIENT_SECRET: ID client OAuth et secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Sélectionnez la région correspondant à celle du contrat d'abonnement. Les régions disponibles sont listées sur la page de documentation Emplacements de Looker (Google Cloud Core).EDITION: édition de l'instance. Ses valeurs possibles sontcore-enterprise-annualoucore-embed-annual. Une fois l'instance créée, l'édition ne peut plus être modifiée. Si vous souhaitez changer d'édition, vous pouvez utiliser l'importation et l'exportation pour déplacer vos données d'instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une édition différente.ALLOWED_VPC: VPC autorisé à accéder à Looker (Google Cloud Core) en sens nord (entrée). Pour accéder à l'instance depuis l'extérieur du VPC dans lequel elle se trouve, vous devez lister au moins un VPC. Spécifiez un VPC en utilisant l'un des formats suivants:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: tous les VPC supplémentaires autorisés à accéder à Looker (Google Cloud Core) par le nord peuvent être ajoutés à l'option--psc-allowed-vpcsdans une liste d'éléments séparés par une virgule.
Si vous le souhaitez, vous pouvez ajouter d'autres paramètres pour appliquer d'autres paramètres d'instance :
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: doit être l'une des valeurs suivantes :friday,monday,saturday,sunday,thursday,tuesdayouwednesday. Consultez la page de documentation Gérer les règles de maintenance pour Looker (Google Cloud Core) pour en savoir plus sur les paramètres des intervalles de maintenance.MAINTENANCE_WINDOW_TIMEetDENY_MAINTENANCE_PERIOD_TIME: doivent être au format UTC, au format 24 heures (par exemple, 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEetDENY_MAINTENANCE_PERIOD_END_DATE: doivent être au formatYYYY-MM-DD.KMS_KEY_ID: doit être la clé créée lors de la configuration des clés de chiffrement gérées par le client (CMEK).
Vous pouvez inclure l'option --fips-enabled pour activer la conformité au niveau 1 de la certification FIPS 140-2.
Le processus de création d'une instance Private Service Connect diffère de celui de création d'une instance Looker (Google Cloud Core) (accès aux services privés) comme suit :
- Avec la configuration de Private Service Connect, les options
--consumer-networket--reserved-rangene sont pas nécessaires. - Les instances Private Service Connect nécessitent deux options supplémentaires:
--no-public-ip-enabledet--psc-enabled. - L'option
--psc-allowed-vpcsest une liste de VPC séparés par une virgule. Vous pouvez spécifier autant de VPC que vous le souhaitez dans la liste.
Vérifier l'état de l'instance
La création de l'instance prend environ 40 à 60 minutes. Pour vérifier l'état, utilisez la commande gcloud looker instances describe :
gcloud looker instances describe INSTANCE_NAME --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
L'instance est prête dès qu'elle atteint l'état ACTIVE.
Configurer Private Service Connect pour les services externes
Pour que votre instance Looker (Google Cloud Core) puisse se connecter à un service externe, celui-ci doit être publié à l'aide de Private Service Connect. Suivez les instructions pour publier des services à l'aide de Private Service Connect pour chaque service que vous souhaitez publier.
Les services peuvent être publiés avec une approbation automatique ou une approbation explicite. Si vous choisissez de publier avec approbation explicite, vous devez configurer le rattachement de service comme suit :
- Définissez votre liste d'autorisation de rattachement de service pour utiliser des projets (et non des réseaux).
- Ajoutez l'ID du projet locataire Looker à la liste d'autorisation.
Une fois votre instance créée, vous pouvez trouver votre ID de projet locataire Looker en exécutant la commande suivante:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Dans la sortie de la commande, le champ looker_service_attachment_uri contient l'ID de votre projet de locataire Looker. Il se présentera comme suit: projects/{Looker tenant project ID}/regions/…
URI du rattachement de service
Lorsque vous mettrez à jour votre instance Looker (Google Cloud Core) pour vous connecter à votre service, vous aurez besoin de l'URI complet du rattachement de service. L'URI sera spécifié comme suit, en utilisant le projet, la région et le nom que vous avez utilisés pour créer le rattachement de service :
projects/{project}/regions/{region}/serviceAttachments/{name}
Mettre à jour une instance Private Service Connect Looker (Google Cloud Core)
Une fois votre instance Private Service Connect Looker (Google Cloud Core) créée, vous pouvez apporter les modifications suivantes :
Spécifier des connexions "direction sud"
Utilisez les options --psc-service-attachment pour activer les connexions southbound (sortie) vers les services externes pour lesquels vous avez déjà configuré Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).DOMAIN_1etDOMAIN_2: si vous vous connectez à un service public, utilisez le nom de domaine du service. Si vous vous connectez à un service privé, indiquez le nom de domaine complet de votre choix. Les restrictions suivantes s'appliquent au nom de domaine:- Chaque connexion "South" n'accepte qu'un seul domaine.
- Le nom de domaine doit comporter au moins trois parties. Par exemple,
mydomain.github.comest acceptable, maisgithub.comn'est pas acceptable. La dernière partie du nom ne peut pas être l'un des éléments suivants:
googleapis.comgoogle.comgcr.iopkg.dev
Lorsque vous configurez une connexion à votre service à partir de votre instance Looker (Google Cloud Core), utilisez ce domaine comme alias de votre service.
SERVICE_ATTACHMENT_1etSERVICE_ATTACHMENT_2: URI du rattachement de service complet du service publié auquel vous vous connectez. Chaque URI de rattachement de service est accessible par un seul domaine.REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Si vous vous connectez à un service géré par un tiers autre que Google dans une région différente de celle de votre instance Looker (Google Cloud Core), activez l'accès mondial sur l'équilibreur de charge du producteur.
Inclure toutes les connexions à activer
Chaque fois que vous exécutez une commande de mise à jour avec des indicateurs --psc-service-attachment, vous devez inclure toutes les connexions que vous souhaitez activer, y compris celles qui l'étaient déjà auparavant. Par exemple, supposons que vous ayez déjà connecté une instance appelée my-instance au domaine www.cloud.com comme suit:
gcloud looker instances update my-instance --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
L'exécution de la commande suivante pour ajouter une connexion www.me.com supprimerait la connexion www.cloud.com :
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Pour empêcher la suppression de la connexion www.cloud.com lorsque vous ajoutez la nouvelle connexion www.me.com, incluez une option psc-service-attachment distincte pour la connexion existante et la nouvelle connexion dans la commande "update" comme suit:
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Vérifier l'état de la connexion "Direction sud"
Vous pouvez vérifier l'état de vos connexions de sortie sud en exécutant à nouveau la commande gcloud looker instances describe --format=json. Chaque pièce jointe de service doit être renseignée avec un champ connection_status.
Supprimer toutes les connexions vers le sud
Pour supprimer toutes les connexions "Southbound" (sortie), exécutez la commande suivante:
gcloud looker instances update MY_INSTANCE \ --clear-psc-service-attachments \ --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Mettre à jour les VPC autorisés
Utilisez l'option --psc-allowed-vpcs pour mettre à jour la liste des VPC autorisés à accéder à l'instance en direction du nord.
Lorsque vous mettez à jour les VPC autorisés, vous devez spécifier la liste complète à appliquer après la mise à jour. Par exemple, supposons que le VPC ALLOWED_VPC_1 soit déjà autorisé et que vous souhaitiez ajouter le VPC ALLOWED_VPC_2. Pour ajouter le VPC ALLOWED_VPC_1 tout en vous assurant que le VPC ALLOWED_VPC_2 reste autorisé, ajoutez l'option --psc-allowed-vpcs comme suit:
gcloud looker instances update INSTANCE_NAME --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).ALLOWED_VPC_1etALLOWED_VPC_2: VPC autorisés à accéder à Looker (Google Cloud Core). Spécifiez chaque VPC autorisé à l'aide de l'un des formats suivants :projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Supprimer tous les VPC autorisés
Pour supprimer tous les VPC autorisés, exécutez la commande suivante :
gcloud looker instances update MY_INSTANCE \ --clear-psc-allowed-vpcs \ --region=REGION
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Accès en direction du nord à votre instance
Une fois l'instance Looker (Google Cloud Core) (Private Service Connect) créée, vous pouvez configurer un accès nord-sud pour autoriser vos utilisateurs à accéder à l'instance.
Pour accéder à votre instance à partir d'un autre réseau VPC, suivez d'abord les instructions de création d'un point de terminaison Private Service Connect. Assurez-vous que le réseau est autorisé à accéder à votre instance Looker (Google Cloud Core) depuis le nord et suivez ces consignes lorsque vous créez le point de terminaison:
Définissez le champ Service cible (pour la console Google Cloud) ou la variable
SERVICE_ATTACHMENT(si vous suivez les instructions de la Google Cloud CLI ou de l'API) sur l'URI du rattachement de service Looker, que vous trouverez dans l'onglet Détails sur la page de configuration de l'instance de la console ou en exécutant la commande suivante:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Vous pouvez utiliser n'importe quel sous-réseau hébergé dans la même région que l'instance Looker (Google Cloud Core).
N'activez pas l'accès mondial.
Pour accéder à votre instance à partir d'un environnement de réseau hybride, vous pouvez suivre les instructions de la page de documentation Accès nord-sud à une instance Looker (Google Cloud Core) à l'aide de Private Service Connect pour configurer un domaine personnalisé et accéder à l'instance.