Halaman ini menjelaskan proses penggunaan gcloud CLI untuk membuat instance Looker (inti Google Cloud) dengan Private Service Connect yang diaktifkan.
Private Service Connect dapat diaktifkan untuk instance Looker (Google Cloud core) yang memenuhi kriteria berikut:
- Instance Looker (Google Cloud core) harus baru. Private Service Connect hanya dapat diaktifkan pada saat pembuatan instance.
- Instance tidak dapat mengaktifkan IP publik.
- Edisi instance harus berupa Enterprise (
core-enterprise-annual) atau Embed (core-embed-annual).
Sebelum memulai
- Di Konsol Google Cloud, pada halaman pemilih project, pilih project tempat Anda ingin membuat instance Private Service Connect.
- Aktifkan Looker API untuk project Anda di Konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu me-refresh halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
- Aktifkan Service Networking API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu me-refresh halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
- Siapkan klien OAuth dan buat kredensial otorisasi. Klien OAuth memungkinkan Anda mengautentikasi dan mengakses instance. Anda harus menyiapkan OAuth untuk membuat instance Looker (inti Google Cloud), meskipun Anda menggunakan metode autentikasi yang berbeda untuk mengautentikasi pengguna ke instance.
- Jika Anda ingin menggunakan Kontrol Layanan VPC atau kunci enkripsi yang dikelola pelanggan (CMEK) dengan instance Looker (inti Google Cloud) yang Anda buat, penyiapan tambahan diperlukan sebelum pembuatan instance. Edisi dan konfigurasi jaringan tambahan mungkin juga diperlukan selama pembuatan instance.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan guna membuat instance Looker (Google Cloud core),
minta administrator untuk memberi Anda
Peran IAM Looker Admin (roles/looker.admin) pada project tempat instance akan berada.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui perintah peran atau setelan standar lainnya peran tertentu.
Anda mungkin juga memerlukan peran IAM tambahan untuk menyiapkan Kontrol Layanan VPC atau kunci enkripsi yang dikelola pelanggan (CMEK). Buka halaman dokumentasi untuk fitur tersebut guna mempelajari lebih lanjut.
Membuat instance Private Service Connect
Untuk membuat instance Private Service Connect, jalankan perintah gcloud looker instances create dengan semua tanda berikut:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Ganti kode berikut:
INSTANCE_NAME: nama untuk instance Looker (Google Cloud core) Anda; nama ini tidak terkait dengan URL instance.OAUTH_CLIENT_IDdanOAUTH_CLIENT_SECRET: client ID OAuth dan rahasia OAuth yang Anda buat saat menyiapkan klien OAuth. Setelah instance dibuat, masukkan URL instance di bagian URI pengalihan yang diotorisasi pada klien OAuth.REGION: region tempat instance Looker (inti Google Cloud) Anda dihosting. Pilih region yang cocok dengan wilayah dalam kontrak langganan. Region yang tersedia tercantum di halaman dokumentasi lokasi Looker (inti Google Cloud).EDITION: edisi untuk instance. Kemungkinan nilainya adalahcore-enterprise-annual, ataucore-embed-annual. Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (inti Google Cloud) ke instance baru yang dikonfigurasi dengan edisi berbeda.ALLOWED_VPC: VPC yang akan mengizinkan traffic masuk ke Looker. Untuk mengakses instance dari luar VPC tempat instance berada, Anda harus mencantumkan minimal satu VPC. Tentukan VPC menggunakan salah satu format berikut:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: VPC tambahan yang diizinkan untuk masuk ke Looker dapat ditambahkan ke flag--psc-allowed-vpcsdalam daftar yang dipisahkan koma.
Dalam hal berikut, proses pembuatan instance Private Service Connect berbeda dengan proses pembuatan instance Looker (Google Cloud core) reguler:
- Dengan penyiapan Private Service Connect, tanda
--consumer-networkdan--reserved-rangetidak diperlukan. - Instance Private Service Connect memerlukan dua tanda tambahan:
--no-public-ip-enableddan--psc-enabled. - Flag
--psc-allowed-vpcsadalah daftar VPC yang dipisahkan koma. Anda dapat menentukan VPC sebanyak yang Anda inginkan dalam daftar.
Tentukan kolom lainnya seperti yang Anda lakukan untuk instance Looker (Google Cloud core) reguler.
Memeriksa status instance
Perlu waktu sekitar 40-60 menit untuk membuat instance. Untuk memeriksa status, gunakan perintah gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Ganti INSTANCE_NAME dengan nama instance Looker (Google Cloud core) Anda.
Instance siap setelah mencapai status ACTIVE.
Menyiapkan Private Service Connect untuk layanan eksternal
Agar instance Looker (Google Cloud core) Anda dapat terhubung ke layanan eksternal, layanan eksternal tersebut harus dipublikasikan menggunakan Private Service Connect. Ikuti petunjuk untuk memublikasikan layanan menggunakan Private Service Connect untuk layanan apa pun yang ingin Anda publikasikan.
Layanan dapat dipublikasikan dengan persetujuan otomatis atau dengan persetujuan eksplisit. Jika memilih untuk memublikasikan dengan persetujuan eksplisit, Anda harus mengonfigurasi lampiran layanan sebagai berikut:
- Setel daftar lampiran layanan yang diizinkan untuk menggunakan project (bukan jaringan).
- Tambahkan project ID tenant Looker ke daftar yang diizinkan.
Anda dapat menemukan project ID tenant Looker setelah instance dibuat dengan menjalankan perintah berikut:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (inti Google Cloud) Anda.REGION: region tempat instance Looker (inti Google Cloud) Anda dihosting.
Dalam output perintah, kolom looker_service_attachment_uri akan berisi project ID tenant Looker Anda. Formatnya akan seperti berikut: projects/{Looker tenant project ID}/regions/…
URI lampiran layanan
Saat kemudian memperbarui instance Looker (Google Cloud core) agar dapat terhubung ke layanan, Anda memerlukan URI lampiran layanan lengkap. URI akan ditetapkan sebagai berikut, menggunakan project, region, dan nama yang Anda gunakan untuk membuat lampiran layanan:
projects/{project}/regions/{region}/serviceAttachments/{name}
Memperbarui instance Private Service Connect Looker (Google Cloud core)
Setelah instance Private Service Connect Looker (Google Cloud core) dibuat, Anda dapat melakukan perubahan berikut:
Menentukan koneksi keluar
Gunakan tanda --psc-service-attachment untuk mengaktifkan koneksi ke layanan eksternal yang telah Anda siapkan Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (inti Google Cloud) Anda.DOMAIN_1danDOMAIN_2: Jika Anda terhubung ke layanan publik, gunakan nama domain layanan. Jika Anda terhubung ke layanan pribadi, gunakan nama domain yang sepenuhnya memenuhi syarat pilihan Anda. Batasan berikut berlaku untuk nama domain:- Setiap koneksi keluar mendukung satu domain.
- Nama domain harus terdiri dari minimal tiga bagian. Misalnya,
mydomain.github.comdapat diterima, tetapigithub.comtidak dapat diterima. Bagian terakhir nama tidak boleh berupa bagian berikut:
googleapis.comgoogle.comgcr.iopkg.dev
Saat menyiapkan koneksi ke layanan dari dalam instance Looker (inti Google Cloud), gunakan domain ini sebagai alias untuk layanan Anda.
SERVICE_ATTACHMENT_1danSERVICE_ATTACHMENT_2: URI lampiran layanan lengkap. Setiap URI lampiran layanan dapat diakses oleh satu domain.REGION: region tempat instance Looker (inti Google Cloud) Anda dihosting.
Sertakan semua koneksi yang harus diaktifkan
Setiap kali menjalankan perintah update dengan tanda --psc-service-attachment, Anda harus menyertakan setiap koneksi yang ingin diaktifkan, termasuk koneksi yang telah diaktifkan sebelumnya. Misalnya, sebelumnya Anda telah menghubungkan instance bernama my-instance ke domain www.cloud.com sebagai berikut:
gcloud looker instances update my-instance --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
Menjalankan perintah berikut untuk menambahkan koneksi www.me.com baru akan menghapus koneksi www.cloud.com:
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Untuk mencegah penghapusan koneksi www.cloud.com saat Anda menambahkan koneksi www.me.com baru, sertakan tanda psc-service-attachment terpisah untuk koneksi yang ada dan koneksi baru dalam perintah update sebagai berikut:
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Memeriksa status koneksi keluar
Anda dapat memeriksa status koneksi keluar dengan menjalankan kembali perintah gcloud looker instances describe --format=json. Setiap lampiran layanan harus diisi dengan kolom connection_status.
Hapus semua koneksi keluar
Untuk menghapus semua koneksi keluar, jalankan perintah berikut:
gcloud looker instances update MY_INSTANCE \ --clear-psc-service-attachments \ --region=REGION
Mengupdate VPC yang diizinkan
Gunakan flag --psc-allowed-vpcs untuk memperbarui daftar VPC yang dapat masuk ke instance.
Saat memperbarui VPC yang diizinkan, Anda harus menentukan seluruh daftar yang ingin diterapkan setelah pembaruan. Misalnya, VPC ALLOWED_VPC_1 sudah diizinkan, dan Anda ingin menambahkan VPC ALLOWED_VPC_2. Untuk menambahkan VPC ALLOWED_VPC_1 sekaligus memastikan bahwa VPC ALLOWED_VPC_2 terus diizinkan, tambahkan flag --psc-allowed-vpcs sebagai berikut:
gcloud looker instances update INSTANCE_NAME --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (inti Google Cloud) Anda.ALLOWED_VPC_1danALLOWED_VPC_2: VPC yang akan diizinkan untuk masuk ke Looker. Tentukan setiap VPC yang diizinkan menggunakan salah satu format berikut:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: region tempat instance Looker (inti Google Cloud) Anda dihosting.
Hapus semua VPC yang diizinkan
Untuk menghapus semua VPC yang diizinkan, jalankan perintah berikut:
gcloud looker instances update MY_INSTANCE \ --clear-psc-allowed-vpcs \ --region=REGION
Mengakses instance
Untuk mengakses instance, ikuti terlebih dahulu petunjuk untuk membuat endpoint Private Service Connect dalam jaringan VPC yang diizinkan masuk ke instance Looker (inti Google Cloud) Anda, lalu ikuti panduan ini:
- Tetapkan kolom Target service (untuk konsol Google Cloud) atau variabel
SERVICE\_ATTACHMENT(jika mengikuti petunjuk Google Cloud CLI atau API) kelooker_service_attachment_uri. Anda dapat menggunakan subnet apa pun yang Anda suka. - Jangan aktifkan akses global.
Serupa dengan instance IP pribadi, salah satu cara untuk mengakses instance Private Service Connect adalah dengan menyiapkan server proxy IP publik. Ikuti petunjuk untuk menyiapkan server proxy, dengan perbedaan berikut:
- Langkah 3: Untuk
NETWORK, gunakan jaringan VPC tempat Anda membuat endpoint Private Service Connect. Anda dapat menggunakan subnet apa pun di jaringan tersebut. - Langkah 7: Untuk
PRIVATE\_IP\_ADDRESS, gunakan alamat IP endpoint Private Service Connect yang Anda buat. Anda dapat menemukannya dengan membuka halaman Private Service Connect pada project Anda di Konsol Google Cloud.