Auf dieser Seite wird beschrieben, wie Sie mit der gcloud CLI oder der Google Cloud -Konsole eine Produktions- oder Nichtproduktionsinstanz von Looker (Google Cloud Core) mit aktiviertem Private Service Connect (PSC) erstellen.
Eine Anleitung zum Erstellen einer Instanz mit öffentlichen sicheren Verbindungen finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz mit öffentlichen sicheren Verbindungen erstellen. Eine Anleitung zum Erstellen einer Looker (Google Cloud Core)-Instanz, für die der Zugriff auf private Dienste aktiviert ist, finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz mit privaten Verbindungen (PSA) erstellen.
Private Service Connect kann für eine Looker (Google Cloud Core)-Instanz aktiviert werden, die die folgenden Kriterien erfüllt:
- Die Looker (Google Cloud Core)-Instanz muss neu sein. Private Service Connect kann nur beim Erstellen der Instanz aktiviert werden.
- Die Instanzversion muss „Enterprise“ (
core-enterprise-annual) oder „Embed“ (core-embed-annual) sein.
Hinweise
- Wenden Sie sich an den Vertrieb, um sicherzustellen, dass Ihr Jahresvertrag abgeschlossen ist und Ihrem Projekt Kontingent zugewiesen wurde.
- Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein.
- Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl das Projekt aus, in dem Sie die Private Service Connect-Instanz erstellen möchten.
- Aktivieren Sie die Looker API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Konsolenseite möglicherweise aktualisieren, um zu bestätigen, dass die API aktiviert wurde.
- OAuth-Client einrichten und Autorisierungsanmeldedaten erstellen Mit dem OAuth-Client können Sie sich authentifizieren und auf die Instanz zugreifen. Sie müssen OAuth einrichten, um eine Looker (Google Cloud Core)-Instanz zu erstellen, auch wenn Sie eine andere Authentifizierungsmethode verwenden, um Nutzer in Ihrer Instanz zu authentifizieren.
- Wenn Sie VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-managed Encryption Keys, CMEK) mit der Looker (Google Cloud Core)-Instanz verwenden möchten, die Sie erstellen, ist vor dem Erstellen der Instanz eine zusätzliche Einrichtung erforderlich. Möglicherweise ist beim Erstellen der Instanz auch eine zusätzliche Edition und Netzwerkkonfiguration erforderlich.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker-Administrator (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befinden soll, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Möglicherweise benötigen Sie auch zusätzliche IAM-Rollen, um VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) einzurichten. Weitere Informationen finden Sie auf den Dokumentationsseiten zu diesen Funktionen.
Private Service Connect-Instanz erstellen
Console
- Rufen Sie die Produktseite für Looker (Google Cloud Core) über Ihr Projekt in der Google Cloud Console auf. Wenn Sie in diesem Projekt bereits eine Looker (Google Cloud Core)-Instanz erstellt haben, wird die Seite Instanzen geöffnet.
- Klicken Sie auf INSTANZ ERSTELLEN.
- Geben Sie im Abschnitt Instanzname einen Namen für Ihre Looker (Google Cloud Core)-Instanz ein. Der Instanzname ist nach der Erstellung nicht mit der URL der Looker (Google Cloud Core)-Instanz verknüpft. Der Instanzname kann nach dem Erstellen der Instanz nicht mehr geändert werden.
- Geben Sie im Abschnitt Anmeldedaten für OAuth-Anwendung die OAuth-Client-ID und das OAuth-Secret ein, die Sie beim Einrichten des OAuth-Clients erstellt haben.
Wählen Sie im Abschnitt Region die entsprechende Option aus dem Drop-down-Menü aus, um Ihre Looker (Google Cloud Core)-Instanz zu hosten. Wählen Sie die Region aus, die der Region im Abovertrag entspricht, da dort das Kontingent für Ihr Projekt zugewiesen wird. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.
Sie können die Region nicht mehr ändern, nachdem die Instanz erstellt wurde.
Wählen Sie im Bereich Version eine Enterprise- oder Embed-Version (Produktion oder Nicht-Produktion) aus. Der Editionstyp wirkt sich auf einige der für die Instanz verfügbaren Funktionen aus. Achten Sie darauf, dass Sie denselben Editionstyp wie in Ihrem Jahresvertrag auswählen und dass Ihnen für diesen Editionstyp Kontingent zugewiesen ist.
- Enterprise: Looker (Google Cloud Core)-Plattform mit erweiterten Sicherheitsfunktionen für eine Vielzahl interner BI- und Analyseanwendungsfälle
- Embed: Looker (Google Cloud Core)-Plattform zum Bereitstellen und Verwalten zuverlässiger externer Analysen und benutzerdefinierter Anwendungen in großem Umfang
- Nicht-Produktionsversionen: Wenn Sie eine Staging- und Testumgebung benötigen, wählen Sie eine der Nicht-Produktionsversionen aus. Weitere Informationen finden Sie in der Dokumentation zu Nicht produktiven Instanzen.
- Testversionen: Eine Testversion bietet dieselben Funktionen wie die entsprechende Produktionsversion. Testversionen sind jedoch nur 90 Tage lang gültig.
Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie die Edition ändern möchten, können Sie Importieren und Exportieren verwenden, um die Daten Ihrer Looker (Google Cloud Core)-Instanz in eine neue Instanz zu verschieben, die mit einer anderen Edition konfiguriert ist.
Klicken Sie im Bereich Instanz anpassen auf Konfigurationsoptionen einblenden, um eine Gruppe zusätzlicher Einstellungen aufzurufen, die Sie für die Instanz anpassen können.
Wählen Sie im Abschnitt Verbindungen unter Instanz-IP-Zuweisung entweder Hybridverbindungen verwenden oder Private Verbindungen verwenden aus. Der von Ihnen ausgewählte Netzwerkverbindungstyp wirkt sich auf die für die Instanz verfügbaren Looker-Funktionen aus. Die folgenden Netzwerkverbindungsoptionen sind verfügbar:
- Öffentliche verschlüsselte Verbindungen verwenden: Looker hat eine öffentliche URL und verwendet ein öffentliches Netzwerk für ausgehende Verbindungen.
Hybridverbindungen verwenden: Looker hat eine öffentliche URL und verwendet PSC-Endpunkte für ausgehende Verbindungen.
Private Verbindungen verwenden: Weist eine interne, vom Kunden definierte IP-Adresse zu, die für den Ingress in einer Virtual Private Cloud (VPC) verfügbar ist. Wenn Sie mit VPC- und lokalen oder Multi-Cloud-Arbeitslasten kommunizieren möchten, müssen Sie Dienstanhänge für ausgehenden Traffic bereitstellen. Wenn Sie VPC Service Controls verwenden möchten, müssen Sie Private Verbindungen verwenden auswählen.
Wenn Sie eine Instanz erstellen, die nur private Verbindungen verwendet, legen Sie mindestens eine zulässige VPC fest, für die eingehende Verbindungen zur Instanz zugelassen werden. Wählen Sie unter Eingehende Verbindungen konfigurieren im Feld Projekt 1 das Projekt aus, in dem dieses Netzwerk erstellt wurde.
Wenn Sie weitere eingehende Verbindungen hinzufügen möchten, klicken Sie auf Element hinzufügen, um jede VPC hinzuzufügen. Wählen Sie im Feld Projekt X das Projekt aus, in dem das Netzwerk erstellt wurde. Wählen Sie im Drop-down-Menü Netzwerk das Netzwerk aus.
Wenn Sie im Abschnitt Verbindungen die Option Hybridverbindungen verwenden auswählen, wird der Abschnitt Eingehende Verbindungen konfigurieren nicht angezeigt. Sie können den Zugriff auf die Instanz über die Web-URL der Instanz einrichten.
Geben Sie im Abschnitt Lokaler FQDN einen oder mehrere Dienstanhänge an, die einen Endpunkt für ausgehende Verbindungen bereitstellen, zu denen Looker eine Verbindung herstellen kann. Geben Sie im Feld Lokaler FQDN 1 den vollständig qualifizierten Domainnamen des Dienstes und im Feld URI des Ziel-Dienstanhangs 1 den vollständigen URI des Dienstanhangs für den externen Dienst ein.
Klicken Sie auf Eintrag hinzufügen, um weitere Dienstanhänge hinzuzufügen. Geben Sie im Feld Lokaler FQDN den vollqualifizierten Domainnamen des Dienstes ein. Geben Sie im Feld URI des Ziel-Dienstanhangs den vollständigen URI des Dienstanhangs für den externen Dienst ein.
Im Abschnitt Verschlüsselung können Sie den Verschlüsselungstyp auswählen, der für Ihre Instanz verwendet werden soll. Folgende Verschlüsselungsoptionen sind verfügbar:
- Google-managed encryption key: Diese Option ist die Standardeinstellung und erfordert keine zusätzliche Konfiguration.
- Vom Kunden verwalteter Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK): Weitere Informationen zu CMEK und zur Konfiguration beim Erstellen einer Instanz finden Sie auf der Dokumentationsseite Vom Kunden verwaltete Verschlüsselungsschlüssel mit Looker (Google Cloud Core) verwenden. Der Verschlüsselungstyp kann nach dem Erstellen der Instanz nicht mehr geändert werden.
- Validierte Verschlüsselung gemäß FIPS 140-2 aktivieren: Weitere Informationen zur FIPS 140-2-Unterstützung in Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite FIPS 140-2-Level 1-Compliance für eine Looker (Google Cloud Core)-Instanz aktivieren.
Im Abschnitt Wartungsfenster können Sie optional den Wochentag und die Stunde angeben, in der die Wartung für Looker (Google Cloud Core) geplant wird. Wartungsfenster dauern eine Stunde. Standardmäßig ist die Option Bevorzugtes Fenster im Wartungsfenster auf Beliebiges Fenster festgelegt.
Im Abschnitt Wartungsausschluss können Sie optional einen Block von Tagen angeben, an denen keine Wartung für Looker (Google Cloud Core) geplant wird. Zeiträume für Wartungsausschlüsse können bis zu 60 Tage lang sein. Zwischen zwei Zeiträumen für Wartungsausschlüsse müssen mindestens 14 Tage liegen, in denen die Wartung möglich ist.
Im Bereich Gemini in Looker können Sie optional Gemini in Looker-Funktionen für die Looker (Google Cloud Core)-Instanz verfügbar machen. Wenn Sie Gemini in Looker aktivieren möchten, wählen Sie Gemini und dann Trusted Tester-Funktionen aus. Wenn Trusted Tester-Funktionen aktiviert ist, können Nutzer auf die Trusted Tester-Funktionen von Gemini in Looker zugreifen. Sie können den Zugriff auf nicht öffentliche Trusted Tester-Funktionen über das Formular für die Vorabversion von Gemini in Looker auf Nutzerbasis anfordern. Sie müssen diese Einstellung aktivieren, um Gemini während der Pre-GA-Vorschau verwenden zu können. Wählen Sie optional Trusted Tester-Datennutzung aus. Wenn diese Einstellung aktiviert ist, stimmen Sie zu, dass Ihre Daten von Google gemäß den Nutzungsbedingungen für Gemini im Rahmen des Google Cloud Trusted Tester-Programms verwendet werden. Wenn Sie Gemini für eine Looker (Google Cloud Core)-Instanz deaktivieren möchten, entfernen Sie das Häkchen aus der Einstellung Gemini.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den Befehl gcloud looker instances create mit allen folgenden Flags aus, um eine Private Service Connect-Instanz zu erstellen:
gcloud looker instances create INSTANCE_NAME \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ [--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS] [--no-public-ip-enabled] [--public-ip-enabled] --async
Ersetzen Sie Folgendes:
INSTANCE_NAME: Ein Name für Ihre Looker-Instanz (Google Cloud Core). Er ist nicht mit der Instanz-URL verknüpft.OAUTH_CLIENT_IDundOAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird. Wählen Sie die Region aus, die der Region im Abovertrag entspricht. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.EDITION: die Edition, der Umgebungstyp (Produktion oder Nicht-Produktion) und ob es sich um eine Testversion für die Instanz handelt. Mögliche Werte sindcore-enterprise-annual,core-embed-annual,nonprod-core-enterprise-annual,nonprod-core-embed-annual,core-trial-enterpriseodercore-trial-embed. Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie die Edition ändern möchten, können Sie Importieren und Exportieren verwenden, um die Daten Ihrer Looker (Google Cloud Core)-Instanz in eine neue Instanz zu verschieben, die mit einer anderen Edition konfiguriert ist.ALLOWED_VPC: Wenn Sie eine Instanz erstellen, die nur private Verbindungen verwendet, geben Sie ein VPC-Netzwerk an, das eingehenden Zugriff auf Looker (Google Cloud Core) haben darf. Wenn Sie von außerhalb der VPC, in der sich die Instanz befindet, auf die Instanz zugreifen möchten, müssen Sie mindestens eine VPC angeben. Geben Sie eine VPC in einem der folgenden Formate an:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
Wenn Sie eine Instanz erstellen, die Hybridverbindungen verwendet, müssen Sie keine zulässige VPC festlegen.
ADDITIONAL_ALLOWED_VPCS: Alle zusätzlichen VPCs, die eingehenden Zugriff auf Looker (Google Cloud Core) erhalten sollen, können dem Flag--psc-allowed-vpcsin einer durch Kommas getrennten Liste hinzugefügt werden.
Außerdem müssen Sie eines der folgenden Flags angeben, um öffentliche Verbindungen zu aktivieren oder zu deaktivieren:
--public-ip-enabledaktiviert öffentliche Verbindungen. Wenn Sie öffentliche Verbindungen für die Instanz aktivieren, wird eingehender Traffic über öffentliche Verbindungen und ausgehender Traffic über Private Service Connect weitergeleitet.- Mit
--no-public-ip-enabledwerden öffentliche Verbindungen deaktiviert.
Sie können weitere Parameter hinzufügen, um andere Instanzeinstellungen festzulegen:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: muss einer der folgenden Werte sein:friday,monday,saturday,sunday,thursday,tuesday,wednesday. Weitere Informationen zu den Einstellungen für Wartungsfenster finden Sie auf der Dokumentationsseite Wartungsrichtlinien für Looker (Google Cloud Core) verwalten.MAINTENANCE_WINDOW_TIMEundDENY_MAINTENANCE_PERIOD_TIME: müssen in UTC im 24-Stunden-Format angegeben werden (z. B. 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEundDENY_MAINTENANCE_PERIOD_END_DATE: müssen das FormatYYYY-MM-DDhaben.KMS_KEY_ID: Muss der Schlüssel sein, der beim Einrichten von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) erstellt wird.
Sie können das Flag --fips-enabled einfügen, um FIPS 140‑2 Level 1-Konformität zu aktivieren.
Das Erstellen einer Private Service Connect-Instanz unterscheidet sich in folgenden Punkten vom Erstellen einer Looker (Google Cloud Core)-Instanz (Zugriff auf private Dienste):
- Bei der Einrichtung von Private Service Connect sind die Flags
--consumer-networkund--reserved-rangenicht erforderlich. - Für Private Service Connect-Instanzen ist ein zusätzliches Flag erforderlich:
--psc-enabled. Das Flag
--psc-allowed-vpcsist eine durch Kommas getrennte Liste von VPCs. Sie können beliebig viele VPCs in der Liste angeben.
Status der Instanz prüfen
Die Erstellung der Instanz dauert etwa 40 bis 60 Minuten.
Console
Während die Instanz erstellt wird, können Sie ihren Status in der Console auf der Seite Instanzen ansehen. Sie können die Aktivitäten zur Instanzerstellung auch aufrufen, indem Sie im Google Cloud -Konsolenmenü auf das Benachrichtigungssymbol klicken. Auf der Seite Details für die Instanz wird nach der Erstellung der Status Aktiv angezeigt.
gcloud
Verwenden Sie zum Prüfen des Status den Befehl gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME: Der Name Ihrer Looker (Google Cloud Core)-Instanz.REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.
Die Instanz ist bereit, sobald sie den Status ACTIVE erreicht hat.
Private Service Connect für externe Dienste einrichten
Damit Ihre Looker (Google Cloud Core)-Instanz eine Verbindung zu einem externen Dienst herstellen kann, muss dieser externe Dienst mit Private Service Connect veröffentlicht werden. Folgen Sie der Anleitung zum Veröffentlichen von Diensten mit Private Service Connect für jeden Dienst, den Sie veröffentlichen möchten.
Dienste können mit automatischer Genehmigung oder mit expliziter Genehmigung veröffentlicht werden. Wenn Sie mit expliziter Genehmigung veröffentlichen möchten, müssen Sie den Dienstanhang so konfigurieren:
- Legen Sie für die Zulassungsliste Ihres Dienstanhangs fest, dass Projekte (nicht Netzwerke) verwendet werden.
- Fügen Sie die Projekt-ID des Looker-Mandanten der Zulassungsliste hinzu.
Sie können die Projekt-ID Ihres Looker-Tenants nach der Erstellung Ihrer Instanz mit dem folgenden Befehl ermitteln:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Ersetzen Sie Folgendes:
INSTANCE_NAME: Der Name Ihrer Looker (Google Cloud Core)-Instanz.REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.
In der Befehlsausgabe enthält das Feld looker_service_attachment_uri die Projekt-ID Ihres Looker-Mandanten. Sie hat folgendes Format: projects/{Looker tenant project ID}/regions/…
URI des Dienstanhangs
Wenn Sie Ihre Looker (Google Cloud Core)-Instanz später aktualisieren, um eine Verbindung zu Ihrem Dienst herzustellen, benötigen Sie den vollständigen URI des Dienstanhangs für den externen Dienst. Der URI wird mit dem Projekt, der Region und dem Namen, die Sie zum Erstellen des Dienstanhangs verwendet haben, so angegeben:
projects/{project}/regions/{region}/serviceAttachments/{name}
Private Service Connect-Instanz für Looker (Google Cloud Core) aktualisieren
Nachdem Ihre Private Service Connect-Instanz für Looker (Google Cloud Core) erstellt wurde, können Sie die folgenden Änderungen vornehmen:
Außerdem können Sie nach dem Erstellen der Instanz weitere Änderungen vornehmen, indem Sie die Instanzeinstellungen bearbeiten.
Ausgehende Verbindungen angeben
Console
- Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie ausgehende (Egress-)Verbindungen aktivieren möchten.
- Klicken Sie auf Bearbeiten.
- Maximieren Sie den Abschnitt Verbindungen.
- Wenn Sie einen vorhandenen Dienstanhang bearbeiten möchten, aktualisieren Sie den vollständig qualifizierten Domainnamen des Dienstes im Feld Lokaler FQDN und den URI des Dienstanhangs im Feld URI des Zieldienstanhangs.
- Wenn Sie eine neue Dienstanhang hinzufügen möchten, klicken Sie auf Element hinzufügen. Geben Sie dann den voll qualifizierten Domainnamen des Dienstes in das Feld Lokaler FQDN und den URI des Dienstanhangs in das Feld URI des Ziel-Dienstanhangs ein.
- Klicken Sie auf Speichern.
gcloud
Verwenden Sie --psc-service-attachment-Flags, um ausgehende (Egress-)Verbindungen zu externen Diensten zu aktivieren, für die Sie bereits Private Service Connect eingerichtet haben:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME: Der Name Ihrer Looker (Google Cloud Core)-Instanz.DOMAIN_1undDOMAIN_2: Wenn Sie eine Verbindung zu einem öffentlichen Dienst herstellen, verwenden Sie den Domainnamen des Dienstes. Wenn Sie eine Verbindung zu einem privaten Dienst herstellen, können Sie einen vollständig qualifizierten Domainnamen verwenden. Für den Domainnamen gelten die folgenden Einschränkungen:Jede ausgehende Verbindung unterstützt eine einzelne Domain.
Der Domainname muss aus mindestens drei Teilen bestehen. Beispiel:
mydomain.github.comist akzeptabel,github.comjedoch nicht.Der letzte Teil des Namens darf nicht einer der folgenden sein:
googleapis.comgoogle.comgcr.iopkg.dev
Wenn Sie eine Verbindung zu Ihrem Dienst über Ihre Looker (Google Cloud Core)-Instanz einrichten, verwenden Sie diese Domain als Alias für Ihren Dienst.
SERVICE_ATTACHMENT_1undSERVICE_ATTACHMENT_2: der vollständige URI des Dienstanhangs für den veröffentlichten Dienst, zu dem Sie eine Verbindung herstellen. Auf jeden Dienstanhang-URI kann über eine einzelne Domain zugegriffen werden.REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.
Wenn Sie eine Verbindung zu einem nicht von Google verwalteten Dienst in einer anderen Region als der Region herstellen, in der sich Ihre Looker (Google Cloud Core)-Instanz befindet, aktivieren Sie den globalen Zugriff für den Producer-Load-Balancer.
Alle Verbindungen einschließen, die aktiviert werden sollen
Jedes Mal, wenn Sie einen Update-Befehl mit --psc-service-attachment-Flags ausführen, müssen Sie jede Verbindung angeben, die aktiviert werden soll, auch Verbindungen, die bereits aktiviert waren. Angenommen, Sie haben zuvor eine Instanz mit dem Namen my-instance mit der Domain www.cloud.com verbunden:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
Wenn Sie den folgenden Befehl ausführen, um eine neue www.me.com-Verbindung hinzuzufügen, wird die www.cloud.com-Verbindung gelöscht:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Damit die www.cloud.com-Verbindung nicht gelöscht wird, wenn Sie die neue www.me.com-Verbindung hinzufügen, fügen Sie im Update-Befehl ein separates psc-service-attachment-Flag für die vorhandene und die neue Verbindung ein:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Status ausgehender Verbindungen prüfen
Sie können den Status Ihrer ausgehenden Verbindungen (Egress) über die Google Cloud CLI oder in der Console prüfen.
Console
Den Verbindungsstatus finden Sie in der Console auf der Seite mit der Instanzkonfiguration auf dem Tab Details. Im Feld Verbindungsstatus wird der Status für jeden Ziel-Dienstanhang angezeigt.
gcloud
Führen Sie den Befehl gcloud looker instances describe --format=json aus, um den Status der ausgehenden Verbindung zu prüfen. Jeder Dienstanhang sollte ein Feld connection_status enthalten.
Alle ausgehenden Verbindungen löschen
Führen Sie den folgenden Befehl aus, um alle ausgehenden Verbindungen zu löschen:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME: Der Name Ihrer Looker (Google Cloud Core)-Instanz.REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.
Zulässige VPCs aktualisieren
Wenn Sie sich dafür entschieden haben, in der Looker (Google Cloud Core)-Instanz nur private Verbindungen zu verwenden, müssen Sie mindestens einen VPC-Zugriff auf die Instanz zulassen. Führen Sie die folgenden Schritte aus, um die VPCs zu aktualisieren, die Zugriff auf die Instanz haben.
Console
- Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie die VPCs aktualisieren möchten, die eingehenden Zugriff auf die Instanz zulassen.
- Klicken Sie auf Bearbeiten.
- Maximieren Sie den Abschnitt Verbindungen.
- Wenn Sie eine neue VPC hinzufügen möchten, klicken Sie auf Element hinzufügen. Wählen Sie dann das Projekt aus, in dem sich die VPC befindet, und wählen Sie das Netzwerk aus dem Drop-down-Menü Netzwerk aus.
- Wenn Sie eine VPC löschen möchten, klicken Sie auf das Papierkorbsymbol Element löschen, das angezeigt wird, wenn Sie den Mauszeiger auf das Netzwerk bewegen.
- Klicken Sie auf Speichern.
gcloud
Verwenden Sie das Flag --psc-allowed-vpcs, um die Liste der VPCs zu aktualisieren, die autorisierten eingehenden Zugriff auf die Instanz haben.
Wenn Sie die zulässigen VPCs aktualisieren, müssen Sie die gesamte Liste angeben, die nach der Aktualisierung gelten soll. Angenommen, VPC ALLOWED_VPC_1 ist bereits zulässig und Sie möchten VPC ALLOWED_VPC_2 hinzufügen. Wenn Sie VPC ALLOWED_VPC_1 hinzufügen und gleichzeitig sicherstellen möchten, dass VPC ALLOWED_VPC_2 weiterhin zulässig ist, fügen Sie das Flag --psc-allowed-vpcs so hinzu:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME: Der Name Ihrer Looker (Google Cloud Core)-Instanz.ALLOWED_VPC_1undALLOWED_VPC_2: die VPCs, die eingehenden Traffic in Looker (Google Cloud Core) zulassen dürfen. Geben Sie jede zulässige VPC in einem der folgenden Formate an:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.
Alle zulässigen VPCs löschen
Führen Sie den folgenden Befehl aus, um alle zulässigen VPCs zu löschen:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME: Der Name Ihrer Looker (Google Cloud Core)-Instanz.REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.
Northbound-Zugriff auf Ihre Instanz
Nachdem die Looker (Google Cloud Core)-Instanz (Private Service Connect) erstellt wurde, können Sie den eingehenden Zugriff einrichten, damit Ihre Nutzer auf die Instanz zugreifen können.
Wenn Sie beim Einrichten der Instanz Hybridverbindungen ausgewählt haben, können Sie den eingehenden Zugriff über die Web-URL für die Instanz einrichten. Sie finden diese URL in der Google Cloud -Konsole auf der Seite Instanzen oder auf dem Tab Benutzerdefinierte Domain der Seite mit den Instanzdetails, wenn Sie eine benutzerdefinierte Domain eingerichtet haben.
Wenn Sie beim Einrichten der Instanz private Verbindungen ausgewählt haben, können Sie den eingehenden Zugriff auf die Instanz über ein anderes VPC-Netzwerk einrichten. Folgen Sie dazu der Anleitung zum Erstellen eines Private Service Connect-Endpunkts. Beachten Sie beim Erstellen des Endpunkts die folgenden Richtlinien:
- Achten Sie darauf, dass das Netzwerk eingehenden Zugriff auf Ihre Looker (Google Cloud Core)-Instanz hat, indem Sie es der Liste der zulässigen VPCs hinzufügen.
Legen Sie das Feld Zieldienst (für die Google Cloud -Konsole) oder die Variable
SERVICE_ATTACHMENT(wenn Sie der Anleitung für die Google Cloud CLI oder API folgen) auf den URI der Looker-Dienstanbindung fest. Sie finden ihn auf der Seite mit der Instanzkonfiguration in der Konsole auf dem Tab Details oder durch Ausführen des folgenden Befehls:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Ersetzen Sie Folgendes:
INSTANCE_NAME: Der Name Ihrer Looker (Google Cloud Core)-Instanz.REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.
Sie können jedes Subnetz verwenden, das in derselben Region wie die Looker (Google Cloud Core)-Instanz gehostet wird.
Aktivieren Sie den globalen Zugriff nicht.
Wenn Sie von einer hybriden Netzwerkumgebung aus auf Ihre Instanz zugreifen möchten, können Sie der Anleitung auf der Dokumentationsseite Northbound access to a Looker (Google Cloud core) instance using Private Service Connect (Northbound-Zugriff auf eine Looker (Google Cloud Core)-Instanz über Private Service Connect) folgen, um eine benutzerdefinierte Domain einzurichten und auf die Instanz zuzugreifen.