En esta página, se describe el proceso para usar gcloud CLI y crear una instancia de Looker (Google Cloud Core) con Private Service Connect habilitado.
Private Service Connect se puede habilitar para una instancia de Looker (Google Cloud Core) que cumpla con los siguientes criterios:
- La instancia de Looker (Google Cloud Core) debe ser nueva. Private Service Connect solo se puede habilitar en el momento de la creación de la instancia.
- La instancia no puede tener habilitada una IP pública.
- La edición de la instancia debe ser Enterprise (
core-enterprise-annual) o Embed (core-embed-annual).
Antes de comenzar
- En la página del selector de proyectos de la consola de Google Cloud, selecciona el proyecto en el que deseas crear la instancia de Private Service Connect.
- Habilita la API de Looker para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
- Configura un cliente de OAuth y crea credenciales de autorización. El cliente de OAuth te permite autenticarte y acceder a la instancia. Debes configurar OAuth para crear una instancia de Looker (Google Cloud Core), incluso si usas un método de autenticación diferente para autenticar usuarios en tu instancia.
- Si quieres usar los Controles del servicio de VPC o las claves de encriptación administradas por el cliente (CMEK) con la instancia de Looker (Google Cloud Core) que estás creando, se requiere una configuración adicional antes de crear la instancia. Es posible que también se requiera una edición adicional y una configuración de red durante la creación de la instancia.
Roles obligatorios
Para obtener los permisos que necesitas para crear una instancia de Looker (Google Cloud Core),
pídele a tu administrador que te otorgue el rol de IAM de
administrador de Looker (roles/looker.admin) en el proyecto en el que residirá la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Es posible que también necesites roles de IAM adicionales para configurar los Controles del servicio de VPC o las claves de encriptación administradas por el cliente (CMEK). Visita las páginas de documentación de esas funciones para obtener más información.
Crea una instancia de Private Service Connect
Para crear una instancia de Private Service Connect, ejecuta el comando gcloud looker instances create con todas las marcas siguientes:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Reemplaza lo siguiente:
INSTANCE_NAME: Es un nombre para tu instancia de Looker (Google Cloud Core). No está asociado con la URL de la instancia.OAUTH_CLIENT_IDyOAUTH_CLIENT_SECRET: el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth Después de crear la instancia, ingresa la URL de la instancia en la sección URIs de redireccionamiento autorizados del cliente de OAuth.REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la del contrato de suscripción. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).EDITION: Es la edición de la instancia. Sus valores posibles soncore-enterprise-annualocore-embed-annual. Las ediciones no se pueden cambiar después de crear la instancia. Si quieres cambiar una edición, puedes usar la importación y exportación para mover los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.ALLOWED_VPC: Es una VPC que tendrá acceso de entrada al norte (de entrada) en Looker (Google Cloud Core). Para acceder a la instancia desde fuera de la VPC en la que se encuentra, debes enumerar al menos una VPC. Especifica una VPC con uno de los siguientes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: Se pueden agregar a la marca--psc-allowed-vpcs, en una lista separada por comas, todas las VPC adicionales a las que se les permitirá el acceso norte-sur a Looker (Google Cloud Core).
Si lo deseas, puedes agregar más parámetros para aplicar otros parámetros de configuración de la instancia:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: Debe ser una de las siguientes opciones:friday,monday,saturday,sunday,thursday,tuesday,wednesday. Consulta la página de documentación Administra las políticas de mantenimiento para Looker (Google Cloud Core) para obtener más información sobre la configuración del período de mantenimiento.MAINTENANCE_WINDOW_TIMEyDENY_MAINTENANCE_PERIOD_TIME: Deben estar en formato UTC en formato de 24 horas (por ejemplo, 13:00 o 17:45).DENY_MAINTENANCE_PERIOD_START_DATEyDENY_MAINTENANCE_PERIOD_END_DATEdeben tener el formatoYYYY-MM-DD.KMS_KEY_ID: Debe ser la clave que se crea cuando se configuran las claves de encriptación administradas por el cliente (CMEK).
Puedes incluir la marca --fips-enabled para habilitar el cumplimiento de FIPS 140-2 de nivel 1.
El proceso para crear una instancia de Private Service Connect difiere del proceso para crear una instancia de Looker (Google Cloud Core) (acceso a servicios privados) de las siguientes maneras:
- Con la configuración de Private Service Connect, las marcas
--consumer-networky--reserved-rangeno son necesarias. - Las instancias de Private Service Connect requieren dos marcas adicionales:
--no-public-ip-enabledy--psc-enabled. - La marca
--psc-allowed-vpcses una lista de VPC separadas por comas. Puedes especificar todas las VPC que desees en la lista.
Verifica el estado de la instancia
La instancia tarda entre 40 y 60 minutos en crearse. Para verificar el estado, usa el comando gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
La instancia estará lista cuando alcance el estado ACTIVE.
Configura Private Service Connect para servicios externos
Para que tu instancia de Looker (Google Cloud Core) pueda conectarse a un servicio externo, ese servicio externo debe publicarse con Private Service Connect. Sigue las instrucciones para publicar servicios con Private Service Connect para cualquier servicio que quieras publicar.
Los servicios se pueden publicar con aprobación automática o con aprobación explícita. Si eliges publicar con aprobación explícita, debes configurar el adjunto de servicio de la siguiente manera:
- Configura la lista de entidades permitidas de tus adjuntos de servicio para usar proyectos (no redes).
- Agrega el ID del proyecto de usuario de Looker a la lista de entidades permitidas.
Para encontrar el ID de proyecto de tu inquilino de Looker después de crear la instancia, ejecuta el siguiente comando:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
En el resultado del comando, el campo looker_service_attachment_uri contendrá el ID del proyecto de usuario de Looker. Tendrá el siguiente formato: projects/{Looker tenant project ID}/regions/….
URI del adjunto de servicio
Cuando más adelante actualices tu instancia de Looker (Google Cloud Core) para conectarte a tu servicio, necesitarás el URI completo del adjunto del servicio. El URI se especificará de la siguiente manera, con el proyecto, la región y el nombre que usaste para crear el archivo adjunto del servicio:
projects/{project}/regions/{region}/serviceAttachments/{name}
Actualiza una instancia de Private Service Connect de Looker (Google Cloud Core)
Una vez que se haya creado tu instancia de Private Service Connect de Looker (Google Cloud Core), puedes realizar los siguientes cambios:
Especifica las conexiones de norte a sur
Usa marcas --psc-service-attachment para habilitar conexiones sureñas (de salida) a servicios externos para los que ya configuraste Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).DOMAIN_1yDOMAIN_2: Si te conectas a un servicio público, usa el nombre de dominio del servicio. Si te conectas a un servicio privado, usa el nombre de dominio completamente calificado que elijas. Se aplican las siguientes restricciones al nombre de dominio:- Cada conexión hacia el sur admite un solo dominio.
- El nombre de dominio debe constar de al menos tres partes. Por ejemplo, se acepta
mydomain.github.com, pero nogithub.com. La última parte del nombre no puede ser ninguno de los siguientes:
googleapis.comgoogle.comgcr.iopkg.dev
Cuando configures una conexión a tu servicio desde tu instancia de Looker (Google Cloud Core), usa este dominio como el alias de tu servicio.
SERVICE_ATTACHMENT_1ySERVICE_ATTACHMENT_2: El URI de adjunto de servicio completo del servicio publicado al que te conectas. Cada URI de adjunto de servicio puede ser accedido por un solo dominio.REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Si te conectas a un servicio administrado por terceros en una región distinta de la que se encuentra tu instancia de Looker (Google Cloud Core), habilita el acceso global en el balanceador de cargas del productor.
Incluir todas las conexiones que deberían habilitarse
Cada vez que ejecutas un comando de actualización con marcas --psc-service-attachment, debes incluir todas las conexiones que deseas que se habiliten, incluidas las que ya estaban habilitadas anteriormente. Por ejemplo, supongamos que conectaste una instancia llamada my-instance al dominio www.cloud.com de la siguiente manera:
gcloud looker instances update my-instance --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
Si ejecutas el siguiente comando para agregar una nueva conexión www.me.com, se borrará la conexión www.cloud.com:
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Para evitar que se borre la conexión www.cloud.com cuando agregas la nueva conexión www.me.com, incluye una marca psc-service-attachment independiente para la conexión existente y la nueva dentro del comando de actualización de la siguiente manera:
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Verifica el estado de la conexión de norte a sur
Para verificar el estado de tus conexiones de salida (sur), vuelve a ejecutar el comando gcloud looker instances describe --format=json. Cada archivo adjunto de servicio debe propagarse con un campo connection_status.
Borra todas las conexiones de norte a sur
Para borrar todas las conexiones de salida, ejecuta el siguiente comando:
gcloud looker instances update MY_INSTANCE \ --clear-psc-service-attachments \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Actualiza las VPC permitidas
Usa la marca --psc-allowed-vpcs para actualizar la lista de VPC que tienen autorizado el acceso norte-sur a la instancia.
Cuando actualizas las VPC permitidas, debes especificar toda la lista que deseas que esté vigente después de la actualización. Por ejemplo, supongamos que la VPC ALLOWED_VPC_1 ya está permitida y quieres agregar la VPC ALLOWED_VPC_2. Para agregar la VPC ALLOWED_VPC_1 y asegurarte de que la VPC ALLOWED_VPC_2 siga permitiendo, agrega la marca --psc-allowed-vpcs de la siguiente manera:
gcloud looker instances update INSTANCE_NAME --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).ALLOWED_VPC_1yALLOWED_VPC_2: Son las VPC que se permitirán para la entrada a Looker (Google Cloud Core). Especifica cada VPC permitida con uno de los siguientes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Borra todas las VPC permitidas
Para borrar todas las VPC permitidas, ejecuta el siguiente comando:
gcloud looker instances update MY_INSTANCE \ --clear-psc-allowed-vpcs \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Acceso hacia el norte de tu instancia
Después de crear la instancia de Looker (Google Cloud Core) (Private Service Connect), puedes configurar el acceso norte para permitir que tus usuarios accedan a la instancia.
Si quieres acceder a tu instancia desde otra red de VPC, primero sigue las instrucciones para crear un extremo de Private Service Connect. Asegúrate de que la red tenga permitido el acceso hacia el norte en tu instancia de Looker (Google Cloud Core) y sigue estos lineamientos cuando crees el extremo:
Establece el campo Servicio de destino (para la consola de Google Cloud) o la variable
SERVICE_ATTACHMENT(si sigues las instrucciones de la API o de Google Cloud CLI) en el URI de archivo adjunto del servicio de Looker, que puedes encontrar en la pestaña Detalles en la página de configuración de la instancia de la consola o ejecutando el siguiente comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Puedes usar cualquier subred alojada en la misma región que la instancia de Looker (Google Cloud Core).
No habilites el acceso global.
Para acceder a tu instancia desde un entorno de redes híbrido, puedes seguir las instrucciones en la página de documentación Acceso hacia el norte a una instancia de Looker (Google Cloud Core) con Private Service Connect para configurar un dominio personalizado y acceder a la instancia.