Diese Seite wurde von der Cloud Translation API übersetzt.

Private Service Connect-Instanz für Looker (Google Cloud Core) erstellen

Auf dieser Seite wird beschrieben, wie Sie mit der gcloud CLI eine Looker-Produktions- oder Nicht-Produktions-Instanz (Google Cloud Core) mit aktiviertem Private Service Connect erstellen.

Private Service Connect kann für eine Looker (Google Cloud Core)-Instanz aktiviert werden, die die folgenden Kriterien erfüllt:

Die Looker (Google Cloud Core)-Instanz muss neu sein. Private Service Connect kann nur beim Erstellen der Instanz aktiviert werden.
Für die Instanz darf keine öffentliche IP-Adresse aktiviert sein.
Die Instanzversion muss „Enterprise“ (core-enterprise-annual) oder „Embed“ (core-embed-annual) sein.

Hinweis

Wählen Sie in der Google Cloud Console auf der Seite „Projektauswahl“ das Projekt aus, in dem Sie die Private Service Connect-Instanz erstellen möchten.
Zur Projektauswahl
Aktivieren Sie die Looker API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Console-Seite möglicherweise aktualisieren, um zu prüfen, ob die API aktiviert wurde.
API aktivieren

Achtung:Wenn Sie die Looker API nach dem Erstellen der Instanz deaktivieren, wirkt sich das auf die Looker (Google Cloud Core)-Funktionen aus. Wenn Sie die API deaktivieren, können Sie beispielsweise keine Instanzsicherungen mehr erstellen.
Richten Sie einen OAuth-Client ein und erstellen Sie Autorisierungsanmeldedaten. Über den OAuth-Client können Sie sich authentifizieren und auf die Instanz zugreifen. Sie müssen OAuth einrichten, um eine Looker (Google Cloud Core)-Instanz zu erstellen, auch wenn Sie eine andere Authentifizierungsmethode für die Authentifizierung von Nutzern in Ihrer Instanz verwenden.
Wenn Sie VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit der von Ihnen erstellten Looker-Instanz (Google Cloud Core) verwenden möchten, ist vor dem Erstellen der Instanz eine zusätzliche Einrichtung erforderlich. Möglicherweise sind auch zusätzliche Editionen und Netzwerkkonfigurationen erforderlich.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker Admin (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befinden soll, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Möglicherweise benötigen Sie auch zusätzliche IAM-Rollen, um VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) einzurichten. Weitere Informationen zu diesen Funktionen finden Sie auf den entsprechenden Dokumentationsseiten.

Private Service Connect-Instanz erstellen

Console

Rufen Sie in der Google Cloud Console über Ihr Projekt die Produktseite für Looker (Google Cloud Core) auf. Wenn Sie in diesem Projekt bereits eine Looker (Google Cloud Core)-Instanz erstellt haben, wird die Seite Instanzen geöffnet.
Looker (Google Cloud Core) aufrufen
Klicken Sie auf INSTANZ ERSTELLEN.
Geben Sie im Abschnitt Instanzname einen Namen für Ihre Looker (Google Cloud Core)-Instanz ein. Der Instanzname wird nach der Erstellung nicht mit der URL der Looker (Google Cloud Core)-Instanz verknüpft. Der Instanzname kann nach dem Erstellen der Instanz nicht mehr geändert werden.
Geben Sie im Abschnitt Anmeldedaten für OAuth-Anwendung die OAuth-Client-ID und das OAuth-Secret ein, die Sie beim Einrichten des OAuth-Clients erstellt haben.
Wählen Sie im Abschnitt Region im Drop-down-Menü die Option aus, mit der Sie Ihre Looker (Google Cloud Core)-Instanz hosten möchten. Wählen Sie die Region aus, die mit der Region im Abovertrag übereinstimmt. Dort wird das Kontingent für Ihr Projekt zugewiesen. Verfügbare Regionen sind auf der Dokumentationsseite Standorte für Looker (Google Cloud Core) aufgeführt.

Sie können die Region nicht mehr ändern, nachdem die Instanz erstellt wurde.
Wählen Sie im Bereich Version die Option Enterprise oder Embed für eine Produktions- oder Nicht-Produktions-Instanz aus. Der Editiontyp wirkt sich auf einige der für die Instanz verfügbaren Funktionen aus. Achten Sie darauf, dass Sie denselben Editionentyp auswählen, der in Ihrem Jahresvertrag aufgeführt ist, und dass Ihnen für diesen Editionentyp ein Kontingent zugewiesen wurde.
- Enterprise: Looker-Plattform (Google Cloud Core) mit erweiterten Sicherheitsfeatures für eine Vielzahl interner BI- und Analyseanwendungsfälle
- Embed: Looker (Google Cloud Core)-Plattform zum Bereitstellen und Verwalten zuverlässiger externer Analysen und benutzerdefinierter Anwendungen im großen Maßstab
Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie die Version ändern möchten, können Sie Ihre Looker (Google Cloud Core)-Instanzdaten mithilfe von Importieren und Exportieren in eine neue Instanz verschieben, die mit einer anderen Version konfiguriert ist.
Klicken Sie im Bereich Instanz anpassen auf KONFIGURATIONSOPTIONEN EINBLENDEN, um eine Gruppe zusätzlicher Einstellungen aufzurufen, die Sie für die Instanz anpassen können.
Wählen Sie im Bereich Verbindungen unter Instanz-IP-Zuweisung nur Private IP aus. Die Art der Netzwerkverbindung, die Sie auswählen, wirkt sich auf die für die Instanz verfügbaren Looker-Funktionen aus.

Hinweis: Die private IP-Adresse muss beim Erstellen der Instanz zugewiesen werden. Private IP-Adressen können einer Instanz nach der Erstellung nicht mehr hinzugefügt oder daraus entfernt werden.
Wählen Sie unter Private IP-Typ die Option Private Service Connect (PSC) aus.
Klicken Sie unter Zulässige VPCs auf Element hinzufügen, um die VPCs hinzuzufügen, denen Zugriff von außen auf die Looker-Instanz (Google Cloud Core) gewährt werden soll. Wählen Sie im Feld Projekt das Projekt aus, in dem das Netzwerk erstellt wurde. Wählen Sie im Drop-down-Menü Netzwerk das Netzwerk aus. Fügen Sie bei Bedarf weitere VPCs hinzu, indem Sie auf Element hinzufügen klicken.
Im Abschnitt Verschlüsselung können Sie die Art der Verschlüsselung für Ihre Instanz auswählen. Folgende Verschlüsselungsoptionen sind verfügbar:
- Google-managed encryption key: Diese Option ist standardmäßig aktiviert und erfordert keine zusätzliche Konfiguration.
- Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK): Weitere Informationen zu CMEK und zur Konfiguration während der Instanzerstellung finden Sie auf der Dokumentationsseite Vom Kunden verwaltete Verschlüsselungsschlüssel mit Looker (Google Cloud-Kern) verwenden. Der Verschlüsselungstyp kann nach dem Erstellen der Instanz nicht mehr geändert werden.
- Validierte Verschlüsselung gemäß FIPS 140-2 aktivieren: Weitere Informationen zur FIPS 140-2-Unterstützung in Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite FIPS 140-2-Level-1-Compliance in einer Looker-Instanz (Google Cloud Core) aktivieren.
Im Abschnitt Wartungsfenster können Sie optional den Wochentag und die Uhrzeit angeben, zu der die Wartung für Looker (Google Cloud Core) geplant wird. Wartungsfenster dauern eine Stunde. Standardmäßig ist die Option Bevorzugtes Fenster im Bereich Wartungsfenster auf Beliebiges Fenster festgelegt.
Im Abschnitt Wartungsausschlusszeitraum können Sie optional einen Block von Tagen angeben, an denen Looker (Google Cloud Core) keine Wartung plant. Zeiträume für Wartungsausschlüsse können bis zu 60 Tage lang sein. Zwischen zwei Zeiträumen für Wartungsausschlüsse müssen mindestens 14 Tage liegen, in denen die Wartung möglich ist.
Im Bereich Gemini in Looker können Sie optional Gemini in Looker-Funktionen für die Looker (Google Cloud Core)-Instanz verfügbar machen. Wenn Sie Gemini in Looker aktivieren möchten, wählen Sie Gemini und dann Trusted Tester-Funktionen aus. Wenn Trusted Tester-Funktionen aktiviert ist, können Nutzer auf die Trusted Tester-Funktionen von Gemini in Looker zugreifen. Sie können den Zugriff auf nicht öffentliche Trusted Tester-Funktionen über das Formular für die Vorabversion von Gemini in Looker auf Nutzerbasis anfordern. Sie müssen diese Einstellung aktivieren, um Gemini während der Pre-GA-Vorabversion zu verwenden. Optional: Wählen Sie Trusted Tester-Datennutzung aus. Wenn diese Einstellung aktiviert ist, stimmen Sie zu, dass Ihre Daten von Google gemäß den Nutzungsbedingungen für das Trusted Tester-Programm von Google Cloud Gemini verwendet werden. Wenn Sie Gemini für eine Looker (Google Cloud Core)-Instanz deaktivieren möchten, entfernen Sie das Häkchen aus der Einstellung Gemini.
Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl gcloud looker instances create mit allen folgenden Flags aus, um eine Private Service Connect-Instanz zu erstellen:


gcloud looker instances create INSTANCE_NAME \
--no-public-ip-enabled \
--psc-enabled \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \
--async

Ersetzen Sie Folgendes:

INSTANCE_NAME: Ein Name für Ihre Looker-Instanz (Google Cloud Core). Er ist nicht mit der Instanz-URL verknüpft.
OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Authorized redirect URIs (Autorisierte Weiterleitungs-URIs) des OAuth-Clients ein.
REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird. Wählen Sie die Region aus, die der Region im Abovertrag entspricht. Verfügbare Regionen sind auf der Dokumentationsseite Standorte für Looker (Google Cloud Core) aufgeführt.
EDITION: die Version und der Umgebungstyp (Produktion oder Nicht-Produktion) der Instanz. Mögliche Werte sind core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual oder nonprod-core-embed-annual. Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie die Version ändern möchten, können Sie Ihre Looker (Google Cloud Core)-Instanzdaten mithilfe von Importieren und Exportieren in eine neue Instanz verschieben, die mit einer anderen Version konfiguriert ist.
ALLOWED_VPC: Ein VPC, das Zugriff (Eintritt) auf Looker (Google Cloud Core) von außen erhält. Wenn Sie von außerhalb der VPC auf die Instanz zugreifen möchten, in der sich die Instanz befindet, müssen Sie mindestens eine VPC angeben. Geben Sie ein VPC in einem der folgenden Formate an:
- projects/{project}/global/networks/{network}
- https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: Alle zusätzlichen VPCs, für die ein Nord-Süd-Zugriff auf Looker (Google Cloud Core) zulässig sein soll, können dem Flag --psc-allowed-vpcs in einer kommagetrennten Liste hinzugefügt werden.

Sie können weitere Parameter hinzufügen, um andere Instanzeinstellungen anzuwenden:

  [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
          --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
  [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
          --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
          --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
  --kms-key=KMS_KEY_ID
  [--fips-enabled]

Ersetzen Sie Folgendes:

MAINTENANCE_WINDOW_DAY muss einer der folgenden Werte sein: friday, monday, saturday, sunday, thursday, tuesday oder wednesday. Weitere Informationen zu den Einstellungen für Wartungsfenster finden Sie auf der Dokumentationsseite Wartungsrichtlinien für Looker (Google Cloud Core) verwalten.
MAINTENANCE_WINDOW_TIME und DENY_MAINTENANCE_PERIOD_TIME: Muss im 24-Stunden-Format in UTC angegeben werden (z. B. 13:00, 17:45).
DENY_MAINTENANCE_PERIOD_START_DATE und DENY_MAINTENANCE_PERIOD_END_DATE: Muss das Format YYYY-MM-DD haben.
KMS_KEY_ID: Muss der Schlüssel sein, der beim Einrichten von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) erstellt wird.

Sie können das Flag --fips-enabled angeben, um die Compliance mit FIPS 140-2 Level 1 zu aktivieren.

Das Erstellen einer Private Service Connect-Instanz unterscheidet sich vom Erstellen einer Looker (Google Cloud Core)-Instanz (Zugriff auf private Dienste) in folgenden Punkten:

Bei der Einrichtung von Private Service Connect sind die Flags --consumer-network und --reserved-range nicht erforderlich.
Für Private Service Connect-Instanzen sind zwei zusätzliche Flags erforderlich: --no-public-ip-enabled und --psc-enabled.
Das Flag --psc-allowed-vpcs ist eine durch Kommas getrennte Liste von VPCs. Sie können beliebig viele VPCs in der Liste angeben.

Status der Instanz prüfen

Das Erstellen der Instanz dauert etwa 40 bis 60 Minuten.

Console

Während die Instanz erstellt wird, können Sie den Status auf der Seite Instanzen in der Console einsehen. Sie können sich auch die Aktivitäten zur Instanzerstellung ansehen, indem Sie im Menü der Google Cloud Console auf das Benachrichtigungssymbol klicken. Auf der Seite Details der Instanz wird nach der Erstellung der Status Aktiv angezeigt.

gcloud

Verwenden Sie den Befehl gcloud looker instances describe, um den Status zu prüfen:

gcloud looker instances describe INSTANCE_NAME --region=REGION

Ersetzen Sie Folgendes:

INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.

Die Instanz ist bereit, sobald sie den Status ACTIVE erreicht.

Private Service Connect für externe Dienste einrichten

Damit Ihre Looker (Google Cloud Core)-Instanz eine Verbindung zu einem externen Dienst herstellen kann, muss dieser externe Dienst mit Private Service Connect veröffentlicht werden. Folgen Sie der Anleitung zum Veröffentlichen von Diensten mit Private Service Connect für jeden Dienst, den Sie veröffentlichen möchten.

Dienste können mit automatischer Genehmigung oder mit expliziter Genehmigung veröffentlicht werden. Wenn Sie sich für die Veröffentlichung mit expliziter Genehmigung entscheiden, müssen Sie den Dienstanhang so konfigurieren:

Legen Sie in der Zulassungsliste für Dienstanhänge fest, dass Projekte (nicht Netzwerke) verwendet werden sollen.
Fügen Sie die Looker-Mandantenprojekt-ID der Zulassungsliste hinzu.

Sie können die Looker-Mandantenprojekt-ID nach dem Erstellen der Instanz mit dem folgenden Befehl ermitteln:

gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

Ersetzen Sie Folgendes:

INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.

In der Befehlsausgabe enthält das Feld looker_service_attachment_uri die ID Ihres Looker-Mandantenprojekts. Sie hat folgendes Format: projects/{Looker tenant project ID}/regions/….

URI des Dienstanhangs

Wenn Sie Ihre Looker (Google Cloud Core)-Instanz später aktualisieren, um eine Verbindung zu Ihrem Dienst herzustellen, benötigen Sie den vollständigen URI des Dienstanhangs für den externen Dienst. Der URI wird so angegeben, wobei das Projekt, die Region und der Name verwendet werden, die Sie zum Erstellen des Dienst-Anhangs verwendet haben:

projects/{project}/regions/{region}/serviceAttachments/{name}

Private Service Connect-Instanz für Looker (Google Cloud Core) aktualisieren

Nachdem die Private Service Connect-Instanz von Looker (Google Cloud Core) erstellt wurde, können Sie die folgenden Änderungen vornehmen:

Southbound-Verbindungen (Ausgehende Verbindungen) angeben
Zulässige VPCs aktualisieren

Verbindungen vom Typ „Southbound“ angeben

Console

Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie Southbound-Verbindungen (Ausgangsverbindungen) aktivieren möchten.
Klicken Sie auf Bearbeiten.
Maximieren Sie den Abschnitt Verbindungen.
Wenn Sie einen vorhandenen Dienstanhang bearbeiten möchten, aktualisieren Sie den vollständig qualifizierten Domainnamen des Dienstes im Feld Lokaler FQDN und den URI des Dienstanhangs im Feld URI des Zieldienstanhangs.
Klicken Sie auf Element hinzufügen, um einen neuen Anhang für den Dienst hinzuzufügen. Geben Sie dann den voll qualifizierten Domainnamen des Dienstes in das Feld Local FQDN (Lokaler FQDN) und den URI des Dienstanhangs in das Feld Target Service Attachment URI (URI des Zieldienstanhangs) ein.
Klicken Sie auf Speichern.

gcloud

Verwenden Sie --psc-service-attachment-Flags, um ausgehende (Egress-)Verbindungen zu externen Diensten zu aktivieren, für die Sie bereits Private Service Connect eingerichtet haben:

gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment  domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \
--region=REGION

Ersetzen Sie Folgendes:

INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
DOMAIN_1 und DOMAIN_2: Wenn Sie eine Verbindung zu einem öffentlichen Dienst herstellen, verwenden Sie den Domainnamen des Dienstes. Wenn Sie eine Verbindung zu einem privaten Dienst herstellen, verwenden Sie einen beliebigen vollständig qualifizierten Domainnamen. Für den Domainnamen gelten die folgenden Einschränkungen:
Jede Verbindung vom Typ „Southbound“ unterstützt eine einzelne Domain.
Der Domainname muss aus mindestens drei Teilen bestehen. Beispiel: mydomain.github.com ist zulässig, github.com jedoch nicht.
Der letzte Teil des Namens darf keine der folgenden Zeichenfolgen enthalten:
- googleapis.com
- google.com
- gcr.io
- pkg.dev
Wenn Sie in Ihrer Looker (Google Cloud Core)-Instanz eine Verbindung zu Ihrem Dienst einrichten, verwenden Sie diese Domain als Alias für Ihren Dienst.
SERVICE_ATTACHMENT_1 und SERVICE_ATTACHMENT_2: der vollständige URI des Dienstanhangs für den veröffentlichten Dienst, mit dem Sie eine Verbindung herstellen. Auf jeden URI eines Dienstanhangs kann nur eine Domain zugreifen.
REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.

Wenn Sie eine Verbindung zu einem nicht von Google verwalteten Dienst in einer anderen Region als der Region herstellen, in der sich Ihre Looker (Google Cloud Core)-Instanz befindet, aktivieren Sie den globalen Zugriff auf dem Load Balancer des Produzenten.

Alle Verbindungen angeben, die aktiviert werden sollen

Jedes Mal, wenn Sie einen Update-Befehl mit --psc-service-attachment-Flags ausführen, müssen Sie alle Verbindungen angeben, die aktiviert werden sollen, einschließlich Verbindungen, die bereits zuvor aktiviert waren. Angenommen, Sie haben zuvor eine Instanz namens my-instance wie hier beschrieben mit der Domain www.cloud.com verbunden:

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud

Wenn Sie den folgenden Befehl ausführen, um eine neue www.me.com-Verbindung hinzuzufügen, wird die www.cloud.com-Verbindung gelöscht:

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Wenn Sie verhindern möchten, dass die www.cloud.com-Verbindung beim Hinzufügen der neuen www.me.com-Verbindung gelöscht wird, fügen Sie im Update-Befehl ein separates psc-service-attachment-Flag sowohl für die vorhandene als auch für die neue Verbindung ein:

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \
--psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Status der Verbindung in Richtung Süden prüfen

Sie können den Status Ihrer ausgehenden Verbindungen prüfen, indem Sie den Befehl gcloud looker instances describe --format=json noch einmal ausführen. Für jeden Dienstanhang sollte ein connection_status-Feld ausgefüllt sein.

Alle Verbindungen in Richtung Süden löschen

Führen Sie den folgenden Befehl aus, um alle Verbindungen vom Typ „Southbound“ (Ausgang) zu löschen:

gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \
--region=REGION

Ersetzen Sie Folgendes:

INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.

Zulässige VPCs aktualisieren

Console

Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie die VPCs aktualisieren möchten, die den Nord-Süd-Zugriff auf die Instanz zulassen.
Klicken Sie auf Bearbeiten.
Maximieren Sie den Abschnitt Verbindungen.
Klicken Sie auf Element hinzufügen, um ein neues VPC hinzuzufügen. Wählen Sie dann im Feld Project (Projekt) das Projekt aus, in dem sich das VPC befindet, und im Drop-down-Menü Network (Netzwerk) das Netzwerk.
Wenn Sie ein VPC löschen möchten, klicken Sie auf das Papierkorbsymbol Element löschen, das angezeigt wird, wenn Sie den Mauszeiger auf das Netzwerk bewegen.
Klicken Sie auf Speichern.

gcloud

Verwenden Sie das Flag --psc-allowed-vpcs, um die Liste der VPCs zu aktualisieren, die autorisierten Nord-Süd-Zugriff auf die Instanz haben.

Wenn Sie die zulässigen VPCs aktualisieren, müssen Sie die gesamte Liste angeben, die nach der Aktualisierung in Kraft treten soll. Angenommen, VPC ALLOWED_VPC_1 ist bereits zulässig und Sie möchten VPC ALLOWED_VPC_2 hinzufügen. Wenn Sie VPC ALLOWED_VPC_1 hinzufügen und gleichzeitig dafür sorgen möchten, dass VPC ALLOWED_VPC_2 weiterhin zulässig ist, fügen Sie das Flag --psc-allowed-vpcs so hinzu:

gcloud looker instances update INSTANCE_NAME \
--psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION

Ersetzen Sie Folgendes:

INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
ALLOWED_VPC_1 und ALLOWED_VPC_2: die VPCs, die Zugriff auf Looker (Google Cloud Core) erhalten Geben Sie jede zulässige VPC in einem der folgenden Formate an:
- projects/{project}/global/networks/{network}
- https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.

Alle zulässigen VPCs löschen

Führen Sie folgenden Befehl aus, um alle zulässigen VPCs zu löschen:

gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \
--region=REGION

Ersetzen Sie Folgendes:

INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.

Nordgerichteter Zugriff auf Ihre Instanz

Nachdem die Looker (Google Cloud Core)-Instanz (Private Service Connect) erstellt wurde, können Sie einen Nord-Süd-Zugriff einrichten, damit Ihre Nutzer auf die Instanz zugreifen können.

Wenn Sie von einem anderen VPC-Netzwerk auf Ihre Instanz zugreifen möchten, folgen Sie zuerst der Anleitung zum Erstellen eines Private Service Connect-Endpunkts. Achten Sie darauf, dass dem Netzwerk der Zugriff auf Ihre Looker (Google Cloud Core)-Instanz gewährt wird. Beachten Sie beim Erstellen des Endpunkts außerdem die folgenden Richtlinien:

Legen Sie das Feld Zieldienst (für die Google Cloud Console) oder die Variable SERVICE_ATTACHMENT (wenn Sie der Anleitung für die Google Cloud CLI oder API folgen) auf den URI der Looker-Dienstanhänge fest. Sie finden ihn auf der Seite „Instanzkonfiguration“ der Console auf dem Tab Details oder indem Sie den folgenden Befehl ausführen:
```
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
```
Ersetzen Sie Folgendes:
- INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
- REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
Sie können jedes Subnetz verwenden, das in derselben Region wie die Looker-Instanz (Google Cloud Core) gehostet wird.
Aktivieren Sie den globalen Zugriff nicht.

Wenn Sie von einer hybriden Netzwerkumgebung aus auf Ihre Instanz zugreifen möchten, können Sie der Anleitung auf der Dokumentationsseite Northbound-Zugriff auf eine Looker-Instanz (Google Cloud Core) mit Private Service Connect folgen, um eine benutzerdefinierte Domain einzurichten und auf die Instanz zuzugreifen.

Nächste Schritte

Northbound-Zugriff auf eine Looker-Instanz (Google Cloud Core) über Private Service Connect