Crea un'istanza Private Service Connect di Looker (Google Cloud core)

Questa pagina descrive la procedura per utilizzare l'interfaccia a riga di comando gcloud per creare un'istanza di Looker (Google Cloud core) con Private Service Connect abilitato.

Private Service Connect può essere abilitato per un'istanza di Looker (Google Cloud core) che soddisfa i seguenti criteri:

  • L'istanza di Looker (Google Cloud core) deve essere nuova. Private Service Connect può essere abilitato solo al momento della creazione dell'istanza.
  • L'istanza non può avere l'IP pubblico abilitato.
  • La versione dell'istanza deve essere Enterprise (core-enterprise-annual) o Incorpora (core-embed-annual).

Prima di iniziare

  1. Nella console Google Cloud, nella pagina di selezione del progetto, seleziona il progetto in cui vuoi creare l'istanza Private Service Connect.

    Vai al selettore progetti

  2. Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilita l'API

  3. Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth ti consente di eseguire l'autenticazione e di accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nell'istanza.
  4. Se vuoi utilizzare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK) con l'istanza di Looker (Google Cloud core) che stai creando, è necessaria una configurazione aggiuntiva prima della creazione dell'istanza. Durante la creazione dell'istanza potrebbero essere necessarie anche configurazioni di rete ed edizione aggiuntive.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti Ruolo IAM Amministratore Looker (roles/looker.admin) nel progetto in cui risiederà l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Potresti anche aver bisogno di ruoli IAM aggiuntivi per configurare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK). Per saperne di più, visita le pagine della documentazione relativa a queste funzionalità.

Creare un'istanza Private Service Connect

Per creare un'istanza Private Service Connect, esegui il comando gcloud looker instances create con tutti i flag seguenti:


gcloud looker instances create INSTANCE_NAME \
--no-public-ip-enabled \
--psc-enabled \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \
--async

Sostituisci quanto segue:

  • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.
  • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client e il secret OAuth che hai creato durante la configurazione del client OAuth. Dopo aver creato l'istanza, inserisci l'URL dell'istanza nella sezione URI di reindirizzamento autorizzati del client OAuth.
  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione che corrisponde a quella indicata nel contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core).
  • EDITION: la versione dell'istanza. I valori possibili sono core-enterprise-annual o core-embed-annual. Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
  • ALLOWED_VPC: un VPC a cui è consentito l'accesso verso nord (in entrata) in Looker (Google Cloud core). Per accedere all'istanza dall'esterno del VPC in cui si trova l'istanza, devi elencare almeno un VPC. Specifica un VPC utilizzando uno dei seguenti formati:
    • projects/{project}/global/networks/{network}
    • https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
  • ADDITIONAL_ALLOWED_VPCS: gli eventuali altri VPC a cui consentire l'accesso in direzione nord a Looker (Google Cloud core) possono essere aggiunti al flag --psc-allowed-vpcs sotto forma di elenco separato da virgole.

Se vuoi, puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza:

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
            --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
    [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
            --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
            --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
    --kms-key=KMS_KEY_ID
    [--fips-enabled]
    
Sostituisci quanto segue:

  • MAINTENANCE_WINDOW_DAY: deve essere uno dei seguenti: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Per ulteriori informazioni sulle impostazioni della finestra di manutenzione, consulta la pagina della documentazione Gestire i criteri di manutenzione per Looker (Google Cloud core).
  • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: devono essere in UTC nel formato 24 ore (ad es. 13:00, 17:45).
  • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: devono essere nel formato YYYY-MM-DD.
  • KMS_KEY_ID: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).

Puoi includere il flag --fips-enabled per abilitare la conformità a livello 1 a FIPS 140-2.

Il processo per la creazione di un'istanza Private Service Connect è diverso da quello per la creazione di un'istanza di Looker (Google Cloud core) (accesso privato ai servizi) per i seguenti modi:

  • Con la configurazione di Private Service Connect, i flag --consumer-network e --reserved-range non sono necessari.
  • Le istanze Private Service Connect richiedono due flag aggiuntivi: --no-public-ip-enabled e --psc-enabled.
  • Il flag --psc-allowed-vpcs è un elenco di VPC separati da virgole. Puoi specificare tutti i VPC che vuoi nell'elenco.

Controllare lo stato dell'istanza

La creazione dell'istanza richiede circa 40-60 minuti. Per controllare lo stato, utilizza il comando gcloud looker instances describe:

gcloud looker instances describe INSTANCE_NAME --region=REGION

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome della tua istanza di Looker (Google Cloud core).
  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).

L'istanza è pronta quando raggiunge lo stato ACTIVE.

Configurare Private Service Connect per i servizi esterni

Affinché l'istanza di Looker (Google Cloud core) possa connettersi a un servizio esterno, questo servizio deve essere pubblicato utilizzando Private Service Connect. Segui le istruzioni per la pubblicazione di servizi utilizzando Private Service Connect per qualsiasi servizio che vuoi pubblicare.

I servizi possono essere pubblicati con approvazione automatica o con approvazione esplicita. Se scegli di pubblicare con approvazione esplicita, devi configurare il collegamento a un servizio come segue:

  • Imposta la lista consentita per i collegamenti dei servizi in modo da utilizzare i progetti (non le reti).
  • Aggiungi l'ID progetto tenant di Looker alla lista consentita.

Puoi trovare l'ID progetto tenant di Looker dopo aver creato l'istanza eseguendo questo comando:

gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome della tua istanza di Looker (Google Cloud core).
  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).

Nell'output comando, il campo looker_service_attachment_uri conterrà l'ID progetto tenant di Looker. Il file avrà il seguente formato: projects/{Looker tenant project ID}/regions/…

URI del collegamento al servizio

Quando in un secondo momento aggiornerai l'istanza di Looker (Google Cloud core) per connetterti al servizio, avrai bisogno dell'URI completo del collegamento del servizio. L'URI verrà specificato come segue, utilizzando il progetto, la regione e il nome che hai utilizzato per creare il collegamento al servizio:

projects/{project}/regions/{region}/serviceAttachments/{name}

Aggiornare un'istanza Private Service Connect di Looker (Google Cloud core)

Una volta creata l'istanza Private Service Connect di Looker (Google Cloud core), puoi apportare le seguenti modifiche:

Specifica le connessioni verso sud

Utilizza i flag --psc-service-attachment per abilitare le connessioni southbound (in uscita) a servizi esterni per i quali hai già configurato Private Service Connect:

gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment  domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \
--region=REGION

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).
  • DOMAIN_1 e DOMAIN_2: se vuoi connetterti a un servizio pubblico, utilizza il nome di dominio del servizio. Se ti stai connettendo a un servizio privato, utilizza un nome di dominio completo a tua scelta. Al nome di dominio si applicano le seguenti limitazioni:

    • Ogni connessione verso sud supporta un solo dominio.
    • Il nome di dominio deve essere composto da almeno tre parti. Ad esempio, mydomain.github.com è accettabile, ma github.com non lo è.
    • L'ultima parte del nome non può essere:

      • googleapis.com
      • google.com
      • gcr.io
      • pkg.dev

    Quando configuri una connessione al servizio dall'istanza di Looker (Google Cloud core), utilizza questo dominio come alias del servizio.

  • SERVICE_ATTACHMENT_1 e SERVICE_ATTACHMENT_2: l'URI del collegamento al servizio completo per il servizio pubblicato a cui ti connetti. A ogni URI dell'allegato del servizio può accedere un singolo dominio.

  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).

Se ti connetti a un servizio gestito non Google in una regione diversa da quella in cui si trova la tua istanza di Looker (Google Cloud core), abilita l'accesso globale sul bilanciatore del carico del produttore.

Includi tutte le connessioni da attivare

Ogni volta che esegui un comando di aggiornamento con i flag --psc-service-attachment, devi includere tutte le connessioni che vuoi abilitare, incluse quelle già abilitate in precedenza. Ad esempio, supponiamo che tu abbia precedentemente connesso un'istanza denominata my-instance al dominio www.cloud.com nel seguente modo:

gcloud looker instances update my-instance
--psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud

L'esecuzione del seguente comando per aggiungere una nuova connessione www.me.com eliminerebbe la connessione www.cloud.com:

gcloud looker instances update my-instance \
--psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Per impedire l'eliminazione della connessione www.cloud.com quando aggiungi la nuova connessione www.me.com, includi un flag psc-service-attachment separato sia per la connessione esistente sia per la nuova connessione all'interno del comando di aggiornamento come segue:

gcloud looker instances update my-instance \
--psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \
--psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Controllare lo stato della connessione southbound

Puoi controllare lo stato delle connessioni verso sud (in uscita) eseguendo di nuovo il comando gcloud looker instances describe --format=json. Ogni collegamento a un servizio deve essere compilato con un campo connection_status.

Elimina tutte le connessioni in uscita

Per eliminare tutte le connessioni in uscita, esegui questo comando:

gcloud looker instances update MY_INSTANCE \ --clear-psc-service-attachments \
--region=REGION

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome della tua istanza di Looker (Google Cloud core).
  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).

Aggiorna VPC consentiti

Utilizza il flag --psc-allowed-vpcs per aggiornare l'elenco dei VPC che hanno l'accesso autorizzato verso nord all'istanza.

Quando aggiorni i VPC consentiti, devi specificare l'intero elenco che vuoi che venga applicato dopo l'aggiornamento. Ad esempio, supponiamo che il VPC ALLOWED_VPC_1 sia già consentito e che tu voglia aggiungere il VPC ALLOWED_VPC_2. Per aggiungere il VPC ALLOWED_VPC_1 assicurandoti che il VPC ALLOWED_VPC_2 continui a essere consentito, aggiungi il flag --psc-allowed-vpcs come segue:

gcloud looker instances update INSTANCE_NAME --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome della tua istanza di Looker (Google Cloud core).
  • ALLOWED_VPC_1 e ALLOWED_VPC_2: i VPC a cui sarà consentito l'ingresso in Looker (Google Cloud core). Specifica ogni VPC consentita utilizzando uno dei seguenti formati:
    • projects/{project}/global/networks/{network}
    • https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).

Elimina tutti i VPC consentiti

Per eliminare tutti i VPC consentiti, esegui questo comando:

gcloud looker instances update MY_INSTANCE \ --clear-psc-allowed-vpcs \
--region=REGION

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome della tua istanza di Looker (Google Cloud core).
  • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).

Accesso in uscita alla tua istanza

Dopo aver creato l'istanza di Looker (Google Cloud core) (Private Service Connect), puoi configurare l'accesso in direzione nord per consentire agli utenti di accedere all'istanza.

Per accedere all'istanza da un'altra rete VPC, segui prima le istruzioni per la creazione di un endpoint Private Service Connect. Assicurati che alla rete sia consentito l'accesso in uscita all'istanza di Looker (Google Cloud core) e segui queste linee guida per creare l'endpoint:

  • Imposta il campo Servizio target (per la console Google Cloud) o la variabile SERVICE_ATTACHMENT (se segui le istruzioni dell'API o di Google Cloud CLI) sull'URI dell'attacco del servizio Looker, che puoi trovare selezionando la scheda Dettagli nella pagina di configurazione dell'istanza della console o eseguendo il seguente comando:

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    Sostituisci quanto segue:

    • INSTANCE_NAME: il nome della tua istanza di Looker (Google Cloud core).
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
  • Puoi utilizzare qualsiasi subnet ospitata nella stessa regione dell'istanza di Looker (Google Cloud core).

  • Non attivare l'accesso globale.

Per accedere all'istanza da un ambiente di rete ibrido, puoi seguire le istruzioni riportate nella pagina della documentazione Accesso in uscita a un'istanza di Looker (Google Cloud core) utilizzando Private Service Connect per configurare un dominio personalizzato e accedere all'istanza.

Passaggi successivi