Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat instance Looker (Google Cloud core) koneksi aman publik

Halaman ini membahas cara menyediakan instance produksi atau non-produksi Looker (Google Cloud core) yang dikonfigurasi untuk koneksi aman publik.

Jika Anda ingin membuat instance koneksi pribadi, konfigurasi harus ditetapkan saat pembuatan instance. Untuk mengetahui petunjuk cara membuat instance koneksi pribadi, ikuti prosedur di halaman dokumentasi Membuat instance Private Service Connect Looker (Google Cloud core) atau Membuat instance Looker (Google Cloud core) koneksi pribadi (akses layanan pribadi), bukan prosedur berikut.

Sebelum memulai

Bekerja sama dengan Tim Penjualan untuk memastikan bahwa kontrak tahunan Anda telah selesai dan Anda telah mendapatkan kuota yang dialokasikan di project Anda.
Pastikan penagihan diaktifkan untuk Google Cloud project Anda.
Di konsol Google Cloud, pada halaman pemilih project, buat Google Cloud project atau buka project yang sudah ada.
Buka pemilih project
Aktifkan Looker API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
Mengaktifkan API

Perhatian: Menonaktifkan Looker API setelah pembuatan instance akan memengaruhi fitur Looker (Google Cloud core). Misalnya, menonaktifkan API akan menonaktifkan kemampuan untuk membuat pencadangan instance.
Siapkan klien OAuth dan buat kredensial otorisasi. Klien OAuth memungkinkan Anda mengautentikasi dan mengakses instance. Anda harus menyiapkan OAuth untuk membuat instance Looker (inti Google Cloud), meskipun Anda menggunakan metode autentikasi yang berbeda untuk mengautentikasi pengguna ke instance Anda.
Jika ingin menggunakan VPC Service Controls, Anda harus membuat instance koneksi pribadi (akses layanan pribadi), bukan instance koneksi aman publik.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna membuat instance Looker (inti Google Cloud), minta administrator Anda untuk memberi Anda peran IAM Looker Admin (roles/looker.admin) di project tempat instance akan berada. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran kustom atau peran yang telah ditentukan lainnya.

Anda mungkin juga memerlukan peran IAM tambahan jika ingin menyiapkan kunci enkripsi yang dikelola pelanggan (CMEK). Buka halaman Kontrol akses dengan IAM di dokumentasi Cloud Key Management Service untuk mempelajari lebih lanjut.

Membuat instance Looker (Google Cloud core)

Looker (Google Cloud core) memerlukan waktu sekitar 60 menit untuk membuat instance baru.

Untuk membuat instance Looker (Google Cloud core), pilih salah satu opsi berikut:

console

Buka halaman produk Looker (Google Cloud core) dari project Anda di konsol Google Cloud. Jika Anda telah membuat instance Looker (Google Cloud core) dalam project ini, halaman Instances akan terbuka.
Buka Looker (Google Cloud core)
Klik CREATE INSTANCE.
Di bagian Instance name, berikan nama untuk instance Looker (Google Cloud core) Anda. Nama instance tidak dikaitkan dengan URL instance Looker (Google Cloud core) setelah dibuat. Nama instance tidak dapat diubah setelah pembuatan instance.
Di bagian OAuth Application Credentials, masukkan client ID OAuth dan secret OAuth yang Anda buat saat menyiapkan klien OAuth.
Di bagian Region, pilih opsi yang sesuai dari menu drop-down untuk menghosting instance Looker (Google Cloud core) Anda. Pilih region yang cocok dengan region dalam kontrak langganan, yaitu tempat kuota untuk project Anda dialokasikan. Region yang tersedia tercantum di halaman dokumentasi Lokasi Looker (Google Cloud Core). Anda tidak dapat mengubah region setelah instance dibuat.
Di bagian Edisi, tetapkan edisi instance sesuai dengan kebutuhan organisasi Anda. Jenis edisi memengaruhi beberapa fitur yang tersedia untuk instance. Pastikan Anda memilih jenis edisi yang sama seperti yang tercantum dalam kontrak tahunan dan Anda telah mengalokasikan kuota untuk jenis edisi tersebut. Berikut adalah opsi edisinya:
- Standar: Platform Looker (Google Cloud core) untuk organisasi kecil atau tim yang memiliki kurang dari 50 pengguna
- Enterprise: Platform Looker (inti Google Cloud) dengan fitur keamanan yang ditingkatkan untuk menangani berbagai kasus penggunaan BI dan analisis internal
- Penyematan: Platform Looker (inti Google Cloud) untuk men-deploy dan memelihara analisis eksternal yang andal dan aplikasi kustom dalam skala besar
- Edisi non-produksi: Jika Anda menginginkan lingkungan penahapan dan pengujian, pilih salah satu edisi non-produksi. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Instance non-produksi.
- Edisi uji coba: Edisi uji coba memiliki dukungan fitur yang sama dengan edisi produksi yang sesuai, dengan pengecualian bahwa edisi uji coba berlaku selama 90 hari.
Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (Google Cloud core) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.

Tips: Jika project Anda tidak memiliki kuota, Anda tidak akan dapat memilih jenis edisi. Hubungi Bagian Penjualan untuk mengalokasikan kuota ke project Anda.
Di bagian Sesuaikan instance Anda, klik Tampilkan opsi konfigurasi untuk menampilkan grup setelan tambahan yang dapat Anda sesuaikan untuk instance.
Di bagian Koneksi, pilih Gunakan koneksi aman publik. Setelan koneksi aman publik menetapkan alamat IP eksternal yang dapat diakses internet dan tersedia untuk semua jenis edisi.

Catatan: Jika Anda membuat edisi Enterprise dan Sematkan, Anda juga dapat menggunakan koneksi pribadi, yang menggunakan URI Private Service Connect (PSC) dan endpoint PSC untuk koneksi keluar, atau koneksi hybrid, yang akan memiliki URL publik dan menggunakan endpoint PSC untuk koneksi keluar. Jika Anda ingin menggunakan koneksi pribadi atau hybrid, ikuti langkah-langkah di halaman dokumentasi Membuat Private Service Connect Looker (Google Cloud core).
Jika Anda membuat instance edisi Enterprise atau Embed, Anda akan melihat bagian Enkripsi. Di bagian Encryption, Anda dapat memilih jenis enkripsi yang akan digunakan di instance Anda. Opsi enkripsi berikut tersedia:
- Google-managed encryption key: Opsi ini adalah opsi default dan tidak memerlukan konfigurasi tambahan.
- Kunci enkripsi yang dikelola pelanggan (CMEK): Lihat halaman dokumentasi Menggunakan kunci enkripsi yang dikelola pelanggan dengan Looker (inti Google Cloud) untuk mengetahui informasi selengkapnya tentang CMEK dan cara mengonfigurasinya selama pembuatan instance. Jenis enkripsi tidak dapat diubah setelah pembuatan instance.
- Aktifkan Enkripsi Tervalidasi FIPS 140-2: Lihat halaman dokumentasi Mengaktifkan kepatuhan level 1 FIPS 140-2 di instance Looker (Google Cloud core) untuk mengetahui informasi selengkapnya tentang dukungan FIPS 140-2 di Looker (Google Cloud core).
Di bagian Periode Pemeliharaan, Anda dapat menentukan hari dan jam saat Looker (inti Google Cloud) menjadwalkan pemeliharaan. Masa pemeliharaan berlangsung selama satu jam. Secara default, opsi Periode Pilihan di Periode Pemeliharaan ditetapkan ke Periode apa pun.
Di bagian Tolak Periode Pemeliharaan, Anda dapat menentukan blok hari saat Looker (inti Google Cloud) tidak menjadwalkan pemeliharaan. Periode pemeliharaan penolakan dapat berlangsung hingga 60 hari. Anda harus memberikan waktu minimal 14 hari dari waktu pemeliharaan di antara 2 periode penolakan pemeliharaan.
Di bagian Gemini di Looker, Anda dapat secara opsional menyediakan fitur Gemini di Looker untuk instance Looker (Google Cloud core). Untuk mengaktifkan Gemini di Looker, pilih Gemini, lalu pilih Fitur Penguji Tepercaya. Jika Fitur Penguji Tepercaya diaktifkan, pengguna dapat mengakses kemampuan Penguji Tepercaya Gemini di Looker. Anda dapat meminta akses ke kemampuan Penguji Tepercaya non-publik melalui formulir pratinjau Gemini di Looker untuk tiap-tiap pengguna. Anda harus mengaktifkan setelan ini untuk menggunakan Gemini selama pratinjau pra-GA. Secara opsional, pilih Penggunaan data Penguji Tepercaya. Jika setelan ini diaktifkan, Anda mengizinkan data Anda digunakan oleh Google sebagaimana dijelaskan dalam persyaratan Program Penguji Tepercaya Gemini untuk Google Cloud . Untuk menonaktifkan Gemini untuk instance Looker (Google Cloud core), hapus setelan Gemini.
Klik Buat.

gcloud

Jika Anda menggunakan CMEK, buat akun layanan Looker dan ikuti petunjuk untuk menyiapkan CMEK terlebih dahulu.
Gunakan perintah gcloud looker instances create untuk membuat instance:
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]
[--async]
```
Ganti kode berikut:
- INSTANCE_NAME: nama untuk instance Looker (Google Cloud core) Anda; nama ini tidak terkait dengan URL instance.
- PROJECT_ID: nama Google Cloud project tempat Anda membuat instance Looker (Google Cloud core).
- OAUTH_CLIENT_ID dan OAUTH_CLIENT_SECRET: Client ID OAuth dan secret OAuth yang Anda buat saat menyiapkan klien OAuth. Setelah instance dibuat, siapkan URI pengalihan yang diberi otorisasi di klien OAuth yang Anda buat sebelumnya.
- REGION: region tempat instance Looker (Google Cloud core) Anda dihosting. Pilih region yang cocok dengan region dalam kontrak langganan. Region yang tersedia tercantum di halaman dokumentasi Lokasi Looker (Google Cloud Core). Anda tidak dapat mengubah region setelah instance dibuat.
- EDITION: edisi, jenis lingkungan (produksi atau non-produksi), dan apakah ini edisi uji coba untuk instance. Nilai yang mungkin adalah core-standard-annual, core-enterprise-annual, core-embed-annual, nonprod-core-standard-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-standard, core-trial-enterprise, atau core-trial-embed. Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (Google Cloud core) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.
- CONSUMER_NETWORK: jaringan VPC atau VPC Bersama Anda. Harus ditetapkan jika Anda membuat instance koneksi pribadi.
- RESERVED_RANGE: rentang alamat IP dalam VPC tempat Google akan menyediakan subnetwork untuk instance Looker (inti Google Cloud) Anda. Jangan tentukan rentang jika Anda mengaktifkan koneksi jaringan koneksi pribadi untuk instance Anda.
Sertakan juga tanda berikut:
- --public-ip-enabled digunakan untuk mengaktifkan koneksi aman publik.
- --async direkomendasikan saat Anda membuat instance Looker (Google Cloud core).
Anda dapat menambahkan parameter lainnya untuk menerapkan setelan instance lainnya:
```
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
```
Ganti kode berikut:
- MAINTENANCE_WINDOW_DAY: harus berupa salah satu dari berikut ini: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Lihat halaman dokumentasi Mengelola kebijakan pemeliharaan untuk Looker (inti Google Cloud) untuk mengetahui informasi selengkapnya tentang setelan periode pemeliharaan.
- MAINTENANCE_WINDOW_TIME dan DENY_MAINTENANCE_PERIOD_TIME: harus dalam waktu UTC dengan format 24 jam (misalnya, 13:00, 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE dan DENY_MAINTENANCE_PERIOD_END_DATE: harus dalam format YYYY-MM-DD.
- KMS_KEY_ID: harus berupa kunci yang dibuat saat menyiapkan kunci enkripsi yang dikelola pelanggan (CMEK).
Anda dapat menyertakan tanda --fips-enabled untuk mengaktifkan kepatuhan terhadap FIPS 140-2 level 1.

Tips: Anda harus memiliki kuota untuk jenis edisi yang tepat guna membuat instance. Jika Anda tidak memiliki kuota, hubungi Tim Penjualan untuk mengalokasikan kuota ke project Anda.

Terraform

Gunakan resource Terraform berikut untuk menyediakan instance Looker (Google Cloud core) Standard dengan fungsi dasar:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Gunakan resource Terraform berikut untuk menyediakan instance Looker (Google Cloud Core) Standard dengan setelan tambahan yang diterapkan:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Gunakan resource Terraform berikut untuk menyediakan instance Looker (Google Cloud core) Enterprise dengan koneksi jaringan pribadi:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Pembuatan instance tidak dapat dijeda atau dihentikan setelah dimulai. Setelah resource Terraform Anda berhasil disediakan, terminal Anda akan mencetak pesan berikut:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]

Apply complete! Resources: X added, X changed, X destroyed.

Untuk melihat status instance baru Anda, yang akan diberi nama yang dibuat secara acak, buka halaman Instance di dalam konsol.

Saat instance dibuat, Anda dapat melihat statusnya di halaman Instances dalam konsol. Anda juga dapat melihat aktivitas pembuatan instance dengan mengklik ikon notifikasi di menu konsol Google Cloud .

Setelah instance koneksi aman publik dibuat, URL publik instance akan muncul di kolom Instance URL pada halaman Instances.

Setelah instance dibuat, siapkan URI pengalihan yang diberi otorisasi di klien OAuth yang Anda buat sebelumnya.

Setelah instance dibuat dan Anda telah menyelesaikan penyiapan OAuth, Anda dapat melihat instance dengan membuka URL instance, yang akan ditampilkan di halaman Instances.