Crie uma instância do Looker (Google Cloud Core) com um IP público

Esta página aborda como aprovisionar uma instância de produção ou não produção do Looker (Google Cloud core) de IP público.

Antes de começar

  1. Trabalhe com o departamento de vendas para garantir que o seu contrato anual está concluído e que tem quota alocada no seu projeto.
  2. Certifique-se de que a faturação está ativada para o seu Google Cloud projeto.
  3. Na Google Cloud Console, na página do seletor de projetos, crie um Google Cloud projeto ou navegue para um projeto existente.

    Aceder ao seletor de projetos

  4. Ative a API Looker para o seu projeto na Google Cloud Console. Quando ativa a API, pode ter de atualizar a página da consola para confirmar que a API foi ativada.

    Ative a API

  5. Configure um cliente OAuth e crie credenciais de autorização. O cliente OAuth permite-lhe autenticar e aceder à instância. Tem de configurar o OAuth para criar uma instância do Looker (Google Cloud core), mesmo que esteja a usar um método de autenticação diferente para autenticar utilizadores na sua instância.
  6. Se quiser usar o VPC Service Controls, tem de criar uma instância de IP privado em vez de uma instância de IP público.

Funções necessárias

Para receber as autorizações de que precisa para criar uma instância do Looker (Google Cloud core), peça ao seu administrador para lhe conceder a função do IAM administrador do Looker (roles/looker.admin) no projeto em que a instância vai residir. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Também pode precisar de funções do IAM adicionais se quiser configurar chaves de encriptação geridas pelo cliente (CMEK). Visite a página Controlo de acesso com a IAM da documentação do Serviço de gestão de chaves na nuvem para saber mais.

Crie uma instância do Looker (Google Cloud Core)

O Looker (Google Cloud core) requer aproximadamente 60 minutos para gerar uma nova instância.

Para criar a sua instância do Looker (essencial para o Google Cloud), selecione uma das seguintes opções:

consola

  1. Navegue para a página do produto Looker (essencial para o Google Cloud) a partir do seu projeto na Google Cloud Console. Se já tiver criado uma instância do Looker (Google Cloud core) neste projeto, é aberta a página Instâncias.

    Aceder ao Looker (Google Cloud Core)

  2. Clique em CRIAR INSTÂNCIA.
  3. Na secção Nome da instância, indique um nome para a sua instância do Looker (Google Cloud core). O nome da instância não está associado ao URL da instância do Looker (Google Cloud Core) depois de criada. Não é possível alterar o nome da instância após a criação da instância.
  4. Na secção Credenciais da aplicação OAuth, introduza o ID de cliente OAuth e o segredo OAuth que criou quando configurou o cliente OAuth.
  5. Na secção Região, selecione a opção adequada no menu pendente para alojar a sua instância do Looker (Google Cloud core). Selecione a região que corresponde à região no contrato de subscrição, que é onde a quota do seu projeto é atribuída. As regiões disponíveis estão listadas na página de documentação Localizações do Looker (Google Cloud core). Não pode alterar a região depois de criar a instância.

  6. Na secção Edição, defina a edição da instância de acordo com as necessidades da sua organização. O tipo de edição afeta algumas das funcionalidades disponíveis para a instância. Certifique-se de que escolhe o mesmo tipo de edição indicado no seu contrato anual e que tem quota alocada para esse tipo de edição. Estas são as opções de edição:

    • Standard: plataforma Looker (Google Cloud Core) para pequenas organizações ou equipas com menos de 50 utilizadores
    • Enterprise: plataforma Looker (Google Cloud core) com funcionalidades de segurança melhoradas para abordar uma grande variedade de exemplos de utilização internos de BI e estatísticas
    • Incorporar: plataforma Looker (Google Cloud Core) para implementar e manter estatísticas externas fiáveis e aplicações personalizadas em grande escala
    • Edições de não produção: se quiser um ambiente de preparação e testes, selecione uma das edições de não produção. Para mais informações, consulte a documentação Instâncias de não produção.

    Não é possível alterar as edições após a criação da instância. Se quiser alterar uma edição, pode usar a importação e a exportação para mover os dados da sua instância do Looker (Google Cloud core) para uma nova instância configurada com uma edição diferente.

  7. Na secção Personalize a sua instância, clique em MOSTRAR OPÇÕES DE CONFIGURAÇÃO para apresentar um grupo de definições adicionais que pode personalizar para a instância.

  8. Na secção Ligações, selecione apenas IP público. Uma definição de ligação IP pública atribui um endereço IP externo acessível através da Internet e está disponível para todos os tipos de edições.

  9. Se estiver a criar uma instância da edição Enterprise ou Incorporar, é apresentada a secção Encriptação. Na secção Encriptação, pode selecionar o tipo de encriptação a usar na sua instância. Estão disponíveis as seguintes opções de encriptação:

  10. Na secção Janela de manutenção, pode, opcionalmente, especificar o dia da semana e a hora em que o Looker (Google Cloud core) agenda a manutenção. Os períodos de manutenção duram uma hora. Por predefinição, a opção Janela preferencial na Janela de manutenção está definida como Qualquer janela.

  11. Na secção Período de manutenção recusado, pode, opcionalmente, especificar um bloco de dias em que o Looker (Google Cloud core) não agenda a manutenção. Os períodos de recusa de manutenção podem ter uma duração máxima de 60 dias. Tem de permitir, pelo menos, 14 dias de disponibilidade de manutenção entre 2 períodos de manutenção recusados.

  12. Na secção Gemini no Looker, pode, opcionalmente, disponibilizar as funcionalidades do Gemini no Looker para a instância do Looker (Google Cloud core). Para ativar o Gemini no Looker, selecione Gemini e, de seguida, Funcionalidades de testador fidedigno. Quando a opção Funcionalidades de testador fidedigno está ativada, os utilizadores podem aceder às capacidades de testador fidedigno do Gemini no Looker. Pode pedir acesso às capacidades de testador fidedigno não públicas através do formulário de pré-visualização do Gemini no Looker para cada utilizador. Tem de ativar esta definição para usar o Gemini durante a pré-visualização de pré-DG. Opcionalmente, selecione Utilização de dados de testadores fidedignos. Quando esta definição está ativada, consente que os seus dados sejam utilizados pela Google conforme descrito nos termos do programa de testadores fidedignos do Google Cloud Gemini. Para desativar o Gemini para uma instância do Looker (Google Cloud core), desmarque a definição Gemini.

  13. Clique em Criar.

gcloud

  1. Se estiver a usar CMEK, crie a conta de serviço do Looker e siga primeiro as instruções para configurar a CMEK.

  2. Use o comando gcloud looker instances create para criar a instância:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]
[--async]

    Substitua o seguinte:

    • INSTANCE_NAME: um nome para a sua instância do Looker (Google Cloud Core); não está associado ao URL da instância.
    • PROJECT_ID: o nome do projeto no qual está a criar a instância do Looker (Google Cloud Core). Google Cloud
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: o ID de cliente OAuth e o segredo do OAuth que criou quando configurou o cliente OAuth. Depois de criar a instância, configure o URI de redirecionamento autorizado no cliente OAuth que criou anteriormente.
    • REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada. Selecione a região que corresponde à região no contrato de subscrição. As regiões disponíveis estão listadas na página de documentação Localizações do Looker (Google Cloud core). Não pode alterar a região depois de criar a instância.
    • EDITION: a edição e o tipo de ambiente (produção ou não produção) para a instância. Os valores possíveis são core-standard-annual, core-enterprise-annual, core-embed-annual, nonprod-core-standard-annual, nonprod-core-enterprise-annual ou nonprod-core-embed-annual. Não é possível alterar as edições após a criação da instância. Se quiser alterar uma edição, pode usar a importação e a exportação para mover os dados da sua instância do Looker (Google Cloud core) para uma nova instância configurada com uma edição diferente.
    • CONSUMER_NETWORK: a sua rede VPC ou VPC partilhada. Tem de ser definido se estiver a criar uma instância de IP privado.
    • RESERVED_RANGE: o intervalo de endereços IP na VPC em que a Google vai aprovisionar uma sub-rede para a sua instância do Looker (Google Cloud Core). Não defina um intervalo se estiver a ativar uma ligação de rede IP privada para a sua instância.

    Inclua também estas flags:

    • --public-ip-enabled é usado para ativar o IP público.
    • --async é recomendado quando cria uma instância do Looker (Google Cloud Core).

  3. Pode adicionar mais parâmetros para aplicar outras definições da instância: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
    Substitua o seguinte:

    • MAINTENANCE_WINDOW_DAY: tem de ser um dos seguintes valores: friday, monday, saturday, sunday, thursday, tuesday ou wednesday. Consulte a página de documentação Faça a gestão das políticas de manutenção do Looker (Google Cloud core) para mais informações acerca das definições da janela de manutenção.
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: têm de estar na hora UTC no formato de 24 horas (por exemplo, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: têm de estar no formato YYYY-MM-DD.
    • KMS_KEY_ID: tem de ser a chave criada quando configura as chaves de encriptação geridas pelo cliente (CMEK).

    Pode incluir a sinalização --fips-enabled para ativar a conformidade com o nível 1 da FIPS 140-2.

Terraform

Use o seguinte recurso do Terraform para aprovisionar uma instância do Looker (essencial para o Google Cloud) Standard com funcionalidade básica:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Use o seguinte recurso do Terraform para aprovisionar uma instância do Looker (essencial para o Google Cloud) Standard com definições adicionais aplicadas:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Use o seguinte recurso do Terraform para aprovisionar uma instância do Looker (essencial para o Google Cloud) Enterprise com uma ligação de rede privada:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.

Não é possível pausar nem terminar a criação de instâncias depois de iniciada. Quando o recurso do Terraform tiver sido aprovisionado com êxito, o terminal imprime a seguinte mensagem:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]


Apply complete! Resources: X added, X changed, X destroyed.

Para ver o estado da nova instância, à qual é atribuído um nome gerado aleatoriamente, aceda à página Instâncias na consola.

À medida que a instância é criada, pode ver o respetivo estado na página Instâncias na consola. Também pode ver a atividade de criação de instâncias clicando no ícone de notificações no Google Cloud menu da consola.

Assim que a instância de IP público for criada, o URL público da instância é apresentado na coluna URL da instância da página Instâncias.

Depois de criar a instância, configure o URI de redirecionamento autorizado no cliente OAuth que criou anteriormente.

Depois de criar a instância e concluir a configuração do OAuth, pode ver a instância navegando para o URL da instância, que é apresentado na página Instâncias.

O que se segue?