Esta página descreve o processo de uso da CLI gcloud para criar uma instância de produção ou não produção do Looker (Google Cloud Core) com o Private Service Connect ativado.
O Private Service Connect pode ser ativado para uma instância do Looker (Google Cloud Core) que atenda aos seguintes critérios:
- A instância do Looker (Google Cloud Core) precisa ser nova. O Private Service Connect só pode ser ativado no momento da criação da instância.
- A instância não pode ter o IP público ativado.
- A edição da instância precisa ser Enterprise (
core-enterprise-annual) ou Embed (core-embed-annual).
Antes de começar
- No console do Google Cloud, na página do seletor de projetos, selecione o projeto em que você quer criar a instância do Private Service Connect.
- Ative a API Looker para seu projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.
- Configure um cliente OAuth e crie credenciais de autorização. O cliente OAuth permite autenticar e acessar a instância. É necessário configurar o OAuth para criar uma instância do Looker (Google Cloud Core), mesmo que você esteja usando um método de autenticação diferente para autenticar os usuários na sua instância.
- Se você quiser usar o VPC Service Controls ou as chaves de criptografia gerenciadas pelo cliente (CMEKs) com a instância do Looker (Google Cloud Core) que está criando, será necessário fazer mais configurações antes da criação da instância. Também pode ser necessário fazer edições e configurações de rede adicionais durante a criação da instância.
Funções exigidas
Para receber as permissões necessárias para criar uma instância do Looker (Google Cloud Core),
peça ao administrador para conceder a você o papel do IAM de
Administrador do Looker (roles/looker.admin) no projeto em que a instância vai residir.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Talvez você também precise de outros papéis do IAM para configurar o VPC Service Controls ou as chaves de criptografia gerenciadas pelo cliente (CMEK). Acesse as páginas de documentação desses recursos para saber mais.
Criar uma instância do Private Service Connect
Console
- Acesse a página do produto Looker (Google Cloud Core) no seu projeto no console do Google Cloud. Se você já tiver criado uma instância do Looker (Google Cloud Core) neste projeto, a página Instâncias será aberta.
- Clique em CRIAR INSTÂNCIA.
- Na seção Nome da instância, informe um nome para sua instância do Looker (Google Cloud Core). O nome da instância não é associado ao URL da instância do Looker (Google Cloud Core) após a criação. O nome da instância não pode ser alterado após a criação.
- Na seção Credenciais do aplicativo OAuth, insira o ID do cliente OAuth e a chave secreta OAuth que você criou ao configurar o cliente OAuth.
Na seção Região, selecione a opção adequada no menu suspenso para hospedar sua instância do Looker (Google Cloud Core). Selecione a região que corresponde ao contrato de assinatura, que é onde a cota do seu projeto é alocada. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core).
Não é possível mudar a região depois que a instância é criada.
Na seção Edição, escolha uma opção de edição Enterprise ou Embed para um tipo de produção ou instância não de produção. O tipo de edição afeta alguns dos recursos disponíveis para a instância. Escolha o mesmo tipo de edição listado no seu contrato anual e verifique se você tem cota alocada para esse tipo de edição.
- Empresa: plataforma Looker (Google Cloud Core) com recursos de segurança aprimorados para atender a uma ampla variedade de casos de uso internos de BI e análise.
- Integração: plataforma Looker (Google Cloud Core) para implantar e manter análises externas confiáveis e aplicativos personalizados em larga escala
As edições não podem ser alteradas após a criação da instância. Se você quiser mudar de edição, use a importação e exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.
Na seção Personalizar a instância, clique em MOSTRAR OPÇÕES DE CONFIGURAÇÃO para mostrar um grupo de configurações adicionais que podem ser personalizadas para a instância.
Na seção Conexões, em Atribuição de IP da instância, selecione apenas IP privado. O tipo de conexão de rede selecionado afeta os recursos do Looker disponíveis para a instância.
Em Tipo de IP particular, selecione Private Service Connect (PSC).
Em VPCs permitidos, clique em Adicionar item para adicionar as VPCs que terão acesso de norte para sul na instância do Looker (Google Cloud Core). No campo Project, selecione o projeto em que a rede foi criada. No menu suspenso Rede, selecione a rede. Adicione outras VPCs clicando em Adicionar item conforme necessário.
Na seção Criptografia, é possível selecionar o tipo de criptografia a ser usado na instância. As seguintes opções de criptografia estão disponíveis:
- gerenciada pelo Google com tecnologia do Google Cloud: essa opção é o padrão e não requer nenhuma configuração adicional.
- Chave de criptografia gerenciada pelo cliente (CMEK): consulte a página de documentação Como usar chaves de criptografia gerenciadas pelo cliente com Looker (Google Cloud Core) para mais informações sobre a CMEK e como fazer a configuração durante a criação de instâncias. O tipo de criptografia não pode ser alterado após a criação da instância.
- Ativar a criptografia validada FIPS 140-2: consulte a página de documentação Ativar a conformidade com o FIPS 140-2 nível 1 em uma instância do Looker (Google Cloud core) para mais informações sobre o suporte ao FIPS 140-2 no Looker (Google Cloud core).
Na seção Janela de manutenção, você pode especificar o dia da semana e a hora em que o Looker (Google Cloud core) programa a manutenção. As janelas de manutenção duram uma hora. Por padrão, a opção Janela preferencial em Janela de manutenção é definida como Qualquer janela.
Na seção Período de negação de manutenção, é possível especificar um bloco de dias em que Looker (Google Cloud Core) não programa manutenções. Os períodos de bloqueio de manutenção podem ser de até 60 dias. É preciso oferecer pelo menos 14 dias de disponibilidade de manutenção entre dois períodos de bloqueio de manutenção.
Clique em Criar.
gcloud
Para criar uma instância do Private Service Connect, execute o comando gcloud looker instances create com todas as flags a seguir:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Substitua:
INSTANCE_NAME: um nome para sua instância do Looker (Google Cloud Core), que não está associado ao URL da instância.OAUTH_CLIENT_IDeOAUTH_CLIENT_SECRET: o ID do cliente e a chave secreta OAuth que você criou ao configurar seu cliente OAuth. Depois que a instância for criada, insira o URL dela na seção URIs de redirecionamento autorizados do cliente OAuth.REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada. Selecione a região que corresponde à região no contrato de assinatura. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core).EDITION: a edição e o tipo de ambiente (produção ou não produção) da instância. Os valores possíveis sãocore-enterprise-annual,core-embed-annual,nonprod-core-enterprise-annualounonprod-core-embed-annual. As edições não podem ser alteradas após a criação da instância. Se você quiser mudar de edição, use a importação e exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.ALLOWED_VPC: uma VPC que terá acesso norte-sul (de entrada) ao Looker (Google Cloud Core). Para acessar a instância de fora da VPC em que ela está localizada, você precisa listar pelo menos uma VPC. Especifique uma VPC usando um destes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: qualquer VPC adicional que tenha permissão de acesso do lado do servidor ao Looker (Google Cloud Core) pode ser adicionado à flag--psc-allowed-vpcsem uma lista separada por vírgulas.
Se quiser, adicione mais parâmetros para aplicar outras configurações da instância:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: precisa ser um dos seguintes:friday,monday,saturday,sunday,thursday,tuesday,wednesday. Consulte a página de documentação Gerenciar políticas de manutenção do Looker (Google Cloud Core) para mais informações sobre as configurações da janela de manutenção.MAINTENANCE_WINDOW_TIMEeDENY_MAINTENANCE_PERIOD_TIME: precisam estar no formato UTC de 24 horas (por exemplo, 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEeDENY_MAINTENANCE_PERIOD_END_DATE: precisam estar no formatoYYYY-MM-DD.KMS_KEY_ID: precisa ser a chave criada ao configurar chaves de criptografia gerenciadas pelo cliente (CMEK).
Inclua a flag --fips-enabled para ativar a conformidade com o FIPS 140-2 nível 1.
O processo de criação de uma instância do Private Service Connect é diferente do processo de criação de uma instância do Looker (Google Cloud Core) (acesso a serviços particulares) das seguintes maneiras:
- Com a configuração do Private Service Connect, as flags
--consumer-networke--reserved-rangenão são necessárias. - As instâncias do Private Service Connect exigem duas flags adicionais:
--no-public-ip-enablede--psc-enabled. - A flag
--psc-allowed-vpcsé uma lista de VPCs separada por vírgulas. É possível especificar quantas VPCs quiser na lista.
Verificar o status da instância
A criação da instância leva de 40 a 60 minutos.
Console
Enquanto a instância está sendo criada, é possível conferir o status dela na página Instâncias do console. Também é possível conferir a atividade de criação de instâncias clicando no ícone de notificações no menu do Google Cloud . Na página Detalhes da instância, o status dela vai aparecer como Ativo depois que ela for criada.
gcloud
Para verificar o status, use o comando gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
A instância fica pronta quando atinge o estado ACTIVE.
Configurar o Private Service Connect para serviços externos
Para que sua instância do Looker (Google Cloud Core) possa se conectar a um serviço externo, ele precisa ser publicado usando o Private Service Connect. Siga as instruções para publicar serviços usando o Private Service Connect para qualquer serviço que você queira publicar.
Os serviços podem ser publicados com aprovação automática ou aprovação explícita. Se você optar por publicar com aprovação explícita, configure o anexo de serviço da seguinte maneira:
- Defina a lista de permissões de anexos de serviço para usar projetos, não redes.
- Adicione o ID do projeto de locatário do Looker à lista de permissões.
Para encontrar o ID do projeto do locatário do Looker depois que a instância for criada, execute o seguinte comando:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
Na resposta ao comando, o campo looker_service_attachment_uri vai conter o ID do projeto do locatário do Looker. Ele terá o seguinte formato: projects/{Looker tenant project ID}/regions/…
URI do anexo de serviço
Quando você atualizar a instância do Looker (Google Cloud Core) para se conectar ao serviço, vai precisar do URI de anexo de serviço completo para o serviço externo. O URI será especificado da seguinte maneira, usando o projeto, a região e o nome que você usou para criar o anexo do serviço:
projects/{project}/regions/{region}/serviceAttachments/{name}
Atualizar uma instância do Looker (Google Cloud Core) do Private Service Connect
Depois que a instância do Looker (Google Cloud Core) do Private Service Connect for criada, você poderá fazer as seguintes mudanças:
Especificar conexões southbound
Console
- Na página Instâncias, clique no nome da instância para a qual você quer ativar as conexões southbound (saída).
- Clique em Editar.
- Expanda a seção Conexões.
- Para editar um anexo de serviço, atualize o nome de domínio totalmente qualificado do serviço no campo FQDN local e o URI do anexo de serviço no campo URI do anexo de serviço de destino.
- Para adicionar um novo anexo de serviço, clique em Adicionar item. Em seguida, insira o nome de domínio totalmente qualificado do serviço no campo FQDN local e o URI do anexo de serviço no campo URI do anexo de serviço de destino.
- Clique em Salvar.
gcloud
Use as flags --psc-service-attachment para ativar conexões southbound (saída) para serviços externos que já configuraram o Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).DOMAIN_1eDOMAIN_2: se você estiver se conectando a um serviço público, use o nome de domínio do serviço. Se você estiver se conectando a um serviço particular, use um nome de domínio totalmente qualificado. As seguintes restrições se aplicam ao nome de domínio:Cada conexão southbound oferece suporte a um único domínio.
O nome do domínio precisa ter pelo menos três partes. Por exemplo,
mydomain.github.comé aceitável, masgithub.comnão é.A última parte do nome não pode ser:
googleapis.comgoogle.comgcr.iopkg.dev
Ao configurar uma conexão com o serviço na instância do Looker (Google Cloud Core), use esse domínio como o alias do serviço.
SERVICE_ATTACHMENT_1eSERVICE_ATTACHMENT_2: o URI do anexo de serviço completo do serviço publicado ao qual você está se conectando. Cada URI de anexo de serviço pode ser acessado por um único domínio.REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
Se você estiver se conectando a um serviço não gerenciado pelo Google em uma região diferente da que a instância do Looker (Google Cloud Core) está localizada, ative o acesso global no balanceador de carga do produtor.
Inclua todas as conexões que precisam ser ativadas
Sempre que você executar um comando de atualização com flags --psc-service-attachment, será necessário incluir todas as conexões que você quer ativar, incluindo as que já foram ativadas anteriormente. Por exemplo, suponha que você tenha conectado uma instância chamada my-instance ao domínio www.cloud.com da seguinte maneira:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
A execução do comando a seguir para adicionar uma nova conexão www.me.com excluiria a conexão www.cloud.com:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Para evitar a exclusão da conexão www.cloud.com ao adicionar a nova conexão www.me.com, inclua uma flag psc-service-attachment separada para a conexão atual e a nova no comando de atualização da seguinte maneira:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Verificar o status da conexão southbound
Para conferir o status das conexões de saída (do sul para o norte), execute novamente o comando gcloud looker instances describe --format=json. Cada anexo de serviço precisa ser preenchido com um campo connection_status.
Excluir todas as conexões de saída
Para excluir todas as conexões de saída (do lado de baixo), execute o seguinte comando:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
Atualizar VPCs permitidas
Console
- Na página Instâncias, clique no nome da instância para atualizar as VPCs que têm acesso de norte para sul permitido.
- Clique em Editar.
- Expanda a seção Conexões.
- Para adicionar uma VPC, clique em Adicionar item. Em seguida, selecione o projeto em que a VPC está no campo Project e selecione a rede no menu suspenso Network.
- Para excluir uma VPC, clique no ícone da lixeira Excluir item que aparece quando você mantém o ponteiro sobre a rede.
- Clique em Salvar.
gcloud
Use a flag --psc-allowed-vpcs para atualizar a lista de VPCs que autorizaram o acesso de entrada à instância.
Ao atualizar as VPCs permitidas, você precisa especificar a lista inteira que vai entrar em vigor após a atualização. Por exemplo, suponha que a VPC ALLOWED_VPC_1 já esteja permitida e que você queira adicionar a VPC ALLOWED_VPC_2. Para adicionar a VPC ALLOWED_VPC_1 e garantir que a VPC ALLOWED_VPC_2 continue sendo permitida, adicione a flag --psc-allowed-vpcs da seguinte maneira:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).ALLOWED_VPC_1eALLOWED_VPC_2: as VPCs que poderão ingressar no Looker (Google Cloud Core). Especifique cada VPC permitida usando um dos seguintes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
Excluir todas as VPCs permitidas
Para excluir todas as VPCs permitidas, execute o seguinte comando:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
Acesso de saída à sua instância
Depois que a instância do Looker (Google Cloud Core) (Private Service Connect) for criada, você poderá configurar o acesso de entrada para permitir que os usuários acessem a instância.
Para acessar a instância em outra rede VPC, siga as instruções para criar um endpoint do Private Service Connect. Verifique se a rede tem acesso de norte para sul à sua instância do Looker (Google Cloud Core) e siga estas diretrizes ao criar o endpoint:
Defina o campo Serviço de destino (para o console do Google Cloud ) ou a variável
SERVICE_ATTACHMENT(se estiver seguindo as instruções da API ou da Google Cloud CLI) para o URI de anexo do serviço do Looker. Para encontrar esse URI, marque a guia Detalhes na página de configuração da instância do console ou execute o seguinte comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
É possível usar qualquer sub-rede hospedada na mesma região que a instância do Looker (Google Cloud Core).
Não ative o acesso global.
Para acessar a instância em um ambiente de rede híbrida, siga as instruções na página de documentação Acesso de norte para sul a uma instância do Looker (Google Cloud Core) usando o Private Service Connect para configurar um domínio personalizado e acessar a instância.