Halaman ini menjelaskan proses penggunaan gcloud CLI untuk membuat instance Looker (inti Google Cloud) dengan Private Service Connect yang diaktifkan.
Private Service Connect dapat diaktifkan untuk instance Looker (Google Cloud core) yang memenuhi kriteria berikut:
- Instance Looker (Google Cloud core) harus baru. Private Service Connect hanya dapat diaktifkan pada saat pembuatan instance.
- Instance tidak dapat mengaktifkan IP publik.
- Edisi instance harus berupa Enterprise (
core-enterprise-annual) atau Sematan (core-embed-annual).
Sebelum memulai
- Di konsol Google Cloud, pada halaman pemilih project, pilih project tempat Anda ingin membuat instance Private Service Connect.
- Aktifkan Looker API untuk project Anda di konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk mengonfirmasi bahwa API telah diaktifkan.
- Siapkan klien OAuth dan buat kredensial otorisasi. Klien OAuth memungkinkan Anda mengautentikasi dan mengakses instance. Anda harus menyiapkan OAuth untuk membuat instance Looker (inti Google Cloud), meskipun Anda menggunakan metode autentikasi yang berbeda untuk mengautentikasi pengguna ke instance Anda.
- Jika Anda ingin menggunakan Kontrol Layanan VPC atau kunci enkripsi yang dikelola pelanggan (CMEK) dengan instance Looker (inti Google Cloud) yang Anda buat, penyiapan tambahan diperlukan sebelum pembuatan instance. Edisi dan konfigurasi jaringan tambahan mungkin juga diperlukan selama pembuatan instance.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan guna membuat instance Looker (inti Google Cloud),
minta administrator untuk memberi Anda
peran IAM Looker Admin (roles/looker.admin) di project tempat instance akan berada.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Anda mungkin juga memerlukan peran IAM tambahan untuk menyiapkan Kontrol Layanan VPC atau kunci enkripsi yang dikelola pelanggan (CMEK). Buka halaman dokumentasi untuk fitur tersebut guna mempelajari lebih lanjut.
Membuat instance Private Service Connect
console
- Buka halaman produk Looker (inti Google Cloud) dari project Anda di konsol Google Cloud. Jika Anda telah membuat instance Looker (Google Cloud core) dalam project ini, halaman Instance akan terbuka.
- Klik CREATE INSTANCE.
- Di bagian Instance name, berikan nama untuk instance Looker (Google Cloud core) Anda. Nama instance tidak dikaitkan dengan URL instance Looker (Google Cloud core) setelah dibuat. Nama instance tidak dapat diubah setelah pembuatan instance.
- Di bagian Kredensial Aplikasi OAuth, masukkan client ID OAuth dan secret OAuth yang Anda buat saat menyiapkan klien OAuth.
Di bagian Region, pilih opsi yang sesuai dari menu drop-down untuk menghosting instance Looker (inti Google Cloud) Anda. Pilih region yang cocok dengan region dalam kontrak langganan, tempat kuota untuk project Anda dialokasikan. Region yang tersedia tercantum di halaman dokumentasi lokasi Looker (Google Cloud Core).
Anda tidak dapat mengubah region setelah instance dibuat.
Di bagian Edisi, pilih opsi edisi Enterprise atau Sisipkan. Jenis edisi memengaruhi beberapa fitur yang tersedia untuk instance. Pastikan Anda memilih jenis edisi yang sama seperti yang tercantum dalam kontrak tahunan dan Anda memiliki kuota yang dialokasikan untuk jenis edisi tersebut.
- Enterprise: Platform Looker (Google Cloud core) dengan fitur keamanan yang ditingkatkan untuk menangani berbagai kasus penggunaan BI dan analisis internal
- Sisipkan: Platform Looker (Google Cloud core) untuk men-deploy dan mengelola analisis eksternal dan aplikasi kustom yang andal dalam skala besar
Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (inti Google Cloud) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.
Di bagian Sesuaikan instance Anda, klik TAMPILKAN OPSI KONFIGURASI untuk menampilkan grup setelan tambahan yang dapat Anda sesuaikan untuk instance.
Di bagian Koneksi, pada Penetapan IP instance, pilih hanya IP Pribadi. Jenis koneksi jaringan yang Anda pilih memengaruhi fitur Looker yang tersedia untuk instance.
Di bagian Private IP Type, pilih Private Service Connect (PSC).
Di bagian VPC yang Diizinkan, klik Tambahkan Item untuk menambahkan VPC yang akan diizinkan akses northbound ke instance Looker (inti Google Cloud). Di kolom Project, pilih project tempat jaringan dibuat. Di menu drop-down Network, pilih jaringan. Tambahkan VPC tambahan dengan mengklik Tambahkan Item sesuai kebutuhan.
Di bagian Enkripsi, Anda dapat memilih jenis enkripsi yang akan digunakan di instance. Opsi enkripsi berikut tersedia:
- Kunci enkripsi yang dikelola Google: Opsi ini adalah default dan tidak memerlukan konfigurasi tambahan.
- Kunci enkripsi yang dikelola pelanggan (CMEK): Lihat halaman dokumentasi Menggunakan kunci enkripsi yang dikelola pelanggan dengan Looker (inti Google Cloud) untuk mengetahui informasi selengkapnya tentang CMEK dan cara mengonfigurasinya selama pembuatan instance. Jenis enkripsi tidak dapat diubah setelah pembuatan instance.
- Aktifkan Enkripsi Tervalidasi FIPS 140-2: Lihat halaman dokumentasi Mengaktifkan kepatuhan FIPS 140-2 level 1 di instance Looker (inti Google Cloud) untuk mengetahui informasi selengkapnya tentang dukungan FIPS 140-2 di Looker (inti Google Cloud).
Di bagian Maintenance Window, Anda dapat menentukan hari dan jam saat Looker (inti Google Cloud) menjadwalkan pemeliharaan. Masa pemeliharaan berlangsung selama satu jam. Secara default, opsi Periode Pilihan di Periode Pemeliharaan ditetapkan ke Periode apa pun.
Di bagian Tolak Periode Pemeliharaan, Anda dapat menentukan blok hari saat Looker (inti Google Cloud) tidak menjadwalkan pemeliharaan. Periode pemeliharaan penolakan dapat berlangsung hingga 60 hari. Anda harus memberikan waktu minimal 14 hari dari waktu pemeliharaan di antara 2 periode pemeliharaan yang ditolak.
Klik Create.
gcloud
Untuk membuat instance Private Service Connect, jalankan perintah gcloud looker instances create dengan semua flag berikut:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Ganti kode berikut:
INSTANCE_NAME: nama untuk instance Looker (Google Cloud core) Anda; nama ini tidak terkait dengan URL instance.OAUTH_CLIENT_IDdanOAUTH_CLIENT_SECRET: client ID OAuth dan secret OAuth yang Anda buat saat menyiapkan klien OAuth. Setelah instance dibuat, masukkan URL instance di bagian Authorized redirect URI pada klien OAuth.REGION: region tempat instance Looker (Google Cloud core) Anda dihosting. Pilih region yang cocok dengan region dalam kontrak langganan. Region yang tersedia tercantum di halaman dokumentasi lokasi Looker (Google Cloud Core).EDITION: edisi untuk instance. Kemungkinan nilainya adalahcore-enterprise-annual, ataucore-embed-annual. Edisi tidak dapat diubah setelah pembuatan instance. Jika ingin mengubah edisi, Anda dapat menggunakan impor dan ekspor untuk memindahkan data instance Looker (inti Google Cloud) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.ALLOWED_VPC: VPC yang akan diizinkan akses northbound (masuk) ke Looker (inti Google Cloud). Untuk mengakses instance dari luar VPC tempat instance berada, Anda harus mencantumkan minimal satu VPC. Tentukan VPC menggunakan salah satu format berikut:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: VPC tambahan yang diizinkan untuk mengakses Looker (inti Google Cloud) dari utara dapat ditambahkan ke flag--psc-allowed-vpcsdalam daftar yang dipisahkan koma.
Jika mau, Anda dapat menambahkan parameter lainnya untuk menerapkan setelan instance lainnya:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: harus berupa salah satu dari hal berikut:friday,monday,saturday,sunday,thursday,tuesday,wednesday. Lihat halaman dokumentasi Mengelola kebijakan pemeliharaan untuk Looker (inti Google Cloud) untuk mengetahui informasi selengkapnya tentang setelan periode pemeliharaan.MAINTENANCE_WINDOW_TIMEdanDENY_MAINTENANCE_PERIOD_TIME: harus dalam UTC dalam format 24 jam (misalnya, 13.00, 17.45).DENY_MAINTENANCE_PERIOD_START_DATEdanDENY_MAINTENANCE_PERIOD_END_DATE: harus dalam formatYYYY-MM-DD.KMS_KEY_ID: harus berupa kunci yang dibuat saat menyiapkan kunci enkripsi yang dikelola pelanggan (CMEK).
Anda dapat menyertakan flag --fips-enabled untuk mengaktifkan kepatuhan FIPS 140-2 level 1.
Proses pembuatan instance Private Service Connect berbeda dengan proses pembuatan instance Looker (inti Google Cloud) (akses layanan pribadi) dengan cara berikut:
- Dengan penyiapan Private Service Connect, flag
--consumer-networkdan--reserved-rangetidak diperlukan. - Instance Private Service Connect memerlukan dua flag tambahan:
--no-public-ip-enableddan--psc-enabled. - Flag
--psc-allowed-vpcsadalah daftar VPC yang dipisahkan koma. Anda dapat menentukan VPC sebanyak yang Anda inginkan dalam daftar.
Memeriksa status instance
Pembuatan instance memerlukan waktu sekitar 40-60 menit.
console
Saat instance sedang dibuat, Anda dapat melihat statusnya di halaman Instances dalam konsol. Anda juga dapat melihat aktivitas pembuatan instance dengan mengklik ikon notifikasi di menu konsol Google Cloud. Di halaman Detail untuk instance, statusnya akan menampilkan Aktif setelah dibuat.
gcloud
Untuk memeriksa status, gunakan perintah gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
Instance siap setelah mencapai status ACTIVE.
Menyiapkan Private Service Connect untuk layanan eksternal
Agar instance Looker (inti Google Cloud) dapat terhubung ke layanan eksternal, layanan eksternal tersebut harus dipublikasikan menggunakan Private Service Connect. Ikuti petunjuk untuk memublikasikan layanan menggunakan Private Service Connect untuk layanan apa pun yang ingin Anda publikasikan.
Layanan dapat dipublikasikan dengan persetujuan otomatis atau dengan persetujuan eksplisit. Jika memilih untuk memublikasikan dengan persetujuan eksplisit, Anda harus mengonfigurasi lampiran layanan sebagai berikut:
- Tetapkan daftar yang diizinkan lampiran layanan Anda untuk menggunakan project (bukan jaringan).
- Tambahkan project ID tenant Looker ke daftar yang diizinkan.
Anda dapat menemukan project ID tenant Looker setelah instance dibuat dengan menjalankan perintah berikut:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
Dalam output perintah, kolom looker_service_attachment_uri akan berisi project ID tenant Looker Anda. Formatnya akan seperti berikut: projects/{Looker tenant project ID}/regions/…
URI lampiran layanan
Saat nanti Anda mengupdate instance Looker (inti Google Cloud) untuk terhubung ke layanan, Anda memerlukan URI lampiran layanan lengkap untuk layanan eksternal. URI akan ditentukan sebagai berikut, menggunakan project, region, dan nama yang Anda gunakan untuk membuat lampiran layanan:
projects/{project}/regions/{region}/serviceAttachments/{name}
Memperbarui instance Private Service Connect Looker (Google Cloud core)
Setelah instance Private Service Connect Looker (Google Cloud core) dibuat, Anda dapat melakukan perubahan berikut:
Menentukan koneksi southbound
console
- Di halaman Instances, klik nama instance yang ingin Anda aktifkan koneksi southbound (keluar).
- Klik Edit.
- Luaskan bagian Connections.
- Untuk mengedit lampiran layanan yang ada, perbarui nama domain layanan yang sepenuhnya memenuhi syarat di kolom Local FQDN dan service attachment URI di kolom Target Service Attachment URI.
- Untuk menambahkan lampiran layanan baru, klik Tambahkan Item. Kemudian, masukkan nama domain layanan yang sepenuhnya memenuhi syarat di kolom Local FQDN dan service attachment URI di kolom Target Service Attachment URI.
- Klik Simpan.
gcloud
Gunakan flag --psc-service-attachment untuk mengaktifkan koneksi ke selatan (traffic keluar) ke layanan eksternal yang telah Anda siapkan Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.DOMAIN_1danDOMAIN_2: Jika Anda terhubung ke layanan publik, gunakan nama domain layanan. Jika Anda terhubung ke layanan pribadi, gunakan nama domain yang sepenuhnya memenuhi syarat. Batasan berikut berlaku untuk nama domain:Setiap koneksi southbound mendukung satu domain.
Nama domain harus terdiri dari minimal tiga bagian. Misalnya,
mydomain.github.comdapat diterima, tetapigithub.comtidak dapat diterima.Bagian terakhir nama tidak boleh berupa salah satu dari hal berikut:
googleapis.comgoogle.comgcr.iopkg.dev
Saat menyiapkan koneksi ke layanan dari dalam instance Looker (inti Google Cloud), gunakan domain ini sebagai alias untuk layanan Anda.
SERVICE_ATTACHMENT_1danSERVICE_ATTACHMENT_2: URI lampiran layanan lengkap untuk layanan yang dipublikasikan yang Anda hubungkan. Setiap URI lampiran layanan dapat diakses oleh satu domain.REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
Jika Anda terhubung ke layanan yang tidak dikelola Google di region selain region tempat instance Looker (inti Google Cloud) Anda berada, aktifkan akses global di load balancer produsen.
Sertakan semua koneksi yang harus diaktifkan
Setiap kali menjalankan perintah update dengan flag --psc-service-attachment, Anda harus menyertakan setiap koneksi yang ingin diaktifkan, termasuk koneksi yang sudah diaktifkan sebelumnya. Misalnya, sebelumnya Anda telah menghubungkan instance bernama my-instance ke domain www.cloud.com sebagai berikut:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
Menjalankan perintah berikut untuk menambahkan koneksi www.me.com baru akan menghapus koneksi www.cloud.com:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Untuk mencegah penghapusan koneksi www.cloud.com saat Anda menambahkan koneksi www.me.com baru, sertakan flag psc-service-attachment terpisah untuk koneksi yang ada dan koneksi baru dalam perintah update sebagai berikut:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Memeriksa status koneksi southbound
Anda dapat memeriksa status koneksi southbound (ekspor) dengan menjalankan kembali perintah gcloud looker instances describe --format=json. Setiap lampiran layanan harus diisi dengan kolom connection_status.
Menghapus semua koneksi southbound
Untuk menghapus semua koneksi southbound (keluar), jalankan perintah berikut:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
Memperbarui VPC yang diizinkan
console
- Di halaman Instances, klik nama instance yang VPC-nya ingin Anda perbarui agar diizinkan untuk mengakses instance dari utara.
- Klik Edit.
- Luaskan bagian Connections.
- Untuk menambahkan VPC baru, klik Tambahkan Item. Kemudian, pilih project tempat VPC berada di kolom Project, dan pilih jaringan dari menu drop-down Network.
- Untuk menghapus VPC, klik ikon tempat sampah Delete item yang muncul saat Anda menahan kursor di atas jaringan.
- Klik Simpan.
gcloud
Gunakan flag --psc-allowed-vpcs untuk memperbarui daftar VPC yang telah mengizinkan akses northbound ke instance.
Saat memperbarui VPC yang diizinkan, Anda harus menentukan seluruh daftar yang ingin diterapkan setelah pembaruan. Misalnya, VPC ALLOWED_VPC_1 sudah diizinkan, dan Anda ingin menambahkan VPC ALLOWED_VPC_2. Untuk menambahkan VPC ALLOWED_VPC_1 sekaligus memastikan bahwa VPC ALLOWED_VPC_2 terus diizinkan, tambahkan flag --psc-allowed-vpcs sebagai berikut:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.ALLOWED_VPC_1danALLOWED_VPC_2: VPC yang akan diizinkan masuk ke Looker (Google Cloud core). Tentukan setiap VPC yang diizinkan menggunakan salah satu format berikut:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
Menghapus semua VPC yang diizinkan
Untuk menghapus semua VPC yang diizinkan, jalankan perintah berikut:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
Akses northbound ke instance Anda
Setelah instance Looker (inti Google Cloud) (Private Service Connect) dibuat, Anda dapat menyiapkan akses northbound untuk mengizinkan pengguna mengakses instance.
Untuk mengakses instance dari jaringan VPC lain, ikuti petunjuk untuk membuat endpoint Private Service Connect terlebih dahulu. Pastikan jaringan diizinkan untuk mengakses instance Looker (Google Cloud core) dari utara dan ikuti panduan ini saat membuat endpoint:
Tetapkan kolom Target service (untuk konsol Google Cloud) atau variabel
SERVICE_ATTACHMENT(jika mengikuti petunjuk Google Cloud CLI atau API) ke URI lampiran layanan Looker, yang dapat Anda temukan dengan memeriksa tab Details di halaman konfigurasi instance di konsol atau dengan menjalankan perintah berikut:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Ganti kode berikut:
INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
Anda dapat menggunakan subnet apa pun yang dihosting di region yang sama dengan instance Looker (Google Cloud core).
Jangan aktifkan akses global.
Untuk mengakses instance dari lingkungan jaringan hybrid, Anda dapat mengikuti petunjuk di halaman dokumentasi Akses northbound ke instance Looker (inti Google Cloud) menggunakan Private Service Connect untuk menyiapkan domain kustom dan mengakses instance.