Questa pagina descrive la procedura per utilizzare l'interfaccia a riga di comando gcloud per creare un'istanza di Looker (Google Cloud core) con Private Service Connect abilitato.
Private Service Connect può essere attivato per un'istanza di Looker (Google Cloud core) che soddisfa i seguenti criteri:
- L'istanza di Looker (Google Cloud core) deve essere nuova. Private Service Connect può essere attivato solo al momento della creazione dell'istanza.
- L'istanza non può avere l'IP pubblico abilitato.
- La versione dell'istanza deve essere Enterprise (
core-enterprise-annual) o Incorpora (core-embed-annual).
Prima di iniziare
- Nella console Google Cloud, nella pagina di selezione del progetto, seleziona il progetto in cui vuoi creare l'istanza Private Service Connect.
- Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata abilitata.
- Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth ti consente di autenticarti e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nella tua istanza.
- Se vuoi utilizzare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK) con l'istanza di Looker (Google Cloud core) che stai creando, è necessaria una configurazione aggiuntiva prima della creazione dell'istanza. Durante la creazione dell'istanza potrebbero essere necessarie anche configurazioni di rete ed edizione aggiuntive.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare un'istanza di Looker (Google Cloud core),
chiedi all'amministratore di concederti il ruolo IAM Amministratore di Looker (roles/looker.admin) nel progetto in cui risiederà l'istanza.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Potresti anche aver bisogno di ruoli IAM aggiuntivi per configurare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK). Per saperne di più, consulta le pagine della documentazione relative a queste funzionalità.
Creare un'istanza Private Service Connect
console
- Vai alla pagina del prodotto Looker (Google Cloud core) dal tuo progetto nella console Google Cloud. Se hai già creato un'istanza di Looker (Google Cloud core) in questo progetto, si aprirà la pagina Istanze.
- Fai clic su CREA ISTANZA.
- Nella sezione Nome istanza, fornisci un nome per l'istanza di Looker (Google Cloud core). Il nome dell'istanza non è associato all'URL dell'istanza di Looker (Google Cloud core) una volta creata. Il nome dell'istanza non può essere modificato dopo la creazione.
- Nella sezione Credenziali applicazione OAuth, inserisci l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth.
Nella sezione Regione, seleziona l'opzione appropriata dal menu a discesa per ospitare l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella nel contratto di abbonamento, dove viene allocata la quota per il tuo progetto. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core).
Non puoi modificare la regione dopo aver creato l'istanza.
Nella sezione Versione, scegli un'opzione di versione Enterprise o Incorpora. Il tipo di versione influisce su alcune delle funzionalità disponibili per l'istanza. Assicurati di scegliere lo stesso tipo di versione indicato nel contratto annuale e di disporre della quota allocata per quel tipo di versione.
- Enterprise: piattaforma Looker (Google Cloud core) con funzionalità di sicurezza avanzate per gestire un'ampia gamma di casi d'uso interni per BI e analisi
- Incorporato: piattaforma Looker (Google Cloud core) per il deployment e la gestione di applicazioni esterne di analisi e personalizzate affidabili su larga scala
Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
Nella sezione Personalizza l'istanza, fai clic su MOSTRA OPZIONI DI CONFIGURAZIONE per visualizzare un gruppo di impostazioni aggiuntive che puoi personalizzare per l'istanza.
Nella sezione Connessioni, in Assegnazione IP istanza, seleziona solo IP privato. Il tipo di connessione di rete selezionato influisce sulle funzionalità di Looker disponibili per l'istanza.
In Tipo di IP privato, seleziona Private Service Connect (PSC).
In VPC consentiti, fai clic su Aggiungi elemento per aggiungere i VPC a cui verrà consentito l'accesso in uscita nell'istanza Looker (Google Cloud core). Nel campo Progetto, seleziona il progetto in cui è stata creata la rete. Nel menu a discesa Rete, seleziona la rete. Aggiungi altre VPC facendo clic su Aggiungi elemento, se necessario.
Nella sezione Crittografia, puoi selezionare il tipo di crittografia da utilizzare nell'istanza. Sono disponibili le seguenti opzioni di crittografia:
- Chiave di crittografia gestita da Google: questa opzione è predefinita e non richiede alcuna configurazione aggiuntiva.
- Chiave di crittografia gestita dal cliente (CMEK): consulta la pagina della documentazione Utilizzare le chiavi di crittografia gestite dal cliente con Looker (Google Cloud core) per ulteriori informazioni sulle chiavi CMEK e su come configurarle durante la creazione dell'istanza. Il tipo di crittografia non può essere modificato dopo la creazione dell'istanza.
- Abilita la crittografia convalidata FIPS 140-2: consulta la pagina della documentazione Abilita la conformità al livello 1 FIPS 140-2 in un'istanza di Looker (Google Cloud core) per ulteriori informazioni sul supporto di FIPS 140-2 in Looker (Google Cloud core).
Nella sezione Finestra di manutenzione, se vuoi, puoi specificare il giorno della settimana e l'ora in cui Looker (Google Cloud core) pianifica la manutenzione. I periodi di manutenzione durano un'ora. Per impostazione predefinita, l'opzione Finestra preferita in Finestra di manutenzione è impostata su Qualsiasi finestra.
Nella sezione Periodo di rifiuto della manutenzione, se vuoi, puoi specificare un blocco di giorni in cui Looker (Google Cloud core) non pianifica la manutenzione. I periodi in cui evitare la manutenzione possono durare fino a 60 giorni. Devi consentire almeno 14 giorni di disponibilità per la manutenzione tra un periodo in cui evitare la manutenzione e l'altro.
Fai clic su Crea.
gcloud
Per creare un'istanza Private Service Connect, esegui il comando gcloud looker instances create con tutti i flag seguenti:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Sostituisci quanto segue:
INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.OAUTH_CLIENT_IDeOAUTH_CLIENT_SECRET: l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth. Dopo aver creato l'istanza, inserisci l'URL dell'istanza nella sezione URI di reindirizzamento autorizzati del client OAuth.REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella nel contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core).EDITION: la versione dell'istanza. I valori possibili sonocore-enterprise-annualocore-embed-annual. Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare una versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.ALLOWED_VPC: una VPC a cui verrà consentito l'accesso in uscita (in entrata) a Looker (Google Cloud core). Per accedere all'istanza dall'esterno del VPC in cui si trova, devi elencare almeno un VPC. Specifica un VPC utilizzando uno dei seguenti formati:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: tutti i VPC aggiuntivi a cui deve essere consentito l'accesso in uscita a Looker (Google Cloud core) possono essere aggiunti al flag--psc-allowed-vpcsin un elenco separato da virgole.
Se vuoi, puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: deve essere uno dei seguenti:friday,monday,saturday,sunday,thursday,tuesday,wednesday. Per ulteriori informazioni sulle impostazioni periodo di manutenzione, consulta la pagina della documentazione Gestire i criteri di manutenzione per Looker (Google Cloud core).MAINTENANCE_WINDOW_TIMEeDENY_MAINTENANCE_PERIOD_TIME: devono essere in UTC nel formato 24 ore (ad es. 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEeDENY_MAINTENANCE_PERIOD_END_DATE: devono essere nel formatoYYYY-MM-DD.KMS_KEY_ID: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).
Puoi includere il flag --fips-enabled per abilitare la conformità al livello 1 di FIPS 140-2.
La procedura per la creazione di un'istanza Private Service Connect è diversa dalla procedura per la creazione di un'istanza di Looker (Google Cloud core) (accesso ai servizi privati) nei seguenti modi:
- Con la configurazione di Private Service Connect, i flag
--consumer-networke--reserved-rangenon sono necessari. - Le istanze Private Service Connect richiedono due flag aggiuntivi:
--no-public-ip-enablede--psc-enabled. - Il flag
--psc-allowed-vpcsè un elenco di VPC separati da virgole. Puoi specificare tutti i VPC che vuoi nell'elenco.
Controllare lo stato dell'istanza
La creazione dell'istanza richiede circa 40-60 minuti.
console
Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione delle istanze facendo clic sull'icona delle notifiche nel menu della console Google Cloud. Nella pagina Dettagli dell'istanza, lo stato sarà Attivo una volta creata l'istanza.
gcloud
Per controllare lo stato, utilizza il comando gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
L'istanza è pronta quando raggiunge lo stato ACTIVE.
Configurare Private Service Connect per i servizi esterni
Affinché l'istanza di Looker (Google Cloud core) possa connettersi a un servizio esterno, questo servizio deve essere pubblicato utilizzando Private Service Connect. Segui le istruzioni per la pubblicazione di servizi utilizzando Private Service Connect per qualsiasi servizio che vuoi pubblicare.
I servizi possono essere pubblicati con approvazione automatica o con approvazione esplicita. Se scegli di pubblicare con approvazione esplicita, devi configurare l'allegato del servizio come segue:
- Imposta la lista consentita per i collegamenti dei servizi in modo da utilizzare i progetti (non le reti).
- Aggiungi l'ID progetto tenant di Looker alla lista consentita.
Per trovare l'ID progetto del tenant di Looker dopo la creazione dell'istanza, esegui il seguente comando:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
Nell'output del comando, il campo looker_service_attachment_uri conterrà l'ID progetto del tenant Looker. Il formato sarà il seguente: projects/{Looker tenant project ID}/regions/…
URI del collegamento al servizio
Quando in un secondo momento aggiorni l'istanza di Looker (Google Cloud core) per connetterti al servizio, avrai bisogno dell'URI completo del collegamento al servizio per il servizio esterno. L'URI verrà specificato come segue, utilizzando il progetto, la regione e il nome che hai utilizzato per creare l'allegato del servizio:
projects/{project}/regions/{region}/serviceAttachments/{name}
Aggiornare un'istanza Private Service Connect di Looker (Google Cloud core)
Una volta creata l'istanza Private Service Connect di Looker (Google Cloud core), puoi apportare le seguenti modifiche:
Specifica le connessioni verso sud
console
- Nella pagina Istanze, fai clic sul nome dell'istanza per cui vuoi attivare le connessioni in uscita (southbound).
- Fai clic su Modifica.
- Espandi la sezione Connessioni.
- Per modificare un collegamento al servizio esistente, aggiorna il nome di dominio completo del servizio nel campo FQDN locale e l'URI del collegamento al servizio nel campo URI del collegamento al servizio di destinazione.
- Per aggiungere un nuovo allegato del servizio, fai clic su Aggiungi elemento. Poi, inserisci il nome di dominio completo del servizio nel campo FQDN locale e l'URI dell'attacco al servizio nel campo URI dell'attacco al servizio di destinazione.
- Fai clic su Salva.
gcloud
Utilizza i flag --psc-service-attachment per attivare le connessioni in uscita (southbound) ai servizi esterni per i quali hai già configurato Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).DOMAIN_1eDOMAIN_2: se ti connetti a un servizio pubblico, utilizza il nome di dominio del servizio. Se ti connetti a un servizio privato, utilizza un nome di dominio completo a tua scelta. Al nome di dominio si applicano le seguenti limitazioni:Ogni connessione southbound supporta un singolo dominio.
Il nome di dominio deve essere composto da almeno tre parti. Ad esempio,
mydomain.github.comè accettabile, magithub.comnon lo è.L'ultima parte del nome non può essere una delle seguenti:
googleapis.comgoogle.comgcr.iopkg.dev
Quando configuri una connessione al servizio dall'interno dell'istanza di Looker (Google Cloud core), utilizza questo dominio come alias per il servizio.
SERVICE_ATTACHMENT_1eSERVICE_ATTACHMENT_2: l'URI del collegamento al servizio completo per il servizio pubblicato a cui ti connetti. Ogni URI dell'allegato del servizio può essere accessibile da un singolo dominio.REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
Se ti connetti a un servizio gestito non Google in una regione diversa da quella in cui si trova la tua istanza di Looker (Google Cloud core), abilita l'accesso globale sul bilanciatore del carico del produttore.
Includi tutte le connessioni da attivare
Ogni volta che esegui un comando di aggiornamento con flag --psc-service-attachment, devi includere tutte le connessioni che vuoi attivare, incluse quelle già attivate in precedenza. Ad esempio, supponiamo che tu abbia già collegato un'istanza denominata my-instance al dominio www.cloud.com come segue:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
L'esecuzione del seguente comando per aggiungere una nuova connessione www.me.com eliminerebbe la connessione www.cloud.com:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Per impedire l'eliminazione della connessione www.cloud.com quando aggiungi la nuova connessione www.me.com, includi un flag psc-service-attachment separato sia per la connessione esistente sia per la nuova connessione all'interno del comando di aggiornamento come segue:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Controllare lo stato della connessione southbound
Puoi controllare lo stato delle connessioni southbound (in uscita) eseguendo di nuovo il comando gcloud looker instances describe --format=json. Ogni allegato del servizio deve essere compilato con un campo connection_status.
Elimina tutte le connessioni in uscita
Per eliminare tutte le connessioni southbound (in uscita), esegui il seguente comando:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
Aggiorna i VPC consentiti
console
- Nella pagina Istanze, fai clic sul nome dell'istanza per cui vuoi aggiornare le VPC a cui è consentito l'accesso northbound all'istanza.
- Fai clic su Modifica.
- Espandi la sezione Connessioni.
- Per aggiungere una nuova VPC, fai clic su Aggiungi elemento. Quindi, seleziona il progetto in cui si trova la VPC nel campo Progetto e seleziona la rete dal menu a discesa Rete.
- Per eliminare una VPC, fai clic sull'icona del cestino Elimina elemento che viene visualizzata quando passi il cursore del mouse sopra la rete.
- Fai clic su Salva.
gcloud
Utilizza il flag --psc-allowed-vpcs per aggiornare l'elenco dei VPC che hanno autorizzato l'accesso in uscita all'istanza.
Quando aggiorni i VPC consentiti, devi specificare l'intero elenco che vuoi che venga applicato dopo l'aggiornamento. Ad esempio, supponiamo che il VPC ALLOWED_VPC_1 sia già consentito e che tu voglia aggiungere il VPC ALLOWED_VPC_2. Per aggiungere il VPC ALLOWED_VPC_1 assicurandoti che il VPC ALLOWED_VPC_2 continui a essere consentito, aggiungi il flag --psc-allowed-vpcs come segue:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).ALLOWED_VPC_1eALLOWED_VPC_2: i VPC a cui sarà consentito l'ingresso in Looker (Google Cloud core). Specifica ogni VPC consentita utilizzando uno dei seguenti formati:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
Elimina tutti i VPC consentiti
Per eliminare tutte le VPC consentite, esegui il seguente comando:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
Accesso in uscita alla tua istanza
Dopo aver creato l'istanza di Looker (Google Cloud core) (Private Service Connect), puoi configurare l'accesso in uscita per consentire agli utenti di accedere all'istanza.
Per accedere all'istanza da un'altra rete VPC, segui prima le istruzioni per creare un endpoint Private Service Connect. Assicurati che alla rete sia consentito l'accesso in uscita all'istanza di Looker (Google Cloud core) e segui queste linee guida per creare l'endpoint:
Imposta il campo Servizio target (per la console Google Cloud) o la variabile
SERVICE_ATTACHMENT(se segui le istruzioni dell'API o di Google Cloud CLI) sull'URI dell'attacco del servizio Looker, che puoi trovare selezionando la scheda Dettagli nella pagina di configurazione dell'istanza della console o eseguendo il seguente comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
Puoi utilizzare qualsiasi subnet ospitata nella stessa regione dell'istanza di Looker (Google Cloud core).
Non attivare l'accesso globale.
Per accedere all'istanza da un ambiente di rete ibrido, puoi seguire le istruzioni nella pagina della documentazione Accesso in uscita a un'istanza di Looker (Google Cloud core) utilizzando Private Service Connect per configurare un dominio personalizzato e accedere all'istanza.