En esta página, se describe el proceso para usar gcloud CLI para crear una instancia de producción o no de producción de Looker (Google Cloud Core) con Private Service Connect habilitado.
Private Service Connect se puede habilitar para una instancia de Looker (Google Cloud Core) que cumpla con los siguientes criterios:
- La instancia de Looker (Google Cloud Core) debe ser nueva. Private Service Connect solo se puede habilitar en el momento de la creación de la instancia.
- La instancia no puede tener habilitada la IP pública.
- La edición de la instancia debe ser Enterprise (
core-enterprise-annual) o Embedded (core-embed-annual).
Antes de comenzar
- En la página del selector de proyectos de la consola de Google Cloud, selecciona el proyecto en el que deseas crear la instancia de Private Service Connect.
- Habilita la API de Looker para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
- Configura un cliente de OAuth y crea credenciales de autorización. El cliente de OAuth te permite autenticarte y acceder a la instancia. Debes configurar OAuth para crear una instancia de Looker (Google Cloud Core), incluso si usas un método de autenticación diferente para autenticar a los usuarios en tu instancia.
- Si deseas usar Controles del servicio de VPC o claves de encriptación administradas por el cliente (CMEK) con la instancia de Looker (Google Cloud Core) que estás creando, se requiere una configuración adicional antes de crear la instancia. Es posible que también se requiera una configuración de edición y red adicional durante la creación de la instancia.
Roles obligatorios
Para obtener los permisos que necesitas para crear una instancia de Looker (Google Cloud Core),
pídele a tu administrador que te otorgue el rol de IAM de
administrador de Looker (roles/looker.admin) en el proyecto en el que residirá la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Es posible que también necesites roles de IAM adicionales para configurar los Controles del servicio de VPC o las claves de encriptación administradas por el cliente (CMEK). Visita las páginas de documentación de esas funciones para obtener más información.
Crea una instancia de Private Service Connect
Console
- Navega a la página del producto Looker (Google Cloud Core) desde tu proyecto en la consola de Google Cloud. Si ya creaste una instancia de Looker (Google Cloud Core) en este proyecto, se abrirá la página Instancias.
- Haz clic en CREAR INSTANCIA.
- En la sección Nombre de la instancia, proporciona un nombre para tu instancia de Looker (Google Cloud Core). El nombre de la instancia no está asociado con la URL de la instancia de Looker (Google Cloud Core) una vez que se crea. No se puede cambiar el nombre de la instancia después de crearla.
- En la sección Credenciales de la aplicación de OAuth, ingresa el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth.
En la sección Región, selecciona la opción adecuada del menú desplegable para alojar tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la del contrato de suscripción, ya que es aquí donde se asigna la cuota de tu proyecto. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).
No puedes cambiar la región una vez que se crea la instancia.
En la sección Edición, elige una opción de edición Enterprise o Embed para un tipo de instancia de producción o de no producción. El tipo de edición afecta algunas de las funciones disponibles para la instancia. Asegúrate de elegir el mismo tipo de edición que se indica en tu contrato anual y de tener una cuota asignada para ese tipo de edición.
- Empresarial: Plataforma de Looker (Google Cloud Core) con funciones de seguridad mejoradas para abordar una amplia variedad de casos de uso internos de IE y estadísticas
- Incorporación: Plataforma de Looker (Google Cloud Core) para implementar y mantener estadísticas externas y aplicaciones personalizadas confiables a gran escala
Una vez que se crea la instancia, no se pueden cambiar las ediciones. Si quieres cambiar una edición, puedes usar la importación y exportación para mover los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.
En la sección Personaliza tu instancia, haz clic en MOSTRAR OPCIONES DE CONFIGURACIÓN para mostrar un grupo de parámetros de configuración adicionales que puedes personalizar para la instancia.
En la sección Conexiones, en Asignación de IP de la instancia, selecciona solo IP privada. El tipo de conexión de red que selecciones afectará las funciones de Looker disponibles para la instancia.
En Tipo de IP privada, selecciona Private Service Connect (PSC).
En VPC permitidas, haz clic en Agregar elemento para agregar las VPC a las que se les permitirá el acceso norte a la instancia de Looker (Google Cloud Core). En el campo Project, selecciona el proyecto en el que se creó la red. En el menú desplegable Red, selecciona la red. Para agregar VPC adicionales, haz clic en Agregar elemento según sea necesario.
En la sección Encriptación, puedes seleccionar el tipo de encriptación que deseas usar en tu instancia. Las siguientes opciones de encriptación están disponibles:
- administrada por Google con tecnología de Google Cloud: Esta opción es la predeterminada y no requiere ninguna configuración adicional.
- Clave de encriptación administrada por el cliente (CMEK): Consulta la página de documentación Cómo usar claves de encriptación administradas por el cliente con Looker (Google Cloud Core) para obtener más información sobre las CMEK y cómo configurarlas durante la creación de instancias. No se puede cambiar el tipo de encriptación después de crear la instancia.
- Habilita la encriptación validada con FIPS 140-2: Consulta la página de documentación Habilita el cumplimiento de nivel 1 de FIPS 140-2 en una instancia de Looker (Google Cloud Core) para obtener más información sobre la compatibilidad con FIPS 140-2 en Looker (Google Cloud Core).
En la sección Período de mantenimiento, puedes especificar el día de la semana y la hora en que Looker (Google Cloud Core) programa el mantenimiento. Los períodos de mantenimiento duran una hora. De forma predeterminada, la opción Período preferido en Período de mantenimiento está establecida en Cualquier período.
En la sección Período de denegación de mantenimiento, puedes especificar un bloque de días en el que Looker (Google Cloud Core) no programe el mantenimiento. Los períodos de rechazo del mantenimiento pueden ser de hasta 60 días. Debes permitir al menos 14 días de disponibilidad de mantenimiento entre cualquiera de los 2 períodos de rechazo del mantenimiento.
Haz clic en Crear.
gcloud
Para crear una instancia de Private Service Connect, ejecuta el comando gcloud looker instances create con todas las siguientes marcas:
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
Reemplaza lo siguiente:
INSTANCE_NAME: Es un nombre para tu instancia de Looker (Google Cloud Core). No está asociado con la URL de la instancia.OAUTH_CLIENT_IDyOAUTH_CLIENT_SECRET: el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth. Después de crear la instancia, ingresa su URL en la sección URIs de redireccionamiento autorizados del cliente de OAuth.REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la del contrato de suscripción. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).EDITION: Es la edición y el tipo de entorno (producción o no producción) de la instancia. Sus valores posibles soncore-enterprise-annual,core-embed-annual,nonprod-core-enterprise-annualononprod-core-embed-annual. Una vez que se crea la instancia, no se pueden cambiar las ediciones. Si quieres cambiar una edición, puedes usar la importación y exportación para mover los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.ALLOWED_VPC: Es una VPC a la que se le permitirá el acceso norte (entrada) a Looker (Google Cloud Core). Para acceder a la instancia desde fuera de la VPC en la que se encuentra, debes enumerar al menos una VPC. Especifica una VPC con uno de los siguientes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: Se pueden agregar a la marca--psc-allowed-vpcs, en una lista separada por comas, todas las VPC adicionales a las que se les permitirá el acceso norte-sur a Looker (Google Cloud Core).
Si lo deseas, puedes agregar más parámetros para aplicar otros parámetros de configuración de la instancia:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: Debe ser una de las siguientes opciones:friday,monday,saturday,sunday,thursday,tuesday,wednesday. Consulta la página de documentación Administra las políticas de mantenimiento de Looker (Google Cloud Core) para obtener más información sobre la configuración de los períodos de mantenimiento.MAINTENANCE_WINDOW_TIMEyDENY_MAINTENANCE_PERIOD_TIME: Deben estar en UTC en formato de 24 horas (por ejemplo, 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEyDENY_MAINTENANCE_PERIOD_END_DATE: deben tener el formatoYYYY-MM-DD.KMS_KEY_ID: Debe ser la clave que se crea cuando se configuran las claves de encriptación administradas por el cliente (CMEK).
Puedes incluir la marca --fips-enabled para habilitar el cumplimiento del nivel 1 del estándar FIPS 140-2.
El proceso para crear una instancia de Private Service Connect difiere del proceso para crear una instancia de Looker (Google Cloud Core) (acceso a servicios privados) de las siguientes maneras:
- Con la configuración de Private Service Connect, no son necesarias las marcas
--consumer-networky--reserved-range. - Las instancias de Private Service Connect requieren dos marcas adicionales:
--no-public-ip-enabledy--psc-enabled. - La marca
--psc-allowed-vpcses una lista de VPC separadas por comas. Puedes especificar tantas VPC como desees en la lista.
Verifica el estado de la instancia
La instancia tarda entre 40 y 60 minutos en crearse.
Console
Mientras se crea la instancia, puedes ver su estado en la página Instancias de la consola. También puedes ver la actividad de creación de instancias haciendo clic en el ícono de notificaciones en el menú de la consola de Google Cloud . En la página Detalles de la instancia, su estado aparecerá como Activo una vez que se cree.
gcloud
Para verificar el estado, usa el comando gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
La instancia estará lista cuando alcance el estado ACTIVE.
Configura Private Service Connect para servicios externos
Para que tu instancia de Looker (Google Cloud Core) pueda conectarse a un servicio externo, este debe publicarse con Private Service Connect. Sigue las instrucciones para publicar servicios con Private Service Connect para cualquier servicio que quieras publicar.
Los servicios se pueden publicar con aprobación automática o con aprobación explícita. Si decides publicar con aprobación explícita, debes configurar el archivo adjunto del servicio de la siguiente manera:
- Establece tu lista de entidades permitidas de adjuntos de servicio para usar proyectos (no redes).
- Agrega el ID del proyecto de usuario de Looker a la lista de entidades permitidas.
Para encontrar el ID del proyecto de tu inquilino de Looker después de crear la instancia, ejecuta el siguiente comando:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
En el resultado del comando, el campo looker_service_attachment_uri contendrá el ID de tu proyecto de usuario de Looker. Tendrá el siguiente formato: projects/{Looker tenant project ID}/regions/….
URI del adjunto de servicio
Cuando más adelante actualices tu instancia de Looker (Google Cloud Core) para conectarte a tu servicio, necesitarás el URI completo del adjunto del servicio para el servicio externo. El URI se especificará de la siguiente manera, con el proyecto, la región y el nombre que usaste para crear el archivo adjunto del servicio:
projects/{project}/regions/{region}/serviceAttachments/{name}
Actualiza una instancia de Private Service Connect de Looker (Google Cloud Core)
Una vez que se haya creado tu instancia de Private Service Connect de Looker (Google Cloud Core), puedes realizar los siguientes cambios:
Especifica las conexiones de norte a sur
Console
- En la página Instancias, haz clic en el nombre de la instancia para la que deseas habilitar las conexiones sur (salida).
- Haz clic en Edit.
- Expanda la sección Conexiones.
- Para editar un archivo adjunto de servicio existente, actualiza el nombre de dominio completamente calificado del servicio en el campo FQDN local y el URI del archivo adjunto de servicio en el campo URI del archivo adjunto de servicio de destino.
- Para agregar un nuevo archivo adjunto de servicio, haz clic en Agregar elemento. Luego, ingresa el nombre de dominio completamente calificado del servicio en el campo FQDN local y el URI del adjunto de servicio en el campo URI del adjunto de servicio de destino.
- Haz clic en Guardar.
gcloud
Usa marcas --psc-service-attachment para habilitar conexiones sureñas (de salida) a servicios externos para los que ya configuraste Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).DOMAIN_1yDOMAIN_2: Si te conectas a un servicio público, usa el nombre de dominio del servicio. Si te conectas a un servicio privado, usa el nombre de dominio completamente calificado que elijas. Se aplican las siguientes restricciones al nombre de dominio:Cada conexión de norte a sur admite un solo dominio.
El nombre de dominio debe constar de al menos tres partes. Por ejemplo, se acepta
mydomain.github.com, pero nogithub.com.La última parte del nombre no puede ser ninguna de las siguientes:
googleapis.comgoogle.comgcr.iopkg.dev
Cuando configures una conexión a tu servicio desde tu instancia de Looker (Google Cloud Core), usa este dominio como el alias de tu servicio.
SERVICE_ATTACHMENT_1ySERVICE_ATTACHMENT_2: El URI de adjunto de servicio completo del servicio publicado al que te conectas. Cada URI de adjunto de servicio puede ser accedido por un solo dominio.REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Si te conectas a un servicio administrado por terceros en una región distinta de la que se encuentra tu instancia de Looker (Google Cloud Core), habilita el acceso global en el balanceador de cargas del productor.
Incluye todas las conexiones que se deben habilitar
Cada vez que ejecutas un comando de actualización con marcas --psc-service-attachment, debes incluir todas las conexiones que deseas habilitar, incluidas las que ya estaban habilitadas anteriormente. Por ejemplo, supongamos que anteriormente conectaste una instancia llamada my-instance al dominio www.cloud.com de la siguiente manera:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
Si ejecutas el siguiente comando para agregar una nueva conexión www.me.com, se borrará la conexión www.cloud.com:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Para evitar que se borre la conexión www.cloud.com cuando agregues la nueva conexión www.me.com, incluye una marca psc-service-attachment independiente para la conexión existente y la nueva dentro del comando de actualización de la siguiente manera:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Verifica el estado de la conexión de norte a sur
Para verificar el estado de tus conexiones de salida (sur), vuelve a ejecutar el comando gcloud looker instances describe --format=json. Cada archivo adjunto de servicio debe propagarse con un campo connection_status.
Borra todas las conexiones de norte a sur
Para borrar todas las conexiones de salida (sur), ejecuta el siguiente comando:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Actualiza las VPC permitidas
Console
- En la página Instancias, haz clic en el nombre de la instancia para la que deseas actualizar los VPC que tienen permitido el acceso norte-sur a la instancia.
- Haz clic en Edit.
- Expanda la sección Conexiones.
- Para agregar una VPC nueva, haz clic en Agregar elemento. Luego, selecciona el proyecto en el que se encuentra la VPC en el campo Project y selecciona la red en el menú desplegable Network.
- Para borrar una VPC, haz clic en el ícono de papelera Borrar elemento que aparece cuando colocas el puntero sobre la red.
- Haz clic en Guardar.
gcloud
Usa la marca --psc-allowed-vpcs para actualizar la lista de VPC que tienen autorizado el acceso norte-sur a la instancia.
Cuando actualizas las VPC permitidas, debes especificar toda la lista que deseas que esté vigente después de la actualización. Por ejemplo, supongamos que ya se permite la VPC ALLOWED_VPC_1 y quieres agregar la VPC ALLOWED_VPC_2. Para agregar la VPC ALLOWED_VPC_1 y, al mismo tiempo, asegurarte de que se siga permitiendo la VPC ALLOWED_VPC_2, agrega la marca --psc-allowed-vpcs de la siguiente manera:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).ALLOWED_VPC_1yALLOWED_VPC_2: Son las VPC que tendrán permitido el acceso a Looker (Google Cloud Core). Especifica cada VPC permitida con uno de los siguientes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Borra todas las VPC permitidas
Para borrar todas las VPC permitidas, ejecuta el siguiente comando:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Acceso norte a tu instancia
Después de crear la instancia de Looker (Google Cloud Core) (Private Service Connect), puedes configurar el acceso norte para permitir que tus usuarios accedan a la instancia.
Para acceder a tu instancia desde otra red de VPC, primero sigue las instrucciones para crear un extremo de Private Service Connect. Asegúrate de que la red tenga acceso norte a tu instancia de Looker (Google Cloud Core) y sigue estos lineamientos cuando crees el extremo:
Establece el campo Servicio de destino (para la consola de Google Cloud ) o la variable
SERVICE_ATTACHMENT(si sigues las instrucciones de la API o de Google Cloud CLI) en el URI de archivo adjunto del servicio de Looker. Para encontrarlo, consulta la pestaña Detalles en la página de configuración de la instancia de la consola o ejecuta el siguiente comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Puedes usar cualquier subred alojada en la misma región que la instancia de Looker (Google Cloud Core).
No habilites el acceso global.
Para acceder a tu instancia desde un entorno de red híbrido, puedes seguir las instrucciones de la página de documentación Acceso norte a una instancia de Looker (Google Cloud Core) con Private Service Connect para configurar un dominio personalizado y acceder a la instancia.