Esta página se ha traducido con Cloud Translation API.

Crear una instancia de Looker (Google Cloud core) con conexiones privadas (acceso de servicios privados)

En esta página se explica cómo crear una instancia de producción o una instancia de no producción de Looker (Google Cloud core) con acceso a servicios privados (PSA) y conexiones privadas (PSA).

Las conexiones privadas permiten acceder a los servicios sin tener que pasar por Internet ni usar direcciones IP externas. Como no atraviesan Internet, las conexiones privadas suelen ofrecer una latencia más baja y vectores de ataque limitados. Las conexiones privadas permiten que tu instancia de Looker (Google Cloud core) se comunique con otros recursos de tu nube privada virtual (VPC), pero no permiten la comunicación entrante desde Internet público.

La conectividad privada permite usar algunas funciones, como Controles de Servicio de VPC. Sin embargo, las conexiones privadas no son compatibles con algunas funciones de Looker (Google Cloud core). Consulta la tabla de compatibilidad de funciones para obtener más información.

Looker (Google Cloud core) admite conexiones privadas (PSA) para las ediciones de instancia Enterprise o Embed.

Roles y permisos necesarios

Para configurar una instancia de conexión privada (PSA), debe tener los siguientes permisos de gestión de identidades y accesos:

Para crear una instancia de Looker (servicio principal de Google Cloud), debes tener el rol Administrador de Looker (roles/looker.Admin).
Para obtener los permisos que necesitas para crear intervalos de direcciones IP asignadas y gestionar conexiones privadas, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de red de Compute (roles/compute.networkAdmin) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear intervalos de direcciones IP asignados y gestionar conexiones privadas. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios

Para crear intervalos de direcciones IP asignadas y gestionar conexiones privadas, se necesitan los siguientes permisos:
- Consulta las redes disponibles en el menú desplegable Red:
  - compute.addresses.list
  - compute.globalAddresses.list
  - compute.networks.list
  - compute.globalAddresses.list
- Crea una red VPC:
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Asigna un intervalo de IP privada y configura una conexión de acceso de servicios privados: compute.networks.addPeering
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Nota: Los roles básicos de gestión de identidades y accesos también pueden incluir permisos para crear intervalos de direcciones IP asignadas y gestionar conexiones privadas. No debes conceder roles básicos en un entorno de producción, pero sí puedes hacerlo en un entorno de desarrollo o de pruebas.

Si usas una red privada que ya se ha configurado, no necesitas estos permisos.

También es posible que necesites roles de gestión de identidades y accesos adicionales para configurar Controles de Servicio de VPC o claves de cifrado gestionadas por el cliente (CMEK). Para obtener más información sobre estas funciones, consulta las páginas de documentación sobre la compatibilidad de Controles de Servicio de VPC con Looker (Google Cloud core) o sobre cómo habilitar CMEK en Looker (Google Cloud core).

Antes de empezar

Colabora con el equipo de Ventas para asegurarte de que tu contrato anual se ha completado y de que tienes cuota asignada en tu proyecto.
Asegúrate de que la facturación esté habilitada en tu Google Cloud proyecto.
En la consola de Google Cloud, en la página del selector de proyectos, crea un Google Cloud proyecto o ve a uno que ya tengas y en el que quieras crear la instancia de Looker (Google Cloud core).
Ir al selector de proyectos
Habilita la API de Looker en tu proyecto en la consola de Google Cloud. Al habilitar la API, es posible que tengas que actualizar la página de la consola para confirmar que se ha habilitado.
Habilitar la API

Precaución: Si inhabilitas la API de Looker después de crear la instancia, se verán afectadas las funciones de Looker (Google Cloud Core). Por ejemplo, si inhabilita la API, no podrá crear copias de seguridad de instancias.
Habilita la API Service Networking en tu proyecto a través de la consola de Google Cloud. Al habilitar la API, es posible que tengas que actualizar la página de la consola para confirmar que se ha habilitado.
Habilitar la API
Habilita la API Compute Engine en tu proyecto de la consola de Google Cloud. Cuando habilites la API, es posible que tengas que actualizar la página de la consola para confirmar que se ha habilitado.
Habilitar la API
Configura un cliente de OAuth y crea credenciales de autorización. El cliente OAuth te permite autenticarte y acceder a la instancia. Debes configurar OAuth para crear una instancia de Looker (Google Cloud core), aunque utilices otro método de autenticación para autenticar a los usuarios en tu instancia.

Crear y configurar una red de VPC

Antes de crear una conexión privada, debes crear y configurar una red de nube privada virtual (VPC). Looker (Google Cloud core) admite varias instancias de conexión privada (PSA) en la misma VPC, ya sea en la misma región o en regiones diferentes.

Crea una red de VPC en tu proyecto. Si vas a usar una VPC compartida en lugar de crear una red de VPC, sigue los pasos de la sección Crear una instancia en una VPC compartida, además de los pasos restantes de esta sección para la VPC compartida.
Asigna un intervalo de IPs IPv4 (bloque CIDR) en tu VPC para una conexión de acceso a servicios privados a Looker (Google Cloud core).

Antes de asignar tu intervalo, ten en cuenta las restricciones.
Cuando definas el tamaño del intervalo de direcciones IP, ten en cuenta que el tamaño mínimo es un bloque /22.
Looker (Google Cloud core) admite todos los intervalos IPv4 de RFC 1918, que especifica las direcciones IP que se asignan para usarse internamente (es decir, dentro de una organización) y que no se enrutarán en Internet. En concreto, son las siguientes:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Los intervalos IPv4 de clase E (240.0.0.0/4) están reservados para uso futuro, tal como se indica en RFC 5735 y RFC 1112, y no se admiten en Looker (Google Cloud core).

subred solo proxy

/26

/22

Añade la conexión de acceso a servicios privados a tu red de VPC con el intervalo de IP asignado en el paso anterior para la Asignación asignada.
Una vez que hayas creado la red de VPC, vuelve a la página Crear instancia de Looker de tu proyecto de Google Cloud . Es posible que tengas que actualizar la página para que se reconozca tu red de VPC.

Una vez que hayas completado estos pasos, puedes empezar a crear tu instancia siguiendo los pasos que se indican en la página de documentación Crear una instancia de Looker (Google Cloud Core) , empezando por la sección Antes de empezar.

Varias instancias de conexiones privadas en la misma VPC

Si dos o más instancias de Looker (Google Cloud core) con conexiones privadas se encuentran en la misma región y en la misma VPC, y eliminas la primera instancia de Looker (Google Cloud core) que se creó en la región, la subred de solo proxy no se libera porque las instancias restantes siguen usándola. Si intentas crear una instancia de Looker (Google Cloud core) con una conexión privada (PSA) que utilice el mismo intervalo de direcciones que la instancia eliminada (que contiene el intervalo de direcciones IP de la subred solo proxy), se producirá un error y no podrás crear la instancia. Además, verás el mensaje "Intervalos de IP agotados". Para comprobar si se está usando un intervalo de IP, consulta el emparejamiento de VPC de Service Networking y comprueba las rutas importadas para ver si están usando el intervalo de IP que te interesa.

Crear una instancia en una VPC compartida

Si vas a crear una instancia de Looker (Google Cloud core) en una VPC compartida, sigue estos pasos en el proyecto host de la VPC compartida:

Habilita la API de Looker en el proyecto host de la VPC compartida en la consola de Google Cloud. Cuando habilites la API, es posible que tengas que actualizar la página de la consola para confirmar que se ha habilitado.
Habilitar la API
Crea una cuenta de servicio en el proyecto del host de la VPC compartida con el comando services identity create de gcloud:
```
gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID
```
Sustituye SHARED_HOST_PROJECT_ID por el ID del proyecto host de la VPC compartida.
Concede a la cuenta de servicio del proyecto host de la VPC compartida un rol de gestión de identidades y accesos que contenga el permiso de gestión de identidades y accesos compute.globalAddresses.get. A continuación, ejecuta el comando add-iam-policy-binding:
```
gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME
```
Haz los cambios siguientes:
- SHARED_HOST_PROJECT_ID: ID del proyecto host de la VPC compartida.
- SA_EMAIL: dirección de correo de la cuenta de servicio que has creado en el proyecto host de la VPC compartida.
- ROLE_NAME: nombre del rol que contiene el permiso compute.globalAddresses.get. Se debe utilizar uno de los formatos indicados a continuación.
  - Roles predefinidos: roles/SERVICE.IDENTIFIER
  - Roles personalizados a nivel de proyecto: projects/PROJECT_ID/roles/IDENTIFIER
  - Roles personalizados a nivel de organización: organizations/ORG_ID/roles/IDENTIFIER
  Si quieres ver una lista de los roles predefinidos, consulta el artículo Descripción de los roles.

Después de crear la cuenta de servicio y concederle el permiso de gestión de identidades y accesos, espera unos minutos a que se propaguen la cuenta de servicio y el permiso.

Además, asigna un intervalo de IPs IPv4 en la VPC compartida y añade la conexión de acceso a servicios privados a la VPC compartida, tal como se describe en la sección anterior, Crear y configurar una red de VPC.

Crear la instancia de conexiones privadas

Looker (Google Cloud core) tarda unos 60 minutos en generar una instancia nueva.

Si quieres una instancia de conexiones privadas (PSA), debes usar la CLI de Google Cloud o Terraform y configurar la instancia como conexiones privadas (PSA) al crearla. Las conexiones privadas no se pueden añadir ni quitar de una instancia después de crearla.

Para crear una instancia de conexión privada (PSA) con la CLI de Google Cloud, sigue estos pasos:

Si usas CMEK, sigue las instrucciones para crear una cuenta de servicio, un conjunto de claves y una clave antes de crear tu instancia de Looker (Google Cloud core).
Usa el comando gcloud looker instances create para crear la instancia:
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]
```
Haz los cambios siguientes:
- INSTANCE_NAME: nombre de la instancia de Looker (servicio principal de Google Cloud). No está asociado a la URL de la instancia.
- PROJECT_ID: el nombre del proyecto Google Cloud en el que vas a crear la instancia de Looker (Google Cloud Core).
- OAUTH_CLIENT_ID y OAUTH_CLIENT_SECRET: el ID de cliente de OAuth y el secreto de OAuth que creaste al configurar tu cliente de OAuth. Una vez creada la instancia, introduce su URL en la sección URIs de redirección autorizadas del cliente de OAuth.
- REGION: la región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la del contrato de suscripción. Las regiones disponibles se indican en la página de documentación sobre las ubicaciones de Looker (Google Cloud Core).
- EDITION: la edición, el tipo de entorno (producción o no producción) y si se trata de una edición de prueba de la instancia. En el caso de una instancia de conexión privada (PSA), debe ser core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-enterprise o core-trial-embed. Asegúrate de elegir el mismo tipo de edición que se indica en tu contrato anual y de que tengas cuota asignada. Las ediciones no se pueden cambiar después de crear la instancia. Si quieres cambiar de edición, puedes usar la función de importación y exportación para mover los datos de tu instancia de Looker (Google Cloud core) a una nueva instancia configurada con otra edición.
- CONSUMER_NETWORK: tu red de VPC o red de VPC compartida. Se debe definir si vas a crear una instancia de conexión privada (PSA).
- RESERVED_RANGE: el intervalo de direcciones IP de la VPC en el que Google aprovisionará una subred para tu instancia de Looker (Google Cloud Core).
Puedes incluir las siguientes marcas:
- --private-ip-enabled permite conexiones privadas (PSA). Se debe incluir para crear una instancia de conexión privada de servicio (PSA).
- --public-ip-enabled habilita la IP pública.
- --no-public-ip-enabled inhabilita la IP pública.
- --async se recomienda cuando creas una instancia de Looker (Google Cloud Core).
Puedes añadir más parámetros para aplicar otros ajustes de la instancia:
```
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
```
Sustituye lo siguiente:
- MAINTENANCE_WINDOW_DAY: debe ser uno de los siguientes: friday, monday, saturday, sunday, thursday, tuesday o wednesday. Consulta la página de documentación Gestionar políticas de mantenimiento de Looker (Google Cloud core) para obtener más información sobre los ajustes de la ventana de mantenimiento.
- MAINTENANCE_WINDOW_TIME y DENY_MAINTENANCE_PERIOD_TIME: deben estar en hora UTC y en formato de 24 horas (por ejemplo, 13:00 o 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE y DENY_MAINTENANCE_PERIOD_END_DATE: deben tener el formato YYYY-MM-DD.
- KMS_KEY_ID: debe ser la clave que se crea al configurar las claves de cifrado gestionadas por el cliente (CMEK).
Puedes incluir la marca --fips-enabled para habilitar el cumplimiento del estándar FIPS 140-2 de nivel 1.

Nota: Para crear una instancia, debes tener cuota para el tipo de edición adecuado. Si no tienes cuota, ponte en contacto con Ventas para asignar cuota a tu proyecto.

Mientras se crea la instancia, puedes ver su estado en la página Instancias de la consola. También puedes ver tu actividad de creación de instancias haciendo clic en el icono de notificaciones del menú de la consola de Google Cloud .

Si creas una instancia solo con conexiones privadas (PSA), no aparecerá ninguna URL en la página Instancias. Consulta la sección Acceder a una instancia de conexión privada (PSA) después de crearla para obtener más información sobre cómo configurar el acceso a tu instancia de conexión privada (PSA).

Acceder a una instancia de conexión privada (PSA) después de crearla

Si creas una instancia que solo tiene habilitadas las conexiones privadas (PSA), no recibirás una URL para la instancia. Para acceder a la instancia, debes configurar un dominio personalizado para la instancia y añadirlo a las credenciales de OAuth de la instancia. Para conocer las diferentes opciones de redes de conexiones privadas para configurar y acceder a un dominio personalizado, consulta la página de documentación Opciones de redes de dominio personalizado para instancias de conexiones privadas de Looker (Google Cloud Core).

Siguientes pasos

Opciones de redes de dominio personalizado para instancias de conexiones privadas de Looker (Google Cloud Core)