Crea un'istanza di Looker (Google Cloud core) con IP privato (accesso ai servizi privati)

Questa pagina spiega come creare un'istanza di produzione o non di produzione di Looker (Google Cloud core) con IP privato che utilizza l'accesso ai servizi privati.

Le connessioni IP private rendono i servizi raggiungibili senza passare da internet o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni tramite IP privato in genere offrono una latenza inferiore e vettori di attacco limitati. Le connessioni con IP privato consentono all'istanza di Looker (Google Cloud core) di comunicare con altre risorse in Virtual Private Cloud (VPC), ma non consentono la comunicazione in entrata da internet pubblico.

La connettività IP privato consente l'utilizzo di alcune funzionalità, come i controlli di servizio VPC. Tuttavia, le connessioni con IP privato non sono compatibili con alcune funzionalità di Looker (Google Cloud core). Per saperne di più, consulta la tabella Compatibilità delle funzionalità.

Looker (Google Cloud core) supporta l'IP privato per le versioni dell'istanza Enterprise o Embed.

Ruoli e autorizzazioni richiesti

Per configurare un'istanza con IP privato, devi disporre delle seguenti autorizzazioni IAM:

  1. Per creare un'istanza di Looker (Google Cloud core), devi disporre del ruolo Amministratore Looker (roles/looker.Admin).

  2. Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti il ruolo IAM Compute Network Admin (roles/compute.networkAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

    Autorizzazioni obbligatorie

    Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:

    • Visualizza le reti disponibili nel menu a discesa Rete:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crea una nuova rete VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi: compute.networks.addPeering

    Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

    Se stai creando un'istanza con IP privato con Terraform o Google Cloud CLI e stai utilizzando una rete privata già configurata, non hai bisogno di queste autorizzazioni.

Potresti anche aver bisogno di ruoli IAM aggiuntivi per configurare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK). Scopri di più, visita le pagine della documentazione Supporto di Controlli di servizio VPC per Looker (Google Cloud core) o Abilita CMEK per Looker (Google Cloud core) per queste funzionalità.

Prima di iniziare

  1. Collabora con il team di vendita per assicurarti che il tuo contratto annuale sia completato e che la quota sia allocata nel tuo progetto.
  2. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud .
  3. Nella console Google Cloud, nella pagina di selezione del progetto, crea un Google Cloud progetto o vai a uno esistente in cui vuoi creare l'istanza di Looker (Google Cloud core).

    Vai al selettore dei progetti

  4. Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilita l'API

  5. Abilita l'API Service Networking per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilita l'API

  6. Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che sia stata abilitata.

    Abilita l'API

  7. Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth consente di eseguire l'autenticazione e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nell'istanza.

Crea e configura una rete VPC

Prima di poter creare una connessione con IP privato, devi prima creare e configurare una rete Virtual Private Cloud (VPC). Looker (Google Cloud core) supporta più istanze con IP privati nello stesso VPC, nella stessa regione o in regioni diverse.

  1. Crea una rete VPC nel tuo progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi nella sezione seguente, Creazione di un'istanza in un VPC condiviso, oltre a completare i passaggi rimanenti in questa sezione per il VPC condiviso.
  2. Alloca un intervallo IP IPv4 (blocco CIDR) nel tuo VPC per una connessione di accesso privato ai servizi a Looker (Google Cloud core).
    • Prima di allocare l'intervallo, considera i vincoli.
    • Quando imposti le dimensioni dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco /22.
    • Looker (Google Cloud core) supporta tutti gli intervalli IPv4 all'interno di RFC 1918, che specifica gli indirizzi IP assegnati per essere utilizzati internamente (ovvero all'interno di un'organizzazione) e non verranno instradati su internet. Nello specifico, si tratta di:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Gli intervalli IPv4 di classe E (240.0.0.0/4) sono riservati per un utilizzo futuro, come indicato in RFC 5735 e RFC 1112 e non sono supportati per Looker (Google Cloud core).
    Quando viene creata per la prima volta un'istanza di Looker (Google Cloud core) in una regione all'interno di un VPC, Looker crea una subnet solo proxy. La subnet solo proxy utilizza una subnet di intervallo /26 della subnet /22 che riservi quando crei l'istanza di Looker (Google Cloud core). Tutte le istanze di Looker (Google Cloud core) con IP privato successive nello stesso VPC e nella stessa regione utilizzano la stessa subnet solo proxy.
  3. Aggiungi la connessione di accesso privato ai servizi alla tua rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
  4. Una volta creata la rete VPC, torna alla pagina Crea istanza di Looker nel progetto Google Cloud . Potresti dover aggiornare la pagina affinché la rete VPC venga riconosciuta.

Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo i passaggi descritti nella pagina di documentazione Crea un'istanza di Looker (Google Cloud core) , a partire dalla sezione Prima di iniziare.

Più istanze IP privati nello stesso VPC

Se due o più istanze di Looker (Google Cloud core) con IP privato si trovano nella stessa regione e nello stesso VPC ed elimini la prima istanza di Looker (Google Cloud core) creata nella regione, la subnet solo proxy non viene rilasciata perché è ancora in uso dalle istanze rimanenti. Se tenti di creare una nuova istanza di Looker (Google Cloud core) con IP privato che utilizza lo stesso intervallo di indirizzi utilizzato per l'istanza eliminata (che contiene l'intervallo di indirizzi IP della subnet solo proxy), la creazione dell'istanza non andrà a buon fine e verrà visualizzato un errore "Intervalli IP esauriti". Per verificare se un intervallo IP è in uso, controlla il peering VPC per Service Networking e le route di importazione per vedere se utilizzano l'intervallo IP che ti interessa.

Crea un'istanza in un VPC condiviso

Se stai creando un'istanza di Looker (Google Cloud core) in un VPC condiviso, completa i seguenti passaggi nel progetto host del VPC condiviso:

  1. Abilita l'API Looker nel progetto host della VPC condiviso nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che sia stata abilitata.

    Abilita l'API

  2. Crea un service account nel progetto host del VPC condiviso utilizzando il comando gcloud services identity create:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Sostituisci SHARED_HOST_PROJECT_ID con il progetto host del VPC condiviso.

  3. Concedi l'autorizzazione IAM compute.globalAddresses.get al account di servizio nel progetto host.

Dopo aver creato il account di servizio e avergli concesso l'autorizzazione IAM, attendi alcuni minuti affinché il account di servizio e l'autorizzazione vengano propagati.

Inoltre, alloca un intervallo IP IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso come descritto nella sezione precedente, Crea e configura una rete VPC.

Crea l'istanza IP privato

Looker (Google Cloud core) richiede circa 60 minuti per generare una nuova istanza.

L'IP privato deve essere assegnato al momento della creazione dell'istanza. L'IP privato non può essere aggiunto o rimosso da un'istanza dopo la creazione.

Per configurare l'IP privato durante la creazione dell'istanza, seleziona una delle seguenti opzioni:

console

  1. Vai alla pagina del prodotto Looker (Google Cloud core) dal tuo progetto nella console Google Cloud. Se hai già creato un'istanza di Looker (Google Cloud core) in questo progetto, si aprirà la pagina Istanze.

    Vai a Looker (Google Cloud core)

  2. Fai clic su CREA ISTANZA.
  3. Nella sezione Nome istanza, fornisci un nome per l'istanza di Looker (Google Cloud core). Il nome dell'istanza non è associato all'URL dell'istanza di Looker (Google Cloud core) una volta creata. Il nome dell'istanza non può essere modificato dopo la creazione.
  4. Nella sezione Credenziali applicazione OAuth, inserisci l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth.

  5. Nella sezione Regione, seleziona l'opzione appropriata dal menu a discesa per ospitare l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento, poiché è qui che viene allocata la quota per il tuo progetto. Le regioni disponibili sono elencate nella pagina di documentazione Località di Looker (Google Cloud core).

    Non puoi modificare la regione dopo aver creato l'istanza.

  6. Nella sezione Versione, scegli un'opzione per la versione Enterprise o Incorporata (di produzione o non di produzione). Il tipo di edizione influisce su alcune delle funzionalità disponibili per l'istanza. Assicurati di scegliere lo stesso tipo di edizione indicato nel tuo contratto annuale e di aver allocato la quota per quel tipo di edizione.

    • Enterprise: piattaforma Looker (Google Cloud core) con funzionalità di sicurezza avanzate per affrontare un'ampia gamma di casi d'uso interni per BI e analisi
    • Incorpora: piattaforma Looker (Google Cloud core) per il deployment e la gestione di analisi esterne affidabili e applicazioni personalizzate su larga scala
    • Versioni non di produzione: se vuoi un ambiente di gestione temporanea e test, seleziona una delle versioni non di produzione. Per saperne di più, consulta la documentazione relativa alle istanze non di produzione.

    Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare edizione, puoi utilizzare importazione ed esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con un'edizione diversa.

  7. Nella sezione Personalizza l'istanza, fai clic su MOSTRA OPZIONI DI CONFIGURAZIONE per visualizzare un gruppo di impostazioni aggiuntive che puoi personalizzare per l'istanza.

  8. Nella sezione Connessioni, in Assegnazione IP istanza, scegli solo IP privato o sia IP privato che IP pubblico. Il tipo di connessione di rete selezionato influisce sulle funzionalità di Looker disponibili per l'istanza. Sono disponibili le seguenti opzioni di connessione di rete:

    • IP pubblico: assegna un indirizzo IP esterno accessibile da internet.
    • IP privato: assegna un indirizzo IP interno ospitato da Google accessibile su un Virtual Private Cloud (VPC). Puoi utilizzare questo indirizzo per connetterti da altre risorse con accesso al VPC. Solo le versioni Enterprise ed Embed supportano l'IP privato. Se vuoi utilizzare i Controlli di servizio VPC, devi selezionare solo IP privato.
    • Se sono selezionati sia IP privato che IP pubblico, il traffico in entrata verrà instradato tramite IP pubblico e quello in uscita tramite IP privato. L'istanza di Looker (Google Cloud core) non utilizzerà l'IP pubblico per generare traffico in uscita da internet.

  9. In Tipo di IP privato, seleziona Accesso privato ai servizi (PSA).

  10. Se viene visualizzato un popup Abilita API richieste, devi abilitare API aggiuntive per il tuo progetto Google Cloud . Per abilitare le API richieste per una connessione di rete privata, fai clic su ABILITA TUTTE.

  11. Nel menu a discesa Rete, seleziona la tua rete VPC. Le reti IP privati richiedono una connessione di accesso privato ai servizi, che consente ai servizi di comunicare esclusivamente mediante indirizzi IP interni. Per ulteriori informazioni sulla configurazione di una connessione IP privata, consulta la pagina della documentazione Configurare l'accesso privato ai servizi. Se non hai configurato una connessione di accesso privato ai servizi quando hai creato la rete VPC, puoi fare clic su CONFIGURA CONNESSIONE sotto il messaggio È necessaria una connessione di accesso privato ai servizi. Si apre un riquadro laterale in cui puoi allocare un intervallo IP e creare una connessione.

  12. In Intervallo IP allocato, seleziona l'intervallo IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per la tua istanza di Looker (Google Cloud core). Le subnet riservano un intervallo IP che non può essere utilizzato da altre risorse nella rete VPC. Non potrai modificare questo intervallo IP dopo aver creato l'istanza di Looker (Google Cloud core). L'allocazione dell'intervallo IP include queste opzioni:

    • Seleziona Utilizza intervallo IP assegnato automaticamente per consentire a Google di allocare automaticamente un intervallo IP per eseguire il provisioning di una subnet per il VPC.
    • Seleziona un intervallo IP definito durante la configurazione dell'accesso privato ai servizi.

  13. Nella sezione Crittografia, puoi selezionare il tipo di crittografia da utilizzare nell'istanza. Sono disponibili le seguenti opzioni di crittografia:

  14. Nella sezione Finestra di manutenzione, puoi facoltativamente specificare il giorno della settimana e l'ora in cui Looker (Google Cloud core) pianifica la manutenzione. I periodi di manutenzione durano un'ora. Per impostazione predefinita, l'opzione Finestra preferita in Finestra di manutenzione è impostata su Qualsiasi finestra.

  15. Nella sezione Periodo in cui evitare la manutenzione, puoi facoltativamente specificare un blocco di giorni in cui Looker (Google Cloud core) non pianifica la manutenzione. I periodi in cui evitare la manutenzione possono durare fino a 60 giorni. Devi consentire almeno 14 giorni di disponibilità per la manutenzione tra un periodo in cui evitare la manutenzione e l'altro.

  16. Nella sezione Gemini in Looker, puoi facoltativamente rendere disponibili le funzionalità di Gemini in Looker per l'istanza di Looker (Google Cloud core). Per attivare Gemini in Looker, seleziona Gemini, quindi Funzionalità Trusted tester. Quando l'opzione Funzionalità Trusted Tester è attiva, gli utenti possono accedere alle funzionalità Trusted Tester di Gemini in Looker. Puoi richiedere l'accesso alle funzionalità Trusted tester non pubbliche tramite il modulo di anteprima di Gemini in Looker per singoli utenti. Devi attivare questa impostazione per utilizzare Gemini durante l'anteprima pre-GA. (Facoltativo) Seleziona Utilizzo dei dati di Trusted Tester. Se questa impostazione è attivata, acconsenti all'utilizzo dei tuoi dati da parte di Google come descritto nei termini del programma Trusted Tester di Gemini per Google Cloud . Per disattivare Gemini per un'istanza di Looker (Google Cloud core), deseleziona l'impostazione Gemini.

  17. Fai clic su Crea.

gcloud

  1. Se utilizzi CMEK, segui le istruzioni per creare un account di servizio, un portachiavi e una chiave prima di creare l'istanza di Looker (Google Cloud core).

  2. Utilizza il comando gcloud looker instances create per creare l'istanza:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Sostituisci quanto segue:

    • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core), che non è associato all'URL dell'istanza.
    • PROJECT_ID: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client OAuth e il segreto OAuth che hai creato quando hai configurato il client OAuth. Una volta creata l'istanza, inserisci il relativo URL nella sezione URI di reindirizzamento autorizzati del client OAuth.
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento. Le regioni disponibili sono elencate nella pagina di documentazione Località di Looker (Google Cloud core).
    • EDITION: l'edizione e il tipo di ambiente (di produzione o non di produzione) per l'istanza. Per un'istanza IP privato, questo valore deve essere core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual o nonprod-core-embed-annual. Assicurati di scegliere lo stesso tipo di edizione indicato nel tuo contratto annuale e di aver allocato la quota. Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare edizione, puoi utilizzare importazione ed esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con un'edizione diversa.
    • CONSUMER_NETWORK: la tua rete VPC o la rete VPC condiviso. Deve essere impostato se stai creando un'istanza con IP privato.
    • RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per l'istanza di Looker (Google Cloud core).

    Puoi includere i seguenti flag:

    • --private-ip-enabled abilita l'IP privato. Questo deve essere incluso per creare un'istanza IP privata.
    • --public-ip-enabled abilita l'IP pubblico.
    • --no-public-ip-enabled disabilita l'IP pubblico.
    • --async è consigliato quando crei un'istanza di Looker (Google Cloud core).

  3. Puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Sostituisci quanto segue:

    • MAINTENANCE_WINDOW_DAY: deve essere uno dei seguenti valori: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Per ulteriori informazioni sulle impostazioni periodo di manutenzione, consulta la pagina della documentazione Gestisci i criteri di manutenzione per Looker (Google Cloud core).
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: devono essere in ora UTC nel formato a 24 ore (ad esempio, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: devono essere nel formato YYYY-MM-DD.
    • KMS_KEY_ID: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).

    Puoi includere il flag --fips-enabled per attivare la conformità allo standard FIPS 140-2 livello 1.

Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione dell'istanza facendo clic sull'icona delle notifiche nel menu della console Google Cloud .

Se crei un'istanza solo con IP privato, un URL non verrà visualizzato nella pagina Istanze. Per saperne di più su come configurare l'accesso all'istanza con IP privato, consulta la sezione Accesso a un'istanza con IP privato dopo la creazione.

Accedere a un'istanza IP privato dopo la creazione

Se crei un'istanza abilitata solo per l'IP privato, non riceverai un URL per l'istanza. Per accedere all'istanza, devi configurare un dominio personalizzato per l'istanza e aggiungerlo alle credenziali OAuth dell'istanza. Per comprendere le diverse opzioni di networking con IP privato per configurare e accedere a un dominio personalizzato, visita la pagina della documentazione Opzioni di networking per domini personalizzati per istanze di Looker (Google Cloud core) con IP privato.

Passaggi successivi