Crea un'istanza di Looker (Google Cloud core) con connessioni private (accesso privato ai servizi)

Questa pagina spiega come creare un'istanza di produzione o non di produzione di Looker (Google Cloud core) con connessioni private (PSA) che utilizza l'accesso ai servizi privati (PSA).

Le connessioni private rendono i servizi raggiungibili senza passare da internet o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni private in genere offrono una latenza inferiore e vettori di attacco limitati. Le connessioni private consentono all'istanza di Looker (Google Cloud core) di comunicare con altre risorse nel tuo Virtual Private Cloud (VPC), ma non consentono la comunicazione in entrata da internet pubblico.

La connettività privata consente l'utilizzo di alcune funzionalità, come i controlli di servizio VPC. Tuttavia, le connessioni private non sono compatibili con alcune funzionalità di Looker (Google Cloud core). Per saperne di più, consulta la tabella Compatibilità delle funzionalità.

Looker (Google Cloud core) supporta le connessioni private (PSA) per le versioni delle istanze Enterprise o Embed.

Ruoli e autorizzazioni richiesti

Per configurare un'istanza di connessioni private (PSA), devi disporre delle seguenti autorizzazioni IAM:

  1. Per creare un'istanza di Looker (Google Cloud core), devi disporre del ruolo Amministratore Looker (roles/looker.Admin).

  2. Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti il ruolo IAM Compute Network Admin (roles/compute.networkAdmin) sul progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

    Autorizzazioni obbligatorie

    Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:

    • Visualizza le reti disponibili nel menu a discesa Rete:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crea una nuova rete VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi: compute.networks.addPeering

    Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

    Se utilizzi una rete privata già configurata, non hai bisogno di queste autorizzazioni.

Potresti anche aver bisogno di ruoli IAM aggiuntivi per configurare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK). Scopri di più, visita le pagine della documentazione Supporto di Controlli di servizio VPC per Looker (Google Cloud core) o Abilita CMEK per Looker (Google Cloud core) per queste funzionalità.

Prima di iniziare

  1. Collabora con il team di vendita per assicurarti che il tuo contratto annuale sia completato e che la quota sia allocata nel tuo progetto.
  2. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud .
  3. Nella console Google Cloud, nella pagina di selezione del progetto, crea un progetto Google Cloud o vai a uno esistente in cui vuoi creare l'istanza di Looker (Google Cloud core).

    Vai al selettore dei progetti

  4. Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilita l'API

  5. Abilita l'API Service Networking per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilita l'API

  6. Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che sia stata abilitata.

    Abilita l'API

  7. Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth consente di eseguire l'autenticazione e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nell'istanza.

Crea e configura una rete VPC

Prima di poter creare una connessione privata, devi prima creare e configurare una rete Virtual Private Cloud (VPC). Looker (Google Cloud core) supporta più istanze di connessioni private (PSA) nello stesso VPC, nella stessa regione o in regioni diverse.

  1. Crea una rete VPC nel tuo progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi nella sezione seguente, Creazione di un'istanza in un VPC condiviso, oltre a completare i passaggi rimanenti in questa sezione per il VPC condiviso.
  2. Alloca un intervallo IP IPv4 (blocco CIDR) nel tuo VPC per una connessione di accesso privato ai servizi a Looker (Google Cloud core).
    • Prima di allocare l'intervallo, considera i vincoli.
    • Quando imposti le dimensioni dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco /22.
    • Looker (Google Cloud core) supporta tutti gli intervalli IPv4 all'interno di RFC 1918, che specifica gli indirizzi IP assegnati per essere utilizzati internamente (ovvero all'interno di un'organizzazione) e non verranno instradati su internet. Nello specifico, si tratta di:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Gli intervalli IPv4 di classe E (240.0.0.0/4) sono riservati per un utilizzo futuro, come indicato in RFC 5735 e RFC 1112 e non sono supportati per Looker (Google Cloud core).
    Quando viene creata per la prima volta un'istanza di Looker (Google Cloud core) in una regione all'interno di un VPC, Looker crea una subnet solo proxy. La subnet solo proxy utilizza una subnet di intervallo /26 della subnet /22 che riservi quando crei l'istanza di Looker (Google Cloud core). Le istanze di Looker (Google Cloud core) con connessioni private (PSA) successive nello stesso VPC e nella stessa regione utilizzano la stessa subnet solo proxy.
  3. Aggiungi la connessione di accesso privato ai servizi alla tua rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
  4. Una volta creata la rete VPC, torna alla pagina Crea istanza di Looker nel progetto Google Cloud . Potresti dover aggiornare la pagina affinché la rete VPC venga riconosciuta.

Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo i passaggi nella pagina di documentazione Crea un'istanza di Looker (Google Cloud core) , a partire dalla sezione Prima di iniziare.

Più istanze di connessioni private nello stesso VPC

Se due o più istanze di Looker (Google Cloud core) con connessioni private si trovano nella stessa regione e nello stesso VPC e elimini la prima istanza di Looker (Google Cloud core) creata nella regione, la subnet solo proxy non viene rilasciata perché è ancora in uso dalle istanze rimanenti. Se tenti di creare una nuova istanza di Looker (Google Cloud core) con accesso privato ai servizi (PSA) che utilizza lo stesso intervallo di indirizzi utilizzato per l'istanza eliminata (che contiene l'intervallo di indirizzi IP della subnet solo proxy), la creazione dell'istanza non andrà a buon fine e verrà visualizzato un errore "Intervalli IP esauriti". Per verificare se un intervallo IP è in uso, controlla il peering VPC per Service Networking e le route di importazione per vedere se utilizzano l'intervallo IP che ti interessa.

Crea un'istanza in un VPC condiviso

Se stai creando un'istanza di Looker (Google Cloud core) in un VPC condiviso, completa i seguenti passaggi nel progetto host del VPC condiviso:

  1. Abilita l'API Looker nel progetto host della VPC condiviso nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che sia stata abilitata.

    Abilita l'API

  2. Crea un service account nel progetto host del VPC condiviso utilizzando il comando gcloud services identity create:

    gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID

    Sostituisci SHARED_HOST_PROJECT_ID con l'ID del progetto host del VPC condiviso.

  3. Concedi al account di servizio nel progetto host del VPC condiviso un ruolo IAM che contenga l'autorizzazione IAM compute.globalAddresses.get. Quindi, esegui il comando add-iam-policy-binding:

    gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME

    Sostituisci quanto segue:

    • SHARED_HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso.

    • SA_EMAIL: l'indirizzo email del account di servizio che hai creato nel progetto host del VPC condiviso.

    • ROLE_NAME: il nome del ruolo che contiene l'autorizzazione compute.globalAddresses.get. Utilizza uno dei seguenti formati:

      • Ruoli predefiniti: roles/SERVICE.IDENTIFIER
      • Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/IDENTIFIER
      • Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/IDENTIFIER

      Per un elenco dei ruoli predefiniti, consulta Informazioni sui ruoli.

Dopo aver creato il account di servizio e avergli concesso l'autorizzazione IAM, attendi alcuni minuti affinché il account di servizio e l'autorizzazione si propaghino.

Inoltre, alloca un intervallo IP IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso come descritto nella sezione precedente, Crea e configura una rete VPC.

Crea l'istanza di connessioni private

Looker (Google Cloud core) richiede circa 60 minuti per generare una nuova istanza.

Se vuoi un'istanza di connessioni private (PSA), devi utilizzare Google Cloud CLI o Terraform e devi configurare l'istanza come connessioni private (PSA) al momento della creazione. Le connessioni private non possono essere aggiunte o rimosse da un'istanza dopo la creazione.

Per creare un'istanza di connessioni private (PSA) utilizzando Google Cloud CLI, segui questi passaggi:

  1. Se utilizzi CMEK, segui le istruzioni per creare un account di servizio, un portachiavi e una chiave prima di creare l'istanza di Looker (Google Cloud core).

  2. Utilizza il comando gcloud looker instances create per creare l'istanza:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Sostituisci quanto segue:

    • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core), che non è associato all'URL dell'istanza.
    • PROJECT_ID: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client OAuth e il segreto OAuth che hai creato quando hai configurato il client OAuth. Una volta creata l'istanza, inserisci il relativo URL nella sezione URI di reindirizzamento autorizzati del client OAuth.
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento. Le regioni disponibili sono elencate nella pagina di documentazione Località di Looker (Google Cloud core).
    • EDITION: l'edizione, il tipo di ambiente (produzione o non di produzione) e se si tratta di una edizione di prova per l'istanza. Per un'istanza di connessioni private (PSA), questo valore deve essere core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-enterprise o core-trial-embed. Assicurati di scegliere lo stesso tipo di edizione indicato nel tuo contratto annuale e di aver allocato la quota. Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare edizione, puoi utilizzare importazione ed esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con un'edizione diversa.
    • CONSUMER_NETWORK: la tua rete VPC o VPC condiviso. Deve essere impostato se stai creando un'istanza di connessioni private (PSA).
    • RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per l'istanza di Looker (Google Cloud core).

    Puoi includere i seguenti flag:

    • --private-ip-enabled consente connessioni private (PSA). Questo deve essere incluso per creare un'istanza di connessioni private (PSA).
    • --public-ip-enabled abilita l'IP pubblico.
    • --no-public-ip-enabled disabilita l'IP pubblico.
    • --async è consigliato quando crei un'istanza di Looker (Google Cloud core).

  3. Puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Sostituisci quanto segue:

    • MAINTENANCE_WINDOW_DAY: deve essere uno dei seguenti valori: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Per ulteriori informazioni sulle impostazioni periodo di manutenzione, consulta la pagina della documentazione Gestisci i criteri di manutenzione per Looker (Google Cloud core).
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: devono essere in ora UTC nel formato a 24 ore (ad esempio, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: devono essere nel formato YYYY-MM-DD.
    • KMS_KEY_ID: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).

    Puoi includere il flag --fips-enabled per abilitare la conformità allo standard FIPS 140-2 livello 1.

Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione dell'istanza facendo clic sull'icona delle notifiche nel menu della console Google Cloud .

Se crei un'istanza solo con connessioni private (PSA), un URL non verrà visualizzato nella pagina Istanze. Per ulteriori informazioni su come configurare l'accesso all'istanza di connessioni private (PSA), consulta la sezione Accesso a un'istanza di connessioni private (PSA) dopo la creazione.

Accedere a un'istanza di connessioni private (PSA) dopo la creazione

Se crei un'istanza abilitata solo per le connessioni private (PSA), non riceverai un URL per l'istanza. Per accedere all'istanza, devi configurare un dominio personalizzato per l'istanza e aggiungerlo alle credenziali OAuth dell'istanza. Per comprendere le diverse opzioni di networking per le connessioni private per configurare e accedere a un dominio personalizzato, visita la pagina della documentazione Opzioni di networking per le connessioni private con dominio personalizzato per le istanze di Looker (Google Cloud core).

Passaggi successivi