Crie uma instância do Looker (Google Cloud core) com um IP privado (acesso a serviços privados)

Esta página explica como criar uma produção do Looker (Google Cloud core) de IP privado ou uma instância de não produção que usa o acesso a serviços privados.

As ligações IP privadas tornam os serviços acessíveis sem passar pela Internet nem usar endereços IP externos. Uma vez que não atravessam a Internet, as ligações através de IP privado oferecem normalmente uma latência mais baixa e vetores de ataque limitados. As ligações IP privadas permitem que a sua instância do Looker (Google Cloud core) comunique com outros recursos na sua nuvem virtual privada (VPC), mas não permitem a comunicação de entrada a partir da Internet pública.

A conetividade IP privada permite a utilização de algumas funcionalidades, como os VPC Service Controls. No entanto, as ligações de IP privadas não são compatíveis com algumas funcionalidades do Looker (Google Cloud core). Consulte a tabela de compatibilidade de funcionalidades para mais informações.

O Looker (Google Cloud core) suporta o IP privado para edições de instâncias Enterprise ou Embed.

Funções e autorizações necessárias

Para configurar uma instância de IP privado, tem de ter as seguintes autorizações de IAM:

  1. Para criar uma instância do Looker (Google Cloud Core), tem de ter a função Administrador do Looker (roles/looker.Admin).

  2. Para obter as autorizações de que precisa para criar intervalos de endereços IP alocados e gerir ligações privadas, peça ao seu administrador para lhe conceder a função do IAM Administrador da rede de computação (roles/compute.networkAdmin) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Esta função predefinida contém as autorizações necessárias para criar intervalos de endereços IP atribuídos e gerir ligações privadas. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

    Autorizações necessárias

    São necessárias as seguintes autorizações para criar intervalos de endereços IP atribuídos e gerir ligações privadas:

    • Veja as redes disponíveis no menu pendente Rede:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crie uma nova rede VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Atribua um intervalo de IPs privados e configure uma ligação de acesso a serviços privados: compute.networks.addPeering

    Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

    Se estiver a criar uma instância de IP privado com o Terraform ou a CLI do Google Cloud e estiver a usar uma rede privada que já foi configurada, não precisa destas autorizações.

Também pode precisar de funções do IAM adicionais para configurar os VPC Service Controls ou as chaves de encriptação geridas pelo cliente (CMEK). Para saber mais, visite as páginas de documentação Suporte do VPC Service Controls para o Looker (Google Cloud core) ou Ative a CMEK para o Looker (Google Cloud core) para essas funcionalidades.

Antes de começar

  1. Trabalhe com o departamento de vendas para garantir que o seu contrato anual está concluído e que tem quota alocada no seu projeto.
  2. Certifique-se de que a faturação está ativada para o seu Google Cloud projeto.
  3. Na Google Cloud Console, na página do seletor de projetos, crie um Google Cloud projeto ou navegue para um projeto existente no qual quer criar a instância do Looker (Google Cloud core).

    Aceder ao seletor de projetos

  4. Ative a API Looker para o seu projeto na Google Cloud Console. Quando ativa a API, pode ter de atualizar a página da consola para confirmar que a API foi ativada.

    Ative a API

  5. Ative a API Service Networking para o seu projeto na Google Cloud Console. Quando ativa a API, pode ter de atualizar a página da consola para confirmar que a API foi ativada.

    Ative a API

  6. Ative a API Compute Engine para o seu projeto na Google Cloud Console. Quando ativa a API, pode ter de atualizar a página da consola para confirmar que a API foi ativada.

    Ative a API

  7. Configure um cliente OAuth e crie credenciais de autorização. O cliente OAuth permite-lhe autenticar e aceder à instância. Tem de configurar o OAuth para criar uma instância do Looker (Google Cloud core), mesmo que esteja a usar um método de autenticação diferente para autenticar utilizadores na sua instância.

Crie e configure uma rede de VPC

Antes de poder criar uma ligação IP privada, tem de criar e configurar uma rede de nuvem privada virtual (VPC). O Looker (Google Cloud core) suporta várias instâncias de IP privado na mesma VPC, na mesma região ou em regiões diferentes.

  1. Crie uma rede de VPC no seu projeto. Em alternativa, se estiver a usar uma VPC partilhada em vez de criar uma nova rede VPC, conclua os passos na secção seguinte, Criar uma instância numa VPC partilhada, além de concluir os restantes passos nesta secção para a VPC partilhada.
  2. Atribua um intervalo de IPs IPv4 (bloco CIDR) na sua VPC para uma ligação de acesso a serviços privados ao Looker (Google Cloud core).
    • Antes de atribuir o intervalo, considere as restrições.
    • Ao definir o tamanho do intervalo de endereços IP, tenha em atenção que o tamanho mínimo é um bloco /22.
    • O Looker (núcleo do Google Cloud) suporta todos os intervalos IPv4 na RFC 1918, que especifica endereços IP atribuídos para utilização interna (ou seja, numa organização) e que não são encaminhados na Internet. Especificamente, são as seguintes:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Os intervalos IPv4 de classe E (240.0.0.0/4) estão reservados para utilização futura, conforme indicado no RFC 5735 e no RFC 1112, e não são suportados para o Looker (Google Cloud core).
    Quando uma instância do Looker (Google Cloud core) é criada pela primeira vez numa região numa VPC, o Looker cria uma sub-rede apenas de proxy. A sub-rede apenas de proxy usa uma sub-rede de intervalo /26 da sub-rede /22 que reserva quando cria a instância do Looker (essencial para o Google Cloud). Todas as instâncias privadas de IP do Looker (essencial para o Google Cloud) subsequentes na mesma VPC e na mesma região usam a mesma sub-rede apenas de proxy.
  3. Adicione a ligação de acesso a serviços privados à sua rede VPC através do intervalo de IP atribuído no passo anterior para a atribuição atribuída.
  4. Assim que a rede VPC for criada, regresse à página Criar instância do Looker no seu Google Cloud projeto. Pode ter de atualizar a página para que a sua rede VPC seja reconhecida.

Depois de concluir estes passos, pode começar a criar a sua instância seguindo os passos na página de documentação Crie uma instância do Looker (Google Cloud core) , começando pela secção Antes de começar.

Várias instâncias de IP privado na mesma VPC

Se duas ou mais instâncias do Looker (Google Cloud core) de IP privado estiverem localizadas na mesma região e na mesma VPC, e eliminar a primeira instância do Looker (Google Cloud core) criada na região, a sub-rede apenas de proxy não é libertada porque ainda está a ser usada pelas instâncias restantes. Se tentar criar uma nova instância do Looker (Google Cloud core) de IP privado que use o mesmo intervalo de endereços que usou para a instância eliminada (que contém o intervalo de endereços IP da sub-rede apenas de proxy), a criação da instância falha e é apresentado um erro "Intervalos de IP esgotados". Para verificar se um intervalo de IPs está em utilização, verifique o peering de VPC para a rede de serviços e verifique as rotas de importação para ver se estão a usar o intervalo de IPs no qual tem interesse.

Crie uma instância numa VPC partilhada

Se estiver a criar uma instância do Looker (Google Cloud core) numa VPC partilhada, conclua os seguintes passos no projeto anfitrião da VPC partilhada:

  1. Ative a API Looker no projeto anfitrião da VPC partilhada na Google Cloud Console. Quando ativa a API, pode ter de atualizar a página da consola para confirmar que a API foi ativada.

    Ative a API

  2. Crie uma conta de serviço no projeto anfitrião da VPC partilhada através do comando services identity create gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Substitua SHARED_HOST_PROJECT_ID pelo projeto anfitrião da VPC partilhada.

  3. Conceda a autorização de IAM compute.globalAddresses.get à conta de serviço no projeto anfitrião.

Depois de criar a conta de serviço e lhe conceder a autorização de IAM, aguarde alguns minutos para que a conta de serviço e a autorização sejam propagadas.

Além disso, atribua um intervalo de IPs IPv4 na VPC partilhada e adicione a ligação de acesso a serviços privados à VPC partilhada, conforme descrito na secção anterior, Crie e configure uma rede VPC.

Crie a instância de IP privado

O Looker (Google Cloud core) requer aproximadamente 60 minutos para gerar uma nova instância.

O IP privado tem de ser atribuído no momento da criação da instância. Não é possível adicionar nem remover um IP privado de uma instância depois de esta ser criada.

Para configurar o IP privado durante a criação da instância, selecione uma das seguintes opções:

consola

  1. Navegue para a página do produto Looker (essencial para o Google Cloud) a partir do seu projeto na Google Cloud Console. Se já tiver criado uma instância do Looker (Google Cloud core) neste projeto, é aberta a página Instâncias.

    Aceder ao Looker (Google Cloud Core)

  2. Clique em CRIAR INSTÂNCIA.
  3. Na secção Nome da instância, indique um nome para a sua instância do Looker (Google Cloud core). O nome da instância não está associado ao URL da instância do Looker (Google Cloud Core) depois de criada. Não é possível alterar o nome da instância após a criação da instância.
  4. Na secção Credenciais da aplicação OAuth, introduza o ID de cliente OAuth e o segredo OAuth que criou quando configurou o cliente OAuth.

  5. Na secção Região, selecione a opção adequada no menu pendente para alojar a sua instância do Looker (Google Cloud core). Selecione a região que corresponde à região no contrato de subscrição, que é onde a quota do seu projeto é atribuída. As regiões disponíveis estão listadas na página de documentação Localizações do Looker (Google Cloud core).

    Não pode alterar a região depois de criar a instância.

  6. Na secção Edição, escolha uma opção de edição Enterprise ou Embed (produção ou não produção). O tipo de edição afeta algumas das funcionalidades disponíveis para a instância. Certifique-se de que escolhe o mesmo tipo de edição indicado no seu contrato anual e que tem quota alocada para esse tipo de edição.

    • Enterprise: plataforma Looker (Google Cloud core) com funcionalidades de segurança melhoradas para abordar uma grande variedade de exemplos de utilização internos de BI e estatísticas
    • Incorporar: plataforma Looker (Google Cloud Core) para implementar e manter estatísticas externas fiáveis e aplicações personalizadas em grande escala
    • Edições de não produção: se quiser um ambiente de preparação e testes, selecione uma das edições de não produção. Para mais informações, consulte a documentação Instâncias de não produção.

    Não é possível alterar as edições após a criação da instância. Se quiser alterar uma edição, pode usar a importação e a exportação para mover os dados da sua instância do Looker (Google Cloud core) para uma nova instância configurada com uma edição diferente.

  7. Na secção Personalize a sua instância, clique em MOSTRAR OPÇÕES DE CONFIGURAÇÃO para apresentar um grupo de definições adicionais que pode personalizar para a instância.

  8. Na secção Ligações, em Atribuição de IP da instância, escolha apenas IP privado ou IP privado e IP público. O tipo de ligação de rede selecionado afeta as funcionalidades do Looker disponíveis para a instância. Estão disponíveis as seguintes opções de ligação de rede:

    • IP público: atribui um endereço IP externo acessível através da Internet.
    • IP privado: atribui um endereço IP interno alojado na Google que é acessível numa nuvem virtual privada (VPC). Pode usar este endereço para estabelecer ligação a partir de outros recursos com acesso à VPC. Apenas as edições Enterprise e Embed suportam IP privado. Se quiser usar os VPC Service Controls, tem de selecionar apenas IP privado.
    • Se IP privado e IP público estiverem selecionados, o tráfego de entrada é encaminhado através do IP público e o tráfego de saída é encaminhado através do IP privado. A instância do Looker (Google Cloud core) não usa o IP público para originar tráfego de saída da Internet.

  9. Em Tipo de IP privado, selecione Acesso a serviços privados (PSA).

  10. Se for apresentado um pop-up Ativar APIs necessárias, tem de ativar APIs adicionais para o seu Google Cloud projeto. Para ativar as APIs necessárias para uma ligação de rede privada, clique em ATIVAR TUDO.

  11. No menu pendente Rede, selecione a sua rede de VPC. As redes IP privadas requerem uma ligação de acesso a serviços privados, que permite que os seus serviços comuniquem exclusivamente através de endereços IP internos. Consulte a página de documentação Configure o acesso a serviços privados para obter mais informações sobre a configuração de uma ligação IP privada. Se não configurou uma ligação de serviços privados quando criou a sua rede VPC, pode clicar em CONFIGURAR LIGAÇÃO abaixo da mensagem Ligação de acesso a serviços privados necessária. Esta ação abre um painel lateral onde pode atribuir um intervalo de IPs e criar uma associação.

  12. Em Intervalo de IPs atribuído, selecione o intervalo de IPs na VPC no qual a Google vai aprovisionar uma sub-rede para a sua instância do Looker (Google Cloud core). As sub-redes reservam um intervalo de IPs que não pode ser usado por outros recursos na rede VPC. Não pode modificar este intervalo de IPs depois de criar a instância do Looker (Google Cloud core). A atribuição de intervalo de IPs inclui estas opções:

    • Selecione Usar intervalo de IPs atribuído automaticamente para que a Google atribua automaticamente um intervalo de IPs para aprovisionar uma sub-rede para a VPC.
    • Selecione um intervalo de IPs que foi definido durante a configuração do acesso a serviços privados.

  13. Na secção Encriptação, pode selecionar o tipo de encriptação a usar na sua instância. Estão disponíveis as seguintes opções de encriptação:

  14. Na secção Janela de manutenção, pode, opcionalmente, especificar o dia da semana e a hora em que o Looker (Google Cloud core) agenda a manutenção. Os períodos de manutenção duram uma hora. Por predefinição, a opção Janela preferencial na Janela de manutenção está definida como Qualquer janela.

  15. Na secção Período de manutenção recusado, pode, opcionalmente, especificar um bloco de dias em que o Looker (Google Cloud core) não agenda a manutenção. Os períodos de recusa de manutenção podem ter uma duração máxima de 60 dias. Tem de permitir, pelo menos, 14 dias de disponibilidade de manutenção entre 2 períodos de manutenção recusados.

  16. Na secção Gemini no Looker, pode, opcionalmente, disponibilizar as funcionalidades do Gemini no Looker para a instância do Looker (Google Cloud core). Para ativar o Gemini no Looker, selecione Gemini e, de seguida, Funcionalidades de testador fidedigno. Quando a opção Funcionalidades de testador fidedigno está ativada, os utilizadores podem aceder às capacidades de testador fidedigno do Gemini no Looker. Pode pedir acesso às capacidades de testador fidedigno não públicas através do formulário de pré-visualização do Gemini no Looker para cada utilizador. Tem de ativar esta definição para usar o Gemini durante a pré-visualização de pré-DG. Opcionalmente, selecione Utilização de dados de testadores fidedignos. Quando esta definição está ativada, consente que os seus dados sejam utilizados pela Google conforme descrito nos termos do programa de testadores fidedignos do Google Cloud Gemini. Para desativar o Gemini para uma instância do Looker (Google Cloud core), desmarque a definição Gemini.

  17. Clique em Criar.

gcloud

  1. Se estiver a usar CMEK, siga as instruções para criar uma conta de serviço, um conjunto de chaves e uma chave antes de criar a instância do Looker (essencial para o Google Cloud).

  2. Use o comando gcloud looker instances create para criar a instância:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Substitua o seguinte:

    • INSTANCE_NAME: um nome para a sua instância do Looker (Google Cloud Core); não está associado ao URL da instância.
    • PROJECT_ID: o nome do projeto no qual está a criar a instância do Looker (Google Cloud Core). Google Cloud
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: o ID de cliente OAuth e o segredo do OAuth que criou quando configurou o cliente OAuth. Depois de criar a instância, introduza o URL da instância na secção URIs de redirecionamento autorizados do cliente OAuth.
    • REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada. Selecione a região que corresponde à região no contrato de subscrição. As regiões disponíveis estão listadas na página de documentação Localizações do Looker (Google Cloud core).
    • EDITION: a edição e o tipo de ambiente (produção ou não produção) para a instância. Para uma instância de IP privado, deve ser core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual ou nonprod-core-embed-annual. Certifique-se de que escolhe o mesmo tipo de edição que consta no seu contrato anual e que tem quota atribuída. Não é possível alterar as edições após a criação da instância. Se quiser alterar uma edição, pode usar a importação e a exportação para mover os dados da sua instância do Looker (Google Cloud core) para uma nova instância configurada com uma edição diferente.
    • CONSUMER_NETWORK: a sua rede VPC ou rede VPC partilhada. Tem de ser definido se estiver a criar uma instância de IP privado.
    • RESERVED_RANGE: o intervalo de endereços IP na VPC em que a Google vai aprovisionar uma sub-rede para a sua instância do Looker (Google Cloud Core).

    Pode incluir as seguintes flags:

    • O --private-ip-enabled ativa o IP privado. Tem de incluir este elemento para criar uma instância de IP privado.
    • --public-ip-enabled ativa o IP público.
    • --no-public-ip-enabled desativa o IP público.
    • --async é recomendado quando cria uma instância do Looker (Google Cloud Core).

  3. Pode adicionar mais parâmetros para aplicar outras definições da instância: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Substitua o seguinte:

    • MAINTENANCE_WINDOW_DAY: tem de ser um dos seguintes valores: friday, monday, saturday, sunday, thursday, tuesday ou wednesday. Consulte a página de documentação Faça a gestão das políticas de manutenção do Looker (Google Cloud core) para mais informações acerca das definições da janela de manutenção.
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: têm de estar na hora UTC no formato de 24 horas (por exemplo, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: têm de estar no formato YYYY-MM-DD.
    • KMS_KEY_ID: tem de ser a chave criada quando configura as chaves de encriptação geridas pelo cliente (CMEK).

    Pode incluir a sinalização --fips-enabled para ativar a conformidade com o nível 1 da FIPS 140-2.

À medida que a instância é criada, pode ver o respetivo estado na página Instâncias na consola. Também pode ver a atividade de criação de instâncias clicando no ícone de notificações no Google Cloud menu da consola.

Se criar uma instância apenas de IP privado, não é apresentado um URL na página Instâncias. Consulte a secção Aceder a uma instância de IP privado após a criação para obter mais informações sobre como configurar o acesso à sua instância de IP privado.

Aceda a uma instância de IP privado após a criação

Se criar uma instância ativada apenas para IP privado, não recebe um URL para a instância. Para aceder à instância, tem de configurar um domínio personalizado para a instância e adicionar esse domínio personalizado às credenciais OAuth da instância. Para compreender as diferentes opções de rede de IP privado para configurar e aceder a um domínio personalizado, visite a página de documentação Opções de rede de domínio personalizado para instâncias de IP privado do Looker (Google Cloud core).

O que se segue?