建立私人 IP (私人服務存取權) Looker (Google Cloud Core) 執行個體

本頁說明如何建立使用私人服務存取權的私人 IP Looker (Google Cloud Core) 生產或非生產執行個體

私人 IP 連線可讓服務連線,不必經過網際網路或使用外部 IP 位址。由於私人 IP 連線不會經過網際網路,因此通常延遲時間較短,且攻擊途徑有限。私人 IP 連線可讓 Looker (Google Cloud Core) 執行個體與虛擬私有雲 (VPC) 中的其他資源通訊,但不允許來自公開網際網路的連入通訊。

私人 IP 連線功能可啟用部分功能,例如 VPC Service Controls。不過,私人 IP 連線與部分 Looker (Google Cloud Core) 功能不相容。詳情請參閱功能相容性表。

Looker (Google Cloud Core) 支援企業版嵌入版 執行個體版本的私人 IP。

必要角色和權限

如要設定私人 IP 執行個體,您必須具備下列 IAM 權限:

  1. 如要建立 Looker (Google Cloud Core) 執行個體,您必須具備 Looker 管理員 (roles/looker.Admin) 角色。

  2. 如要取得建立分配的 IP 位址範圍及管理私人連線所需的權限,請要求管理員授予您專案的Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

    這個預先定義的角色具備建立分配的 IP 位址範圍,以及管理私人連線所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:

    所需權限

    如要建立分配的 IP 位址範圍及管理私人連線,您必須具備下列權限:

    • 在「網路」下拉式選單中查看可用的網路:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • 建立新的虛擬私有雲網路:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • 分配私人 IP 範圍並設定私人服務存取連線: compute.networks.addPeering

    您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

    如果您使用 Terraform 或 Google Cloud CLI 建立私人 IP 執行個體,並使用已設定的私人網路,則不需要這些權限。

您可能也需要額外的 IAM 角色,才能設定 VPC Service Controls 或客戶自行管理的加密金鑰 (CMEK)。如要進一步瞭解這些功能,請參閱「VPC Service Controls 對 Looker (Google Cloud Core) 的支援」或「為 Looker (Google Cloud Core) 啟用 CMEK」說明文件頁面。

事前準備

  1. 與業務團隊合作,確保年約已完成,且專案中已分配配額
  2. 確認您已為 Google Cloud 專案啟用計費功能
  3. 在 Google Cloud 控制台的專案選取器頁面中,建立專案 Google Cloud ,或前往要建立 Looker (Google Cloud Core) 執行個體的現有專案。

    前往專案選取器

  4. 在 Google Cloud 控制台中,為專案啟用 Looker API。啟用 API 時,您可能需要重新整理控制台頁面,確認 API 已啟用。

    啟用 API

  5. 在 Google Cloud 控制台中,為專案啟用 Service Networking API。啟用 API 時,您可能需要重新整理控制台頁面,確認 API 已啟用。

    啟用 API

  6. 在 Google Cloud 控制台中,為專案啟用 Compute Engine API。啟用 API 後,您可能需要重新整理控制台頁面,確認 API 已啟用。

    啟用 API

  7. 設定 OAuth 用戶端並建立授權憑證。OAuth 用戶端可讓您驗證及存取執行個體。即使您使用其他驗證方法,將使用者驗證到執行個體中,也必須設定 OAuth 才能建立 Looker (Google Cloud Core) 執行個體。

建立及設定虛擬私有雲網路

建立私人 IP 連線前,您必須先建立及設定虛擬私有雲 (VPC) 網路。Looker (Google Cloud Core) 支援在同一個 VPC 中使用多個私人 IP 執行個體,無論這些執行個體位於相同或不同區域皆可。

  1. 在專案中建立虛擬私有雲網路。或者,如果您使用共用虛擬私有雲,而不是建立新的虛擬私有雲網路,請完成下一節「在共用虛擬私有雲中建立執行個體」中的步驟,並完成本節中其餘的共用虛擬私有雲步驟。
  2. 在虛擬私有雲中分配 IPv4 IP 範圍 (CIDR 區塊),供私人服務存取連線連至 Looker (Google Cloud Core)。
    • 分配範圍前,請先考量限制
    • 設定 IP 位址範圍大小時,請注意最小大小為 /22 區塊。
    • Looker (Google Cloud Core) 支援 RFC 1918 中的所有 IPv4 範圍,該 RFC 指定指派供內部 (即機構內) 使用的 IP 位址,且不會在網際網路上路由。具體來說,這些是下列項目:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • RFC 5735RFC 1112 所述,Class E IPv4 範圍 (240.0.0.0/4) 保留供日後使用,Looker (Google Cloud Core) 不支援此範圍。
    在虛擬私有雲的區域中首次建立 Looker (Google Cloud Core) 執行個體時,Looker 會建立僅限 Proxy 的子網路。僅限 Proxy 的子網路會使用您建立 Looker (Google Cloud Core) 執行個體時保留的 /22 子網路 /26 範圍子網路。位於相同虛擬私有雲和相同區域的後續私人 IP Looker (Google Cloud Core) 執行個體,會使用相同的僅限 Proxy 子網路。
  3. 使用上一個步驟中為「已指派的分配」分配的 IP 範圍,將私人服務存取連線新增至虛擬私有雲網路。
  4. 建立虛擬私有雲網路後,請返回 Google Cloud 專案中的「建立 Looker 執行個體」頁面。您可能需要重新整理頁面,系統才會辨識虛擬私有雲網路。

完成上述步驟後,請按照「建立 Looker (Google Cloud Core) 執行個體 」說明文件頁面的步驟建立執行個體,從「事前準備」一節開始。

同一虛擬私有雲中的多個私人 IP 執行個體

如果兩個以上的私人 IP Looker (Google Cloud Core) 執行個體位於同一區域和虛擬私有雲,且您刪除在該區域建立的第一個 Looker (Google Cloud Core) 執行個體,則系統不會釋出僅限 Proxy 的子網路,因為其餘執行個體仍在使用該子網路。如果您嘗試建立新的私人 IP Looker (Google Cloud Core) 執行個體,並使用與已刪除執行個體相同的位址範圍 (其中包含僅限 Proxy 的子網路 IP 位址範圍),執行個體建立作業就會失敗,並顯示「IP ranges exhausted」(IP 範圍已用盡) 錯誤。如要檢查 IP 範圍是否正在使用中,請檢查 Service Networking 的 VPC 對等互連,並檢查匯入的路徑,看看是否正在使用您感興趣的 IP 範圍。

在共用虛擬私有雲中建立執行個體

如果您要在共用虛擬私有雲中建立 Looker (Google Cloud Core) 執行個體,請在共用虛擬私有雲的主機專案中完成下列步驟:

  1. 在 Google Cloud 控制台中,於共用 VPC 的主專案中啟用 Looker API。啟用 API 後,您可能需要重新整理控制台頁面,確認 API 已啟用。

    啟用 API

  2. 在共用虛擬私有雲的主機專案中,使用 gcloud services identity create 指令建立服務帳戶

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    SHARED_HOST_PROJECT_ID 替換為共用虛擬私有雲的主專案。

  3. 在主專案中授予服務帳戶 compute.globalAddresses.get IAM 權限。

建立服務帳戶並授予 IAM 權限後,請稍待幾分鐘,讓系統套用服務帳戶和權限。

此外,請在共用虛擬私有雲中分配 IPv4 IP 範圍,並按照上一節「建立及設定虛擬私有雲網路」所述,將私人服務存取連線新增至共用虛擬私有雲。

建立私人 IP 執行個體

Looker (Google Cloud Core) 大約需要 60 分鐘才能產生新的執行個體。

建立執行個體時必須指派私人 IP。執行個體建立後,就無法新增或移除私人 IP。

如要在建立執行個體時設定私人 IP,請選取下列其中一個選項:

主控台

  1. 在 Google Cloud 控制台中,從專案前往 Looker (Google Cloud Core) 產品頁面。如果您已在這個專案中建立 Looker (Google Cloud Core) 執行個體,系統會開啟「Instances」(執行個體) 頁面。

    前往 Looker (Google Cloud Core)

  2. 點選「建立執行個體」
  3. 在「Instance name」(執行個體名稱) 區段中,提供 Looker (Google Cloud Core) 執行個體的名稱。執行個體名稱不會與 Looker (Google Cloud Core) 執行個體的網址建立關聯。執行個體建立完成後,即無法變更執行個體名稱。
  4. 在「OAuth Application Credentials」(OAuth 應用程式憑證) 專區,輸入您設定 OAuth 用戶端時建立的 OAuth 用戶端 ID 和 OAuth 密鑰。

  5. 在「Region」(區域) 部分,從下拉式選單中選取適當選項,以代管 Looker (Google Cloud Core) 執行個體。選取與訂閱合約中區域相符的區域,因為會在這裡分配專案配額。如需可用區域清單,請參閱「Looker (Google Cloud Core) 位置」說明文件頁面。

    執行個體建立後即無法變更區域。

  6. 在「版本」部分中,選擇「Enterprise」或「Embed」 (正式版或非正式版) 版本選項。版本類型會影響執行個體可用的功能。請務必選擇與年約中列出的版本類型相同,並確認您已為該版本類型分配配額

    • 企業版:具備強化版安全防護功能的 Looker (Google Cloud Core) 平台,適用於多種內部商業智慧 (BI) 和數據分析用途
    • 嵌入:Looker (Google Cloud Core) 平台,適合大規模部署及維護可靠的外部數據分析和自訂應用程式
    • 非正式版:如要建立暫存和測試環境,請選取其中一個非正式版。詳情請參閱非正式環境執行個體說明文件。

    執行個體建立後即無法變更版本。如要變更版本,可以透過匯入及匯出功能,將 Looker (Google Cloud Core) 執行個體資料移至以不同版本設定的新執行個體。

  7. 在「自訂執行個體」部分中,按一下「顯示設定選項」,即可顯示一組可供自訂的執行個體其他設定。

  8. 在「連線」部分,於「執行個體 IP 指派」下方,選擇僅使用「私人 IP」,或是同時使用「私人 IP」和「公開 IP」。所選網路連線類型會影響執行個體可用的 Looker 功能。可用的網路連線選項如下:

    • 公開 IP:指派可透過網際網路存取的外部 IP 位址。
    • 私人 IP:指派託管於 Google 的內部 IP 位址,可透過虛擬私有雲 (VPC) 存取。您可以透過這個位址,從有權存取 VPC 的其他資源進行連線。只有 Enterprise嵌入版支援私人 IP。如要使用 VPC Service Controls,請務必只選取「私人 IP」
    • 如果同時選取「私人 IP」和「公開 IP」,傳入流量會透過公開 IP 轉送,傳出流量則會以私人 IP 轉送。Looker (Google Cloud Core) 執行個體不會使用公開 IP 產生網際網路傳出流量。

  9. 在「Private IP Type」(私人 IP 類型) 下方,選取「Private Services Access (PSA)」(私人服務存取權 (PSA))

  10. 如果畫面顯示「Enable Required APIs」(啟用必要 API) 快顯視窗,請為專案啟用其他 API。 Google Cloud 如要啟用私人網路連線所需的 API,請按一下「全部啟用」

  11. 在「Network」(網路) 下拉式選單中,選取您的虛擬私有雲網路。私人 IP 網路需要私人服務存取連線,讓服務能使用內部 IP 位址進行專屬通訊。如要進一步瞭解如何設定私人 IP 連線,請參閱「設定私人服務存取權」說明文件頁面。如果您在建立虛擬私有雲網路時未設定私人服務連線,可以按一下「需要私人服務存取連線」訊息下方的「設定連線」。側邊面板隨即開啟,您可以在其中分配 IP 範圍並建立連線。

  12. 在「Allocated IP range」(分配的 IP 範圍) 下方,選取虛擬私有雲中的 IP 範圍,Google 會在該範圍內為 Looker (Google Cloud Core) 執行個體佈建子網路。子網路會預留 IP 範圍,虛擬私有雲網路中的其他資源無法使用。建立 Looker (Google Cloud Core) 執行個體後,您就無法修改這個 IP 範圍。IP 範圍分配包括下列選項:

    • 選取「使用系統自動指派的 IP 範圍」,讓 Google 自動分配 IP 範圍,為 VPC 佈建子網路。
    • 選取在設定私人服務存取權時定義的 IP 範圍。

  13. 在「Encryption」(加密) 區段中,您可以選取要在執行個體上使用的加密類型。可用的加密選項如下:

  14. 在「維護期間」部分,您可以選擇指定 Looker (Google Cloud Core) 排定維護作業的星期幾和時間。維護期間為一小時。「維護期間」的「偏好期間」選項預設為「任何期間」

  15. 在「拒絕維護期」部分,您可以選擇指定一段時間,讓 Looker (Google Cloud Core) 不會安排維護作業。拒絕維護期的上限為 60 天。在任兩個拒絕維護期之間,至少須有 14 天的空檔,讓系統能執行維護作業。

  16. 在「Gemini in Looker」部分,您可以選擇為 Looker (Google Cloud Core) 執行個體啟用 Gemini in Looker 功能。如要啟用 Gemini in Looker,請依序選取「Gemini」和「信任的測試人員」功能。啟用「信任的測試人員」功能後,使用者就能存取 Gemini in Looker 的「信任的測試人員」功能。如要存取非公開的「信任的測試人員」功能,請透過 Gemini in Looker 預先發布版表單,分別為每位使用者提出申請。您必須啟用這項設定,才能在正式發布前預覽期間使用 Gemini。(選用) 選取「信任的測試人員」資料使用。啟用這項設定後,即表示您同意 Google 依據 Gemini for Google Cloud 「信任的測試人員」計畫條款使用您的資料。如要為 Looker (Google Cloud Core) 執行個體停用 Gemini,請清除「Gemini」Gemini設定。

  17. 點選「建立」

gcloud

  1. 如果您使用 CMEK,請先按照操作說明建立服務帳戶、金鑰環和金鑰,再建立 Looker (Google Cloud Core) 執行個體。

  2. 使用 gcloud looker instances create 指令建立執行個體:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    更改下列內容:

    • INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱,與執行個體網址無關。
    • PROJECT_ID:您要在其中建立 Looker (Google Cloud Core) 執行個體的 Google Cloud 專案名稱。
    • OAUTH_CLIENT_IDOAUTH_CLIENT_SECRET:您設定 OAuth 用戶端時建立的 OAuth 用戶端 ID 和 OAuth 密鑰。建立執行個體後,請在 OAuth 用戶端的「已授權的重新導向 URI」部分中輸入執行個體的網址
    • REGION:Looker (Google Cloud Core) 執行個體的代管區域。選取與訂閱合約中區域相符的區域。如需可用區域清單,請參閱「Looker (Google Cloud Core) 位置」說明文件頁面。
    • EDITION:執行個體的版本和環境類型 (實際工作環境或非實際工作環境)。如果是私人 IP 執行個體,則應為 core-enterprise-annualcore-embed-annualnonprod-core-enterprise-annualnonprod-core-embed-annual。請務必選擇與年約中列出的版本類型相同,並已分配配額。執行個體建立後即無法變更版本。如要變更版本,可以透過匯入及匯出功能,將 Looker (Google Cloud Core) 執行個體資料移至以不同版本設定的新執行個體。
    • CONSUMER_NETWORK您的虛擬私有雲網路或共用虛擬私有雲網路。如要建立私人 IP 執行個體,就必須設定這個值。
    • RESERVED_RANGE:Google 會在虛擬私有雲中佈建子網路,供 Looker (Google Cloud Core) 執行個體使用,這個參數就是該子網路的 IP 位址範圍。

    您可以加入下列旗標:

    • --private-ip-enabled 會啟用私人 IP。建立私人 IP 執行個體時,必須加入這項設定。
    • --public-ip-enabled 啟用公開 IP。
    • --no-public-ip-enabled 停用公開 IP。
    • 建議您在建立 Looker (Google Cloud Core) 執行個體時使用 --async

  3. 您可以新增更多參數,套用其他執行個體設定: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    取代下列項目:

    • MAINTENANCE_WINDOW_DAY:必須是下列其中一個值:fridaymondaysaturdaysundaythursdaytuesdaywednesday。如要進一步瞭解維護時段設定,請參閱「管理 Looker (Google Cloud Core) 的維護政策」說明文件頁面。
    • MAINTENANCE_WINDOW_TIMEDENY_MAINTENANCE_PERIOD_TIME:必須採用世界標準時間,並以 24 小時制格式表示 (例如 13:00、17:45)。
    • DENY_MAINTENANCE_PERIOD_START_DATEDENY_MAINTENANCE_PERIOD_END_DATE:格式必須為 YYYY-MM-DD
    • KMS_KEY_ID:必須是在設定客戶管理的加密金鑰 (CMEK) 時建立的金鑰。

    您可以加入 --fips-enabled 旗標,啟用 FIPS 140-2 第 1 級規範

建立執行個體時,您可以在控制台的「執行個體」頁面中查看狀態。您也可以點選 Google Cloud 控制台選單中的通知圖示,查看執行個體建立活動。

如果您建立僅含私人 IP 的執行個體,不會在「執行個體」頁面上看到網址。如要進一步瞭解如何設定私人 IP 執行個體的存取權,請參閱下方的「建立後存取私人 IP 執行個體」一節。

在建立私人 IP 執行個體後存取該執行個體

如果您建立的執行個體僅啟用私人 IP,則不會收到執行個體的網址。如要存取執行個體,您必須為執行個體設定自訂網域,並將該自訂網域新增至執行個體的 OAuth 憑證。如要瞭解設定及存取自訂網域的不同私人 IP 網路選項,請參閱「Looker (Google Cloud Core) 私人 IP 執行個體的自訂網域網路選項」說明文件頁面。

後續步驟