En esta página, se describe el proceso para usar gcloud CLI o la consola de Google Cloud para crear una instancia de producción o no producción de Looker (Google Cloud Core) con Private Service Connect habilitado.
Private Service Connect se puede habilitar para una instancia de Looker (Google Cloud Core) que cumpla con los siguientes criterios:
- La instancia de Looker (Google Cloud Core) debe ser nueva. Private Service Connect solo se puede habilitar en el momento de la creación de la instancia.
- La edición de la instancia debe ser Enterprise (
core-enterprise-annual) o Embed (core-embed-annual).
Antes de comenzar
- Trabaja con Ventas para asegurarte de que tu contrato anual esté completo y de que tengas cuota asignada en tu proyecto.
- Asegúrate de tener habilitada la facturación para tu Google Cloud proyecto.
- En la página del selector de proyectos de la consola de Google Cloud, selecciona el proyecto en el que deseas crear la instancia de Private Service Connect.
- Habilita la API de Looker para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
- Configura un cliente de OAuth y crea credenciales de autorización. El cliente de OAuth te permite autenticarte y acceder a la instancia. Debes configurar OAuth para crear una instancia de Looker (Google Cloud Core), incluso si usas un método de autenticación diferente para autenticar a los usuarios en tu instancia.
- Si deseas usar los Controles del servicio de VPC o las claves de encriptación administradas por el cliente (CMEK) con la instancia de Looker (Google Cloud Core) que estás creando, se requiere una configuración adicional antes de crear la instancia. También es posible que se requiera una configuración de red y de edición adicional durante la creación de la instancia.
Roles obligatorios
Para obtener los permisos que necesitas para crear una instancia de Looker (Google Cloud Core), pídele a tu administrador que te otorgue el rol de IAM de administrador de Looker (roles/looker.admin) en el proyecto en el que residirá la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
También es posible que necesites roles de IAM adicionales para configurar los Controles del servicio de VPC o las claves de encriptación administradas por el cliente (CMEK). Visita las páginas de documentación de esas funciones para obtener más información.
Crea una instancia de Private Service Connect
Console
- Navega a la página de producto de Looker (Google Cloud Core) desde tu proyecto en la consola de Google Cloud. Si ya creaste una instancia de Looker (Google Cloud Core) en este proyecto, se abrirá la página Instancias.
- Haz clic en CREAR INSTANCIA.
- En la sección Nombre de la instancia, proporciona un nombre para tu instancia de Looker (Google Cloud Core). El nombre de la instancia no está asociado con la URL de la instancia de Looker (Google Cloud Core) una vez que se crea. El nombre de la instancia no se puede cambiar después de crearla.
- En la sección Credenciales de la aplicación de OAuth, ingresa el ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth.
En la sección Región, selecciona la opción adecuada en el menú desplegable para alojar tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la región del contrato de suscripción, que es donde se asigna la cuota de tu proyecto. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).
No puedes cambiar la región una vez que se creó la instancia.
En la sección Edición, elige una opción de edición Enterprise o Embed (producción o no producción). El tipo de edición afecta algunas de las funciones disponibles para la instancia. Asegúrate de elegir el mismo tipo de edición que se indica en tu contrato anual y de tener cuota asignada para ese tipo de edición.
- Enterprise: Plataforma de Looker (Google Cloud Core) con funciones de seguridad mejoradas para abordar una amplia variedad de casos de uso internos de IE y estadísticas
- Incorporar: Plataforma de Looker (Google Cloud Core) para implementar y mantener estadísticas externas confiables y aplicaciones personalizadas a gran escala
- Ediciones que no son de producción: Si quieres un entorno de pruebas y almacenamiento provisional, selecciona una de las ediciones que no son de producción. Para obtener más información, consulta la documentación sobre instancias que no son de producción.
Las ediciones no se pueden cambiar después de crear la instancia. Si deseas cambiar de edición, puedes usar la importación y exportación para transferir los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva configurada con una edición diferente.
En la sección Personaliza tu instancia, haz clic en MOSTRAR OPCIONES DE CONFIGURACIÓN para mostrar un grupo de parámetros de configuración adicionales que puedes personalizar para la instancia.
En la sección Conexiones, en Asignación de IP de instancia, elige solo IP privada o IP privada y IP pública. El tipo de conexión de red que selecciones afectará las funciones de Looker disponibles para la instancia. Las siguientes opciones de conexión de red están disponibles:
- IP pública: Asigna una dirección IP externa a la que se puede acceder a través de Internet.
- IP privada: Asigna una dirección IP interna definida por el cliente a la que se puede acceder en una nube privada virtual (VPC) para la entrada. Para comunicarte con las cargas de trabajo de VPC, locales o de múltiples nubes, debes implementar adjuntos de servicio para el tráfico de salida. Si quieres usar los Controles del servicio de VPC, debes seleccionar solo IP privada.
IP privada y IP pública: El tráfico entrante usa la IP pública, y las respuestas también son públicas. El tráfico que inicia Looker (Google Cloud Core) usa la IP privada para el enrutamiento saliente. La instancia de Looker (Google Cloud Core) no usará la IP pública para iniciar el tráfico saliente vinculado a Internet.
En Tipo de IP privada, selecciona Private Service Connect (PSC).
Si creas una instancia que usa solo IP privada, configura al menos una VPC permitida a la que se le otorgará acceso de salida a la instancia. En VPCs permitidas, haz clic en Agregar elemento para agregar cada VPC. En el campo Proyecto, selecciona el proyecto en el que se creó la red. En el menú desplegable Red, selecciona la red.
Si seleccionas IP privada y IP pública en la sección Conexiones, no aparecerá la sección VPC permitidas. Puedes configurar el acceso a la instancia a través de su URL web.
En la sección Encriptación, puedes seleccionar el tipo de encriptación que deseas usar en tu instancia. Están disponibles las siguientes opciones de encriptación:
- Google-managed encryption key: Esta opción es la predeterminada y no requiere ninguna configuración adicional.
- Clave de encriptación administrada por el cliente (CMEK): Consulta la página de documentación Usa claves de encriptación administradas por el cliente con Looker (Google Cloud Core) para obtener más información sobre las CMEK y cómo configurarlas durante la creación de la instancia. El tipo de encriptación no se puede cambiar después de crear la instancia.
- Habilita la encriptación validada con FIPS 140-2: Consulta la página de documentación Habilita el cumplimiento del nivel 1 de FIPS 140-2 en una instancia de Looker (Google Cloud Core) para obtener más información sobre la compatibilidad con FIPS 140-2 en Looker (Google Cloud Core).
En la sección Período de mantenimiento, puedes especificar de forma opcional el día de la semana y la hora en que Looker (Google Cloud Core) programa el mantenimiento. Los períodos de mantenimiento duran una hora. De forma predeterminada, la opción Período preferido en Período de mantenimiento está configurada como Cualquier período.
En la sección Período de denegación de mantenimiento, puedes especificar un bloque de días en los que Looker (Google Cloud Core) no programará el mantenimiento. Los períodos de rechazo del mantenimiento pueden ser de hasta 60 días. Debes permitir al menos 14 días de disponibilidad de mantenimiento entre cualquiera de los 2 períodos de rechazo del mantenimiento.
En la sección Gemini en Looker, puedes hacer que las funciones de Gemini en Looker estén disponibles para la instancia de Looker (Google Cloud Core) de forma opcional. Para habilitar Gemini en Looker, selecciona Gemini y, luego, Funciones de verificador de confianza. Cuando se habilitan las funciones de Verificador de confianza, los usuarios pueden acceder a las capacidades de Verificador de confianza de Gemini en Looker. Puedes solicitar acceso a las funciones privadas de Verificador de confianza a través del formulario de versión preliminar de Gemini en Looker por cada usuario. Debes habilitar este parámetro de configuración para usar Gemini durante la versión preliminar previa a la DG. De manera opcional, selecciona Uso de datos de verificadores de confianza. Cuando se habilita este parámetro de configuración, das tu consentimiento para que Google use tus datos como se describe en las condiciones del Programa de Verificadores de Confianza de Gemini para Google Cloud . Para inhabilitar Gemini en una instancia de Looker (Google Cloud Core), desmarca el parámetro de configuración Gemini.
Haz clic en Crear.
gcloud
Para crear una instancia de Private Service Connect, ejecuta el comando gcloud looker instances create con todas las siguientes marcas:
gcloud looker instances create INSTANCE_NAME \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ [--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS] [--no-public-ip-enabled] [--public-ip-enabled] --async
Reemplaza lo siguiente:
INSTANCE_NAME: Es un nombre para tu instancia de Looker (Google Cloud Core) que no está asociado a la URL de la instancia.OAUTH_CLIENT_IDyOAUTH_CLIENT_SECRET: El ID de cliente de OAuth y el secreto de OAuth que creaste cuando configuraste tu cliente de OAuth. Después de crear la instancia, ingresa su URL en la sección URIs de redireccionamiento autorizadas del cliente de OAuth.REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la región del contrato de suscripción. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core).EDITION: Es la edición y el tipo de entorno (producción o no producción) de la instancia. Sus valores posibles soncore-enterprise-annual,core-embed-annual,nonprod-core-enterprise-annualononprod-core-embed-annual. Las ediciones no se pueden cambiar después de crear la instancia. Si deseas cambiar de edición, puedes usar la importación y exportación para transferir los datos de tu instancia de Looker (Google Cloud Core) a una instancia nueva configurada con una edición diferente.ALLOWED_VPC: Si creas una instancia que solo usa IP privada, enumera una VPC que tendrá acceso norte (entrada) permitido a Looker (Google Cloud Core). Para acceder a la instancia desde fuera de la VPC en la que se encuentra, debes incluir al menos una VPC en la lista. Especifica una VPC con uno de los siguientes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
Si creas una instancia que usa tanto IP privada como IP pública, no es necesario que establezcas una VPC permitida.
ADDITIONAL_ALLOWED_VPCS: Cualquier VPC adicional a la que se le permita el acceso de norte a sur a Looker (Google Cloud Core) se puede agregar a la marca--psc-allowed-vpcsen una lista separada por comas.
También debes incluir una de las siguientes marcas para habilitar o inhabilitar la IP pública:
--public-ip-enabledhabilita la IP pública. Si habilitas la IP pública para la instancia, el tráfico entrante se enrutará a través de la IP pública, y el tráfico saliente, a través de Private Service Connect.--no-public-ip-enabledinhabilita la IP pública.
Si lo deseas, puedes agregar más parámetros para aplicar otros parámetros de configuración de la instancia:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: Debe ser uno de los siguientes:friday,monday,saturday,sunday,thursday,tuesday,wednesday. Consulta la página de documentación Administra las políticas de mantenimiento de Looker (Google Cloud Core) para obtener más información sobre la configuración de los períodos de mantenimiento.MAINTENANCE_WINDOW_TIMEyDENY_MAINTENANCE_PERIOD_TIME: Deben estar en UTC en formato de 24 horas (por ejemplo, 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEyDENY_MAINTENANCE_PERIOD_END_DATE: Deben tener el formatoYYYY-MM-DD.KMS_KEY_ID: Debe ser la clave que se crea cuando se configuran las claves de encriptación administradas por el cliente (CMEK).
Puedes incluir la marca --fips-enabled para habilitar el cumplimiento del nivel 1 de FIPS 140-2.
El proceso para crear una instancia de Private Service Connect difiere del proceso para crear una instancia de Looker (Google Cloud Core) (acceso privado a servicios) de las siguientes maneras:
- Con la configuración de Private Service Connect, las marcas
--consumer-networky--reserved-rangeno son necesarias. - Las instancias de Private Service Connect requieren una marca adicional:
--psc-enabled. El parámetro
--psc-allowed-vpcses una lista de VPC separadas por comas. Puedes especificar tantas VPC como quieras en la lista.
Verifica el estado de la instancia
La creación de la instancia tarda entre 40 y 60 minutos aproximadamente.
Console
Mientras se crea la instancia, puedes ver su estado en la página Instancias de la consola. También puedes ver la actividad de creación de instancias haciendo clic en el ícono de notificaciones del Google Cloud menú de la consola. En la página Detalles de la instancia, su estado mostrará Activa una vez que se cree.
gcloud
Para verificar el estado, usa el comando gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
La instancia estará lista cuando alcance el estado ACTIVE.
Configura Private Service Connect para servicios externos
Para que tu instancia de Looker (Google Cloud Core) pueda conectarse a un servicio externo, ese servicio externo debe publicarse con Private Service Connect. Sigue las instrucciones para publicar servicios con Private Service Connect para cualquier servicio que desees publicar.
Los servicios se pueden publicar con aprobación automática o con aprobación explícita. Si eliges publicar con aprobación explícita, debes configurar el adjunto de servicio de la siguiente manera:
- Configura la lista de entidades permitidas de tu adjunto de servicio para usar proyectos (no redes).
- Agrega el ID del proyecto de usuario de Looker a la lista de entidades permitidas.
Para encontrar el ID del proyecto de tu arrendatario de Looker después de que se cree la instancia, ejecuta el siguiente comando:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
En el resultado del comando, el campo looker_service_attachment_uri contendrá el ID del proyecto de tu arrendatario de Looker. Tendrá el siguiente formato: projects/{Looker tenant project ID}/regions/…
URI del adjunto de servicio
Cuando actualices tu instancia de Looker (Google Cloud Core) para conectarte a tu servicio, necesitarás el URI completo del adjunto de servicio para el servicio externo. El URI se especificará de la siguiente manera, con el proyecto, la región y el nombre que usaste para crear el adjunto de servicio:
projects/{project}/regions/{region}/serviceAttachments/{name}
Actualiza una instancia de Private Service Connect de Looker (Google Cloud Core)
Una vez que se haya creado tu instancia de Private Service Connect de Looker (Google Cloud Core), puedes realizar los siguientes cambios:
Además, puedes realizar otros cambios después de crear la instancia editando la configuración de la instancia.
Especifica las conexiones de salida
Console
- En la página Instancias, haz clic en el nombre de la instancia para la que deseas habilitar las conexiones de salida (de salida).
- Haz clic en Editar.
- Expanda la sección Conexiones.
- Para editar un adjunto de servicio existente, actualiza el nombre de dominio completamente calificado del servicio en el campo FQDN local y el URI del adjunto de servicio en el campo URI del adjunto de servicio de destino.
- Para agregar un nuevo adjunto de servicio, haz clic en Agregar elemento. Luego, ingresa el nombre de dominio completamente calificado del servicio en el campo FQDN local y el URI del adjunto de servicio en el campo URI del adjunto de servicio de destino.
- Haz clic en Guardar.
gcloud
Usa marcas --psc-service-attachment para habilitar conexiones de salida (salida) a servicios externos para los que ya configuraste Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).DOMAIN_1yDOMAIN_2: Si te conectas a un servicio público, usa el nombre de dominio del servicio. Si te conectas a un servicio privado, usa el nombre de dominio completamente calificado que elijas. Se aplican las siguientes restricciones al nombre de dominio:Cada conexión de salida admite un solo dominio.
El nombre de dominio debe constar de al menos tres partes. Por ejemplo, se acepta
mydomain.github.com, pero nogithub.com.La última parte del nombre no puede ser ninguna de las siguientes:
googleapis.comgoogle.comgcr.iopkg.dev
Cuando configures una conexión a tu servicio desde tu instancia de Looker (Google Cloud Core), usa este dominio como alias para tu servicio.
SERVICE_ATTACHMENT_1ySERVICE_ATTACHMENT_2: Es el URI del adjunto de servicio completo para el servicio publicado al que te conectas. Se puede acceder a cada URI de adjunto de servicio desde un solo dominio.REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Si te conectas a un servicio no administrado por Google en una región diferente de la región en la que se encuentra tu instancia de Looker (Google Cloud Core), habilita el acceso global en el balanceador de cargas del productor.
Incluye todas las conexiones que se deben habilitar
Cada vez que ejecutes un comando de actualización con marcas --psc-service-attachment, debes incluir todas las conexiones que desees habilitar, incluidas las que ya estaban habilitadas anteriormente. Por ejemplo, supongamos que ya conectaste una instancia llamada my-instance al dominio www.cloud.com de la siguiente manera:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
Ejecutar el siguiente comando para agregar una nueva conexión de www.me.com borraría la conexión de www.cloud.com:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Para evitar que se borre la conexión www.cloud.com cuando agregues la nueva conexión www.me.com, incluye una marca psc-service-attachment independiente para la conexión existente y la nueva conexión dentro del comando de actualización de la siguiente manera:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Verifica el estado de la conexión de salida
Puedes verificar el estado de tus conexiones salientes (de salida) a través de Google Cloud CLI o en la consola.
Console
Consulta el estado de la conexión en la pestaña Detalles de la página de configuración de la instancia en la consola. En el campo Estado de la conexión, se muestra el estado de cada adjunto de servicio de destino.
gcloud
Ejecuta el comando gcloud looker instances describe --format=json para verificar el estado de la conexión de salida. Cada adjunto de servicio debe completarse con un campo connection_status.
Borra todas las conexiones de salida
Para borrar todas las conexiones de salida (dirección sur), ejecuta el siguiente comando:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Actualiza las VPC permitidas
Si elegiste usar solo la IP privada en la instancia de Looker (Google Cloud Core), debes permitir que al menos una VPC acceda a la instancia. Completa los siguientes pasos para actualizar las VPC que tienen acceso a la instancia.
Console
- En la página Instances, haz clic en el nombre de la instancia para la que deseas actualizar las VPC que tienen acceso de norte a sur permitido a la instancia.
- Haz clic en Editar.
- Expanda la sección Conexiones.
- Para agregar una VPC nueva, haz clic en Agregar elemento. Luego, selecciona el proyecto en el que se encuentra la VPC en el campo Proyecto y selecciona la red en el menú desplegable Red.
- Para borrar una VPC, haz clic en el ícono de papelera Borrar elemento que aparece cuando mantienes el puntero sobre la red.
- Haz clic en Guardar.
gcloud
Usa la marca --psc-allowed-vpcs para actualizar la lista de VPC que tienen acceso autorizado de norte a sur a la instancia.
Cuando actualices las VPC permitidas, debes especificar toda la lista que deseas que esté vigente después de la actualización. Por ejemplo, supongamos que la VPC ALLOWED_VPC_1 ya está permitida y deseas agregar la VPC ALLOWED_VPC_2. Para agregar la VPC ALLOWED_VPC_1 y asegurarte de que se siga permitiendo la VPC ALLOWED_VPC_2, agrega la marca --psc-allowed-vpcs de la siguiente manera:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).ALLOWED_VPC_1yALLOWED_VPC_2: Son las VPC que tendrán permitido el ingreso a Looker (Google Cloud Core). Especifica cada VPC permitida con uno de los siguientes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Borra todas las VPC permitidas
Para borrar todas las VPC permitidas, ejecuta el siguiente comando:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Acceso de salida a tu instancia
Después de crear la instancia de Looker (Google Cloud Core) (Private Service Connect), puedes configurar el acceso de salida para permitir que los usuarios accedan a la instancia.
Si elegiste tanto la IP pública como la IP privada cuando configuraste la instancia, puedes configurar el acceso de salida a través de la URL web de la instancia. Puedes encontrar esa URL en la página Instancias de la consola de Google Cloud , o bien en la pestaña Dominio personalizado de la página de detalles de la instancia, si configuraste un dominio personalizado.
Si seleccionaste solo la IP privada cuando configuraste la instancia, puedes configurar el acceso de salida a la instancia desde otra red de VPC siguiendo las instrucciones para crear un extremo de Private Service Connect. Sigue estos lineamientos cuando crees el extremo:
- Asegúrate de que la red tenga acceso de salida permitido a tu instancia de Looker (Google Cloud Core) agregándola a la lista de VPC permitidas.
Establece el campo Servicio de destino (para la consola de Google Cloud ) o la variable
SERVICE_ATTACHMENT(si sigues las instrucciones de Google Cloud CLI o la API) en el URI de la vinculación de servicio de Looker, que puedes encontrar en la pestaña Detalles en la página de configuración de la instancia de la consola o ejecutando el siguiente comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Puedes usar cualquier subred alojada en la misma región que la instancia de Looker (Google Cloud Core).
No habilites el acceso global.
Para acceder a tu instancia desde un entorno de redes híbrido, puedes seguir las instrucciones de la página de documentación Acceso de salida a una instancia de Looker (Google Cloud Core) con Private Service Connect para configurar un dominio personalizado y acceder a la instancia.