Criar uma instância do Looker (Google Cloud Core) do Private Service Connect

Nesta página, descrevemos o processo de uso da CLI gcloud ou do console Google Cloud para criar uma instância de produção ou não produção do Looker (Google Cloud Core) com o Private Service Connect ativado.

O Private Service Connect pode ser ativado para uma instância do Looker (Google Cloud Core) que atenda aos seguintes critérios:

  • A instância do Looker (Google Cloud Core) precisa ser nova. O Private Service Connect só pode ser ativado no momento da criação da instância.
  • A edição da instância precisa ser Enterprise (core-enterprise-annual) ou Embed (core-embed-annual).

Antes de começar

  1. Trabalhe com a equipe de vendas para garantir que seu contrato anual seja concluído e que você tenha cota alocada no projeto.
  2. Verifique se o faturamento foi ativado para o projeto Google Cloud .
  3. No console do Google Cloud, na página do seletor de projetos, selecione o projeto em que você quer criar a instância do Private Service Connect.

    Acessar o seletor de projetos

  4. Ative a API Looker para seu projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.

    Ativar a API

  5. Configure um cliente OAuth e crie credenciais de autorização. O cliente OAuth permite autenticar e acessar a instância. É necessário configurar o OAuth para criar uma instância do Looker (Google Cloud Core), mesmo que você esteja usando um método de autenticação diferente para autenticar usuários na sua instância.
  6. Se você quiser usar o VPC Service Controls ou as chaves de criptografia gerenciadas pelo cliente (CMEK) com a instância do Looker (Google Cloud Core) que está criando, será necessário fazer uma configuração adicional antes da criação da instância. Também pode ser necessário fazer outras configurações de edição e rede durante a criação da instância.

Funções exigidas

Para receber as permissões necessárias para criar uma instância do Looker (Google Cloud Core), peça ao administrador para conceder a você o papel do IAM de Administrador do Looker (roles/looker.admin) no projeto em que a instância vai ficar. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Talvez você também precise de outros papéis do IAM para configurar o VPC Service Controls ou as chaves de criptografia gerenciadas pelo cliente (CMEK). Acesse as páginas de documentação desses recursos para saber mais.

Criar uma instância do Private Service Connect

Console

  1. Navegue até a página do produto Looker (Google Cloud Core) no seu projeto no console do Google Cloud. Se você já tiver criado uma instância do Looker (Google Cloud Core) neste projeto, a página Instâncias será aberta.

    Acessar o Looker (Google Cloud Core)

  2. Clique em CRIAR INSTÂNCIA.
  3. Na seção Nome da instância, dê um nome para sua instância do Looker (Google Cloud Core). O nome da instância não está associado ao URL da instância do Looker (Google Cloud Core) depois que ela é criada. O nome da instância não pode ser alterado depois da criação.
  4. Na seção Credenciais do aplicativo OAuth, digite o ID do cliente e a chave secreta OAuth que você criou ao configurar seu cliente OAuth.

  5. Na seção Região, selecione a opção adequada no menu suspenso para hospedar sua instância do Looker (Google Cloud Core). Selecione a região que corresponde à região no contrato de assinatura, que é onde a cota do seu projeto está alocada. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core).

    Não é possível mudar a região depois que a instância é criada.

  6. Na seção Edição, escolha uma opção de edição Enterprise ou Embed (produção ou não produção). O tipo de edição afeta alguns dos recursos disponíveis para a instância. Escolha o mesmo tipo de edição listado no seu contrato anual e verifique se você tem cota alocada para esse tipo de edição.

    • Enterprise: plataforma Looker (Google Cloud Core) com recursos de segurança reforçada para lidar com uma ampla variedade de casos de uso internos de BI e análise.
    • Incorporação: plataforma do Looker (Google Cloud Core) para implantar e manter análises externas confiáveis e aplicativos personalizados em larga escala.
    • Edições de não produção: se você quiser um ambiente de simulação e teste, selecione uma das edições de não produção. Para mais informações, consulte a documentação sobre instâncias de não produção.

    Não é possível mudar as edições depois que uma instância é criada. Se quiser mudar de edição, use a importação e exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.

  7. Na seção Personalizar sua instância, clique em MOSTRAR OPÇÕES DE CONFIGURAÇÃO para exibir um grupo de configurações adicionais que podem ser personalizadas para a instância.

  8. Na seção Conexões, em Atribuição de IP da instância, escolha apenas IP particular ou IP particular e IP público. O tipo de conexão de rede selecionado afeta os recursos do Looker disponíveis para a instância. As seguintes opções de conexão de rede estão disponíveis:

    • IP público: atribui um endereço IP externo acessível pela Internet.
    • IP particular: atribui um endereço IP interno definido pelo cliente que pode ser acessado em uma nuvem privada virtual (VPC) para entrada. Para se comunicar com cargas de trabalho da VPC e locais ou de várias nuvens, é preciso implantar anexos de serviço para o tráfego de saída. Se você quiser usar o VPC Service Controls, selecione apenas IP particular.

    • IP particular e IP público: o tráfego de entrada usa o IP público, e as respostas também são públicas. O tráfego iniciado pelo Looker (Google Cloud Core) usa o IP particular para roteamento de saída. A instância do Looker (Google Cloud Core) não vai usar o IP público para iniciar o tráfego de saída vinculado à Internet.

  9. Em Tipo de IP particular, selecione Private Service Connect (PSC).

  10. Se você estiver criando uma instância que usa apenas IP particular, defina pelo menos uma VPC permitida que terá acesso de saída à instância. Em VPCs permitidas, clique em Adicionar item para adicionar cada VPC. No campo Projeto, selecione o projeto em que a rede foi criada. No menu suspenso Rede, selecione a rede.

    Se você selecionar IP privado e IP público na seção Conexões, a seção VPCs permitidas não vai aparecer. É possível configurar o acesso à instância pelo URL da Web dela.

  11. Na seção Criptografia, selecione o tipo de criptografia que será usado na instância. As seguintes opções de criptografia estão disponíveis:

  12. Na seção Janela de manutenção, é possível especificar o dia da semana e a hora em que o Looker (Google Cloud Core) programa a manutenção. As janelas de manutenção duram uma hora. Por padrão, a opção Janela preferencial em Janela de manutenção é definida como Qualquer janela.

  13. Na seção Período de negação de manutenção, é possível especificar um intervalo de dias em que o Looker (Google Cloud Core) não programa manutenções. Os períodos de bloqueio de manutenção podem ser de até 60 dias. É preciso oferecer pelo menos 14 dias de disponibilidade de manutenção entre dois períodos de bloqueio de manutenção.

  14. Na seção Gemini no Looker, você pode disponibilizar os recursos do Gemini no Looker para a instância do Looker (Google Cloud Core). Para ativar o Gemini no Looker, selecione Gemini e, em seguida, Recursos do Trusted Tester. Quando a opção Recursos do Trusted Tester está ativada, os usuários podem acessar os recursos do Gemini no Looker disponíveis para o Programa Trusted Tester. Você pode solicitar o acesso aos recursos não públicos do Trusted Tester enviando o formulário de pré-lançamento do Gemini no Looker para cada usuário. Você precisa ativar essa configuração para usar o Gemini durante o pré-lançamento. Se quiser, selecione Uso de dados do Trusted Tester. Quando essa configuração está ativada, você concorda que seus dados sejam usados pelo Google, conforme descrito nos termos do Programa Trusted Tester do Gemini para Google Cloud . Para desativar o Gemini em uma instância do Looker (Google Cloud Core), desmarque a configuração Gemini.

  15. Clique em Criar.

gcloud

Para criar uma instância do Private Service Connect, execute o comando gcloud looker instances create com todas as flags a seguir:


gcloud looker instances create INSTANCE_NAME \
--psc-enabled \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS]
[--no-public-ip-enabled]
[--public-ip-enabled]
--async

Substitua:

  • INSTANCE_NAME: um nome para sua instância do Looker (Google Cloud Core). Ele não está associado ao URL da instância.
  • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: o ID e a chave secreta do cliente OAuth que você criou ao configurar seu cliente OAuth. Depois que a instância for criada, insira o URL dela na seção URIs de redirecionamento autorizados do cliente OAuth.
  • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada. Selecione a região que corresponde à região no contrato de assinatura. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core).
  • EDITION: a edição e o tipo de ambiente (produção ou não produção) da instância. Os valores possíveis são core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual ou nonprod-core-embed-annual. Não é possível mudar as edições depois que uma instância é criada. Se quiser mudar de edição, use a importação e exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.

  • ALLOWED_VPC: se você estiver criando uma instância que usa apenas IP particular, liste uma VPC que terá acesso norte (entrada) permitido ao Looker (Google Cloud Core). Para acessar a instância de fora da VPC em que ela está localizada, liste pelo menos uma VPC. Especifique uma VPC usando um dos seguintes formatos:

    • projects/{project}/global/networks/{network}
    • https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}

    Se você estiver criando uma instância que usa IP particular e público, não será necessário definir uma VPC permitida.

  • ADDITIONAL_ALLOWED_VPCS: outras VPCs que precisam de acesso de saída ao Looker (Google Cloud Core) podem ser adicionadas à flag --psc-allowed-vpcs em uma lista separada por vírgulas.

Você também precisa incluir uma das seguintes flags para ativar ou desativar o IP público:

  • --public-ip-enabled ativa o IP público. Se você ativar o IP público para a instância, o tráfego de entrada será roteado pelo IP público, e o tráfego de saída pelo Private Service Connect.
  • --no-public-ip-enabled desativa o IP público.

Se quiser, adicione mais parâmetros para aplicar outras configurações da instância: 

  [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
          --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
  [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
          --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
          --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
  --kms-key=KMS_KEY_ID
  [--fips-enabled]
Substitua:

  • MAINTENANCE_WINDOW_DAY: precisa ser um dos seguintes valores: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Consulte a página de documentação Gerenciar políticas de manutenção para o Looker (Google Cloud Core) para mais informações sobre as configurações da janela de manutenção.
  • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: precisam estar no formato de 24 horas em UTC (por exemplo, 13:00, 17:45).
  • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: precisam estar no formato YYYY-MM-DD.
  • KMS_KEY_ID: precisa ser a chave criada ao configurar as chaves de criptografia gerenciadas pelo cliente (CMEK).

Você pode incluir a flag --fips-enabled para ativar a conformidade com o nível 1 do FIPS 140-2.

O processo para criar uma instância do Private Service Connect é diferente do processo para criar uma instância do Looker (Google Cloud Core) (acesso a serviços particulares) das seguintes maneiras:

  • Com a configuração do Private Service Connect, as flags --consumer-network e --reserved-range não são necessárias.
  • As instâncias do Private Service Connect exigem uma flag adicional: --psc-enabled.

  • A flag --psc-allowed-vpcs é uma lista de VPCs separadas por vírgulas. É possível especificar quantas VPCs quiser na lista.

Verificar o status da instância

A criação da instância leva aproximadamente de 40 a 60 minutos.

Console

Enquanto a instância é criada, você pode conferir o status dela na página Instâncias no console. Para conferir sua atividade de criação de instâncias, clique no ícone de notificações no menu do console Google Cloud . Na página Detalhes da instância, o status vai mostrar Ativo assim que ela for criada.

gcloud

Para verificar o status, use o comando gcloud looker instances describe:

gcloud looker instances describe INSTANCE_NAME --region=REGION

Substitua:

  • INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).
  • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.

A instância fica pronta quando atinge o estado ACTIVE.

Configurar o Private Service Connect para serviços externos

Para que sua instância do Looker (Google Cloud Core) possa se conectar a um serviço externo, esse serviço precisa ser publicado usando o Private Service Connect. Siga as instruções para publicar serviços usando o Private Service Connect em qualquer serviço que você queira publicar.

Os serviços podem ser publicados com aprovação automática ou explícita. Se você escolher publicar com aprovação explícita, configure o anexo de serviço da seguinte maneira:

  • Defina a lista de permissões do anexo de serviço para usar projetos (não redes).
  • Adicione o ID do projeto de locatário do Looker à lista de permissões.

Para encontrar o ID do projeto do locatário do Looker depois que a instância for criada, execute o seguinte comando:

gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

Substitua:

  • INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).
  • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.

Na resposta ao comando, o campo looker_service_attachment_uri vai conter o ID do projeto do locatário do Looker. Ele terá o seguinte formato: projects/{Looker tenant project ID}/regions/…

URI do anexo de serviço

Quando você atualizar a instância do Looker (Google Cloud Core) para se conectar ao serviço, vai precisar do URI completo do anexo de serviço para o serviço externo. O URI será especificado da seguinte maneira, usando o projeto, a região e o nome que você usou para criar o anexo de serviço:

projects/{project}/regions/{region}/serviceAttachments/{name}

Atualizar uma instância do Private Service Connect do Looker (Google Cloud Core)

Depois que a instância do Private Service Connect do Looker (Google Cloud Core) for criada, você poderá fazer as seguintes mudanças:

Além disso, é possível fazer outras mudanças depois da criação da instância editando as configurações dela.

Especificar conexões de saída

Console

  1. Na página Instâncias, clique no nome da instância em que você quer ativar as conexões de saída.
  2. Clique em Editar.
  3. Expanda a seção Conexões.
  4. Para editar um anexo de serviço, atualize o nome de domínio totalmente qualificado do serviço no campo FQDN local e o URI do anexo de serviço no campo URI do anexo de serviço de destino.
  5. Para adicionar um novo anexo de serviço, clique em Adicionar item. Em seguida, insira o nome de domínio totalmente qualificado do serviço no campo FQDN local e o URI do anexo de serviço no campo URI do anexo de serviço de destino.
  6. Clique em Salvar.

gcloud

Use flags --psc-service-attachment para ativar conexões de saída (saída) a serviços externos para os quais você já configurou o Private Service Connect:

gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment  domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \
--region=REGION

Substitua:

  • INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).

  • DOMAIN_1 e DOMAIN_2: se você estiver se conectando a um serviço público, use o nome de domínio dele. Se você estiver se conectando a um serviço particular, use um nome de domínio totalmente qualificado de sua escolha. As seguintes restrições se aplicam ao nome de domínio:

  • Cada conexão de saída é compatível com um único domínio.

  • O nome de domínio precisa ter pelo menos três partes. Por exemplo, mydomain.github.com é aceitável, mas github.com não é.

  • A última parte do nome não pode ser nenhuma das seguintes opções:

    • googleapis.com
    • google.com
    • gcr.io
    • pkg.dev

    Ao configurar uma conexão com seu serviço na instância do Looker (Google Cloud Core), use esse domínio como o alias do serviço.

  • SERVICE_ATTACHMENT_1 e SERVICE_ATTACHMENT_2: o URI de anexo de serviço completo do serviço publicado a que você está se conectando. Cada URI de anexo de serviço pode ser acessado por um único domínio.

  • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.

Se você estiver se conectando a um serviço gerenciado que não é do Google em uma região diferente daquela em que sua instância do Looker (Google Cloud Core) está localizada, ative o acesso global no balanceador de carga do produtor.

Inclua todas as conexões que precisam ser ativadas

Sempre que você executar um comando de atualização com flags --psc-service-attachment, inclua todas as conexões que você quer ativar, incluindo as que já estavam ativas. Por exemplo, suponha que você já tenha conectado uma instância chamada my-instance ao domínio www.cloud.com da seguinte maneira:

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud

Executar o comando a seguir para adicionar uma nova conexão www.me.com excluiria a conexão www.cloud.com:

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Para evitar a exclusão da conexão www.cloud.com ao adicionar a nova conexão www.me.com, inclua uma flag psc-service-attachment separada para a conexão atual e a nova no comando de atualização, da seguinte forma:

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \
--psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Verificar o status da conexão downstream

É possível verificar o status das suas conexões de saída (sul) pela Google Cloud CLI ou no console.

Console

Confira o status da conexão na guia Detalhes da página de configuração da instância no console. O campo Status da conexão mostra o status de cada anexo de serviço de destino.

gcloud

Execute o comando gcloud looker instances describe --format=json para verificar o status da conexão de saída. Cada anexo de serviço precisa ser preenchido com um campo connection_status.

Excluir todas as conexões de saída

Para excluir todas as conexões de saída (sul), execute o seguinte comando:

gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \
--region=REGION

Substitua:

  • INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).
  • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.

Atualizar as VPCs permitidas

Se você escolheu usar apenas IP particular na instância do Looker (Google Cloud Core), permita pelo menos um acesso à VPC na instância. Siga estas etapas para atualizar as VPCs que têm acesso à instância.

Console

  1. Na página Instâncias, clique no nome da instância para a qual você quer atualizar as VPCs que têm acesso de saída permitido.
  2. Clique em Editar.
  3. Expanda a seção Conexões.
  4. Para adicionar uma nova VPC, clique em Adicionar item. Em seguida, selecione o projeto em que a VPC está no campo Projeto e selecione a rede no menu suspenso Rede.
  5. Para excluir uma VPC, clique no ícone da lixeira Excluir item que aparece quando você mantém o ponteiro sobre a rede.
  6. Clique em Salvar.

gcloud

Use a flag --psc-allowed-vpcs para atualizar a lista de VPCs que têm acesso autorizado de saída à instância.

Ao atualizar as VPCs permitidas, especifique toda a lista que você quer que entre em vigor após a atualização. Por exemplo, suponha que a VPC ALLOWED_VPC_1 já esteja permitida e você queira adicionar a VPC ALLOWED_VPC_2. Para adicionar a VPC ALLOWED_VPC_1 e garantir que a VPC ALLOWED_VPC_2 continue sendo permitida, adicione a flag --psc-allowed-vpcs da seguinte maneira:

gcloud looker instances update INSTANCE_NAME \
--psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION

Substitua:

  • INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).
  • ALLOWED_VPC_1 e ALLOWED_VPC_2: as VPCs que terão entrada permitida no Looker (Google Cloud Core). Especifique cada VPC permitida usando um dos seguintes formatos:
    • projects/{project}/global/networks/{network}
    • https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
  • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.

Excluir todas as VPCs permitidas

Para excluir todas as VPCs permitidas, execute o seguinte comando:

gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \
--region=REGION

Substitua:

  • INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).
  • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.

Acesso de saída à sua instância

Depois que a instância do Looker (Google Cloud Core) (Private Service Connect) for criada, configure o acesso de saída para permitir que os usuários acessem a instância.

Se você escolheu IP público e privado ao configurar a instância, é possível configurar o acesso de saída usando o URL da Web da instância. Esse URL pode ser encontrado na página Instâncias do console Google Cloud ou na guia Domínio personalizado da página de detalhes da instância, se você tiver configurado um domínio personalizado.

Se você selecionou apenas o IP particular ao configurar a instância, siga as instruções para criar um endpoint do Private Service Connect e configurar o acesso de saída à instância de outra rede VPC. Siga estas diretrizes ao criar o endpoint:

  • Verifique se a rede tem acesso de saída à sua instância do Looker (Google Cloud Core) adicionando-a à lista de VPCs permitidas.

  • Defina o campo Serviço de destino (para o console Google Cloud ) ou a variável SERVICE_ATTACHMENT (se estiver seguindo as instruções da Google Cloud CLI ou da API) como o URI do anexo de serviço do Looker. Para encontrar esse URI, verifique a guia Detalhes na página de configuração da instância do console ou execute o seguinte comando:

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    Substitua:

    • INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).
    • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.

  • É possível usar qualquer sub-rede hospedada na mesma região da instância do Looker (Google Cloud Core).

  • Não ative o acesso global.

Para acessar sua instância em um ambiente de rede híbrida, siga as instruções na página de documentação Acesso de saída a uma instância do Looker (Google Cloud Core) usando o Private Service Connect para configurar um domínio personalizado e acessar a instância.

A seguir