本页面介绍了如何使用 gcloud CLI 或 Google Cloud 控制台创建启用了 Private Service Connect 的 Looker (Google Cloud Core) 生产实例或非生产实例。
如果 Looker (Google Cloud Core) 实例满足以下条件,则可以为其启用 Private Service Connect:
- Looker (Google Cloud Core) 实例必须是新实例。Private Service Connect 只能在创建实例时启用。
- 实例版本必须为企业版 (
core-enterprise-annual) 或嵌入版 (core-embed-annual)。
准备工作
- 与销售团队合作,确保您已完成年度合同,并且您的项目中已分配配额。
- 确保您的 Google Cloud 项目已启用结算功能。
- 在 Google Cloud 控制台的项目选择器页面上,选择您要在其中创建 Private Service Connect 实例的项目。
- 在 Google Cloud 控制台中为您的项目启用 Looker API。启用 API 时,您可能需要刷新控制台页面,以确认 API 已启用。
- 设置 OAuth 客户端并创建授权凭据。借助 OAuth 客户端,您可以进行身份验证并访问实例。您必须设置 OAuth 才能创建 Looker (Google Cloud Core) 实例,即使您使用其他身份验证方法对用户进行身份验证以登录您的实例也是如此。
- 如果您想将 VPC Service Controls 或客户管理的加密密钥 (CMEK) 与您要创建的 Looker (Google Cloud Core) 实例搭配使用,则需要在创建实例之前进行额外的设置。在创建实例期间,可能还需要其他版本和网络配置。
所需的角色
如需获得创建 Looker (Google Cloud Core) 实例所需的权限,请让您的管理员为您授予以下 IAM 角色:
Looker Admin (roles/looker.admin)
实例将位于的项目中的 IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
您可能还需要其他 IAM 角色来设置 VPC Service Controls 或客户管理的加密密钥 (CMEK)。如需了解详情,请访问这些功能的相关文档页面。
创建 Private Service Connect 实例
控制台
- 在 Google Cloud 控制台中,从您的项目前往 Looker (Google Cloud Core) 产品页面。如果您已在此项目中创建 Looker (Google Cloud Core) 实例,系统会打开实例页面。
- 点击创建实例。
- 在实例名称部分中,为 Looker (Google Cloud Core) 实例提供名称。创建 Looker (Google Cloud Core) 实例后,实例名称不会与该实例的网址相关联。实例名称一旦创建便无法更改。
- 在 OAuth 应用凭据部分,输入您在设置 OAuth 客户端时创建的 OAuth 客户端 ID 和 OAuth secret。
在区域部分中,从下拉菜单中选择适当的选项来托管 Looker (Google Cloud Core) 实例。选择与订阅合同中的区域匹配的区域,因为这是分配项目配额的位置。如需查看可用区域,请参阅 Looker (Google Cloud Core) 位置文档页面。
实例创建后,便无法更改区域。
在版本部分,选择企业版或嵌入式(生产或非生产)版本选项。版本类型会影响实例可用的部分功能。请确保您选择的版本类型与年度合同中列出的版本类型相同,并且您已为该版本类型分配配额。
- 企业版:Looker (Google Cloud Core) 平台,具有增强型安全功能,可满足各种内部 BI 和分析应用场景的需求
- 嵌入式:Looker (Google Cloud Core) 平台,适合用于大规模部署和维护可靠的外部分析和自定义应用
- 非生产版本:如果您需要一个用于预演和测试的环境,请选择其中一个非生产版本。如需了解详情,请参阅非生产实例文档。
实例创建完毕后,版本便无法更改。如果您想更改版本,可以使用导入和导出功能将 Looker (Google Cloud Core) 实例数据迁移到配置了其他版本的新实例。
在自定义实例部分,点击显示配置选项,以显示一组可为实例自定义的其他设置。
在连接部分的实例 IP 分配下,选择仅专用 IP 或同时选择专用 IP 和公共 IP。您选择的网络连接类型会影响实例可用的 Looker 功能。以下网络连接选项可供选择:
- 公共 IP:分配可通过互联网访问的外部 IP 地址。
- 专用 IP:分配一个内部的客户定义 IP 地址,该地址可在 Virtual Private Cloud (VPC) 中访问,用于入站流量。如需与 VPC 和本地或多云工作负载通信,您必须为出站流量部署服务连接。如果您想使用 VPC Service Controls,则必须仅选择专用 IP。
专用 IP 和公共 IP:入站流量使用公共 IP,响应也是公开的。由 Looker (Google Cloud Core) 发起的流量使用专用 IP 进行出站路由。Looker (Google Cloud Core) 实例不会使用公共 IP 来发起出站互联网流量。
在专用 IP 类型下,选择 Private Service Connect (PSC)。
如果您要创建仅使用专用 IP 的实例,请设置至少一个允许的 VPC,该 VPC 将被授予对实例的北向访问权限。在允许的 VPC 下,点击添加一项以添加每个 VPC。在项目字段中,选择创建网络的项目。在网络下拉菜单中,选择相应网络。
如果您在连接部分中同时选择专用 IP 和公共 IP,则不会显示允许的 VPC 部分。您可以通过实例的网址设置对实例的访问权限。
在加密部分中,您可以选择要在实例上使用的加密类型。您可以使用以下加密选项:
- Google-managed encryption key:此选项为默认选项,无需进行任何其他配置。
- 客户管理的加密密钥 (CMEK):如需详细了解 CMEK 以及如何在创建实例期间配置 CMEK,请参阅将客户管理的加密密钥与 Looker (Google Cloud Core) 搭配使用文档页面。实例创建完成后,加密类型便无法更改。
- 启用通过 FIPS 140-2 验证的加密:如需详细了解 Looker (Google Cloud Core) 对 FIPS 140-2 的支持,请参阅在 Looker (Google Cloud Core) 实例上启用 FIPS 140-2 1 级合规性文档页面。
在维护期部分,您可以选择指定 Looker (Google Cloud Core) 安排维护的星期几和时段。维护窗口持续一小时。默认情况下,维护窗口中的首选窗口选项设置为任何窗口。
在拒绝维护期部分,您可以选择指定一个时间段,在此期间 Looker (Google Cloud Core)不安排维护。拒绝维护期最长可达 60 天。您必须在任意两个拒绝维护期之间至少留出 14 天允许维护时间。
在 Gemini in Looker 部分,您可以选择为 Looker (Google Cloud Core) 实例启用 Gemini in Looker 功能。如需启用 Gemini in Looker,请选择 Gemini,然后选择可信测试员功能。启用可信测试员功能后,用户可以使用 Gemini in Looker 的可信测试员功能。您可以按用户通过 Gemini in Looker 预览版表单申请使用非公开的可信测试员功能。您必须启用此设置,才能在预发布预览期间使用 Gemini。(可选)选择可信测试员数据使用。启用此设置后,即表示您同意 Google 按照 Gemini for Google Cloud 可信测试员计划条款中所述的方式使用您的数据。如需为 Looker (Google Cloud Core) 实例停用 Gemini,请清除 Gemini 设置。
点击创建。
gcloud
如需创建 Private Service Connect 实例,请运行 gcloud looker instances create 命令并添加以下所有标志:
gcloud looker instances create INSTANCE_NAME \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ [--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS] [--no-public-ip-enabled] [--public-ip-enabled] --async
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称;与实例网址无关。OAUTH_CLIENT_ID和OAUTH_CLIENT_SECRET:您在设置 OAuth 客户端时创建的 OAuth 客户端 ID 和 OAuth secret。创建实例后,在 OAuth 客户端的已获授权的重定向 URI 部分中输入实例的网址。REGION:Looker (Google Cloud Core) 实例的托管区域。选择与订阅合同中的区域一致的区域。如需查看可用区域,请参阅 Looker (Google Cloud Core) 位置文档页面。EDITION:实例的版本和环境类型(生产或非生产)。其可能的值为core-enterprise-annual、core-embed-annual、nonprod-core-enterprise-annual或nonprod-core-embed-annual。实例创建完毕后,版本便无法更改。如果您想更改版本,可以使用导入和导出功能将 Looker (Google Cloud Core) 实例数据迁移到配置了其他版本的新实例。ALLOWED_VPC:如果您要创建仅使用专用 IP 的实例,请列出将允许北向(入站)访问 Looker (Google Cloud Core) 的 VPC。如需从实例所在的 VPC 外部访问该实例,您必须列出至少一个 VPC。使用以下某种格式指定 VPC:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
如果您要创建同时使用专用 IP 和公共 IP 的实例,则无需设置允许的 VPC。
ADDITIONAL_ALLOWED_VPCS:任何要允许北向访问 Looker (Google Cloud Core) 的其他 VPC 都可以添加到--psc-allowed-vpcs标志中,以英文逗号分隔的列表形式添加。
您还必须添加以下标志之一,以启用或停用公共 IP:
--public-ip-enabled用于启用公共 IP。如果您为实例启用公共 IP,则传入的流量将通过公共 IP 路由,传出流量将通过 Private Service Connect 路由。--no-public-ip-enabled停用公共 IP。
如果您愿意,可以添加更多参数来应用其他实例设置:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY:必须是以下值之一:friday、monday、saturday、sunday、thursday、tuesday、wednesday。如需详细了解维护窗口设置,请参阅管理 Looker (Google Cloud Core) 的维护政策文档页面。MAINTENANCE_WINDOW_TIME和DENY_MAINTENANCE_PERIOD_TIME:必须采用 24 小时制 UTC 时间格式(例如 13:00、17:45)。DENY_MAINTENANCE_PERIOD_START_DATE和DENY_MAINTENANCE_PERIOD_END_DATE:必须采用YYYY-MM-DD格式。KMS_KEY_ID:必须是在设置客户管理的加密密钥 (CMEK) 时创建的密钥。
您可以添加 --fips-enabled 标志来启用 FIPS 140-2 1 级合规性。
创建 Private Service Connect 实例的流程与创建 Looker (Google Cloud Core)(专用服务访问通道)实例的流程在以下方面有所不同:
- 设置 Private Service Connect 后,无需使用
--consumer-network和--reserved-range标志。 - Private Service Connect 实例需要一个额外的标志:
--psc-enabled。 --psc-allowed-vpcs标志是以英文逗号分隔的 VPC 列表。您可以在列表中指定任意数量的 VPC。
检查实例的状态
创建实例大约需要 40-60 分钟。
控制台
在创建实例的过程中,您可以在控制台的实例页面中查看其状态。您还可以点击 Google Cloud 控制台菜单中的通知图标,查看实例创建活动。在实例的详情页面上,实例创建完毕后,其状态将显示为有效。
gcloud
如需检查状态,请使用 gcloud looker instances describe 命令:
gcloud looker instances describe INSTANCE_NAME --region=REGION
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称。REGION:Looker (Google Cloud Core) 实例托管的区域。
实例达到 ACTIVE 状态后,即表示已准备就绪。
为外部服务设置 Private Service Connect
为了让 Looker (Google Cloud Core) 实例能够连接到外部服务,必须使用 Private Service Connect 发布该外部服务。按照使用 Private Service Connect 发布服务的说明操作,发布您要发布的任何服务。
服务可以通过自动批准发布,也可以通过显式批准发布。如果您选择使用显式批准发布,则必须按如下方式配置服务连接:
- 将服务连接许可名单设置为使用项目(而非网络)。
- 将 Looker 租户项目 ID 添加到许可名单。
创建实例后,您可以通过运行以下命令找到 Looker 租户项目 ID:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称。REGION:Looker (Google Cloud Core) 实例托管的区域。
在命令输出中,looker_service_attachment_uri 字段将包含您的 Looker 租户项目 ID。其格式如下:projects/{Looker tenant project ID}/regions/…
服务连接 URI
稍后,当您更新 Looker (Google Cloud Core) 实例以连接到您的服务时,您将需要外部服务的完整服务连接 URI。URI 将按如下方式指定,使用您用于创建服务连接的项目、区域和名称:
projects/{project}/regions/{region}/serviceAttachments/{name}
更新 Looker (Google Cloud Core) Private Service Connect 实例
创建 Looker (Google Cloud Core) Private Service Connect 实例后,您可以进行以下更改:
此外,您还可以在创建实例后通过修改实例设置来进行其他更改。
指定南向连接
控制台
gcloud
使用 --psc-service-attachment 标志可为已设置 Private Service Connect 的外部服务启用出站(出站)连接:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称。DOMAIN_1和DOMAIN_2:如果您要连接到公共服务,请使用该服务的域名。如果您要连接到专用服务,请使用您选择的完全限定域名。网域名称需遵守以下限制:每个南向连接支持单个网域。
域名必须至少包含三个部分。例如,
mydomain.github.com是可接受的,但github.com是不可接受的。名称的最后一部分不能是以下任何内容:
googleapis.comgoogle.comgcr.iopkg.dev
在 Looker (Google Cloud Core) 实例中设置与服务的连接时,请使用此网域作为服务的别名。
SERVICE_ATTACHMENT_1和SERVICE_ATTACHMENT_2:您要连接的已发布服务的完整服务连接 URI。每个服务连接 URI 只能由一个网域访问。REGION:Looker (Google Cloud Core) 实例托管的区域。
如果您要连接到 Looker (Google Cloud Core) 实例所在区域以外的区域中的非 Google 代管式服务,请在生产者负载均衡器上启用全球访问权限。
包含应启用的所有连接
每次使用 --psc-service-attachment 标志运行更新命令时,您都必须包含要启用的所有连接,包括之前已启用的连接。例如,假设您之前已将名为 my-instance 的实例连接到 www.cloud.com 网域,如下所示:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
运行以下命令以添加新的 www.me.com 连接会删除 www.cloud.com 连接:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
为防止在添加新的 www.me.com 连接时删除 www.cloud.com 连接,请在更新命令中为现有连接和新连接分别添加 psc-service-attachment 标志,如下所示:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
检查南向连接状态
您可以通过 Google Cloud CLI 或在控制台中查看南向(出站)连接的状态。
控制台
在控制台的实例配置页面上,查看详情标签页中的连接状态。连接状态字段显示每个目标服务连接的状态。
gcloud
运行 gcloud looker instances describe --format=json 命令以检查南向连接状态。每个服务连接都应填充 connection_status 字段。
删除所有南向连接
如需删除所有南向(出站)连接,请运行以下命令:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称。REGION:Looker (Google Cloud Core) 实例托管的区域。
更新允许的 VPC
如果您选择在 Looker (Google Cloud Core) 实例中仅使用专用 IP,则必须允许至少一个 VPC 访问该实例。如需更新有权访问实例的 VPC,请完成以下步骤。
控制台
- 在实例页面上,点击您要更新允许北向访问实例的 VPC 的实例的名称。
- 点击修改。
- 展开连接部分。
- 如需添加新的 VPC,请点击 Add Item。然后,在项目字段中选择 VPC 所在的相应项目,并从网络下拉菜单中选择相应网络。
- 如需删除 VPC,请点击将指针悬停在相应网络上时显示的删除项回收站图标。
- 点击保存。
gcloud
使用 --psc-allowed-vpcs 标志可更新已授权对实例进行北向访问的 VPC 列表。
更新允许的 VPC 时,您必须指定更新后要生效的完整列表。例如,假设 VPC ALLOWED_VPC_1 已获准,而您想添加 VPC ALLOWED_VPC_2。如需添加 VPC ALLOWED_VPC_1,同时确保继续允许 VPC ALLOWED_VPC_2,请按如下方式添加 --psc-allowed-vpcs 标志:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称。ALLOWED_VPC_1和ALLOWED_VPC_2:将允许入站流量进入 Looker (Google Cloud Core) 的 VPC。使用以下任一格式指定每个允许的 VPC:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION:Looker (Google Cloud Core) 实例托管的区域。
删除所有允许的 VPC
如需删除所有允许的 VPC,请运行以下命令:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称。REGION:Looker (Google Cloud Core) 实例托管的区域。
对实例的北向访问权限
创建 Looker (Google Cloud Core) (Private Service Connect) 实例后,您可以设置北向访问权限,以允许用户访问该实例。
如果您在设置实例时同时选择了公共 IP 和专用 IP,则可以通过实例的网址设置北向访问。您可以在 Google Cloud 控制台的实例页面上找到该网址,如果您设置了自定义网域,也可以在实例详情页面的自定义网域标签页上找到该网址。
如果您在设置实例时仅选择了专用 IP,则可以按照创建 Private Service Connect 端点的说明,设置从另一个 VPC 网络到该实例的北向访问权限。创建端点时,请遵循以下准则:
- 确保通过将其添加到允许的 VPC 列表中,允许该网络向 Looker (Google Cloud Core)实例进行北向访问。
将目标服务字段(对于 Google Cloud 控制台)或
SERVICE_ATTACHMENT变量(如果按照 Google Cloud CLI 或 API 说明操作)设置为 Looker 服务附件 URI,您可以通过以下方式找到该 URI:在控制台的实例配置页面上查看详情标签页,或运行以下命令:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
替换以下内容:
INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称。REGION:Looker (Google Cloud Core) 实例托管的区域。
您可以使用与 Looker (Google Cloud Core) 实例位于同一区域中的任何子网。
不启用全球访问权限。
如需从混合网络环境中访问实例,您可以按照使用 Private Service Connect 对 Looker (Google Cloud Core) 实例进行北向访问文档页面中的说明设置自定义网域并访问实例。