本頁面說明如何使用 gcloud CLI 或 Google Cloud 控制台,建立已啟用 Private Service Connect 的 Looker (Google Cloud Core) 生產或非生產執行個體。
如要為 Looker (Google Cloud Core) 執行個體啟用 Private Service Connect,必須符合下列條件:
- Looker (Google Cloud Core) 執行個體必須是新的。Private Service Connect 只能在建立執行個體時啟用。
- 執行個體版本必須是 Enterprise (
core-enterprise-annual) 或 Embed (core-embed-annual)。
事前準備
- 與業務團隊合作,確保年約已完成,且專案中已分配配額。
- 確認您已為 Google Cloud 專案啟用計費功能。
- 在 Google Cloud 控制台的專案選取器頁面中,選取要建立 Private Service Connect 執行個體的專案。
- 在 Google Cloud 控制台中,為專案啟用 Looker API。啟用 API 時,您可能需要重新整理控制台頁面,確認 API 已啟用。
- 設定 OAuth 用戶端並建立授權憑證。OAuth 用戶端可讓您驗證及存取執行個體。即使您使用其他驗證方法,將使用者驗證到執行個體中,也必須設定 OAuth 才能建立 Looker (Google Cloud Core) 執行個體。
- 如要在建立 Looker (Google Cloud Core) 執行個體時使用 VPC Service Controls 或客戶自行管理的加密金鑰 (CMEK),請先完成額外設定,再建立執行個體。建立執行個體時,可能也需要額外設定版本和網路。
必要的角色
如要取得建立 Looker (Google Cloud Core) 執行個體所需的權限,請要求管理員為您授予執行個體所在專案的 Looker 管理員 (roles/looker.admin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
您可能也需要其他 IAM 角色,才能設定 VPC Service Controls 或客戶自行管理的加密金鑰 (CMEK)。如要瞭解詳情,請參閱這些功能的說明文件頁面。
建立 Private Service Connect 執行個體
主控台
- 在 Google Cloud 控制台中,從專案前往 Looker (Google Cloud Core) 產品頁面。如果已在這個專案中建立 Looker (Google Cloud Core) 執行個體,系統會開啟「Instances」(執行個體) 頁面。
- 點選「建立執行個體」。
- 在「Instance name」(執行個體名稱) 區段中,提供 Looker (Google Cloud Core) 執行個體的名稱。執行個體名稱不會與 Looker (Google Cloud Core) 執行個體的網址建立關聯。執行個體建立完成後,即無法變更執行個體名稱。
- 在「OAuth Application Credentials」(OAuth 應用程式憑證) 專區,輸入您設定 OAuth 用戶端時建立的 OAuth 用戶端 ID 和 OAuth 密鑰。
在「Region」(區域) 部分,從下拉式選單中選取適當選項,以代管 Looker (Google Cloud Core) 執行個體。選取與訂閱合約中區域相符的區域,因為會在這裡分配專案配額。如需可用區域清單,請參閱「Looker (Google Cloud Core) 位置」說明文件頁面。
執行個體建立後即無法變更區域。
在「版本」部分中,選擇「Enterprise」或「Embed」 (正式版或非正式版) 版本選項。版本類型會影響執行個體可用的功能。請務必選擇與年約中列出的版本類型相同,並確認您已為該版本類型分配配額。
- 企業版:具備強化版安全防護功能的 Looker (Google Cloud Core) 平台,適用於多種內部商業智慧 (BI) 和數據分析用途
- 嵌入:Looker (Google Cloud Core) 平台,適合大規模部署及維護可靠的外部數據分析和自訂應用程式
- 非正式版:如要建立暫存和測試環境,請選取其中一個非正式版。詳情請參閱非正式環境執行個體說明文件。
執行個體建立後即無法變更版本。如要變更版本,可以透過匯入及匯出功能,將 Looker (Google Cloud Core) 執行個體資料移至以不同版本設定的新執行個體。
在「自訂執行個體」部分中,按一下「顯示設定選項」,即可顯示一組可供自訂的執行個體其他設定。
在「連線」部分的「執行個體 IP 指派」下方,選擇僅使用「私人 IP」,或是同時使用「私人 IP」和「公開 IP」。選取的網路連線類型會影響執行個體可用的 Looker 功能。可用的網路連線選項如下:
在「私人 IP 類型」下方,選取「Private Service Connect (PSC)」。
如果您要建立僅使用私人 IP 的執行個體,請至少設定一個允許的虛擬私有雲,該虛擬私有雲將獲得執行個體的北向存取權。在「允許的虛擬私有雲」下方,按一下「新增項目」,逐一新增虛擬私有雲。在「Project」(專案) 欄位中,選取建立網路的專案。在「網路」下拉式選單中選取網路。
如果您在「連線」部分同時選取「私人 IP」和「公開 IP」,「允許的虛擬私有雲」部分就不會顯示。您可以透過執行個體的網頁網址設定執行個體存取權。
在「Encryption」(加密) 區段中,您可以選取要在執行個體上使用的加密類型。可用的加密選項如下:
- Google-managed encryption key:這是預設選項,不需要進行額外設定。
- 客戶自行管理的加密金鑰 (CMEK):如要進一步瞭解 CMEK,以及如何在建立執行個體時設定 CMEK,請參閱「在 Looker (Google Cloud Core) 中使用客戶自行管理的加密金鑰」說明文件頁面。執行個體建立完成後,即無法變更加密類型。
- 啟用通過 FIPS 140-2 驗證的加密機制:如要進一步瞭解 Looker (Google Cloud Core) 的 FIPS 140-2 支援,請參閱「在 Looker (Google Cloud Core) 執行個體上啟用 FIPS 140-2 第 1 級法規遵循」說明文件頁面。
在「維護期間」部分,您可以選擇指定 Looker (Google Cloud Core) 排定維護作業的星期幾和時間。維護期間為一小時。「維護期間」的「偏好期間」選項預設為「任何期間」。
在「拒絕維護期」部分,您可以選擇指定一段時間,讓 Looker (Google Cloud Core) 不會安排維護作業。拒絕維護期的上限為 60 天。在任兩個拒絕維護期之間,至少須有 14 天的空檔,讓系統能執行維護作業。
在「Gemini in Looker」部分,您可以選擇為 Looker (Google Cloud Core) 執行個體啟用 Gemini in Looker 功能。如要啟用 Gemini in Looker,請依序選取「Gemini」和「信任的測試人員」功能。啟用「信任的測試人員」功能後,使用者就能存取 Gemini in Looker 的「信任的測試人員」功能。如要存取非公開的「信任的測試人員」功能,請透過 Gemini in Looker 預先發布版表單,分別為每位使用者提出申請。您必須啟用這項設定,才能在正式發布前預覽期間使用 Gemini。(選用) 選取「信任的測試人員」資料使用。啟用這項設定後,即表示您同意 Google 依據 Gemini for Google Cloud 「信任的測試人員」計畫條款使用您的資料。如要為 Looker (Google Cloud Core) 執行個體停用 Gemini,請清除「Gemini」Gemini設定。
點選「建立」。
gcloud
如要建立 Private Service Connect 執行個體,請執行 gcloud looker instances create 指令,並搭配下列所有旗標:
gcloud looker instances create INSTANCE_NAME \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ [--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS] [--no-public-ip-enabled] [--public-ip-enabled] --async
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱,與執行個體網址無關。OAUTH_CLIENT_ID和OAUTH_CLIENT_SECRET:您設定 OAuth 用戶端時建立的 OAuth 用戶端 ID 和 OAuth 密鑰。建立執行個體後,請在 OAuth 用戶端的「已授權的重新導向 URI」部分中輸入執行個體的網址。REGION:Looker (Google Cloud Core) 執行個體的代管區域。選取與訂閱合約中區域相符的區域。如需可用區域清單,請參閱「Looker (Google Cloud Core) 位置」說明文件頁面。EDITION:執行個體的版本和環境類型 (實際工作環境或非實際工作環境)。可能的值為core-enterprise-annual、core-embed-annual、nonprod-core-enterprise-annual或nonprod-core-embed-annual。執行個體建立後即無法變更版本。如要變更版本,可以透過匯入及匯出功能,將 Looker (Google Cloud Core) 執行個體資料移至以不同版本設定的新執行個體。ALLOWED_VPC:如果您要建立僅使用私人 IP 的執行個體,請列出允許「北向」(輸入) 存取 Looker (Google Cloud Core) 的虛擬私有雲。如要從執行個體所在的虛擬私有雲外部存取執行個體,您必須列出至少一個虛擬私有雲。請使用下列其中一種格式指定 VPC:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
如果您要建立同時使用私人 IP 和公開 IP 的執行個體,則不需要設定允許的虛擬私有雲。
ADDITIONAL_ALLOWED_VPCS:如要允許其他 VPC 北向存取 Looker (Google Cloud Core),可以將這些 VPC 新增至--psc-allowed-vpcs旗標,並以半形逗號分隔。
您也必須加入下列其中一個旗標,才能啟用或停用公開 IP:
--public-ip-enabled會啟用公開 IP。如果為執行個體啟用公開 IP,傳入流量會透過公開 IP 轉送,傳出流量則會以 Private Service Connect 轉送。--no-public-ip-enabled停用公開 IP。
如要套用其他執行個體設定,可以視需要新增更多參數:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY:必須是下列其中一個值:friday、monday、saturday、sunday、thursday、tuesday、wednesday。如要進一步瞭解維護時段設定,請參閱「管理 Looker (Google Cloud Core) 的維護政策」說明文件頁面。MAINTENANCE_WINDOW_TIME和DENY_MAINTENANCE_PERIOD_TIME:必須採用世界標準時間的 24 小時制格式 (例如 13:00、17:45)。DENY_MAINTENANCE_PERIOD_START_DATE和DENY_MAINTENANCE_PERIOD_END_DATE:格式必須為YYYY-MM-DD。KMS_KEY_ID:必須是在設定客戶管理的加密金鑰 (CMEK) 時建立的金鑰。
您可以加入 --fips-enabled 旗標,啟用 FIPS 140-2 第 1 級規範。
建立 Private Service Connect 執行個體的程序與建立 Looker (Google Cloud Core) (私人服務存取權) 執行個體的程序不同,差異如下:
- 設定 Private Service Connect 後,就不需要
--consumer-network和--reserved-range標記。 - Private Service Connect 執行個體需要額外旗標:
--psc-enabled。 --psc-allowed-vpcs旗標是以半形逗號分隔的 VPC 清單。您可以在清單中指定任意數量的 VPC。
檢查執行個體的狀態
建立執行個體大約需要 40 到 60 分鐘。
主控台
建立執行個體時,您可以在控制台的「執行個體」頁面中查看狀態。您也可以點選 Google Cloud 控制台選單中的通知圖示,查看執行個體建立活動。在執行個體的「詳細資料」頁面中,執行個體建立完成後,狀態會顯示為「有效」。
gcloud
如要查看狀態,請使用 gcloud looker instances describe 指令:
gcloud looker instances describe INSTANCE_NAME --region=REGION
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱。REGION:Looker (Google Cloud Core) 執行個體的代管區域。
執行個體達到 ACTIVE 狀態後,即可使用。
為外部服務設定 Private Service Connect
如要讓 Looker (Google Cloud Core) 執行個體連線至外部服務,必須使用 Private Service Connect 發布該外部服務。如要發布任何服務,請按照使用 Private Service Connect 發布服務的操作說明進行。
服務可以自動核准或明確核准的方式發布。如果選擇透過明確核准發布,則必須按照下列方式設定服務附件:
- 將服務附件許可清單設為使用專案 (而非網路)。
- 將 Looker 租戶專案 ID 加入許可清單。
執行下列指令,即可在建立執行個體後找出 Looker 租戶專案 ID:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱。REGION:Looker (Google Cloud Core) 執行個體的代管區域。
在指令輸出內容中,「looker_service_attachment_uri」欄位會包含 Looker 租戶專案 ID。格式如下:projects/{Looker tenant project ID}/regions/…
服務連結 URI
日後更新 Looker (Google Cloud Core) 執行個體以連線至服務時,您需要外部服務的完整服務連結 URI。URI 會依下列方式指定,使用您建立服務連結時使用的專案、區域和名稱:
projects/{project}/regions/{region}/serviceAttachments/{name}
更新 Looker (Google Cloud Core) Private Service Connect 執行個體
Looker (Google Cloud Core) Private Service Connect 執行個體建立完成後,您可以進行下列變更:
此外,您也可以在建立執行個體後編輯執行個體設定,進行其他變更。
指定向南連線
主控台
gcloud
使用 --psc-service-attachment 旗標,為已設定 Private Service Connect 的外部服務啟用南向 (輸出) 連線:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱。DOMAIN_1和DOMAIN_2:如要連線至公開服務,請使用該服務的網域名稱。如要連線至私人服務,請使用您選擇的完整網域名稱。網域名稱有下列限制:每個南向連線都支援單一網域。
網域名稱至少須包含三個部分。舉例來說,
mydomain.github.com可以接受,但github.com不可接受。名稱的最後一部分不得為下列任一項:
googleapis.comgoogle.comgcr.iopkg.dev
從 Looker (Google Cloud Core) 執行個體連線至服務時,請使用這個網域做為服務的別名。
SERVICE_ATTACHMENT_1和SERVICE_ATTACHMENT_2:您要連線的已發布服務的完整服務連結 URI。每個服務附件 URI 只能由單一網域存取。REGION:Looker (Google Cloud Core) 執行個體的代管區域。
如果您要連線至 Looker (Google Cloud Core) 執行個體所在區域以外的非 Google 代管服務,請在生產者負載平衡器上啟用全域存取權。
包含所有應啟用的連線
每次使用 --psc-service-attachment 旗標執行更新指令時,都必須納入要啟用的所有連線,包括先前已啟用的連線。舉例來說,假設您先前已將名為 my-instance 的執行個體連線至 www.cloud.com 網域,如下所示:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
執行下列指令新增 www.me.com 連線時,系統會刪除 www.cloud.com 連線:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
如要防止在新增 www.me.com 連線時刪除 www.cloud.com 連線,請在更新指令中,為現有連線和新連線分別加入 psc-service-attachment 標記,如下所示:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
檢查南向連線狀態
您可以透過 Google Cloud CLI 或控制台,檢查南向 (輸出) 連線的狀態。
主控台
在管理控制台的執行個體設定頁面中,前往「詳細資料」分頁,即可查看連線狀態。「連線狀態」欄位會顯示每個目標服務附件的狀態。
gcloud
執行 gcloud looker instances describe --format=json 指令,檢查南向連線狀態。每個服務附件都應填入 connection_status 欄位。
刪除所有南向連線
如要刪除所有南向 (輸出) 連線,請執行下列指令:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱。REGION:Looker (Google Cloud Core) 執行個體的代管區域。
更新允許的虛擬私有雲
如果您選擇只在 Looker (Google Cloud Core) 執行個體中使用私人 IP,則必須允許至少一個 VPC 存取執行個體。請完成下列步驟,更新可存取執行個體的 VPC。
主控台
- 在「Instances」(執行個體) 頁面中,按一下要更新允許北向存取執行個體的 VPC 的執行個體名稱。
- 按一下 [編輯]。
- 展開「連線」專區。
- 如要新增虛擬私有雲,請按一下「新增項目」。接著,在「Project」(專案) 欄位中選取專案,然後從「Network」(網路) 下拉式選單中選取網路。
- 如要刪除 VPC,請將指標懸停在網路上,然後按一下隨即顯示的「刪除項目」垃圾桶圖示。
- 按一下 [儲存]。
gcloud
使用 --psc-allowed-vpcs 旗標更新已授權可從北向存取執行個體的虛擬私有雲清單。
更新允許的虛擬私有雲時,必須指定更新後要生效的完整清單。舉例來說,假設您已允許虛擬私有雲 ALLOWED_VPC_1,現在想新增虛擬私有雲 ALLOWED_VPC_2。如要新增 VPC ALLOWED_VPC_1,同時確保 VPC ALLOWED_VPC_2 仍可使用,請按照下列方式新增 --psc-allowed-vpcs 旗標:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱。ALLOWED_VPC_1和ALLOWED_VPC_2:允許進入 Looker (Google Cloud Core) 的 VPC。請使用下列其中一種格式指定每個允許的 VPC:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION:Looker (Google Cloud Core) 執行個體的代管區域。
刪除所有允許的虛擬私有雲
如要刪除所有允許的虛擬私有雲,請執行下列指令:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱。REGION:Looker (Google Cloud Core) 執行個體的代管區域。
執行個體的北向存取權
建立 Looker (Google Cloud Core) (Private Service Connect) 執行個體後,您可以設定北向存取權,允許使用者存取執行個體。
如果您在設定執行個體時同時選擇公開 IP 和私人 IP,可以透過執行個體的網頁網址設定北向存取權。如要查看該網址,請前往 Google Cloud 控制台的「執行個體」頁面,或執行個體詳細資料頁面的「自訂網域」分頁 (如果您已設定自訂網域)。
如果您在設定執行個體時只選取私人 IP,可以按照建立 Private Service Connect 端點的說明,從其他虛擬私有雲網路設定執行個體的北向存取權。建立端點時,請遵守下列規範:
- 請將網路新增至允許的虛擬私有雲清單,確保網路允許對 Looker (Google Cloud Core) 執行個體進行北向存取。
將「目標服務」欄位 (適用於 Google Cloud 控制台) 或
SERVICE_ATTACHMENT變數 (適用於 Google Cloud CLI 或 API 指令) 設為 Looker 服務附件 URI。如要找出這個 URI,請查看控制台執行個體設定頁面的「詳細資料」分頁,或執行下列指令:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
更改下列內容:
INSTANCE_NAME:Looker (Google Cloud Core) 執行個體的名稱。REGION:Looker (Google Cloud Core) 執行個體的代管區域。
您可以使用與 Looker (Google Cloud Core) 執行個體位於相同區域的任何子網路。
請勿啟用全域存取權。
如要從混合式網路環境存取執行個體,請按照「使用 Private Service Connect 從北向存取 Looker (Google Cloud Core) 執行個體」說明文件頁面的操作說明,設定自訂網域並存取執行個體。