Crea un'istanza di Looker (Google Cloud core) con IP pubblico

Questa pagina descrive come eseguire il provisioning di un'istanza di produzione o non di produzione di Looker (Google Cloud core) con IP pubblico.

Prima di iniziare

  1. Collabora con il team di vendita per assicurarti che il tuo contratto annuale sia completato e che la quota sia allocata nel tuo progetto.
  2. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud .
  3. Nella console Google Cloud, nella pagina di selezione del progetto, crea un Google Cloud progetto o vai a uno esistente.

    Vai al selettore dei progetti

  4. Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per confermare che l'API è stata abilitata.

    Abilita l'API

  5. Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth consente di eseguire l'autenticazione e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nell'istanza.
  6. Se vuoi utilizzare i Controlli di servizio VPC, devi creare un'istanza con IP privato anziché un'istanza con IP pubblico.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti il ruolo IAM Amministratore di Looker (roles/looker.admin) nel progetto in cui risiederà l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Potresti anche aver bisogno di ruoli IAM aggiuntivi se vuoi configurare le chiavi di crittografia gestite dal cliente (CMEK). Per saperne di più, visita la pagina Controllo dell'accesso con IAM della documentazione di Cloud Key Management Service.

Crea un'istanza di Looker (Google Cloud core)

Looker (Google Cloud core) richiede circa 60 minuti per generare una nuova istanza.

Per creare l'istanza di Looker (Google Cloud core), seleziona una delle seguenti opzioni:

console

  1. Vai alla pagina del prodotto Looker (Google Cloud core) dal tuo progetto nella console Google Cloud. Se hai già creato un'istanza di Looker (Google Cloud core) in questo progetto, si aprirà la pagina Istanze.

    Vai a Looker (Google Cloud core)

  2. Fai clic su CREA ISTANZA.
  3. Nella sezione Nome istanza, fornisci un nome per l'istanza di Looker (Google Cloud core). Il nome dell'istanza non è associato all'URL dell'istanza di Looker (Google Cloud core) una volta creata. Il nome dell'istanza non può essere modificato dopo la creazione.
  4. Nella sezione Credenziali applicazione OAuth, inserisci l'ID client OAuth e il segreto OAuth che hai creato durante la configurazione del client OAuth.
  5. Nella sezione Regione, seleziona l'opzione appropriata dal menu a discesa per ospitare l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento, poiché è qui che viene allocata la quota per il tuo progetto. Le regioni disponibili sono elencate nella pagina di documentazione Località di Looker (Google Cloud core). Non puoi modificare la regione dopo aver creato l'istanza.

  6. Nella sezione Edizione, imposta la versione dell'istanza in base alle esigenze della tua organizzazione. Il tipo di edizione influisce su alcune delle funzionalità disponibili per l'istanza. Assicurati di scegliere lo stesso tipo di edizione indicato nel tuo contratto annuale e di aver allocato la quota per quel tipo di edizione. Queste sono le opzioni di modifica:

    • Standard: piattaforma Looker (Google Cloud core) per piccole organizzazioni o team con meno di 50 utenti
    • Enterprise: piattaforma Looker (Google Cloud core) con funzionalità di sicurezza avanzate per affrontare un'ampia gamma di casi d'uso interni per BI e analisi
    • Incorpora: piattaforma Looker (Google Cloud core) per il deployment e la gestione di analisi esterne affidabili e applicazioni personalizzate su larga scala
    • Versioni non di produzione: se vuoi un ambiente di gestione temporanea e test, seleziona una delle versioni non di produzione. Per saperne di più, consulta la documentazione relativa alle istanze non di produzione.

    Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare edizione, puoi utilizzare importazione ed esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con un'edizione diversa.

  7. Nella sezione Personalizza l'istanza, fai clic su MOSTRA OPZIONI DI CONFIGURAZIONE per visualizzare un gruppo di impostazioni aggiuntive che puoi personalizzare per l'istanza.

  8. Nella sezione Connessioni, seleziona solo IP pubblico. Un'impostazione di connessione IP pubblico assegna un indirizzo IP esterno accessibile da internet ed è disponibile per tutti i tipi di edizione.

  9. Se stai creando un'istanza dell'edizione Enterprise o Incorpora, vedrai la sezione Crittografia. Nella sezione Crittografia, puoi selezionare il tipo di crittografia da utilizzare nell'istanza. Sono disponibili le seguenti opzioni di crittografia:

  10. Nella sezione Finestra di manutenzione, puoi facoltativamente specificare il giorno della settimana e l'ora in cui Looker (Google Cloud core) pianifica la manutenzione. I periodi di manutenzione durano un'ora. Per impostazione predefinita, l'opzione Finestra preferita in Finestra di manutenzione è impostata su Qualsiasi finestra.

  11. Nella sezione Periodo in cui evitare la manutenzione, puoi facoltativamente specificare un blocco di giorni in cui Looker (Google Cloud core) non pianifica la manutenzione. I periodi in cui evitare la manutenzione possono durare fino a 60 giorni. Devi consentire almeno 14 giorni di disponibilità per la manutenzione tra un periodo in cui evitare la manutenzione e l'altro.

  12. Nella sezione Gemini in Looker, puoi facoltativamente rendere disponibili le funzionalità di Gemini in Looker per l'istanza di Looker (Google Cloud core). Per attivare Gemini in Looker, seleziona Gemini, quindi Funzionalità Trusted tester. Quando l'opzione Funzionalità Trusted Tester è attiva, gli utenti possono accedere alle funzionalità Trusted Tester di Gemini in Looker. Puoi richiedere l'accesso alle funzionalità Trusted tester non pubbliche tramite il modulo di anteprima di Gemini in Looker per singoli utenti. Devi attivare questa impostazione per utilizzare Gemini durante l'anteprima pre-GA. (Facoltativo) Seleziona Utilizzo dei dati di Trusted Tester. Se questa impostazione è attivata, acconsenti all'utilizzo dei tuoi dati da parte di Google come descritto nei termini del programma Trusted Tester di Gemini per Google Cloud . Per disattivare Gemini per un'istanza di Looker (Google Cloud core), deseleziona l'impostazione Gemini.

  13. Fai clic su Crea.

gcloud

  1. Se utilizzi CMEK, crea il service account Looker e segui prima le istruzioni per configurare CMEK.

  2. Utilizza il comando gcloud looker instances create per creare l'istanza:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]
[--async]

    Sostituisci quanto segue:

    • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core), che non è associato all'URL dell'istanza.
    • PROJECT_ID: il nome del progetto Google Cloud in cui stai creando l'istanza di Looker (Google Cloud core).
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client OAuth e il segreto OAuth che hai creato quando hai configurato il client OAuth. Dopo aver creato l'istanza, configura l'URI di reindirizzamento autorizzato nel client OAuth che hai creato in precedenza.
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento. Le regioni disponibili sono elencate nella pagina di documentazione Località di Looker (Google Cloud core). Non puoi modificare la regione dopo aver creato l'istanza.
    • EDITION: l'edizione e il tipo di ambiente (di produzione o non di produzione) per l'istanza. I valori possibili sono core-standard-annual, core-enterprise-annual, core-embed-annual, nonprod-core-standard-annual, nonprod-core-enterprise-annual o nonprod-core-embed-annual. Le versioni non possono essere modificate dopo la creazione dell'istanza. Se vuoi cambiare edizione, puoi utilizzare importazione ed esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con un'edizione diversa.
    • CONSUMER_NETWORK: la tua rete VPC o il tuo VPC condiviso. Deve essere impostato se stai creando un'istanza con IP privato.
    • RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per l'istanza di Looker (Google Cloud core). Non definire un intervallo se stai attivando una connessione di rete con IP privato per la tua istanza.

    Includi anche questi flag:

    • --public-ip-enabled viene utilizzato per abilitare l'IP pubblico.
    • --async è consigliato quando crei un'istanza di Looker (Google Cloud core).

  3. Puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
    Sostituisci quanto segue:

    • MAINTENANCE_WINDOW_DAY: deve essere uno dei seguenti valori: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Per ulteriori informazioni sulle impostazioni periodo di manutenzione, consulta la pagina della documentazione Gestisci i criteri di manutenzione per Looker (Google Cloud core).
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: devono essere in ora UTC nel formato a 24 ore (ad esempio, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: devono essere nel formato YYYY-MM-DD.
    • KMS_KEY_ID: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).

    Puoi includere il flag --fips-enabled per attivare la conformità allo standard FIPS 140-2 livello 1.

Terraform

Utilizza la seguente risorsa Terraform per eseguire il provisioning di un'istanza di Looker (Google Cloud core) Standard con funzionalità di base:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Utilizza la seguente risorsa Terraform per eseguire il provisioning di un'istanza di Looker (Google Cloud core) Standard con impostazioni aggiuntive applicate:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Utilizza la seguente risorsa Terraform per eseguire il provisioning di un'istanza di Looker (Google Cloud core) Enterprise con una connessione di rete privata:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Una volta avviata, la creazione dell'istanza non può essere sospesa o terminata. Quando il provisioning della risorsa Terraform è stato eseguito correttamente, il terminale stampa il seguente messaggio:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]


Apply complete! Resources: X added, X changed, X destroyed.

Per visualizzare lo stato della nuova istanza, a cui verrà assegnato un nome generato in modo casuale, visita la pagina Istanze nella console.

Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione dell'istanza facendo clic sull'icona delle notifiche nel menu della console Google Cloud .

Una volta creata l'istanza IP pubblico, l'URL pubblico dell'istanza verrà visualizzato nella colonna URL istanza della pagina Istanze.

Dopo aver creato l'istanza, configura l'URI di reindirizzamento autorizzato nel client OAuth che hai creato in precedenza.

Dopo aver creato l'istanza e completato la configurazione OAuth, puoi visualizzarla accedendo all'URL dell'istanza, che verrà visualizzato nella pagina Istanze.

Passaggi successivi