Auf dieser Seite wird beschrieben, wie Sie mit der gcloud CLI oder der Google Cloud -Konsole eine Produktions- oder Nichtproduktionsinstanz von Looker (Google Cloud Core) mit aktiviertem Private Service Connect erstellen.
Private Service Connect kann für eine Looker (Google Cloud Core)-Instanz aktiviert werden, die die folgenden Kriterien erfüllt:
- Die Looker (Google Cloud Core)-Instanz muss neu sein. Private Service Connect kann nur beim Erstellen der Instanz aktiviert werden.
- Die Instanzversion muss „Enterprise“ (
core-enterprise-annual
) oder „Embed“ (core-embed-annual
) sein.
Hinweise
- Wenden Sie sich an den Vertrieb, um sicherzustellen, dass Ihr Jahresvertrag abgeschlossen ist und Ihrem Projekt Kontingent zugewiesen wurde.
- Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein.
- Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl das Projekt aus, in dem Sie die Private Service Connect-Instanz erstellen möchten.
- Aktivieren Sie die Looker API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Konsolenseite möglicherweise aktualisieren, um zu bestätigen, dass die API aktiviert wurde.
- OAuth-Client einrichten und Autorisierungsanmeldedaten erstellen Mit dem OAuth-Client können Sie sich authentifizieren und auf die Instanz zugreifen. Sie müssen OAuth einrichten, um eine Looker (Google Cloud Core)-Instanz zu erstellen, auch wenn Sie eine andere Authentifizierungsmethode verwenden, um Nutzer in Ihrer Instanz zu authentifizieren.
- Wenn Sie VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-managed Encryption Keys, CMEK) mit der Looker (Google Cloud Core)-Instanz verwenden möchten, die Sie erstellen, ist vor dem Erstellen der Instanz eine zusätzliche Einrichtung erforderlich. Möglicherweise ist beim Erstellen der Instanz auch eine zusätzliche Edition und Netzwerkkonfiguration erforderlich.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker-Administrator (roles/looker.admin
) für das Projekt zuzuweisen, in dem sich die Instanz befinden soll, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Möglicherweise benötigen Sie auch zusätzliche IAM-Rollen, um VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) einzurichten. Weitere Informationen finden Sie auf den Dokumentationsseiten zu diesen Funktionen.
Private Service Connect-Instanz erstellen
Console
- Rufen Sie die Produktseite für Looker (Google Cloud Core) über Ihr Projekt in der Google Cloud Console auf. Wenn Sie in diesem Projekt bereits eine Looker (Google Cloud Core)-Instanz erstellt haben, wird die Seite Instanzen geöffnet.
- Klicken Sie auf INSTANZ ERSTELLEN.
- Geben Sie im Abschnitt Instanzname einen Namen für Ihre Looker (Google Cloud Core)-Instanz ein. Der Instanzname ist nach der Erstellung nicht mit der URL der Looker (Google Cloud Core)-Instanz verknüpft. Der Instanzname kann nach dem Erstellen der Instanz nicht mehr geändert werden.
- Geben Sie im Abschnitt Anmeldedaten für OAuth-Anwendung die OAuth-Client-ID und das OAuth-Secret ein, die Sie beim Einrichten des OAuth-Clients erstellt haben.
Wählen Sie im Abschnitt Region die entsprechende Option aus dem Drop-down-Menü aus, um Ihre Looker (Google Cloud Core)-Instanz zu hosten. Wählen Sie die Region aus, die der Region im Abovertrag entspricht, da dort das Kontingent für Ihr Projekt zugewiesen wird. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.
Sie können die Region nicht mehr ändern, nachdem die Instanz erstellt wurde.
Wählen Sie im Bereich Version eine Enterprise- oder Embed-Version (Produktion oder Nicht-Produktion) aus. Der Editionstyp wirkt sich auf einige der für die Instanz verfügbaren Funktionen aus. Achten Sie darauf, dass Sie denselben Editionstyp wie in Ihrem Jahresvertrag auswählen und dass Ihnen für diesen Editionstyp Kontingent zugewiesen ist.
- Enterprise: Looker (Google Cloud Core)-Plattform mit erweiterten Sicherheitsfunktionen für eine Vielzahl interner BI- und Analyseanwendungsfälle
- Embed: Looker (Google Cloud Core)-Plattform zum Bereitstellen und Verwalten zuverlässiger externer Analysen und benutzerdefinierter Anwendungen in großem Umfang
- Nicht-Produktionsversionen: Wenn Sie eine Staging- und Testumgebung benötigen, wählen Sie eine der Nicht-Produktionsversionen aus. Weitere Informationen finden Sie in der Dokumentation zu Nicht produktiven Instanzen.
Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie die Edition ändern möchten, können Sie Importieren und Exportieren verwenden, um die Daten Ihrer Looker (Google Cloud Core)-Instanz in eine neue Instanz zu verschieben, die mit einer anderen Edition konfiguriert ist.
Klicken Sie im Bereich Instanz anpassen auf KONFIGURATIONSOPTIONEN EINBLENDEN, um eine Gruppe zusätzlicher Einstellungen aufzurufen, die Sie für die Instanz anpassen können.
Wählen Sie im Bereich Verbindungen unter Instanz-IP-Zuweisung entweder nur Private IP oder sowohl Private IP als auch Öffentliche IP aus. Der von Ihnen ausgewählte Netzwerkverbindungstyp wirkt sich auf die für die Instanz verfügbaren Looker-Funktionen aus. Die folgenden Netzwerkverbindungsoptionen sind verfügbar:
- Öffentliche IP: Weist eine externe, über das Internet zugängliche IP-Adresse zu.
- Private IP: Weist eine interne, vom Kunden definierte IP-Adresse zu, auf die in einer Virtual Private Cloud (VPC) für eingehenden Traffic zugegriffen werden kann. Wenn Sie mit VPC- und lokalen oder Multi-Cloud-Arbeitslasten kommunizieren möchten, müssen Sie Dienstanhänge für ausgehenden Traffic bereitstellen. Wenn Sie VPC Service Controls verwenden möchten, müssen Sie nur Private IP auswählen.
Private IP und Public IP: Für eingehenden Traffic wird die öffentliche IP-Adresse verwendet und Antworten sind ebenfalls öffentlich. Traffic, der von Looker (Google Cloud Core) initiiert wird, verwendet die private IP-Adresse für das ausgehende Routing. Die Looker (Google Cloud Core)-Instanz verwendet die öffentliche IP-Adresse nicht, um ausgehenden Traffic zu initiieren, der für das Internet bestimmt ist.
Wählen Sie unter Private IP Type (Typ der privaten IP-Adresse) die Option Private Service Connect (PSC) aus.
Wenn Sie eine Instanz erstellen, die nur private IP-Adressen verwendet, legen Sie mindestens eine zulässige VPC fest, der Northbound-Zugriff auf die Instanz gewährt wird. Klicken Sie unter Zulässige VPCs auf Element hinzufügen, um jede VPC hinzuzufügen. Wählen Sie im Feld Projekt das Projekt aus, in dem das Netzwerk erstellt wurde. Wählen Sie im Drop-down-Menü Netzwerk das Netzwerk aus.
Wenn Sie im Bereich Connections sowohl Private IP als auch Public IP auswählen, wird der Bereich Allowed VPCs nicht angezeigt. Sie können den Zugriff auf die Instanz über die Web-URL der Instanz einrichten.
Im Abschnitt Verschlüsselung können Sie den Verschlüsselungstyp auswählen, der für Ihre Instanz verwendet werden soll. Folgende Verschlüsselungsoptionen sind verfügbar:
- Google-managed encryption key: Diese Option ist die Standardeinstellung und erfordert keine zusätzliche Konfiguration.
- Vom Kunden verwalteter Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK): Weitere Informationen zu CMEK und zur Konfiguration beim Erstellen einer Instanz finden Sie auf der Dokumentationsseite Vom Kunden verwaltete Verschlüsselungsschlüssel mit Looker (Google Cloud Core) verwenden. Der Verschlüsselungstyp kann nach dem Erstellen der Instanz nicht mehr geändert werden.
- Validierte Verschlüsselung gemäß FIPS 140-2 aktivieren: Weitere Informationen zur FIPS 140-2-Unterstützung in Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite FIPS 140-2-Level 1-Compliance für eine Looker (Google Cloud Core)-Instanz aktivieren.
Im Abschnitt Wartungsfenster können Sie optional den Wochentag und die Stunde angeben, in der die Wartung für Looker (Google Cloud Core) geplant wird. Wartungsfenster dauern eine Stunde. Standardmäßig ist die Option Bevorzugtes Fenster im Wartungsfenster auf Beliebiges Fenster festgelegt.
Im Abschnitt Wartungsausschluss können Sie optional einen Block von Tagen angeben, an denen keine Wartung für Looker (Google Cloud Core) geplant wird. Zeiträume für Wartungsausschlüsse können bis zu 60 Tage lang sein. Zwischen zwei Zeiträumen für Wartungsausschlüsse müssen mindestens 14 Tage liegen, in denen die Wartung möglich ist.
Im Bereich Gemini in Looker können Sie optional Gemini in Looker-Funktionen für die Looker (Google Cloud Core)-Instanz verfügbar machen. Wenn Sie Gemini in Looker aktivieren möchten, wählen Sie Gemini und dann Trusted Tester-Funktionen aus. Wenn Trusted Tester-Funktionen aktiviert ist, können Nutzer auf die Trusted Tester-Funktionen von Gemini in Looker zugreifen. Sie können den Zugriff auf nicht öffentliche Trusted Tester-Funktionen über das Formular für die Vorabversion von Gemini in Looker auf Nutzerbasis anfordern. Sie müssen diese Einstellung aktivieren, um Gemini während der Pre-GA-Vorschau verwenden zu können. Wählen Sie optional Trusted Tester-Datennutzung aus. Wenn diese Einstellung aktiviert ist, stimmen Sie zu, dass Ihre Daten von Google gemäß den Nutzungsbedingungen für Gemini im Rahmen des Google Cloud Trusted Tester-Programms verwendet werden. Wenn Sie Gemini für eine Looker (Google Cloud Core)-Instanz deaktivieren möchten, entfernen Sie das Häkchen aus der Einstellung Gemini.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den Befehl gcloud looker instances create
mit allen folgenden Flags aus, um eine Private Service Connect-Instanz zu erstellen:
gcloud looker instances create INSTANCE_NAME \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ [--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS] [--no-public-ip-enabled] [--public-ip-enabled] --async
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Ein Name für Ihre Looker (Google Cloud Core)-Instanz. Er ist nicht mit der Instanz-URL verknüpft.OAUTH_CLIENT_ID
undOAUTH_CLIENT_SECRET
: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird. Wählen Sie die Region aus, die der Region im Abovertrag entspricht. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.EDITION
: die Edition und der Umgebungstyp (Produktion oder Nicht-Produktion) für die Instanz. Mögliche Werte sindcore-enterprise-annual
,core-embed-annual
,nonprod-core-enterprise-annual
odernonprod-core-embed-annual
. Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie die Edition ändern möchten, können Sie Importieren und Exportieren verwenden, um die Daten Ihrer Looker (Google Cloud Core)-Instanz in eine neue Instanz zu verschieben, die mit einer anderen Edition konfiguriert ist.ALLOWED_VPC
: Wenn Sie eine Instanz erstellen, die nur private IP-Adressen verwendet, geben Sie ein VPC-Netzwerk an, das Northbound-Zugriff (Eingang) auf Looker (Google Cloud Core) hat. Wenn Sie von außerhalb der VPC, in der sich die Instanz befindet, auf die Instanz zugreifen möchten, müssen Sie mindestens eine VPC angeben. Geben Sie eine VPC in einem der folgenden Formate an:projects/{project}/global/networks/{network}
https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
Wenn Sie eine Instanz erstellen, die sowohl eine private als auch eine öffentliche IP-Adresse verwendet, müssen Sie keine zulässige VPC festlegen.
ADDITIONAL_ALLOWED_VPCS
: Alle zusätzlichen VPCs, die den Zugriff nach Norden auf Looker (Google Cloud Core) zulassen sollen, können dem Flag--psc-allowed-vpcs
in einer durch Kommas getrennten Liste hinzugefügt werden.
Außerdem müssen Sie eines der folgenden Flags angeben, um die öffentliche IP-Adresse zu aktivieren oder zu deaktivieren:
--public-ip-enabled
ermöglicht die Verwendung öffentlicher IP-Adressen. Wenn Sie die öffentliche IP-Adresse für die Instanz aktivieren, wird eingehender Traffic über die öffentliche IP-Adresse und ausgehender Traffic über Private Service Connect weitergeleitet.--no-public-ip-enabled
deaktiviert öffentliche IP-Adressen.
Sie können weitere Parameter hinzufügen, um andere Instanzeinstellungen festzulegen:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY --maintenance-window-time=MAINTENANCE_WINDOW_TIME] [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME] --kms-key=KMS_KEY_ID [--fips-enabled]
MAINTENANCE_WINDOW_DAY
: muss einer der folgenden Werte sein:friday
,monday
,saturday
,sunday
,thursday
,tuesday
,wednesday
. Weitere Informationen zu den Einstellungen für Wartungsfenster finden Sie auf der Dokumentationsseite Wartungsrichtlinien für Looker (Google Cloud Core) verwalten.MAINTENANCE_WINDOW_TIME
undDENY_MAINTENANCE_PERIOD_TIME
: müssen in UTC im 24-Stunden-Format angegeben werden (z. B. 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATE
undDENY_MAINTENANCE_PERIOD_END_DATE
: müssen das FormatYYYY-MM-DD
haben.KMS_KEY_ID
: Muss der Schlüssel sein, der beim Einrichten von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) erstellt wird.
Sie können das Flag --fips-enabled
einfügen, um FIPS 140‑2 Level 1-Konformität zu aktivieren.
Das Erstellen einer Private Service Connect-Instanz unterscheidet sich in folgenden Punkten vom Erstellen einer Looker (Google Cloud Core)-Instanz (Zugriff auf private Dienste):
- Bei der Einrichtung von Private Service Connect sind die Flags
--consumer-network
und--reserved-range
nicht erforderlich. - Für Private Service Connect-Instanzen ist ein zusätzliches Flag erforderlich:
--psc-enabled
. Das Flag
--psc-allowed-vpcs
ist eine durch Kommas getrennte Liste von VPCs. Sie können beliebig viele VPCs in der Liste angeben.
Status der Instanz prüfen
Die Erstellung der Instanz dauert etwa 40 bis 60 Minuten.
Console
Während die Instanz erstellt wird, können Sie ihren Status in der Console auf der Seite Instanzen ansehen. Sie können sich die Aktivitäten zur Instanzerstellung auch ansehen, indem Sie im Google Cloud -Konsolenmenü auf das Benachrichtigungssymbol klicken. Auf der Seite Details für die Instanz wird nach der Erstellung der Status Aktiv angezeigt.
gcloud
Verwenden Sie zum Prüfen des Status den Befehl gcloud looker instances describe
:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Der Name Ihrer Looker-Instanz (Google Cloud Core).REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
Die Instanz ist bereit, sobald sie den Status ACTIVE
erreicht hat.
Private Service Connect für externe Dienste einrichten
Damit Ihre Looker (Google Cloud Core)-Instanz eine Verbindung zu einem externen Dienst herstellen kann, muss dieser externe Dienst mit Private Service Connect veröffentlicht werden. Folgen Sie der Anleitung zum Veröffentlichen von Diensten mit Private Service Connect für jeden Dienst, den Sie veröffentlichen möchten.
Dienste können mit automatischer Genehmigung oder mit expliziter Genehmigung veröffentlicht werden. Wenn Sie die Veröffentlichung mit expliziter Genehmigung auswählen, müssen Sie den Dienstanhang so konfigurieren:
- Legen Sie für die Zulassungsliste Ihres Dienstanhangs fest, dass Projekte (nicht Netzwerke) verwendet werden.
- Fügen Sie die Projekt-ID des Looker-Mandanten der Zulassungsliste hinzu.
Sie können die Projekt-ID Ihres Looker-Tenants nach der Erstellung Ihrer Instanz mit dem folgenden Befehl ermitteln:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Der Name Ihrer Looker-Instanz (Google Cloud Core).REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
In der Befehlsausgabe enthält das Feld looker_service_attachment_uri
die Projekt-ID Ihres Looker-Mandanten. Sie hat folgendes Format: projects/{Looker tenant project ID}/regions/…
URI des Dienstanhangs
Wenn Sie Ihre Looker (Google Cloud Core)-Instanz später aktualisieren, um eine Verbindung zu Ihrem Dienst herzustellen, benötigen Sie den vollständigen URI des Dienstanhangs für den externen Dienst. Der URI wird mit dem Projekt, der Region und dem Namen, die Sie zum Erstellen des Dienstanhangs verwendet haben, so angegeben:
projects/{project}/regions/{region}/serviceAttachments/{name}
Private Service Connect-Instanz für Looker (Google Cloud Core) aktualisieren
Nachdem Ihre Private Service Connect-Instanz für Looker (Google Cloud Core) erstellt wurde, können Sie die folgenden Änderungen vornehmen:
Außerdem können Sie nach dem Erstellen der Instanz weitere Änderungen vornehmen, indem Sie die Instanzeinstellungen bearbeiten.
Southbound-Verbindungen angeben
Console
- Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie Southbound-Verbindungen (Egress) aktivieren möchten.
- Klicken Sie auf Bearbeiten.
- Maximieren Sie den Abschnitt Verbindungen.
- Wenn Sie einen vorhandenen Dienstanhang bearbeiten möchten, aktualisieren Sie den vollständig qualifizierten Domainnamen des Dienstes im Feld Lokaler FQDN und den URI des Dienstanhangs im Feld URI des Zieldienstanhangs.
- Wenn Sie eine neue Dienstanhang hinzufügen möchten, klicken Sie auf Element hinzufügen. Geben Sie dann den voll qualifizierten Domainnamen des Dienstes in das Feld Lokaler FQDN und den URI des Dienstanhangs in das Feld URI des Ziel-Dienstanhangs ein.
- Klicken Sie auf Speichern.
gcloud
Verwenden Sie --psc-service-attachment
-Flags, um Southbound-Verbindungen (ausgehender Traffic) zu externen Diensten zu aktivieren, für die Sie bereits Private Service Connect eingerichtet haben:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Der Name Ihrer Looker-Instanz (Google Cloud Core).DOMAIN_1
undDOMAIN_2
: Wenn Sie eine Verbindung zu einem öffentlichen Dienst herstellen, verwenden Sie den Domainnamen des Dienstes. Wenn Sie eine Verbindung zu einem privaten Dienst herstellen, können Sie einen vollständig qualifizierten Domainnamen verwenden. Für den Domainnamen gelten die folgenden Einschränkungen:Jede Downstream-Verbindung unterstützt eine einzelne Domain.
Der Domainname muss aus mindestens drei Teilen bestehen. Beispiel:
mydomain.github.com
ist akzeptabel,github.com
jedoch nicht.Der letzte Teil des Namens darf nicht einer der folgenden sein:
googleapis.com
google.com
gcr.io
pkg.dev
Wenn Sie eine Verbindung zu Ihrem Dienst über Ihre Looker (Google Cloud Core)-Instanz einrichten, verwenden Sie diese Domain als Alias für Ihren Dienst.
SERVICE_ATTACHMENT_1
undSERVICE_ATTACHMENT_2
: der vollständige URI des Dienstanhangs für den veröffentlichten Dienst, zu dem Sie eine Verbindung herstellen. Auf jeden Dienstanhang-URI kann über eine einzelne Domain zugegriffen werden.REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
Wenn Sie eine Verbindung zu einem nicht von Google verwalteten Dienst in einer anderen Region als der Region herstellen, in der sich Ihre Looker (Google Cloud Core)-Instanz befindet, aktivieren Sie den globalen Zugriff für den Producer-Load-Balancer.
Alle Verbindungen einschließen, die aktiviert werden sollen
Jedes Mal, wenn Sie einen Update-Befehl mit --psc-service-attachment
-Flags ausführen, müssen Sie jede Verbindung angeben, die aktiviert werden soll, auch Verbindungen, die bereits aktiviert waren. Angenommen, Sie haben zuvor eine Instanz mit dem Namen my-instance
mit der Domain www.cloud.com
verbunden:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
Wenn Sie den folgenden Befehl ausführen, um eine neue www.me.com
-Verbindung hinzuzufügen, wird die www.cloud.com
-Verbindung gelöscht:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Damit die www.cloud.com
-Verbindung nicht gelöscht wird, wenn Sie die neue www.me.com
-Verbindung hinzufügen, fügen Sie im Update-Befehl ein separates psc-service-attachment
-Flag für die vorhandene und die neue Verbindung ein:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Status der Downstream-Verbindung prüfen
Sie können den Status Ihrer Southbound-Verbindungen (Ausgang) über die Google Cloud CLI oder in der Console prüfen.
Console
Den Verbindungsstatus finden Sie in der Console auf der Seite mit der Instanzkonfiguration auf dem Tab Details. Im Feld Verbindungsstatus wird der Status für jeden Ziel-Dienstanhang angezeigt.
gcloud
Führen Sie den Befehl gcloud looker instances describe --format=json
aus, um den Status der Southbound-Verbindung zu prüfen. Jeder Dienstanhang sollte ein Feld connection_status
enthalten.
Alle Verbindungen in Richtung Süden löschen
Führen Sie den folgenden Befehl aus, um alle Southbound-Verbindungen (ausgehender Traffic) zu löschen:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Der Name Ihrer Looker-Instanz (Google Cloud Core).REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
Zulässige VPCs aktualisieren
Wenn Sie sich dafür entschieden haben, in der Looker (Google Cloud Core)-Instanz nur eine private IP-Adresse zu verwenden, müssen Sie mindestens einen VPC-Zugriff auf die Instanz zulassen. Führen Sie die folgenden Schritte aus, um die VPCs zu aktualisieren, die Zugriff auf die Instanz haben.
Console
- Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie die VPCs aktualisieren möchten, die den Zugriff auf die Instanz in Richtung Norden zulassen.
- Klicken Sie auf Bearbeiten.
- Maximieren Sie den Abschnitt Verbindungen.
- Wenn Sie eine neue VPC hinzufügen möchten, klicken Sie auf Element hinzufügen. Wählen Sie dann das Projekt aus, in dem sich die VPC befindet, und wählen Sie das Netzwerk aus dem Drop-down-Menü Netzwerk aus.
- Wenn Sie eine VPC löschen möchten, klicken Sie auf das Papierkorbsymbol Element löschen, das angezeigt wird, wenn Sie den Mauszeiger auf das Netzwerk bewegen.
- Klicken Sie auf Speichern.
gcloud
Verwenden Sie das Flag --psc-allowed-vpcs
, um die Liste der VPCs zu aktualisieren, die autorisierten Northbound-Zugriff auf die Instanz haben.
Wenn Sie die zulässigen VPCs aktualisieren, müssen Sie die gesamte Liste angeben, die nach der Aktualisierung gelten soll. Angenommen, VPC ALLOWED_VPC_1
ist bereits zulässig und Sie möchten VPC ALLOWED_VPC_2
hinzufügen. Wenn Sie VPC ALLOWED_VPC_1
hinzufügen und gleichzeitig sicherstellen möchten, dass VPC ALLOWED_VPC_2
weiterhin zulässig ist, fügen Sie das Flag --psc-allowed-vpcs
so hinzu:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Der Name Ihrer Looker-Instanz (Google Cloud Core).ALLOWED_VPC_1
undALLOWED_VPC_2
: die VPCs, die eingehenden Traffic in Looker (Google Cloud Core) zulassen. Geben Sie jede zulässige VPC in einem der folgenden Formate an:projects/{project}/global/networks/{network}
https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
Alle zulässigen VPCs löschen
Führen Sie den folgenden Befehl aus, um alle zulässigen VPCs zu löschen:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Der Name Ihrer Looker-Instanz (Google Cloud Core).REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
Northbound-Zugriff auf Ihre Instanz
Nachdem die Looker (Google Cloud Core)-Instanz (Private Service Connect) erstellt wurde, können Sie den Upstream-Zugriff einrichten, damit Ihre Nutzer auf die Instanz zugreifen können.
Wenn Sie beim Einrichten der Instanz sowohl eine öffentliche als auch eine private IP-Adresse ausgewählt haben, können Sie den Northbound-Zugriff über die Web-URL für die Instanz einrichten. Sie finden diese URL in der Google Cloud -Konsole auf der Seite Instanzen oder auf dem Tab Benutzerdefinierte Domain der Seite mit den Instanzdetails, wenn Sie eine benutzerdefinierte Domain eingerichtet haben.
Wenn Sie beim Einrichten der Instanz nur eine private IP-Adresse ausgewählt haben, können Sie den Upstream-Zugriff auf die Instanz über ein anderes VPC-Netzwerk einrichten, indem Sie der Anleitung zum Erstellen eines Private Service Connect-Endpunkts folgen. Beachten Sie beim Erstellen des Endpunkts die folgenden Richtlinien:
- Achten Sie darauf, dass das Netzwerk den Zugriff auf Ihre Looker (Google Cloud Core)-Instanz in Richtung Norden zulässt, indem Sie es der Liste der zulässigen VPCs hinzufügen.
Legen Sie das Feld Zieldienst (für die Google Cloud -Konsole) oder die Variable
SERVICE_ATTACHMENT
(wenn Sie der Anleitung für die Google Cloud CLI oder API folgen) auf den URI der Looker-Dienstanbindung fest. Sie finden ihn auf der Seite mit der Instanzkonfiguration in der Konsole auf dem Tab Details oder durch Ausführen des folgenden Befehls:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Ersetzen Sie Folgendes:
INSTANCE_NAME
: Der Name Ihrer Looker-Instanz (Google Cloud Core).REGION
: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.
Sie können jedes Subnetz verwenden, das in derselben Region wie die Looker (Google Cloud Core)-Instanz gehostet wird.
Aktivieren Sie den globalen Zugriff nicht.
Wenn Sie von einer hybriden Netzwerkumgebung aus auf Ihre Instanz zugreifen möchten, können Sie der Anleitung auf der Dokumentationsseite Northbound access to a Looker (Google Cloud core) instance using Private Service Connect (Northbound-Zugriff auf eine Looker (Google Cloud Core)-Instanz über Private Service Connect) folgen, um eine benutzerdefinierte Domain einzurichten und auf die Instanz zuzugreifen.