Esta página descreve o processo de utilização da CLI gcloud ou da Google Cloud consola para criar uma instância de produção ou não produção do Looker (Google Cloud core) com o Private Service Connect ativado.
O Private Service Connect pode ser ativado para uma instância do Looker (essencial para o Google Cloud) que cumpra os seguintes critérios:
- A instância do Looker (Google Cloud Core) tem de ser nova. O Private Service Connect só pode ser ativado no momento da criação da instância.
- A edição da instância tem de ser Enterprise (
core-enterprise-annual) ou Embed (core-embed-annual).
Antes de começar
- Trabalhe com o departamento de vendas para garantir que o seu contrato anual está concluído e que tem quota alocada no seu projeto.
- Certifique-se de que a faturação está ativada para o seu Google Cloud projeto.
- Na Google Cloud Console, na página do seletor de projetos, selecione o projeto onde quer criar a instância do Private Service Connect.
- Ative a API Looker para o seu projeto na Google Cloud Console. Quando ativa a API, pode ter de atualizar a página da consola para confirmar que a API foi ativada.
- Configure um cliente OAuth e crie credenciais de autorização. O cliente OAuth permite-lhe autenticar e aceder à instância. Tem de configurar o OAuth para criar uma instância do Looker (Google Cloud core), mesmo que esteja a usar um método de autenticação diferente para autenticar utilizadores na sua instância.
- Se quiser usar os VPC Service Controls ou as chaves de encriptação geridas pelo cliente (CMEK) com a instância do Looker (Google Cloud core) que está a criar, é necessária uma configuração adicional antes da criação da instância. Também pode ser necessária uma configuração adicional da edição e da rede durante a criação da instância.
Funções necessárias
Para receber as autorizações de que
precisa para criar uma instância do Looker (Google Cloud core),
peça ao seu administrador para lhe conceder a
função do IAM administrador do Looker (roles/looker.admin)
no projeto em que a instância vai residir.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Também pode precisar de funções do IAM adicionais para configurar os VPC Service Controls ou as chaves de encriptação geridas pelo cliente (CMEK). Visite as páginas de documentação dessas funcionalidades para saber mais.
Crie uma instância do Private Service Connect
consola
- Navegue para a página do produto Looker (essencial para o Google Cloud) a partir do seu projeto na Google Cloud Console. Se já tiver criado uma instância do Looker (Google Cloud core) neste projeto, a página Instâncias é aberta.
- Clique em CRIAR INSTÂNCIA.
- Na secção Nome da instância, indique um nome para a sua instância do Looker (Google Cloud core). O nome da instância não está associado ao URL da instância do Looker (Google Cloud Core) depois de criada. Não é possível alterar o nome da instância após a criação da instância.
- Na secção Credenciais da aplicação OAuth, introduza o ID de cliente OAuth e o segredo OAuth que criou quando configurou o cliente OAuth.
Na secção Região, selecione a opção adequada no menu pendente para alojar a sua instância do Looker (Google Cloud core). Selecione a região que corresponde à região no contrato de subscrição, que é onde a quota do seu projeto é atribuída. As regiões disponíveis estão listadas na página de documentação Localizações do Looker (Google Cloud core).
Não pode alterar a região depois de criar a instância.
Na secção Edição, escolha uma opção de edição Enterprise ou Embed (produção ou não produção). O tipo de edição afeta algumas das funcionalidades disponíveis para a instância. Certifique-se de que escolhe o mesmo tipo de edição indicado no seu contrato anual e que tem quota alocada para esse tipo de edição.
- Enterprise: plataforma Looker (Google Cloud core) com funcionalidades de segurança melhoradas para abordar uma grande variedade de exemplos de utilização internos de BI e estatísticas
- Incorporar: plataforma Looker (Google Cloud Core) para implementar e manter estatísticas externas fiáveis e aplicações personalizadas em grande escala
- Edições de não produção: se quiser um ambiente de preparação e testes, selecione uma das edições de não produção. Para mais informações, consulte a documentação Instâncias de não produção.
Não é possível alterar as edições após a criação da instância. Se quiser alterar uma edição, pode usar a importação e a exportação para mover os dados da sua instância do Looker (Google Cloud core) para uma nova instância configurada com uma edição diferente.
Na secção Personalize a sua instância, clique em MOSTRAR OPÇÕES DE CONFIGURAÇÃO para apresentar um grupo de definições adicionais que pode personalizar para a instância.
Na secção Ligações, em Atribuição de IP da instância, escolha apenas IP privado ou IP privado e IP público. O tipo de ligação de rede que selecionar afeta as funcionalidades do Looker disponíveis para a instância. Estão disponíveis as seguintes opções de ligação de rede:
- IP público: atribui um endereço IP externo acessível através da Internet.
- IP privado: atribui um endereço IP interno definido pelo cliente que é acessível numa nuvem virtual privada (VPC) para entrada. Para comunicar com cargas de trabalho de VPC e nas instalações ou de várias nuvens, tem de implementar associações de serviços para o tráfego de saída. Se quiser usar os VPC Service Controls, tem de selecionar apenas IP privado.
IP privado e IP público: o tráfego de entrada usa o IP público e as respostas também são públicas. O tráfego iniciado pelo Looker (essencial para o Google Cloud) usa o IP privado para o encaminhamento de saída. A instância do Looker (Google Cloud core) não usa o IP público para iniciar o tráfego de saída associado à Internet.
Em Tipo de IP privado, selecione Private Service Connect (PSC).
Se estiver a criar uma instância que usa apenas IP privado, defina, pelo menos, uma VPC permitida à qual será concedido acesso de saída à instância. Em VPCs permitidas, clique em Adicionar item para adicionar cada VPC. No campo Projeto, selecione o projeto no qual a rede foi criada. No menu pendente Rede, selecione a rede.
Se selecionar IP privado e IP público na secção Ligações, a secção VPCs permitidas não é apresentada. Pode configurar o acesso à instância através do URL Web da instância.
Na secção Encriptação, pode selecionar o tipo de encriptação a usar na sua instância. Estão disponíveis as seguintes opções de encriptação:
- Google-managed encryption key: esta opção é a predefinição e não requer nenhuma configuração adicional.
- Chave de encriptação gerida pelo cliente (CMEK): consulte a página de documentação Usar chaves de encriptação geridas pelo cliente com o Looker (Google Cloud core) para mais informações sobre a CMEK e como configurá-la durante a criação da instância. Não é possível alterar o tipo de encriptação após a criação da instância.
- Ative a encriptação validada FIPS 140-2: consulte a página de documentação Ative a conformidade com o nível 1 da FIPS 140-2 numa instância do Looker (Google Cloud core) para mais informações sobre o suporte da FIPS 140-2 no Looker (Google Cloud core).
Na secção Janela de manutenção, pode, opcionalmente, especificar o dia da semana e a hora em que o Looker (Google Cloud core) agenda a manutenção. Os períodos de manutenção duram uma hora. Por predefinição, a opção Janela preferencial na Janela de manutenção está definida como Qualquer janela.
Na secção Recusar período de manutenção, pode, opcionalmente, especificar um bloco de dias em que o Looker (Google Cloud core) não agenda a manutenção. Os períodos de recusa de manutenção podem ter uma duração máxima de 60 dias. Tem de permitir, pelo menos, 14 dias de disponibilidade de manutenção entre 2 períodos de manutenção recusados.
Na secção Gemini no Looker, pode, opcionalmente, disponibilizar as funcionalidades do Gemini no Looker para a instância do Looker (Google Cloud core). Para ativar o Gemini no Looker, selecione Gemini e, de seguida, Funcionalidades de testador fidedigno. Quando a opção Funcionalidades de testador fidedigno está ativada, os utilizadores podem aceder às capacidades de testador fidedigno do Gemini no Looker. Pode pedir acesso às capacidades de testador fidedigno não públicas através do formulário de pré-visualização do Gemini no Looker para cada utilizador. Tem de ativar esta definição para usar o Gemini durante a pré-visualização de pré-DG. Opcionalmente, selecione Utilização de dados de testadores fidedignos. Quando esta definição está ativada, consente que os seus dados sejam utilizados pela Google conforme descrito nos termos do programa de testadores fidedignos do Google Cloud Gemini. Para desativar o Gemini para uma instância do Looker (Google Cloud core), desmarque a definição Gemini.
Clique em Criar.
gcloud
Para criar uma instância do Private Service Connect, execute o comando gcloud looker instances create com todas as seguintes flags:
gcloud looker instances create INSTANCE_NAME \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ [--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS] [--no-public-ip-enabled] [--public-ip-enabled] --async
Substitua o seguinte:
INSTANCE_NAME: um nome para a sua instância do Looker (Google Cloud Core); não está associado ao URL da instância.OAUTH_CLIENT_IDeOAUTH_CLIENT_SECRET: o ID de cliente OAuth e o segredo do OAuth que criou quando configurou o cliente OAuth. Depois de criar a instância, introduza o URL da instância na secção URIs de redirecionamento autorizados do cliente OAuth.REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada. Selecione a região que corresponde à região no contrato de subscrição. As regiões disponíveis estão listadas na página de documentação Localizações do Looker (Google Cloud core).EDITION: a edição e o tipo de ambiente (produção ou não produção) para a instância. Os valores possíveis sãocore-enterprise-annual,core-embed-annual,nonprod-core-enterprise-annualounonprod-core-embed-annual. Não é possível alterar as edições após a criação da instância. Se quiser alterar uma edição, pode usar a importação e a exportação para mover os dados da sua instância do Looker (Google Cloud core) para uma nova instância configurada com uma edição diferente.ALLOWED_VPC: se estiver a criar uma instância que use apenas um IP privado, liste uma VPC que tenha acesso northbound (entrada) permitido ao Looker (Google Cloud core). Para aceder à instância a partir de fora da VPC em que a instância se encontra, tem de indicar, pelo menos, uma VPC. Especifique uma VPC através de um dos seguintes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
Se estiver a criar uma instância que usa o IP privado e o IP público, não precisa de definir uma VPC permitida.
ADDITIONAL_ALLOWED_VPCS: quaisquer VPCs adicionais que devam ter acesso a norte ao Looker (Google Cloud core) podem ser adicionadas à flag--psc-allowed-vpcsnuma lista separada por vírgulas.
Também tem de incluir uma das seguintes flags para ativar ou desativar o IP público:
--public-ip-enabledativa o IP público. Se ativar o IP público para a instância, o tráfego de entrada é encaminhado através do IP público e o tráfego de saída é encaminhado através do Private Service Connect.--no-public-ip-enableddesativa o IP público.
Se quiser, pode adicionar mais parâmetros para aplicar outras definições da instância:
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
--maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
--deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
--deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
[--fips-enabled]
MAINTENANCE_WINDOW_DAY: tem de ser um dos seguintes valores:friday,monday,saturday,sunday,thursday,tuesdayouwednesday. Consulte a página de documentação Faça a gestão das políticas de manutenção do Looker (Google Cloud core) para mais informações acerca das definições da janela de manutenção.MAINTENANCE_WINDOW_TIMEeDENY_MAINTENANCE_PERIOD_TIME: têm de estar em UTC no formato de 24 horas (por exemplo, 13:00, 17:45).DENY_MAINTENANCE_PERIOD_START_DATEeDENY_MAINTENANCE_PERIOD_END_DATE: têm de estar no formatoYYYY-MM-DD.KMS_KEY_ID: tem de ser a chave criada quando configura as chaves de encriptação geridas pelo cliente (CMEK).
Pode incluir a sinalização --fips-enabled para ativar a conformidade com o nível 1 da FIPS 140-2.
O processo de criação de uma instância do Private Service Connect difere do processo de criação de uma instância do Looker (essencial para o Google Cloud) (acesso a serviços privados) das seguintes formas:
- Com a configuração do Private Service Connect, as flags
--consumer-networke--reserved-rangenão são necessárias. - As instâncias do Private Service Connect requerem uma flag adicional:
--psc-enabled. A flag
--psc-allowed-vpcsé uma lista de VPCs separadas por vírgulas. Pode especificar quantas VPCs quiser na lista.
Verifique o estado da instância
A criação da instância demora aproximadamente 40 a 60 minutos.
consola
À medida que a instância é criada, pode ver o respetivo estado na página Instâncias na consola. Também pode ver a atividade de criação de instâncias clicando no ícone de notificações no Google Cloud menu da consola. Na página Detalhes da instância, o respetivo estado é apresentado como Ativo assim que for criada.
gcloud
Para verificar o estado, use o comando gcloud looker instances describe:
gcloud looker instances describe INSTANCE_NAME --region=REGION
Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada.
A instância está pronta quando atinge o estado ACTIVE.
Configure o Private Service Connect para serviços externos
Para que a sua instância do Looker (essencial para o Google Cloud) possa estabelecer ligação a um serviço externo, esse serviço externo tem de ser publicado através do Private Service Connect. Siga as instruções para publicar serviços através do Private Service Connect para qualquer serviço que queira publicar.
Os serviços podem ser publicados com aprovação automática ou com aprovação explícita. Se optar por publicar com aprovação explícita, tem de configurar a associação de serviço da seguinte forma:
- Defina a sua lista de autorizações de anexos de serviços para usar projetos (e não redes).
- Adicione o ID do projeto do inquilino do Looker à lista de autorizações.
Pode encontrar o ID do projeto do inquilino do Looker depois de a instância ter sido criada executando o seguinte comando:
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada.
Na saída do comando, o campo looker_service_attachment_uri contém o ID do projeto de inquilino do Looker. Tem o seguinte formato: projects/{Looker tenant project ID}/regions/…
URI da associação do serviço
Quando atualizar posteriormente a instância do Looker (essencial para o Google Cloud) para se ligar ao seu serviço, precisa do URI de anexo do serviço completo para o serviço externo. O URI é especificado da seguinte forma, usando o projeto, a região e o nome que usou para criar a associação de serviço:
projects/{project}/regions/{region}/serviceAttachments/{name}
Atualize uma instância do Private Service Connect do Looker (Google Cloud Core)
Depois de criar a instância do Private Service Connect do Looker (essencial para o Google Cloud), pode fazer as seguintes alterações:
Além disso, pode fazer outras alterações após a criação da instância editando as definições da instância.
Especifique ligações de saída
consola
- Na página Instâncias, clique no nome da instância para a qual quer ativar as ligações southbound (saída).
- Clique em Edit.
- Expanda a secção Associações.
- Para editar uma associação de serviço existente, atualize o nome de domínio totalmente qualificado do serviço no campo FQDN local e o URI da associação de serviço no campo URI da associação de serviço de destino.
- Para adicionar um novo anexo de serviço, clique em Adicionar item. Em seguida, introduza o nome de domínio totalmente qualificado do serviço no campo FQDN local e o URI do anexo de serviço no campo URI do anexo de serviço de destino.
- Clique em Guardar.
gcloud
Use flags --psc-service-attachment para ativar ligações southbound (saída) a serviços externos para os quais já configurou o Private Service Connect:
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).DOMAIN_1eDOMAIN_2: se estiver a estabelecer ligação a um serviço público, use o nome de domínio do serviço. Se estiver a estabelecer ligação a um serviço privado, use um nome de domínio totalmente qualificado à sua escolha. Aplicam-se as seguintes restrições ao nome de domínio:Cada ligação de saída suporta um único domínio.
O nome de domínio tem de ser composto por, pelo menos, três partes. Por exemplo,
mydomain.github.comé aceitável, masgithub.comnão é aceitável.A última parte do nome não pode ser nenhuma das seguintes opções:
googleapis.comgoogle.comgcr.iopkg.dev
Quando configurar uma ligação ao seu serviço a partir da instância do Looker (essencial para o Google Cloud), use este domínio como o alias do seu serviço.
SERVICE_ATTACHMENT_1eSERVICE_ATTACHMENT_2: o URI da associação do serviço completo para o serviço publicado ao qual se está a ligar. Cada URI de anexo de serviço só pode ser acedido por um único domínio.REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada.
Se estiver a estabelecer ligação a um serviço gerido pela Google numa região diferente da região onde a sua instância do Looker (Google Cloud core) está localizada, ative o acesso global no equilibrador de carga do produtor.
Inclua todas as associações que devem ser ativadas
Sempre que executar um comando de atualização com as flags --psc-service-attachment, tem de incluir todas as associações que quer ativar, incluindo as associações que já estavam ativadas anteriormente. Por exemplo, suponha que associou anteriormente uma instância denominada my-instance ao domínio www.cloud.com da seguinte forma:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
A execução do seguinte comando para adicionar uma nova associação www.me.com eliminaria a associação www.cloud.com:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Para evitar a eliminação da associação www.cloud.com quando adicionar a nova associação www.me.com, inclua uma flag psc-service-attachment separada para a associação existente e a nova associação no comando de atualização da seguinte forma:
gcloud looker instances update my-instance --psc-service-attachment \ domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
Verifique o estado da ligação de saída
Pode verificar o estado das suas ligações de saída através da CLI Google Cloud ou na consola.
consola
Veja o estado da associação no separador Detalhes da página de configuração da instância na consola. O campo Estado da associação mostra o estado de cada anexo de serviço de destino.
gcloud
Execute o comando gcloud looker instances describe --format=json para verificar o estado da ligação a jusante. Cada anexo de serviço deve ser preenchido com um campo connection_status.
Elimine todas as ligações de saída
Para eliminar todas as ligações de saída, execute o seguinte comando:
gcloud looker instances update MY_INSTANCE --clear-psc-service-attachments \ --region=REGION
Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada.
Atualize as VPCs permitidas
Se optou por usar apenas o IP privado na instância do Looker (Google Cloud core), tem de permitir, pelo menos, um acesso VPC à instância. Conclua os passos seguintes para atualizar as VPCs que têm acesso à instância.
consola
- Na página Instâncias, clique no nome da instância para a qual quer atualizar as VPCs que têm acesso de saída permitido à instância.
- Clique em Edit.
- Expanda a secção Associações.
- Para adicionar uma nova VPC, clique em Adicionar item. Em seguida, selecione o projeto no qual a VPC está no campo Projeto e selecione a rede no menu pendente Rede.
- Para eliminar uma VPC, clique no ícone de lixo Eliminar item apresentado quando passa o ponteiro do rato sobre a rede.
- Clique em Guardar.
gcloud
Use a flag --psc-allowed-vpcs para atualizar a lista de VPCs que têm acesso autorizado a montante na instância.
Quando atualiza as VPCs permitidas, tem de especificar a lista completa que quer que esteja em vigor após a atualização. Por exemplo, suponhamos que o VPC ALLOWED_VPC_1 já é permitido e quer adicionar o VPC ALLOWED_VPC_2. Para adicionar a VPC ALLOWED_VPC_1 e garantir que a VPC ALLOWED_VPC_2 continua a ser permitida, adicione a flag --psc-allowed-vpcs da seguinte forma:
gcloud looker instances update INSTANCE_NAME \ --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).ALLOWED_VPC_1eALLOWED_VPC_2: as VPCs que vão ter permissão de entrada no Looker (Google Cloud core). Especifique cada VPC permitida através de um dos seguintes formatos:projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada.
Elimine todas as VPCs permitidas
Para eliminar todas as VPCs permitidas, execute o seguinte comando:
gcloud looker instances update MY_INSTANCE --clear-psc-allowed-vpcs \ --region=REGION
Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada.
Acesso de saída à sua instância
Depois de criar a instância do Looker (essencial para o Google Cloud) (Private Service Connect), pode configurar o acesso a montante para permitir que os seus utilizadores acedam à instância.
Se escolheu o IP público e o IP privado ao configurar a instância, pode configurar o acesso de saída através do URL Web da instância. Pode encontrar esse URL na página Instâncias da Google Cloud consola ou no separador Domínio personalizado da página de detalhes da instância, se tiver configurado um domínio personalizado.
Se selecionou apenas o IP privado ao configurar a instância, pode configurar o acesso a montante à instância a partir de outra rede VPC seguindo as instruções para criar um ponto final do Private Service Connect. Siga estas diretrizes quando criar o ponto final:
- Certifique-se de que a rede tem acesso de saída à sua instância do Looker (Google Cloud core) adicionando-a à lista de VPCs permitidas.
Defina o campo Serviço de destino (para a Google Cloud consola) ou a variável
SERVICE_ATTACHMENT(se estiver a seguir as instruções da API ou da CLI Google Cloud) para o URI do anexo de serviço do Looker, que pode encontrar consultando o separador Detalhes na página de configuração da instância da consola ou executando o seguinte comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região na qual a sua instância do Looker (Google Cloud Core) está alojada.
Pode usar qualquer sub-rede alojada na mesma região que a instância do Looker (essencial para o Google Cloud).
Não ative o acesso global.
Para aceder à sua instância a partir de um ambiente de rede híbrida, pode seguir as instruções na página de documentação Acesso a uma instância do Looker (Google Cloud core) a montante através do Private Service Connect para configurar um domínio personalizado e aceder à instância.