Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Créer une instance Looker (Google Cloud Core) avec des connexions privées (accès aux services privés)

Cette page explique comment créer une instance de production ou hors production Looker (Google Cloud Core) de connexions privées (PSA) qui utilise l'accès aux services privés (PSA).

Les connexions privées permettent d'accéder aux services sans passer par Internet ni utiliser d'adresses IP externes. Comme elles ne transitent pas par Internet, les connexions privées offrent généralement une latence plus faible et des vecteurs d'attaque limités. Les connexions privées permettent à votre instance Looker (Google Cloud Core) de communiquer avec d'autres ressources de votre cloud privé virtuel (VPC), mais n'autorisent pas la communication entrante depuis l'Internet public.

La connectivité privée permet d'utiliser certaines fonctionnalités, telles que VPC Service Controls. Toutefois, les connexions privées ne sont pas compatibles avec certaines fonctionnalités de Looker (Google Cloud Core). Pour en savoir plus, consultez le tableau de compatibilité des fonctionnalités.

Looker (Google Cloud Core) est compatible avec les connexions privées (PSA) pour les éditions d'instance Enterprise ou Embed instance.

Rôles et autorisations requis

Pour configurer une instance de connexions privées (PSA), vous devez disposer des autorisations IAM suivantes :

Pour créer une instance Looker (Google Cloud Core), vous devez disposer du rôle Administrateur Looker (roles/looker.Admin).
Pour obtenir les autorisations nécessaires pour créer des plages d'adresses IP allouées et gérer des connexions privées, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseaux Compute (roles/compute.networkAdmin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer des plages d'adresses IP allouées et gérer des connexions privées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises

Vous devez disposer des autorisations suivantes pour créer des plages d'adresses IP allouées et gérer des connexions privées :
- Afficher les réseaux disponibles dans le menu déroulant Réseau :
  - compute.addresses.list
  - compute.globalAddresses.list
  - compute.networks.list
  - compute.globalAddresses.list
- Créer un réseau VPC :
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- Allouer une plage d'adresses IP privées et configurer une connexion d'accès aux services privés : compute.networks.addPeering
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Remarque : Les rôles de base IAM peuvent également contenir des autorisations permettant de créer des plages d'adresses IP allouées et de gérer des connexions privées. Les rôles de base ne doivent pas être attribués dans un environnement de production, mais ils peuvent être attribués dans un environnement de développement ou de test.

Si vous utilisez un réseau privé déjà configuré, vous n'avez pas besoin de ces autorisations.

Vous devrez peut-être également disposer de rôles IAM supplémentaires pour configurer VPC Service Controls ou des clés de chiffrement gérées par le client (CMEK). Pour en savoir plus sur ces fonctionnalités, consultez les pages de documentation Compatibilité de VPC Service Controls avec Looker (Google Cloud Core) ou Activer les clés CMEK pour Looker (Google Cloud Core).

Avant de commencer

Contactez le service commercial pour vous assurer que votre contrat annuel est finalisé et qu'un quota est alloué à votre projet.
Assurez-vous que la facturation est activée pour votre Google Cloud projet.
Dans la console Google Cloud, sur la page de sélection du projet, créez un Google Cloud projet ou accédez-en à un existant dans lequel vous souhaitez créer l'instance Looker (Google Cloud Core).
Accéder au sélecteur de projet
Activez l'API Looker pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour confirmer qu'elle a bien été activée.
Activer l'API

Attention : La désactivation de l'API Looker après la création de l'instance aura une incidence sur les fonctionnalités de Looker (Google Cloud Core). Par exemple, la désactivation de l'API désactivera la possibilité de créer des sauvegardes d'instance.
Activez l'API Service Networking pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour confirmer qu'elle a bien été activée.
Activer l'API
Activez l'API Compute Engine pour votre projet dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour confirmer qu'elle a bien été activée.
Activer l'API
Configurez un client OAuth et créez des identifiants d'autorisation. Le client OAuth vous permet de vous authentifier et d'accéder à l'instance. Vous devez configurer OAuth pour créer une instance Looker (Google Cloud Core), même si vous utilisez une autre méthode d'authentification pour authentifier les utilisateurs dans votre instance.

Créer et configurer un réseau VPC

Avant de pouvoir créer une connexion privée, vous devez d'abord créer et configurer un réseau de cloud privé virtuel (VPC). Looker (Google Cloud Core) est compatible avec plusieurs instances de connexions privées (PSA) dans le même VPC, dans la même région ou dans des régions différentes.

Créez un réseau VPC dans votre projet. Si vous utilisez un VPC partagé au lieu de créer un réseau VPC, suivez les étapes de la section Créer une instance dans un VPC partagé, en plus des étapes restantes de cette section pour le VPC partagé.
Allouez une plage d'adresses IP IPv4 (bloc CIDR) dans votre VPC pour une connexion d'accès aux services privés à Looker (Google Cloud Core).

Avant d'allouer votre plage, tenez compte des contraintes.
Lorsque vous définissez la taille de la plage d'adresses IP, sachez que la taille minimale est un bloc /22.
Looker (Google Cloud Core) est compatible avec toutes les plages IPv4 de la RFC 1918, qui spécifie les adresses IP affectées à une utilisation en interne (c'est-à-dire au sein d'une organisation) et qui ne s'acheminent pas sur Internet. Plus précisément, il s'agit des éléments suivants :

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Les plages IPv4 de classe E (240.0.0.0/4) sont réservées pour une utilisation future, comme indiqué dans les normes RFC 5735 et RFC 1112, et ne sont pas compatibles avec Looker (Google Cloud Core).

sous-réseau proxy réservé

/26

/22

Ajoutez la connexion d'accès aux services privés à votre réseau VPC à l'aide de la plage d'adresses IP allouée à l'étape précédente pour l'allocation attribuée.
Une fois votre réseau VPC créé, revenez à la page Créer une instance Looker dans votre Google Cloud projet. Vous devrez peut-être actualiser la page pour que votre réseau VPC soit reconnu.

Une fois ces étapes effectuées, vous pouvez commencer à créer votre instance en suivant les étapes de la page de documentation Créer une instance Looker (Google Cloud Core) , en commençant par la section Avant de commencer.

Plusieurs instances de connexions privées dans le même VPC

Si deux instances Looker (Google Cloud Core) de connexions privées ou plus se trouvent dans la même région et dans le même VPC, et que vous supprimez la première instance Looker (Google Cloud Core) créée dans la région, le sous-réseau proxy réservé n'est pas libéré, car il est toujours utilisé par les instances restantes. Si vous tentez de créer une instance Looker (Google Cloud Core) de connexions privées (PSA) qui utilise la même plage d'adresses que celle que vous avez utilisée pour l'instance supprimée (qui contient la plage d'adresses IP du sous-réseau proxy réservé), la création de l'instance échouera et vous verrez une erreur "Plages d'adresses IP épuisées". Pour vérifier si une plage d'adresses IP est utilisée, vérifiez l'appairage de VPC pour Service Networking et vérifiez les routes d'importation pour voir si elles utilisent la plage d'adresses IP qui vous intéresse.

Créer une instance dans un VPC partagé

Si vous créez une instance Looker (Google Cloud Core) dans un VPC partagé, procédez comme suit dans le projet hôte du VPC partagé :

Activez l'API Looker dans le projet hôte du VPC partagé dans la console Google Cloud. Lorsque vous activez l'API, vous devrez peut-être actualiser la page de la console pour confirmer qu'elle a bien été activée.
Activer l'API
Créez un compte de service dans le projet hôte du VPC partagé à l'aide de la commande gcloud services identity create:
```
gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID
```
Remplacez SHARED_HOST_PROJECT_ID par l'ID du projet hôte du VPC partagé.
Attribuez au compte de service du projet hôte du VPC partagé un rôle IAM qui contient l'autorisation IAM compute.globalAddresses.get. Ensuite, exécutez la add-iam-policy-binding commande :
```
gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME
```
Remplacez les éléments suivants :
- SHARED_HOST_PROJECT_ID : ID du projet hôte du VPC partagé.
- SA_EMAIL : adresse e-mail du compte de service que vous avez créé dans le projet hôte du VPC partagé.
- ROLE_NAME : nom du rôle qui contient l'autorisation compute.globalAddresses.get. Utilisez l'un des formats suivants :
  - Rôles prédéfinis : roles/SERVICE.IDENTIFIER
  - Rôles personnalisés au niveau du projet : projects/PROJECT_ID/roles/IDENTIFIER
  - Rôles personnalisés au niveau de l'organisation : organizations/ORG_ID/roles/IDENTIFIER
  Pour obtenir la liste complète des rôles prédéfinis, consultez la page Comprendre les rôles.

Après avoir créé le compte de service et lui avoir attribué l'autorisation IAM, attendez quelques minutes que le compte de service et l'autorisation se propagent.

De plus, allouez une plage d'adresses IP IPv4 dans le VPC partagé et ajoutez la connexion d'accès aux services privés au VPC partagé, comme décrit dans la section précédente Créer et configurer un réseau VPC.

Créer l'instance de connexions privées

Looker (Google Cloud Core) nécessite environ 60 minutes pour générer une nouvelle instance.

Si vous souhaitez une instance de connexions privées (PSA), vous devez utiliser la Google Cloud CLI ou Terraform, et configurer l'instance en tant que connexions privées (PSA) lors de sa création. Les connexions privées ne peuvent pas être ajoutées à une instance ni supprimées d'une instance après sa création.

Pour créer une instance de connexions privées (PSA) à l'aide de la Google Cloud CLI, procédez comme suit :

Si vous utilisez des clés CMEK, suivez les instructions pour créer un compte de service, un trousseau de clés et une clé avant de créer votre instance Looker (Google Cloud Core).
Utilisez la commande gcloud looker instances create pour créer l'instance :
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]
```
Remplacez les éléments suivants :
- INSTANCE_NAME : nom de votre instance Looker (Google Cloud Core). Il n'est pas associé à l'URL de l'instance.
- PROJECT_ID : nom du Google Cloud projet dans lequel vous créez l'instance Looker (Google Cloud Core).
- OAUTH_CLIENT_ID et OAUTH_CLIENT_SECRET : ID client OAuth et secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.
- REGION : région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Sélectionnez la région qui correspond à celle du contrat d'abonnement. Les régions disponibles sont listées sur la page de documentation Emplacements Looker (Google Cloud Core).
- EDITION : édition, type d'environnement (production ou hors production) et indication si l'instance est une édition d'essai. Pour une instance de connexions privées (PSA), il doit s'agir de core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-enterprise, ou core-trial-embed. Assurez-vous de choisir le même type d'édition que celui indiqué dans votre contrat annuel et qu'un quota est alloué. Une fois qu'une instance est créée, son édition ne peut plus être modifiée. Si vous souhaitez modifier une édition, vous pouvez utiliser l'importation et l'exportation pour déplacer les données de votre instance Looker (Google Cloud Core) vers une nouvelle instance configurée avec une édition différente.
- CONSUMER_NETWORK : votre réseau VPC ou réseau VPC partagé au format projects/PROJECT_ID/global/networks/NETWORK_NAME. Doit être défini si vous créez une instance de connexions privées (PSA).
- RESERVED_RANGE : plage d'adresses IP dans le VPC dans laquelle Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core).
Vous pouvez inclure les options suivantes :
- --private-ip-enabled active les connexions privées (PSA). Cette option doit être incluse pour créer une instance de connexions privées (PSA).
- --public-ip-enabled active l'adresse IP publique.
- --no-public-ip-enabled désactive l'adresse IP publique.
- --async est recommandé lorsque vous créez une instance Looker (Google Cloud Core).
Vous pouvez ajouter d'autres paramètres pour appliquer d'autres paramètres d'instance :
```
  [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
          --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
  [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
          --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
          --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
  [--kms-key=KMS_KEY_ID]
  [--fips-enabled]
  [--catalog-integration-enabled]
```
Remplacez les éléments suivants :
- MAINTENANCE_WINDOW_DAY : doit être l'une des valeurs suivantes : friday, monday, saturday, sunday, thursday, tuesday, wednesday. Pour en savoir plus sur les paramètres de la fenêtre de maintenance, consultez la page de documentation Gérer les stratégies de maintenance pour Looker (Google Cloud Core).
- MAINTENANCE_WINDOW_TIME et DENY_MAINTENANCE_PERIOD_TIME : doivent être au format UTC sur 24 heures (par exemple, 13:00, 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE et DENY_MAINTENANCE_PERIOD_END_DATE : doivent être au format YYYY-MM-DD.
- KMS_KEY_ID : doit être la clé créée lors de la configuration des clés de chiffrement gérées par le client (CMEK).
Vous pouvez inclure l'option --fips-enabled pour activer la conformité FIPS 140-2 de niveau 1 ou remplacer l'option --catalog-integration-enabled par l'option --no-catalog-integration-enabled pour désactiver l'intégration de Looker (Google Cloud Core) et de Knowledge Catalog.

Conseil : Vous devez disposer d'un quota pour le type d'édition approprié afin de créer une instance. Si vous ne disposez pas de quota, contactez le service commercial pour en attribuer un à votre projet.

Pendant la création de l'instance, vous pouvez afficher son état sur la page Instances de la console. Vous pouvez également consulter l'activité de création de votre instance en cliquant sur l'icône de notifications dans le Google Cloud menu de la console.

Si vous avez choisi des connexions hybrides lors de la configuration de l'instance, vous pouvez configurer l'accès entrant via l'URL Web de l'instance. Cette URL se trouve sur la page Instances de la Google Cloud console ou dans l'onglet Domaine personnalisé de la page des détails de l'instance, si vous avez configuré un domaine personnalisé. Vous pouvez configurer une liste d'autorisation d'adresses IP pour limiter les connexions entrantes au trafic provenant de certaines adresses IP.

Si vous créez une instance uniquement de connexions privées (PSA), aucune URL ne s'affiche sur la page Instances. Pour en savoir plus sur la configuration de l'accès à votre instance de connexions privées (PSA), consultez la section Accéder à une instance d'accès aux services privés après sa création.

Accéder à une instance d'accès aux services privés après sa création

Si vous créez une instance activée uniquement pour les connexions privées, vous ne recevrez pas d'URL pour l'instance. Pour accéder à l'instance, vous devez configurer un domaine personnalisé pour l'instance et ajouter ce domaine personnalisé aux identifiants OAuth de l'instance. Suivez les instructions de la page de documentation Accéder à une instance Looker (Google Cloud Core) à l'aide de l'accès aux services privés pour créer un domaine personnalisé et y accéder.

Si vous créez une instance qui utilise une configuration de mise en réseau hybride, suivez les instructions de la page de documentation Configurer un domaine personnalisé pour une instance Looker (Google Cloud Core) qui utilise des connexions publiques pour créer un domaine personnalisé et y accéder.

Étape suivante

Si vous utilisez des connexions hybrides, configurez une liste d'autorisation d'adresses IP pour limiter le trafic entrant à certaines adresses IP.
Si vous utilisez des connexions hybrides ou des connexions publiques, configurez un domaine personnalisé.