Crea un'istanza di Looker (Google Cloud core) con connessioni private (accesso privato ai servizi)

Questa pagina spiega come creare un'istanza di produzione o non di produzione di Looker (Google Cloud core) con connessioni private (PSA) che utilizza l'accesso privato ai servizi (PSA).

Le connessioni private rendono i servizi raggiungibili senza passare da internet o utilizzare indirizzi IP esterni. Poiché non attraversano internet, le connessioni private in genere forniscono una latenza inferiore e vettori di attacco limitati. Le connessioni private consentono all'istanza di Looker (Google Cloud core) di comunicare con altre risorse in Virtual Private Cloud (VPC), ma non consentono la comunicazione in entrata da internet pubblico.

La connettività privata consente l'utilizzo di alcune funzionalità, come i Controlli di servizio VPC. Tuttavia, le connessioni private non sono compatibili con alcune funzionalità di Looker (Google Cloud core). Per ulteriori informazioni, consulta la tabella di compatibilità delle funzionalità.

Looker (Google Cloud core) supporta le connessioni private (PSA) per le versioni Enterprise o Embed dell'istanza.

Ruoli e autorizzazioni richiesti

Per configurare un'istanza con connessioni private (PSA), devi disporre delle seguenti autorizzazioni IAM:

  1. Per creare un'istanza di Looker (Google Cloud core), devi disporre del ruolo Amministratore Looker (roles/looker.Admin).

  2. Per ottenere le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute (roles/compute.networkAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Questo ruolo predefinito contiene le autorizzazioni necessarie per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

    Autorizzazioni obbligatorie

    Per creare intervalli di indirizzi IP allocati e gestire le connessioni private sono necessarie le seguenti autorizzazioni:

    • Visualizza le reti disponibili nel menu a discesa Rete :
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crea una nuova rete VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Alloca un intervallo IP privato e configura una connessione di accesso privato ai servizi: compute.networks.addPeering

    Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

    Se utilizzi una rete privata già configurata, non hai bisogno di queste autorizzazioni.

Potresti anche aver bisogno di altri ruoli IAM per configurare i Controlli di servizio VPC o le chiavi di crittografia gestite dal cliente (CMEK). Scopri di più, visita le pagine della documentazione Supporto dei Controlli di servizio VPC per Looker (Google Cloud core) o Abilitare CMEK per Looker (Google Cloud core) per queste funzionalità.

Prima di iniziare

  1. Collabora con il team di vendita per assicurarti che il contratto annuale sia completato e che la quota sia allocata nel tuo progetto.
  2. Verifica che la fatturazione sia attivata per il tuo Google Cloud progetto.
  3. Nella console Google Cloud, nella pagina di selezione del progetto, crea un Google Cloud progetto o vai a uno esistente in cui vuoi creare l'istanza di Looker (Google Cloud core).

    Vai al selettore di progetti

  4. Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilita l'API

  5. Abilita l'API Service Networking per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilita l'API

  6. Abilita l'API Compute Engine per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilita l'API

  7. Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth ti consente di eseguire l'autenticazione e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nella tua istanza.

Creare e configurare una rete VPC

Prima di poter creare una connessione privata, devi prima creare e configurare una rete Virtual Private Cloud (VPC). Looker (Google Cloud core) supporta più istanze con connessioni private (PSA) nello stesso VPC, nella stessa regione o in regioni diverse.

  1. Crea una rete VPC nel tuo progetto. In alternativa, se utilizzi un VPC condiviso anziché creare una nuova rete VPC, completa i passaggi della sezione seguente, Creare un'istanza in un VPC condiviso, oltre a completare i passaggi rimanenti in questa sezione per il VPC condiviso.
  2. Alloca un intervallo IP IPv4 (blocco CIDR) nel VPC per una connessione di accesso privato ai servizi a Looker (Google Cloud core).
    • Prima di allocare l'intervallo, tieni presente i vincoli.
    • Quando imposti le dimensioni dell'intervallo di indirizzi IP, tieni presente che la dimensione minima è un blocco /22.
    • Looker (Google Cloud core) supporta tutti gli intervalli IPv4 all'interno di RFC 1918, che specifica gli indirizzi IP assegnati per essere utilizzati internamente (ovvero all'interno di un'organizzazione) e non verranno instradati su internet. In particolare, sono i seguenti:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Gli intervalli IPv4 di classe E (240.0.0.0/4) sono riservati per un utilizzo futuro, come indicato in RFC 5735 e RFC 1112 e non sono supportati per Looker (Google Cloud core).
    Quando viene creata per la prima volta un'istanza di Looker (Google Cloud core) in una regione all'interno di un VPC, Looker crea una subnet solo proxy. La subnet solo proxy utilizza una subnet con intervallo /26 della subnet /22 che hai riservato quando hai creato l'istanza di Looker (Google Cloud core). Le successive istanze di Looker (Google Cloud core) con connessioni private (PSA) nello stesso VPC e nella stessa regione utilizzano la stessa subnet solo proxy.
  3. Aggiungi la connessione di accesso privato ai servizi alla rete VPC utilizzando l'intervallo IP allocato nel passaggio precedente per l'allocazione assegnata.
  4. Una volta creata la rete VPC, torna alla pagina Crea istanza Looker nel tuo Google Cloud progetto. Potresti dover aggiornare la pagina affinché la rete VPC venga riconosciuta.

Una volta completati questi passaggi, puoi iniziare a creare l'istanza seguendo i passaggi descritti nella pagina della documentazione Creare un'istanza di Looker (Google Cloud core) , a partire dalla sezione Prima di iniziare.

Più istanze con connessioni private nello stesso VPC

Se due o più istanze di Looker (Google Cloud core) con connessioni private si trovano nella stessa regione e nello stesso VPC e elimini la prima istanza di Looker (Google Cloud core) creata nella regione, la subnet solo proxy non viene rilasciata perché è ancora in uso dalle istanze rimanenti. Se tenti di creare una nuova istanza di Looker (Google Cloud core) con connessioni private (PSA) che utilizza lo stesso intervallo di indirizzi utilizzato per l'istanza eliminata (che contiene l'intervallo di indirizzi IP della subnet solo proxy), la creazione dell'istanza non andrà a buon fine e verrà visualizzato un errore "Intervalli IP esauriti". Per verificare se un intervallo IP è in uso, controlla il peering VPC per Service Networking e controlla le route di importazione per vedere se utilizzano l'intervallo IP di tuo interesse.

Creare un'istanza in un VPC condiviso

Se stai creando un'istanza di Looker (Google Cloud core) in un VPC condiviso, completa i seguenti passaggi nel progetto host del VPC condiviso:

  1. Abilita l'API Looker nel progetto host del VPC condiviso nella console Google Cloud. Quando abiliti l'API, potresti dover aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilita l'API

  2. Crea un service account nel progetto host del VPC condiviso utilizzando il comando gcloud services identity create command:

    gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID

    Sostituisci SHARED_HOST_PROJECT_ID con l'ID del progetto host del VPC condiviso.

  3. Concedi al account di servizio nel progetto host del VPC condiviso un ruolo IAM che contenga l'autorizzazione IAM compute.globalAddresses.get. Quindi, esegui il add-iam-policy-binding comando:

    gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME

    Sostituisci quanto segue:

    • SHARED_HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso.

    • SA_EMAIL: l'indirizzo email del account di servizio che hai creato nel progetto host del VPC condiviso.

    • ROLE_NAME: il nome del ruolo che contiene l'autorizzazione compute.globalAddresses.get. Utilizza uno dei seguenti formati:

      • Ruoli predefiniti: roles/SERVICE.IDENTIFIER
      • Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/IDENTIFIER
      • Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/IDENTIFIER

      Per un elenco dei ruoli predefiniti, consulta Informazioni sui ruoli.

Dopo aver creato il account di servizio e avergli concesso l'autorizzazione IAM, attendi qualche minuto affinché il account di servizio e l'autorizzazione vengano propagati.

Inoltre, alloca un intervallo IP IPv4 nel VPC condiviso e aggiungi la connessione di accesso privato ai servizi al VPC condiviso come descritto nella sezione precedente, Creare e configurare una rete VPC.

Creare l'istanza con connessioni private

Looker (Google Cloud core) richiede circa 60 minuti per generare una nuova istanza.

Se vuoi un'istanza con connessioni private (PSA), devi utilizzare Google Cloud CLI o Terraform e devi configurare l'istanza come connessioni private (PSA) quando la crei. Le connessioni private non possono essere aggiunte o rimosse da un'istanza dopo la creazione dell'istanza.

Per creare un'istanza con connessioni private (PSA) utilizzando Google Cloud CLI, segui questi passaggi:

  1. Se utilizzi CMEK, segui le istruzioni per creare un account di servizio, un portachiavi e una chiave prima di creare l'istanza di Looker (Google Cloud core).

  2. Utilizza il comando gcloud looker instances create per creare l'istanza:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Sostituisci quanto segue:

    • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.
    • PROJECT_ID: il nome del Google Cloud progetto in cui stai creando l'istanza di Looker (Google Cloud core).
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client OAuth e il segreto OAuth che hai creato quando hai configurato il client OAuth. Dopo aver creato l'istanza, inserisci l'URL dell'istanza nella sezione URI di reindirizzamento autorizzati del client OAuth.
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core).
    • EDITION: la versione, il tipo di ambiente (produzione o non di produzione) e se si tratta di una versione di prova per l'istanza. Per un'istanza con connessioni private (PSA), deve essere core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-enterprise, o core-trial-embed. Assicurati di scegliere lo stesso tipo di versione elencato nel tuo contratto annuale e di avere la quota allocata. Le versioni non possono essere cambiate dopo la creazione dell'istanza. Se vuoi cambiare versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
    • CONSUMER_NETWORK: la rete VPC o la rete VPC condivisa nel formato projects/PROJECT_ID/global/networks/NETWORK_NAME. Deve essere impostato se stai creando un'istanza con connessioni private (PSA).
    • RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per l'istanza di Looker (Google Cloud core).

    Puoi includere i seguenti flag:

    • --private-ip-enabled abilita le connessioni private (PSA). Questo flag deve essere incluso per creare un'istanza con connessioni private (PSA).
    • --public-ip-enabled abilita l'IP pubblico.
    • --no-public-ip-enabled disabilita l'IP pubblico.
    • --async è consigliato quando crei un'istanza di Looker (Google Cloud core).

  3. Puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza: 

      [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
          --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
  [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
          --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
          --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
  [--kms-key=KMS_KEY_ID]
  [--fips-enabled]
  [--catalog-integration-enabled]

    Sostituisci quanto segue:

    Puoi includere il flag --fips-enabled per abilitare la conformità FIPS 140-2 livello 1 o sostituire il flag --catalog-integration-enabled con il flag --no-catalog-integration-enabled per disabilitare l'integrazione di Looker (Google Cloud core) e Knowledge Catalog.

Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione dell'istanza facendo clic sull'icona delle notifiche nel menu della Google Cloud console.

Se hai scelto le connessioni ibride durante la configurazione dell'istanza, puoi configurare l'accesso in entrata tramite l'URL web dell'istanza. Questo URL è disponibile nella pagina Istanze della Google Cloud console o nella scheda Dominio personalizzato della pagina dei dettagli dell'istanza, se hai configurato un dominio personalizzato. Puoi configurare una lista consentita di IP per limitare le connessioni in entrata al traffico proveniente da determinati indirizzi IP.

Se crei un'istanza solo con connessioni private (PSA), nella pagina Istanze non verrà visualizzato un URL. Per ulteriori informazioni su come configurare l'accesso all'istanza con connessioni private (PSA), consulta la sezione seguente Accedere a un'istanza con accesso privato ai servizi dopo la creazione.

Accedere a un'istanza con accesso privato ai servizi dopo la creazione

Se crei un'istanza abilitata solo per le connessioni private, non riceverai un URL per l'istanza. Per accedere all'istanza, devi configurare un dominio personalizzato per l'istanza e aggiungere questo dominio personalizzato alle credenziali OAuth dell'istanza. Segui le istruzioni riportate nella pagina della documentazione Accedere a un'istanza di Looker (Google Cloud core) utilizzando l'accesso privato ai servizi per creare e accedere a un dominio personalizzato.

Se crei un'istanza che utilizza una configurazione di rete ibrida, segui le istruzioni riportate nella pagina della documentazione Configurare un dominio personalizzato per un'istanza di Looker (Google Cloud core) che utilizza connessioni pubbliche per creare e accedere a un dominio personalizzato.

Passaggi successivi