Looker (Google Cloud Core)-Instanz mit öffentlichen verschlüsselten Verbindungen erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Looker-Produktionsinstanz (Google Cloud Core) oder eine Looker-Nichtproduktionsinstanz (Google Cloud Core) bereitstellen, die für öffentliche sichere Verbindungen konfiguriert ist.

Wenn Sie eine Instanz mit privaten Verbindungen erstellen möchten, muss die Konfiguration beim Erstellen der Instanz zugewiesen werden. Eine Anleitung zum Erstellen einer Instanz mit privaten Verbindungen finden Sie auf den Dokumentationsseiten Looker-Instanz (Google Cloud Core) mit Private Service Connect erstellen oder auf den Looker-Instanz (Google Cloud Core) mit privaten Verbindungen (privater Zugriff auf Dienste) erstellen. Folgen Sie stattdessen der folgenden Anleitung.

Hinweis

Wenden Sie sich an den Vertrieb, um sicherzustellen, dass Ihr Jahresvertrag abgeschlossen ist und Sie in Ihrem Projekt ein Kontingent zugewiesen haben.
Achten Sie darauf, dass die Abrechnung für Ihr Google Cloud Projekt inaktiviert ist.
Erstellen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud Projekt oder rufen Sie ein vorhandenes Projekt auf.
Zur Projektauswahl
Aktivieren Sie die Looker API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie die Seite der Console möglicherweise aktualisieren, um zu bestätigen, dass die API aktiviert wurde.
API aktivieren

Achtung:Wenn Sie die Looker API nach dem Erstellen der Instanz deaktivieren, wirkt sich das auf die Looker-Funktionen (Google Cloud Core) aus. Wenn Sie die API deaktivieren, können Sie beispielsweise keine Instanzsicherungen erstellen.
Richten Sie einen OAuth-Client ein und erstellen Sie Autorisierungsanmeldedaten. Mit dem OAuth-Client können Sie sich authentifizieren und auf die Instanz zugreifen. Sie müssen OAuth einrichten, um eine Looker-Instanz (Google Cloud Core) zu erstellen, auch wenn Sie eine andere Authentifizierungsmethode verwenden, um Nutzer in Ihrer Instanz zu authentifizieren.
Wenn Sie VPC Service Controls verwenden möchten, müssen Sie eine Instanz mit privaten Verbindungen (privater Zugriff auf Dienste) anstelle einer Instanz mit öffentlichen sicheren Verbindungen erstellen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker-Administrator (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befinden soll, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Looker-Instanz (Google Cloud Core) benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Möglicherweise benötigen Sie auch zusätzliche IAM-Rollen, wenn Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-managed Encryption Keys, CMEK) einrichten möchten. Weitere Informationen finden Sie auf der Seite Zugriffssteuerung mit IAM in der Cloud Key Management Service-Dokumentation.

Looker-Instanz (Google Cloud Core) erstellen

Looker (Google Cloud Core) erfordert etwa 60 Minuten, um eine neue Instanz zu generieren.

Wählen Sie eine der folgenden Optionen aus, um Ihre Looker-Instanz (Google Cloud Core) zu erstellen:

Console

Rufen Sie in der Google Cloud Console in Ihrem Projekt die Looker-Produktseite (Google Cloud Core) auf. Wenn Sie in diesem Projekt bereits eine Looker-Instanz (Google Cloud Core) erstellt haben, wird die Seite Instanzen geöffnet.
Looker (Google Cloud Core) aufrufen
Klicken Sie auf INSTANZ ERSTELLEN.
Geben Sie im Abschnitt Instanzname einen Namen für Ihre Looker-Instanz (Google Cloud Core) ein. Der Instanzname ist nach dem Erstellen nicht mit der URL der Looker-Instanz (Google Cloud Core) verknüpft. Der Instanzname kann nach dem Erstellen der Instanz nicht mehr geändert werden.
Geben Sie im Abschnitt Anmeldedaten für OAuth-Anwendung die OAuth-Client-ID und das OAuth-Secret ein, die Sie unter OAuth-Client einrichten erstellt haben.
Wählen Sie im Abschnitt Region die gewünschte Option aus dem Drop-down-Menü aus, um Ihre Looker-Instanz (Google Cloud Core) zu hosten. Wählen Sie die Region aus, die der Region im Abovertrag entspricht, da dort das Kontingent für Ihr Projekt zugewiesen wird. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker-Standorte (Google Cloud Core) aufgeführt. Sie können die Region nicht mehr ändern, nachdem die Instanz erstellt wurde.
Legen Sie im Abschnitt Version die Instanzversion entsprechend den Anforderungen Ihrer Organisation fest. Der Versionstyp wirkt sich auf einige der für die Instanz verfügbaren Funktionen aus. Achten Sie darauf, dass Sie denselben Versionstyp auswählen, der in Ihrem Jahresvertrag aufgeführt ist, und dass Sie ein Kontingent für diesen Versionstyp zugewiesen haben. Folgende Versionen sind verfügbar:
- Standard: Looker-Plattform (Google Cloud Core) für kleine Organisationen oder Teams mit weniger als 50 Nutzern
- Enterprise: Looker-Plattform (Google Cloud Core) mit erweiterten Sicherheitsfunktionen für eine Vielzahl interner BI- und Analyseanwendungsfälle
- Embed: Looker-Plattform (Google Cloud Core) zum Bereitstellen und Verwalten vieler zuverlässiger externer Analysen und benutzerdefinierter Anwendungen
- Nichtproduktionsversionen: Wenn Sie eine Staging- und Testumgebung benötigen, wählen Sie eine der Nichtproduktionsversionen aus. Weitere Informationen finden Sie in der Dokumentation zu Nichtproduktionsinstanzen.
- Testversionen: Eine Testversion bietet dieselbe Funktionsunterstützung wie die entsprechende Produktionsversion. Testversionen sind jedoch 90 Tage lang gültig.
Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie eine Version ändern möchten, können Sie Ihre Looker-Instanzdaten (Google Cloud Core) mit Importieren und Exportieren in eine neue Instanz verschieben, die mit einer anderen Version konfiguriert ist.

**Tipp**: Wenn Ihr Projekt kein Kontingent hat, können Sie keinen Versionstyp auswählen. Wenden Sie sich an den Vertrieb, um Ihrem Projekt ein Kontingent zuteilen zu lassen.
Klicken Sie im Abschnitt Instanz anpassen auf Konfigurationsoptionen einblenden , um eine Gruppe zusätzlicher Einstellungen anzuzeigen, die Sie für die Instanz anpassen können.
Wählen Sie im Abschnitt Verbindungen die Option Öffentliche verschlüsselte Verbindungen verwenden aus. Mit der Einstellung für öffentliche sichere Verbindungen wird eine externe, über das Internet zugängliche IP-Adresse zugewiesen. Sie ist für alle Versionstypen verfügbar.

Hinweis: Wenn Sie eine Enterprise- oder Embed-Version erstellen, können Sie auch eine private Verbindung verwenden, die einen PSC-URI (Private Service Connect) und PSC-Endpunkte für ausgehende Verbindungen verwendet, oder eine Hybridverbindung, die eine öffentliche URL hat und PSC-Endpunkte für ausgehende Verbindungen verwendet. Wenn Sie eine private oder Hybridverbindung verwenden möchten, folgen Sie der Anleitung auf der Dokumentationsseite Looker-Instanz (Google Cloud Core) mit Private Service Connect erstellen.
Wenn Sie eine Instanz der Version Enterprise oder Embed erstellen, wird der Abschnitt Verschlüsselung angezeigt. Im Abschnitt Verschlüsselung können Sie den Verschlüsselungstyp auswählen, der für Ihre Instanz verwendet werden soll. Folgende Verschlüsselungsoptionen sind verfügbar:
- Google-managed encryption key: Diese Option ist die Standardeinstellung und erfordert keine zusätzliche Konfiguration.
- Vom Kunden verwalteter Verschlüsselungsschlüssel (Customer-managed Encryption Key, CMEK): Weitere Informationen zu CMEK und zur Konfiguration beim Erstellen der Instanz finden Sie auf der Dokumentationsseite Kundenverwaltete Verschlüsselungsschlüssel mit Looker (Google Cloud Core) verwenden. Der Verschlüsselungstyp kann nach dem Erstellen der Instanz nicht mehr geändert werden.
- **FIPS 140-2-validierte Verschlüsselung aktivieren**: Weitere Informationen zur FIPS 140-2-Unterstützung in Looker (Google Cloud Core) finden Sie auf der Dokumentationsseite FIPS 140-2-Konformität der Stufe 1 für eine Looker-Instanz (Google Cloud Core) aktivieren.
Im Abschnitt Wartungsfenster können Sie optional den Wochentag und die Stunde angeben, zu der Looker (Google Cloud Core) die Wartung plant. Wartungsfenster dauern eine Stunde. Standardmäßig ist die Option Bevorzugtes Fenster unter Wartungsfenster auf Beliebiges Fenster festgelegt.
Im Abschnitt Zeitraum für Wartungsausschluss können Sie optional einen Zeitraum angeben, in dem Looker (Google Cloud Core) keine Wartung plant. Zeiträume für Wartungsausschlüsse können bis zu 60 Tage lang sein. Zwischen zwei Zeiträumen für Wartungsausschlüsse müssen mindestens 14 Tage liegen, in denen die Wartung möglich ist.
Im Abschnitt Gemini in Looker können Sie optional Gemini in Looker-Funktionen für die Looker-Instanz (Google Cloud Core) verfügbar machen. Wenn Sie Gemini in Looker aktivieren möchten, wählen Sie Gemini und dann Trusted Tester-Funktionen aus. Wenn Trusted Tester-Funktionen aktiviert ist, können Nutzer auf die Trusted Tester-Funktionen von Gemini in Looker zugreifen. Sie können den Zugriff auf nicht öffentliche Trusted Tester-Funktionen über das Formular für die Vorabversion von Gemini in Looker auf Nutzerbasis anfordern. Sie müssen diese Einstellung aktivieren, um Gemini während der Vorabversion vor der allgemeinen Verfügbarkeit zu verwenden. Optional können Sie Trusted Tester-Datennutzung auswählen. Wenn diese Einstellung aktiviert ist, stimmen Sie zu, dass Ihre Daten von Google gemäß den Nutzungsbedingungen für Gemini im Rahmen des Google Cloud Trusted Tester-Programms verwendet werden. Wenn Sie Gemini für eine Looker-Instanz (Google Cloud Core) deaktivieren möchten, deaktivieren Sie die Einstellung Gemini.
Im Abschnitt Universelle Katalogintegration können Sie optional das Kästchen Katalogintegration aktivieren deaktivieren, wenn Looker (Google Cloud Core) nicht in Dataplex Universal Catalog integriert werden soll. Looker (Google Cloud Core) und Dataplex Universal Catalog sind standardmäßig integriert. Hinweis: Die Integration zwischen Looker (Google Cloud Core) und Dataplex Universal Catalog ist in der Vorabversion verfügbar. Pre-GA-Produkte und -Features sind "im Ist-Zustand" verfügbar und bieten möglicherweise nur eingeschränkten Support.
Klicken Sie auf Erstellen.

gcloud

Wenn Sie CMEK verwenden, erstellen Sie zuerst das Looker-Dienstkonto und folgen Sie der Anleitung zum Einrichten von CMEK.
Erstellen Sie die Instanz mit dem Befehl gcloud looker instances create:
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]
[--async]
```
Ersetzen Sie Folgendes:
- INSTANCE_NAME: ein Name für Ihre Looker-Instanz (Google Cloud Core). Er ist nicht mit der Instanz-URL verknüpft.
- PROJECT_ID: der Name des Google Cloud Projekts, in dem Sie die Looker-Instanz (Google Cloud Core) erstellen.
- OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten Ihres OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, richten Sie den autorisierten Weiterleitungs-URI im zuvor erstellten OAuth-Client ein.
- REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird. Wählen Sie die Region aus, die der Region im Abovertrag entspricht. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker-Standorte (Google Cloud Core) aufgeführt. Sie können die Region nicht mehr ändern, nachdem die Instanz erstellt wurde.
- EDITION: die Version, der Umgebungstyp (Produktion oder Nichtproduktion) und ob es sich um eine Testversion für die Instanz handelt. Mögliche Werte sind core-standard-annual, core-enterprise-annual, core-embed-annual, nonprod-core-standard-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-standard, core-trial-enterprise oder core-trial-embed. Nach dem Erstellen einer Instanz sind Änderungen an Versionen nicht mehr möglich. Wenn Sie eine Version ändern möchten, können Sie Ihre Looker-Instanzdaten (Google Cloud Core) mit Importieren und Exportieren in eine neue Instanz verschieben, die mit einer anderen Version konfiguriert ist.
- CONSUMER_NETWORK: Ihr VPC-Netzwerk oder Ihre freigegebene VPC. Muss festgelegt werden, wenn Sie eine Instanz mit privaten Verbindungen erstellen.
- RESERVED_RANGE: der Bereich von IP-Adressen innerhalb der VPC, in dem Google ein Subnetzwerk für Ihre Looker-Instanz (Google Cloud Core) bereitstellt. Definieren Sie keinen Bereich, wenn Sie eine Netzwerkverbindung mit privaten Verbindungen für Ihre Instanz aktivieren.
Fügen Sie auch diese Flags hinzu:
- --public-ip-enabled wird verwendet, um eine öffentliche sichere Verbindung zu aktivieren.
- --async wird empfohlen, wenn Sie eine Looker-Instanz (Google Cloud Core) erstellen.
Sie können weitere Parameter hinzufügen, um andere Instanzeinstellungen anzuwenden:
```
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
```
Ersetzen Sie Folgendes:
- MAINTENANCE_WINDOW_DAY: muss einer der folgenden Werte sein: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Weitere Informationen zu den Einstellungen für das Wartungsfenster finden Sie auf der Dokumentationsseite Wartungsrichtlinien für Looker (Google Cloud Core) verwalten.
- MAINTENANCE_WINDOW_TIME und DENY_MAINTENANCE_PERIOD_TIME: müssen in UTC im 24-Stunden-Format angegeben werden (z. B. 13:00, 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE und DENY_MAINTENANCE_PERIOD_END_DATE: müssen im Format YYYY-MM-DD angegeben werden.
- KMS_KEY_ID: muss der Schlüssel sein, der beim Einrichten von kundenverwalteten Verschlüsselungsschlüsseln (CMEK) erstellt wird.
Sie können das --fips-enabled Flag hinzufügen, um die FIPS 140-2-Konformität der Stufe 1 zu aktivieren, oder das --catalog-integration-enabled Flag durch das --no-catalog-integration-enabled Flag ersetzen, um die Integration von Looker (Google Cloud Core) und Dataplex Universal Catalog zu deaktivieren.

Tipp: Sie benötigen ein Kontingent für den entsprechenden Versionstyp, um eine Instanz zu erstellen. Wenn Sie kein Kontingent haben, wenden Sie sich an den Vertrieb, um Ihrem Projekt ein Kontingent zuteilen zu lassen.

Terraform

Verwenden Sie die folgende Terraform Ressource, um eine Standard Looker-Instanz (Google Cloud Core) mit grundlegenden Funktionen bereitzustellen:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Verwenden Sie die folgende Terraform Ressource, um eine Standard Looker-Instanz (Google Cloud Core) mit zusätzlichen Einstellungen bereitzustellen:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Verwenden Sie die folgende Terraform Ressource, um eine Enterprise Looker-Instanz (Google Cloud Core) mit einer privaten Netzwerkverbindung bereitzustellen:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Das Erstellen einer Instanz kann nach dem Start nicht mehr pausiert oder beendet werden. Wenn Ihre Terraform-Ressource erfolgreich bereitgestellt wurde, wird in Ihrem Terminal die folgende Meldung angezeigt:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]

Apply complete! Resources: X added, X changed, X destroyed.

Den Status Ihrer neuen Instanz, der ein zufällig generierter Name zugewiesen wird, finden Sie in der Console auf der Seite Instanzen.

Während die Instanz erstellt wird, können Sie ihren Status in der Console auf der Seite Instanzen sehen. Sie können die Aktivität zum Erstellen der Instanz auch aufrufen, indem Sie im Google Cloud Console-Menü auf das Benachrichtigungssymbol klicken.

Nachdem die Instanz mit öffentlicher sicherer Verbindung erstellt wurde, wird die öffentliche URL der Instanz in der Spalte Instanz-URL auf der Seite Instanzen angezeigt.

Nachdem die Instanz erstellt wurde, richten Sie den autorisierten Weiterleitungs-URI im zuvor erstellten OAuth-Client ein.

Nachdem die Instanz erstellt wurde und Sie die OAuth-Einrichtung abgeschlossen haben, können Sie die Instanz aufrufen, indem Sie zur Instanz-URL navigieren, die auf der Seite Instanzen angezeigt wird.