Crea un'istanza di Looker (Google Cloud core) con connessioni sicure pubbliche

Questa pagina illustra come eseguire il provisioning di un'istanza di produzione o non di produzione di Looker (Google Cloud core) configurata per connessioni sicure pubbliche.

Se vuoi creare un'istanza di connessioni private, la configurazione deve essere assegnata al momento della creazione dell'istanza. Per istruzioni su come creare un'istanza di connessioni private, segui la procedura nelle pagine della documentazione Crea un'istanza di Looker (Google Cloud core) Private Service Connect o Crea un'istanza di Looker (Google Cloud core) con connessioni private (accesso privato ai servizi) anziché la seguente procedura.

Prima di iniziare

  1. Collabora con il team di vendita per assicurarti che il contratto annuale sia stato completato e che la quota sia stata allocata nel tuo progetto.
  2. Assicurati che la fatturazione sia abilitata per il tuo Google Cloud progetto.
  3. Nella console Google Cloud, nella pagina di selezione del progetto, crea un Google Cloud progetto o vai a uno esistente.

    Vai al selettore di progetti

  4. Abilita l'API Looker per il tuo progetto nella console Google Cloud. Quando abiliti l'API, potrebbe essere necessario aggiornare la pagina della console per verificare che l'API sia stata abilitata.

    Abilita l'API

  5. Configura un client OAuth e crea le credenziali di autorizzazione. Il client OAuth ti consente di eseguire l'autenticazione e accedere all'istanza. Devi configurare OAuth per creare un'istanza di Looker (Google Cloud core), anche se utilizzi un metodo di autenticazione diverso per autenticare gli utenti nella tua istanza.
  6. Se vuoi utilizzare Controlli di servizio VPC, devi creare un'istanza di connessioni private (accesso privato ai servizi) anziché un'istanza di connessioni sicure pubbliche.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti il ruolo IAM Amministratore di Looker (roles/looker.admin) nel progetto in cui risiederà l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Potresti anche aver bisogno di ruoli IAM aggiuntivi se vuoi configurare le chiavi di crittografia gestite dal cliente (CMEK). Per saperne di più, visita la pagina Controllo dell'accesso con IAM della documentazione di Cloud Key Management Service.

Crea un'istanza di Looker (Google Cloud core)

Looker (Google Cloud core) richiede circa 60 minuti per generare una nuova istanza.

Per creare l'istanza di Looker (Google Cloud core), seleziona una delle seguenti opzioni:

console

  1. Vai alla pagina del prodotto Looker (Google Cloud core) dal tuo progetto nella console Google Cloud. Se hai già creato un'istanza di Looker (Google Cloud core) in questo progetto, si aprirà la pagina Istanze.

    Vai a Looker (Google Cloud core)

  2. Fai clic su CREA ISTANZA.
  3. Nella sezione Nome istanza, fornisci un nome per l'istanza di Looker (Google Cloud core). Il nome dell'istanza non è associato all'URL dell'istanza di Looker (Google Cloud core) una volta creata. Il nome dell'istanza non può essere modificato dopo la creazione dell'istanza.
  4. Nella sezione Credenziali applicazione OAuth inserisci ID client OAuth e Segreto OAuth che hai creato quando hai configurato il client OAuth.
  5. Nella sezione Regione, seleziona l'opzione appropriata dal menu a discesa per ospitare l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento, poiché è qui che viene allocata la quota per il tuo progetto. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core). Non puoi modificare la regione dopo aver creato l'istanza.

  6. Nella sezione Versione, imposta la versione dell'istanza in base alle esigenze della tua organizzazione. Il tipo di versione influisce su alcune delle funzionalità disponibili per l'istanza. Assicurati di scegliere lo stesso tipo di versione elencato nel tuo contratto annuale e che tu abbia quota allocata per quel tipo di versione. Queste sono le opzioni di versione:

    • Standard: piattaforma Looker (Google Cloud core) per piccole organizzazioni o team con meno di 50 utenti
    • Enterprise: piattaforma Looker (Google Cloud core) con funzionalità di sicurezza avanzate per gestire un'ampia gamma di casi d'uso interni per BI e analisi
    • Embed: piattaforma Looker (Google Cloud core) per il deployment e la gestione di applicazioni esterne di analisi e personalizzate su larga scala
    • Versioni non di produzione: se vuoi un ambiente di gestione temporanea e test, seleziona una delle versioni non di produzione. Per saperne di più, consulta la documentazione Istanze non di produzione.
    • Versioni di prova: una versione di prova ha lo stesso supporto delle funzionalità della versione di produzione corrispondente, con l'eccezione che le versioni di prova sono valide per 90 giorni.

    Le versioni non possono essere cambiate dopo la creazione dell'istanza. Se vuoi cambiare versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.

  7. Nella sezione Personalizza la tua istanza, fai clic su Mostra opzioni di configurazione per visualizzare un gruppo di impostazioni aggiuntive che puoi personalizzare per l'istanza.

  8. Nella sezione Connessioni, seleziona Utilizza connessioni sicure pubbliche. Un'impostazione di connessione sicura pubblica assegna un indirizzo IP esterno accessibile da internet ed è disponibile per tutti i tipi di versione.

  9. Se stai creando un'istanza della versione Enterprise o Embed, vedrai la sezione Crittografia. Nella sezione Crittografia, puoi selezionare il tipo di crittografia da utilizzare nell'istanza. Sono disponibili le seguenti opzioni di crittografia:

  10. Nella sezione Periodo di manutenzione, puoi facoltativamente specificare il giorno della settimana e l'ora in cui Looker (Google Cloud core) pianifica la manutenzione. I periodi di manutenzione durano un'ora. Per impostazione predefinita, l'opzione Periodo preferito in Periodo di manutenzione è impostata su Qualsiasi periodo.

  11. Nella sezione Periodo in cui evitare la manutenzione, puoi facoltativamente specificare un blocco di giorni in cui Looker (Google Cloud core) non pianifica la manutenzione. I periodi in cui evitare la manutenzione possono durare fino a 60 giorni. Devi consentire almeno 14 giorni di disponibilità per la manutenzione tra due periodi in cui evitare la manutenzione.

  12. Nella sezione Gemini in Looker, puoi facoltativamente rendere disponibili le funzionalità di Gemini in Looker per l'istanza di Looker (Google Cloud core). Per attivare Gemini in Looker, seleziona Gemini, quindi Funzionalità Trusted Tester. Quando l'opzione Funzionalità Trusted Tester è attiva, gli utenti possono accedere alle funzionalità di Trusted Tester di Gemini in Looker. Puoi richiedere l'accesso alle funzionalità Trusted Tester non pubbliche tramite il modulo di anteprima di Gemini in Looker per singoli utenti. Devi attivare questa impostazione per utilizzare Gemini durante l'anteprima pre-GA. Facoltativamente, seleziona Utilizzo dei dati di Trusted Tester. Quando questa impostazione è attiva, acconsenti all'utilizzo dei tuoi dati da parte di Google come descritto nei termini del programma Trusted Tester di Gemini Google Cloud . Per disattivare Gemini per un'istanza di Looker (Google Cloud core), deseleziona l'impostazione Gemini.

  13. Nella sezione Integrazione con Universal Catalog, puoi facoltativamente deselezionare la casella di controllo Attiva l'integrazione con Catalog se non vuoi che Looker (Google Cloud core) si integri con Dataplex Universal Catalog. Looker (Google Cloud core) e Dataplex Universal Catalog sono integrati per impostazione predefinita. Nota: l'integrazione tra Looker (Google Cloud core) e Dataplex Universal Catalog è in anteprima. I prodotti e le funzionalità pre-GA sono disponibili "così come sono" e potrebbero avere un supporto limitato.

  14. Fai clic su Crea.

gcloud

  1. Se utilizzi CMEK, allora crea prima il service account Looker e segui le istruzioni per configurare CMEK.

  2. Utilizza il comando gcloud looker instances create per creare l'istanza:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]
[--async]

    Sostituisci quanto segue:

    • INSTANCE_NAME: un nome per l'istanza di Looker (Google Cloud core); non è associato all'URL dell'istanza.
    • PROJECT_ID: il nome del Google Cloud progetto in cui stai creando l'istanza di Looker (Google Cloud core).
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: l'ID client OAuth e il segreto OAuth che hai creato quando hai configurato il client OAuth. Dopo aver creato l'istanza, configura l'URI di reindirizzamento autorizzato nel client OAuth che hai creato in precedenza.
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core). Seleziona la regione corrispondente a quella del contratto di abbonamento. Le regioni disponibili sono elencate nella pagina della documentazione Località di Looker (Google Cloud core). Non puoi modificare la regione dopo aver creato l'istanza.
    • EDITION: la versione, il tipo di ambiente (produzione o non di produzione) e se si tratta di una versione di prova per l'istanza. I valori possibili sono core-standard-annual, core-enterprise-annual, core-embed-annual, nonprod-core-standard-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-standard, core-trial-enterprise o core-trial-embed. Le versioni non possono essere cambiate dopo la creazione dell'istanza. Se vuoi cambiare versione, puoi utilizzare l'importazione e l'esportazione per spostare i dati dell'istanza di Looker (Google Cloud core) in una nuova istanza configurata con una versione diversa.
    • CONSUMER_NETWORK: la tua rete VPC o il VPC condiviso. Deve essere impostato se stai creando un'istanza di connessioni private.
    • RESERVED_RANGE: l'intervallo di indirizzi IP all'interno del VPC in cui Google eseguirà il provisioning di una subnet per l'istanza di Looker (Google Cloud core). Non definire un intervallo se stai abilitando una connessione di rete di connessioni private per l'istanza.

    Includi anche questi flag:

    • --public-ip-enabled viene utilizzato per abilitare la connessione sicura pubblica.
    • --async è consigliato quando crei un'istanza di Looker (Google Cloud core).

  3. Puoi aggiungere altri parametri per applicare altre impostazioni dell'istanza: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Sostituisci quanto segue:

    • MAINTENANCE_WINDOW_DAY: deve essere uno dei seguenti valori: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Per saperne di più sulle impostazioni del periodo di manutenzione, consulta la pagina della documentazione Gestisci le policy di manutenzione per Looker (Google Cloud core).
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: devono essere in formato UTC a 24 ore (ad esempio, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: devono essere nel formato YYYY-MM-DD.
    • KMS_KEY_ID: deve essere la chiave creata durante la configurazione delle chiavi di crittografia gestite dal cliente (CMEK).

    Puoi includere il flag --fips-enabled per abilitare la conformità FIPS 140-2 livello 1 o sostituire il flag --catalog-integration-enabled con il flag --no-catalog-integration-enabled per disabilitare l'integrazione di Looker (Google Cloud core) e Dataplex Universal Catalog.

Terraform

Utilizza la seguente risorsa Terraform per eseguire il provisioning di un'istanza di Looker (Google Cloud core) Standard con funzionalità di base:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Utilizza la seguente risorsa Terraform per eseguire il provisioning di un'istanza di Looker (Google Cloud core) Standard con impostazioni aggiuntive applicate:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Utilizza la seguente risorsa Terraform per eseguire il provisioning di un'istanza di Looker (Google Cloud core) Enterprise con una connessione di rete privata:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Una volta avviata, la creazione dell'istanza non può essere messa in pausa o terminata. Una volta eseguito il provisioning della risorsa Terraform, il terminale stamperà il seguente messaggio:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]


Apply complete! Resources: X added, X changed, X destroyed.

Per visualizzare lo stato della nuova istanza, a cui verrà assegnato un nome generato in modo casuale, visita la pagina Istanze nella console.

Durante la creazione dell'istanza, puoi visualizzarne lo stato nella pagina Istanze della console. Puoi anche visualizzare l'attività di creazione dell'istanza facendo clic sull'icona delle notifiche nel menu della Google Cloud console.

Una volta creata l'istanza di connessione sicura pubblica, l'URL pubblico dell'istanza verrà visualizzato nella colonna URL istanza della pagina Istanze.

Dopo aver creato l'istanza, configura l'URI di reindirizzamento autorizzato nel client OAuth che hai creato in precedenza.

Dopo aver creato l'istanza e completato la configurazione di OAuth, puoi visualizzare l'istanza andando all'URL dell'istanza, che verrà visualizzato nella pagina Istanze.

Passaggi successivi