Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Criar uma instância do Looker (Google Cloud Core) com conexões seguras públicas

Esta página discute como provisionar uma instância de produção ou não produção do Looker (Google Cloud Core) configurada para conexões seguras públicas.

Se você quiser criar uma instância de conexões particulares, a configuração precisa ser atribuída na criação da instância. Para instruções sobre como criar uma instância de conexões particulares, siga o procedimento nas páginas de documentação Criar uma instância do Looker (Google Cloud Core) do Private Service Connect ou Criar uma instância do Looker (Google Cloud Core) de conexões particulares (acesso a serviços particulares) em vez do procedimento a seguir.

Antes de começar

Trabalhe com a equipe de vendas para garantir que seu contrato anual seja concluído e que você tenha cota alocada no projeto.
Verifique se o faturamento está ativado para o projeto do Google Cloud .
No console do Google Cloud, na página do seletor de projetos, crie um Google Cloud projeto ou navegue até um já existente.
Acessar o seletor de projetos
Ative a API Looker para seu projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.
Ativar a API

Cuidado:desativar a API Looker após a criação da instância vai afetar os recursos do Looker (Google Cloud Core). Por exemplo, desativar a API vai desativar a capacidade de criar backups de instâncias.
Se você quiser usar VPC Service Controls, crie uma instância de conexões particulares (acesso a serviços particulares) em vez de uma instância de conexão segura pública.

Funções exigidas

Para receber as permissões necessárias para criar uma instância do Looker (Google Cloud Core), peça ao administrador para conceder a você o papel do IAM de Administrador do Looker (roles/looker.admin) no projeto em que a instância vai residir. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Talvez você também precise de outros papéis do IAM se quiser configurar chaves de criptografia gerenciadas pelo cliente (CMEK). Acesse a página Controle de acesso com o IAM da documentação do Cloud Key Management Service para saber mais.

Criar uma instância do Looker (Google Cloud Core)

O Looker (Google Cloud Core) leva aproximadamente 60 minutos para gerar uma nova instância.

Para criar sua instância do Looker (Google Cloud Core), selecione uma das seguintes opções:

Console

Navegue até a página do produto Looker (Google Cloud Core) no seu projeto no console do Google Cloud. Se você já tiver criado uma instância do Looker (Google Cloud Core) nesse projeto, a página Instâncias será aberta.
Acessar o Looker (Google Cloud Core)
Clique em CRIAR INSTÂNCIA.
Na seção Nome da instância, dê um nome para sua instância do Looker (Google Cloud Core). O nome da instância não está associado ao URL da instância do Looker (Google Cloud Core) depois que ela é criada. O nome da instância não pode ser alterado após a criação da instância.
Na seção Região, selecione a opção adequada no menu suspenso para hospedar sua instância do Looker (Google Cloud Core). Selecione a região que corresponde à região no contrato de assinatura, que é onde a cota do seu projeto está alocada. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core). Não é possível mudar a região depois que a instância é criada.
Na seção Edição, defina a edição da instância de acordo com as necessidades da sua organização. O tipo de edição afeta alguns dos recursos disponíveis para a instância. Escolha o mesmo tipo de edição listado no seu contrato anual e verifique se você tem cota alocada para esse tipo de edição. Estas são as opções de edição:
- Standard: plataforma Looker (Google Cloud Core) para pequenas organizações ou equipes com menos de 50 usuários
- Enterprise: plataforma Looker (Google Cloud Core) com recursos de segurança reforçada para atender a uma ampla variedade de casos de uso internos de BI e análise
- Embed: plataforma Looker (Google Cloud Core) para implantar e manter análises externas confiáveis e aplicativos personalizados em escala
- Edições de não produção: se você quiser um ambiente de preparação e teste, selecione uma das edições de não produção. Para mais informações, consulte a documentação Instâncias de não produção.
- Edições de teste: uma edição de teste tem o mesmo suporte a recursos que a edição de produção correspondente, com a exceção de que as edições de teste são válidas por 90 dias.
Não é possível alterar as edições depois que uma instância é criada. Se você quiser mudar uma edição, use a importação e a exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.

Dica: se o projeto não tiver cota, não será possível selecionar um tipo de edição. Entre em contato com a equipe de vendas para alocar cotas ao projeto.
Na seção Personalizar a instância, clique em Mostrar opções de configuração para exibir um grupo de configurações extras que podem ser personalizadas para a instância.
Na seção Conexões, selecione Usar conexões seguras públicas. Uma configuração de conexão segura pública atribui um endereço IP externo acessível pela Internet e está disponível para todos os tipos de edição.

Observação: se você estiver criando uma edição Enterprise e Embed, também poderá usar uma conexão particular, que usa um URI do Private Service Connect (PSC) e endpoints do PSC para conexões de saída, ou uma conexão híbrida, que terá um URL público e usará endpoints do PSC para conexões de saída. Se você quiser usar uma conexão particular ou híbrida, siga as etapas na página de documentação Criar uma instância do Looker (Google Cloud Core) do Private Service Connect.
Se você estiver criando uma instância da edição Enterprise ou Embed, a seção Criptografia será exibida. Na seção Criptografia, selecione o tipo de criptografia a ser usado na instância. As seguintes opções de criptografia estão disponíveis:
- Google-managed encryption key: essa opção é a padrão e não requer nenhuma configuração extra.
- Chave de criptografia gerenciada pelo cliente (CMEK): consulte a página de documentação Como usar chaves de criptografia gerenciadas pelo cliente com o Looker (Google Cloud Core) para mais informações sobre a CMEK e como configurá-la durante a criação da instância. Não é possível mudar o tipo de criptografia após a criação da instância.
- Ativar a criptografia validada FIPS 140-2: consulte a página de documentação Ativar a conformidade com o nível 1 do FIPS 140-2 em uma instância do Looker (Google Cloud Core) para mais informações sobre o suporte do FIPS 140-2 no Looker (Google Cloud Core).
Na seção Janela de manutenção, você pode especificar o dia da semana e a hora em que o Looker (Google Cloud Core) programa a manutenção. As janelas de manutenção duram uma hora. Por padrão, a opção Janela preferencial na Janela de manutenção está definida como Qualquer janela.
Na seção Período de bloqueio de manutenção, você pode especificar um bloco de dias em que o Looker (Google Cloud Core) não programa a manutenção. Os períodos de bloqueio de manutenção podem ser de até 60 dias. É preciso oferecer pelo menos 14 dias de disponibilidade de manutenção entre dois períodos de bloqueio de manutenção.
Na seção Gemini no Looker, você pode disponibilizar os recursos do Gemini no Looker para a instância do Looker (Google Cloud Core). Para ativar o Gemini no Looker, selecione Gemini e, em seguida, selecione Recursos do Trusted Tester. Quando os Recursos do Trusted Tester estão ativados, os usuários podem acessar os recursos do Trusted Tester do Gemini no Looker. Você pode solicitar acesso aos recursos não públicos do trusted tester enviando o formulário de pré-lançamento do Gemini no Looker para cada usuário. É necessário ativar essa configuração para usar o Gemini durante a prévia de pré-GA. Opcionalmente, selecione Uso de dados do Trusted Tester. Quando essa configuração está ativada, você concorda que seus dados sejam usados pelo Google, conforme descrito nos termos do Gemini para Google Cloud Programa Trusted Tester.Para desativar o Gemini para uma instância do Looker (Google Cloud Core), desmarque a configuração Gemini.
Na seção Integração do catálogo universal, você pode desmarcar a caixa de seleção Ativar a integração do catálogo se não quiser que o Looker (Google Cloud Core) seja integrado ao Knowledge Catalog. O Looker (Google Cloud Core) e o Knowledge Catalog são integrados por padrão. Observação: a integração entre o Looker (Google Cloud Core) e o Knowledge Catalog está em pré-lançamento. Os produtos e recursos pré-GA estão disponíveis "no estado em que se encontram" e podem ter suporte limitado.
Clique em Criar.

gcloud

Se você estiver usando CMEK, então crie a conta de serviço do Looker e siga as instruções para configurar a CMEK primeiro.
Use o comando gcloud looker instances create para criar a instância:
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE] \
--public-ip-enabled \
--async
```
Substitua:
- INSTANCE_NAME: um nome para sua instância do Looker (Google Cloud Core); não está associado ao URL da instância.
- PROJECT_ID: o nome do Google Cloud projeto em que você está criando a instância do Looker (Google Cloud Core).
- REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada. Selecione a região que corresponde à região no contrato de assinatura. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core). Não é possível mudar a região depois que a instância é criada.
- EDITION: a edição, o tipo de ambiente (produção ou não produção) e se essa é uma edição de teste para a instância. Os valores possíveis são core-standard-annual, core-enterprise-annual, core-embed-annual, nonprod-core-standard-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-standard, core-trial-enterprise ou core-trial-embed. Não é possível alterar as edições depois que uma instância é criada. Se você quiser mudar uma edição, use a importação e a exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.
- CONSUMER_NETWORK: sua rede VPC ou VPC compartilhada. Precisa ser definido se você estiver criando uma instância de conexões particulares.
- RESERVED_RANGE: o intervalo de endereços IP na VPC em que o Google vai provisionar uma sub-rede para sua instância do Looker (Google Cloud Core). Não defina um intervalo se estiver ativando uma conexão de rede particular para sua instância.
Inclua também estas flags:
- --public-ip-enabled é usado para ativar a conexão segura pública.
- --async é recomendado ao criar uma instância do Looker (Google Cloud Core).
É possível adicionar mais parâmetros para aplicar outras configurações da instância:
```
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
```
Substitua:
- MAINTENANCE_WINDOW_DAY: precisa ser um dos seguintes valores: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Consulte a página de documentação Gerenciar políticas de manutenção para o Looker (Google Cloud Core) para mais informações sobre as configurações da janela de manutenção.
- MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: precisam estar no horário UTC no formato de 24 horas (por exemplo, 13:00, 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: precisam estar no formato YYYY-MM-DD.
- KMS_KEY_ID: precisa ser a chave criada ao configurar chaves de criptografia gerenciadas pelo cliente (CMEK).
Você pode incluir a flag --fips-enabled para ativar a conformidade com o nível 1 do FIPS 140-2 ou substituir a flag --catalog-integration-enabled pela flag --no-catalog-integration-enabled para desativar a integração do Looker (Google Cloud Core) e do Knowledge Catalog.

Dica: é necessário ter cota para o tipo de edição adequado para criar uma instância. Se você não tiver cota, entre em contato com a equipe de vendas para alocar cotas ao projeto.

Terraform

Use o seguinte recurso do Terraform para provisionar uma instância Standard do Looker (Google Cloud Core) com funcionalidade básica:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Use o seguinte recurso do Terraform para provisionar uma instância Standard do Looker (Google Cloud Core) com configurações extras aplicadas:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Use o seguinte recurso do Terraform para provisionar uma instância Enterprise do Looker (Google Cloud Core) com uma conexão de rede particular:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

A criação da instância não pode ser pausada ou encerrada depois de iniciada. Quando o recurso do Terraform for provisionado, o terminal vai imprimir a seguinte mensagem:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]

Apply complete! Resources: X added, X changed, X destroyed.

Para conferir o status da nova instância, que receberá um nome gerado aleatoriamente, acesse a página Instâncias no console.

À medida que a instância é criada, você pode conferir o status dela na página Instâncias no console. Também é possível conferir a atividade de criação da instância clicando no ícone de notificações no menu do Google Cloud console.

Depois que a instância de conexão segura pública for criada, o URL público da instância vai aparecer na coluna URL da instância da página Instâncias.

Depois que a instância for criada, você poderá acessá-la navegando até o URL da instância, que será mostrado na página Instâncias, e fazer login com o Google.

É possível editar as configurações da instância, incluindo a adição de credenciais OAuth manuais, se quiser, acessando a página de detalhes da instância e clicando em Editar.