יצירת מופע Looker (Google Cloud core) עם חיבורים ציבוריים מאובטחים

console

1. נכנסים לדף המוצר Looker (Google Cloud core) מהפרויקט במסוף Google Cloud. אם כבר יצרתם מופע של Looker (Google Cloud core) בפרויקט הזה, ייפתח הדף Instances.

   מעבר אל Looker (Google Cloud Core)‎

2. לוחצים על CREATE INSTANCE.
3. בקטע Instance name (שם המכונה), מציינים שם למכונה של Looker (Google Cloud core). שם המופע לא משויך לכתובת ה-URL של מופע Looker (Google Cloud Core) אחרי שהוא נוצר. אי אפשר לשנות את שם המופע אחרי שיוצרים אותו.
4. בקטע Region (אזור), בוחרים את האפשרות המתאימה מהתפריט הנפתח כדי לארח את מופע Looker (Google Cloud core). בוחרים את האזור שתואם לאזור שמופיע בחוזה המינוי, שבו מוקצה הנפח של הפרויקט. אזורים זמינים מפורטים בדף התיעוד מיקומים של Looker (Google Cloud core). אחרי שיוצרים את המופע, אי אפשר לשנות את האזור.

5. בקטע מהדורה, מגדירים את מהדורת המופע בהתאם לצרכים של הארגון. סוג המהדורה משפיע על חלק מההתכונות שזמינות במופע. חשוב לוודא שסוג המהדורה שבחרתם זהה לזה שמופיע בחוזה השנתי, ושיש לכם מכסת שימוש שהוקצתה לסוג המהדורה הזה. אלה האפשרויות של המהדורות:

   • ‫Standard: פלטפורמת Looker (Google Cloud Core) לארגונים קטנים או לצוותים עם פחות מ-50 משתמשים
   • ‫Enterprise: פלטפורמת Looker (ליבת Google Cloud) עם תכונות אבטחה משופרות לטיפול במגוון רחב של תרחישי שימוש פנימיים של BI וניתוח
   • הטמעה: פלטפורמת Looker (Google Cloud Core) לפריסה ולתחזוקה של ניתוח נתונים חיצוני אמין ואפליקציות בהתאמה אישית בהיקף נרחב
   • מהדורות שאינן מהדורות ייצור: אם אתם רוצים סביבת Staging ובדיקה, אתם יכולים לבחור אחת מהמהדורות שאינן מהדורות ייצור. מידע נוסף זמין במאמר בנושא מופעים שאינם מיועדים לסביבת ייצור.
   • מהדורות ניסיון: מהדורת ניסיון תומכת באותן תכונות כמו מהדורת הייצור התואמת, למעט העובדה שמהדורות ניסיון תקפות למשך 90 יום.

   אי אפשר לשנות את המהדורה אחרי שיוצרים את המופע. אם רוצים לשנות מהדורה, אפשר להשתמש בייבוא וייצוא כדי להעביר את נתוני מופע Looker (Google Cloud core) למופע חדש שמוגדר עם מהדורה אחרת.

6. בקטע Customize your instance (התאמה אישית של המופע), לוחצים על Show configuration options (הצגת אפשרויות ההגדרה) כדי להציג קבוצה של הגדרות נוספות שאפשר להתאים אישית למופע.

7. בקטע חיבורים, בוחרים באפשרות שימוש בחיבורים מאובטחים שגלויים לכולם. הגדרת חיבור ציבורי מאובטח מקצה כתובת IP חיצונית שאפשר לגשת אליה דרך האינטרנט, והיא זמינה לכל סוגי המהדורות.

8. אם אתם יוצרים מופע של מהדורת Enterprise או Embed, יוצג לכם הקטע הצפנה. בקטע הצפנה, אפשר לבחור את סוג ההצפנה שבו רוצים להשתמש במופע. אלה אפשרויות ההצפנה שזמינות:

   • Google-managed encryption key: האפשרות הזו מוגדרת כברירת מחדל ולא נדרשת הגדרה נוספת.
   • מפתח הצפנה בניהול הלקוח (CMEK): מידע נוסף על CMEK ועל אופן ההגדרה שלו במהלך יצירת מופע זמין במאמר שימוש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Looker (Google Cloud core). אי אפשר לשנות את סוג ההצפנה אחרי שיוצרים את המופע.
   • הפעלת הצפנה עם אימות FIPS 140-2: מידע נוסף על תמיכה ב-FIPS 140-2 ב-Looker (Google Cloud core) זמין במאמר הפעלת תאימות ל-FIPS 140-2 ברמה 1 במופע של Looker (Google Cloud core).

9. בקטע Maintenance Window (חלון תחזוקה), אפשר לציין את היום בשבוע ואת השעה שבהם Looker (Google Cloud core) יתזמן את התחזוקה. חלונות הזמן לתחזוקה נמשכים שעה אחת. כברירת מחדל, האפשרות חלון מועדף בחלון התחזוקה מוגדרת לכל חלון.

10. בקטע Deny Maintenance Period (דחיית תקופת התחזוקה), אפשר לציין טווח ימים שבהם לא מתוזמנת תחזוקה ב-Looker (Google Cloud core). אפשר לדחות את תקופות התחזוקה עד 60 יום. צריך להמתין לפחות 14 ימים בין כל 2 תקופות שבהן נדחתה בקשה לתחזוקה.

11. בקטע Gemini ב-Looker, אפשר להפעיל את התכונות של Gemini ב-Looker במופע של Looker ‏ (Google Cloud Core). כדי להפעיל את Gemini ב-Looker, בוחרים באפשרות Gemini ואז באפשרות תכונות של בודקים נאמנים. כשהאפשרות תכונות של בודקים נאמנים מופעלת, המשתמשים יכולים לגשת ליכולות של Gemini ב-Looker כבודקים נאמנים. אפשר לבקש גישה ליכולות שזמינות לבודקים נאמנים, ולא לקהל הרחב, באמצעות טופס הגישה לגרסת טרום השקה (Preview) של Gemini ב-Looker. את הבקשה צריך להגיש לכל משתמש בנפרד. כדי להשתמש ב-Gemini במהלך התקופה של טרום-GA, צריך להפעיל את ההגדרה הזו. אופציונלי: בוחרים באפשרות שימוש של הבודקים הנאמנים במידע. כשההגדרה הזו מופעלת, אתם מסכימים ש-Google תשתמש בנתונים שלכם כפי שמתואר בתנאים של תוכנית הבודקים הנאמנים של Gemini for Google Cloud . כדי להשבית את Gemini במכונת Looker (ליבת Google Cloud), צריך לבטל את הסימון של ההגדרה Gemini.

12. בקטע Knowledge Catalog integration (שילוב עם Knowledge Catalog), אפשר לסמן את תיבת הסימון Opt out of Knowledge Catalog integration (ביטול ההסכמה לשילוב עם Knowledge Catalog) אם לא רוצים ש-Looker (Google Cloud core) ישולב עם Knowledge Catalog. ‫Looker (Google Cloud Core) ו-Knowledge Catalog משולבים כברירת מחדל.

13. לוחצים על יצירה.

gcloud

1. אם אתם משתמשים ב-CMEK, אתם צריכים ליצור את חשבון השירות של Looker ולפעול לפי ההוראות להגדרת CMEK.

2. משתמשים בפקודה gcloud looker instances create כדי ליצור את המכונה:

   gcloud looker instances create INSTANCE_NAME \
   --project=PROJECT_ID \
   --region=REGION \
   --edition=EDITION \
   [--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE] \
   --public-ip-enabled \
   --async
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫INSTANCE_NAME: שם למופע של Looker (Google Cloud Core), שלא משויך לכתובת ה-URL של המופע.
   • ‫PROJECT_ID: השם של Google Cloud הפרויקט שבו אתם יוצרים את מופע Looker (Google Cloud Core).
   • ‫REGION: האזור שבו מתארחת מכונת Looker (Google Cloud core). בוחרים את האזור שתואם לאזור שמופיע בחוזה המינוי. אזורים זמינים מפורטים בדף התיעוד מיקומים של Looker (Google Cloud core). אחרי שיוצרים את המופע, אי אפשר לשנות את האזור.
   • ‫EDITION: המהדורה, סוג הסביבה (ייצור או לא ייצור), והאם זו מהדורת ניסיון של המופע. הערכים האפשריים הם core-standard-annual,‏ core-enterprise-annual,‏ core-embed-annual,‏ nonprod-core-standard-annual,‏ nonprod-core-enterprise-annual,‏ nonprod-core-embed-annual,‏ core-trial-standard,‏ core-trial-enterprise או core-trial-embed. אי אפשר לשנות את המהדורה אחרי שיוצרים את המופע. אם רוצים לשנות מהדורה, אפשר להשתמש בייבוא וייצוא כדי להעביר את נתוני מופע Looker (Google Cloud core) למופע חדש שמוגדר עם מהדורה אחרת.
   • ‫CONSUMER_NETWORK: רשת ה-VPC או ה-VPC המשותף. חובה להגדיר את הפרמטר הזה כשיוצרים מופע של חיבורים פרטיים.
   • ‫RESERVED_RANGE: טווח כתובות ה-IP ב-VPC שבו Google תקצה רשת משנה למופע Looker (Google Cloud core). אל תגדירו טווח אם אתם מפעילים חיבור רשת של חיבורים פרטיים למופע.

   צריך לכלול גם את הדגלים האלה:

   • המספר --public-ip-enabled משמש להפעלת חיבור מאובטח שגלוי לכולם.
   • מומלץ להשתמש ב---async כשיוצרים מופע של Looker (Google Cloud Core).

3. אפשר להוסיף עוד פרמטרים כדי להחיל הגדרות נוספות של המופע:

   [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
         --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
   [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
         --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
         --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
   [--kms-key=KMS_KEY_ID]
   [--fips-enabled]
   

   מחליפים את מה שכתוב בשדות הבאים:
   • ‫MAINTENANCE_WINDOW_DAY: הערך חייב להיות אחד מהערכים הבאים: friday, ‏ monday, ‏ saturday, ‏ sunday, ‏ thursday, ‏ tuesday, ‏ wednesday. מידע נוסף על הגדרות חלון זמן לתחזוקה זמין במאמר ניהול מדיניות תחזוקה ב-Looker (Google Cloud core).
   • ‫MAINTENANCE_WINDOW_TIME ו-DENY_MAINTENANCE_PERIOD_TIME: השעה צריכה להיות בפורמט של 24 שעות לפי שעון UTC (לדוגמה, 13:00, ‏ 17:45).
   • ‫DENY_MAINTENANCE_PERIOD_START_DATE ו-DENY_MAINTENANCE_PERIOD_END_DATE: הפורמט הנדרש הוא YYYY-MM-DD.
   • ‫KMS_KEY_ID: צריך להיות המפתח שנוצר כשמגדירים מפתחות הצפנה בניהול הלקוח (CMEK).

   אפשר לכלול את הדגל --fips-enabled כדי להפעיל תאימות לרמה 1 של FIPS 140-2, או להחליף את הדגל --catalog-integration-enabled בדגל --no-catalog-integration-enabled כדי להשבית את השילוב של Looker (Google Cloud core) ושל Knowledge Catalog.

Terraform

כדי להקצות מכונה של Looker ‏ (Google Cloud core) עם פונקציונליות בסיסית, משתמשים במשאב Terraform הבא:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

כדי להקצות מופע Standard של Looker (Google Cloud core) עם הגדרות נוספות, משתמשים במשאב Terraform הבא:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

כדי להקצות מופע Enterprise של Looker (Google Cloud core) עם חיבור לרשת פרטית, משתמשים במשאב Terraform הבא:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

אחרי שמתחילים ליצור את המופע, אי אפשר להשהות או להפסיק את התהליך. אחרי שהקצאת המשאב של Terraform תסתיים בהצלחה, ההודעה הבאה תודפס במסוף:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]

Apply complete! Resources: X added, X changed, X destroyed.