Crea una instancia de Looker (Google Cloud Core) con conexiones seguras públicas

En esta página, se explica cómo aprovisionar una instancia de producción o de no producción de Looker (Google Cloud Core) configurada para conexiones seguras públicas.

Si deseas crear una instancia de conexiones privadas, la configuración se debe asignar durante la creación de la instancia. Para obtener instrucciones sobre cómo crear una instancia de conexiones privadas, sigue el procedimiento que se indica en las páginas de documentación Crea una instancia de Looker (Google Cloud Core) de Private Service Connect o en la Crea una instancia de Looker (Google Cloud Core) de conexiones privadas (acceso privado a servicios) en lugar del siguiente procedimiento.

Antes de comenzar

Trabaja con Ventas para asegurarte de que se complete tu contrato anual y de que tengas una cuota asignada en tu proyecto.
Asegúrate de tener habilitada la facturación para tu Google Cloud proyecto.
En la página del selector de proyectos de la consola de Google Cloud, crea un Google Cloud proyecto o navega a uno existente.
Ir al selector de proyectos
Habilita la API de Looker para tu proyecto en la consola de Google Cloud. Cuando habilites la API, es posible que debas actualizar la página de la consola para confirmar que se habilitó.
Habilitar la API

Precaución: Si inhabilitas la API de Looker después de crear la instancia, se verán afectadas las funciones de Looker (Google Cloud Core). Por ejemplo, si inhabilitas la API, se inhabilitará la capacidad de crear copias de seguridad de instancias.
Si deseas usar los Controles del servicio de VPC, debes crear una instancia de conexiones privadas (acceso privado a servicios) en lugar de una instancia de conexión segura pública.

Roles obligatorios

Para obtener los permisos que necesitas para crear una instancia de Looker (Google Cloud Core), pídele a tu administrador que te otorgue el rol de IAM de administrador de Looker (roles/looker.admin) en el proyecto en el que residirá la instancia. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Es posible que también necesites roles de IAM adicionales si deseas configurar claves de encriptación administradas por el cliente (CMEK). Visita la página Control de acceso con IAM de la documentación de Cloud Key Management Service para obtener más información.

Crea una instancia de Looker (Google Cloud Core)

Looker (Google Cloud Core) requiere aproximadamente 60 minutos para generar una instancia nueva.

Para crear tu instancia de Looker (Google Cloud Core), selecciona una de las siguientes opciones:

Console

Navega a la página del producto de Looker (Google Cloud Core) desde tu proyecto en la consola de Google Cloud. Si ya creaste una instancia de Looker (Google Cloud Core) en este proyecto, se abrirá la página Instancias.
Ir a Looker (Google Cloud Core)
Haz clic en CREAR INSTANCIA.
En la sección Nombre de la instancia, proporciona un nombre para la instancia de Looker (Google Cloud Core). El nombre de la instancia no está asociado con la URL de la instancia de Looker (Google Cloud Core) una vez que se crea. El nombre de la instancia no se puede cambiar después de crearla.
En la sección Región, selecciona la opción adecuada del menú desplegable para alojar tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la región del contrato de suscripción, que es donde se asigna la cuota de tu proyecto. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core). No puedes cambiar la región una vez que se creó la instancia.
En la sección Edición, establece la edición de la instancia según las necesidades de tu organización. El tipo de edición afecta algunas de las funciones que están disponibles para la instancia. Asegúrate de elegir el mismo tipo de edición que se indica en tu contrato anual y de que tengas una cuota asignada para ese tipo de edición. Estas son las opciones de edición:
- Estándar: Plataforma de Looker (Google Cloud Core) para organizaciones o equipos pequeños con menos de 50 usuarios
- Enterprise: Plataforma de Looker (Google Cloud Core) con funciones de seguridad mejoradas para abordar una amplia variedad de casos de uso de IE interna y estadísticas
- Embed: Plataforma de Looker (Google Cloud Core) para implementar y mantener estadísticas externas confiables y aplicaciones personalizadas a gran escala
- Ediciones de no producción: Si deseas un entorno de etapa de pruebas y pruebas, selecciona una de las ediciones de no producción. Para obtener más información, consulta la documentación Instancias de no producción.
- Ediciones de prueba: Una edición de prueba tiene la misma compatibilidad con funciones que su edición de producción correspondiente, con la excepción de que las ediciones de prueba son válidas por 90 días.
Las ediciones no se pueden cambiar después de crear la instancia. Si deseas cambiar una edición, puedes usar la importación y la exportación para mover los datos de la instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.

**Sugerencia:** Si tu proyecto no tiene cuota, no podrás seleccionar un tipo de edición. Comunícate con Ventas para asignar una cuota a tu proyecto.
En la sección Personaliza tu instancia, haz clic en Mostrar opciones de configuración para mostrar un grupo de parámetros de configuración adicionales que puedes personalizar para la instancia.
En la sección Conexiones, selecciona Usar conexiones seguras públicas. Un parámetro de configuración de conexión segura pública asigna una dirección IP externa accesible a Internet y está disponible para todos los tipos de edición.

Nota: Si creas una edición Enterprise y Embed, también puedes usar una conexión privada, que usa un URI de Private Service Connect (PSC) y extremos de PSC para las conexiones salientes, o una conexión híbrida, que tendrá una URL pública y usará extremos de PSC para las conexiones salientes. Si deseas usar una conexión privada o híbrida, sigue los pasos que se indican en la página de documentación Crea una instancia de Looker (Google Cloud Core) de Private Service Connect.
Si creas una instancia de edición Enterprise o Embed, verás la sección Encriptación. En la sección Encriptación, puedes seleccionar el tipo de encriptación que deseas usar en tu instancia. Están disponibles las siguientes opciones de encriptación:
- Google-managed encryption key: Esta opción es la predeterminada y no requiere ninguna configuración adicional.
- Clave de encriptación administrada por el cliente (CMEK): Consulta la página de documentación Usa claves de encriptación administradas por el cliente con Looker (Google Cloud Core) para obtener más información sobre las CMEK y cómo configurarlas durante la creación de la instancia. El tipo de encriptación no se puede cambiar después de crear la instancia.
- Habilitar la encriptación validada por FIPS 140-2: Consulta la página de documentación Habilita el cumplimiento del nivel 1 de FIPS 140-2 en una instancia de Looker (Google Cloud Core) para obtener más información sobre la compatibilidad con FIPS 140-2 en Looker (Google Cloud Core).
En la sección Período de mantenimiento, puedes especificar de forma opcional el día de la semana y la hora en que Looker (Google Cloud Core) programa el mantenimiento. Los períodos de mantenimiento duran una hora. De forma predeterminada, la opción Período preferido en el Período de mantenimiento está establecida en Cualquier período.
En la sección Período de rechazo del mantenimiento, puedes especificar de forma opcional un bloque de días en el que Looker (Google Cloud Core) no programa el mantenimiento. Los períodos de rechazo del mantenimiento pueden ser de hasta 60 días. Debes permitir al menos 14 días de disponibilidad de mantenimiento entre cualquiera de los 2 períodos de rechazo del mantenimiento.
En la sección Gemini en Looker, puedes hacer que las funciones de Gemini en Looker estén disponibles para la instancia de Looker (Google Cloud Core). Para habilitar Gemini en Looker, selecciona Gemini y, luego, Funciones de Verificador de confianza. Cuando se habilita Funciones de Verificador de confianza, los usuarios pueden acceder a las funciones de Verificador de confianza de Gemini en Looker. Puedes solicitar acceso a las funciones privadas de Verificador de confianza completando un formulario de versión preliminar de Gemini en Looker por cada usuario. Debes habilitar este parámetro de configuración para usar Gemini durante la versión preliminar previa a la DG. De manera opcional, selecciona Uso de los datos de Verificador de confianza. Cuando se habilita este parámetro de configuración, aceptas que Google use tus datos como se describe en las condiciones del Programa de Verificador de confianza de Gemini Google Cloud para inhabilitar Gemini para una instancia de Looker (Google Cloud Core), desmarca el parámetro de configuración Gemini.
En la sección Integración del catálogo universal, puedes anular la selección de la casilla de verificación Habilitar la integración del catálogo si no deseas que Looker (Google Cloud Core) se integre con Knowledge Catalog. Looker (Google Cloud Core) y Knowledge Catalog están integrados de forma predeterminada. Nota: La integración entre Looker (Google Cloud Core) y Knowledge Catalog está en versión preliminar. Los productos y las funciones de la fase previa a la DG están disponibles “tal como están” y pueden estar sujetos a asistencia limitada.
Haz clic en Crear.

gcloud

Si usas CMEK, entonces crea la cuenta de servicio de Looker y sigue las instrucciones para configurar CMEK primero.
Usa el comando gcloud looker instances create para crear la instancia:
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE] \
--public-ip-enabled \
--async
```
Reemplaza lo siguiente:
- INSTANCE_NAME: Un nombre para tu instancia de Looker (Google Cloud Core); no está asociado con la URL de la instancia.
- PROJECT_ID: El nombre del Google Cloud proyecto en el que creas la instancia de Looker (Google Cloud Core).
- REGION: La región en la que se aloja tu instancia de Looker (Google Cloud Core). Selecciona la región que coincida con la región del contrato de suscripción. Las regiones disponibles se enumeran en la página de documentación Ubicaciones de Looker (Google Cloud Core). No puedes cambiar la región una vez que se creó la instancia.
- EDITION: la edición, el tipo de entorno (producción o no producción) y si se trata de una edición de prueba para la instancia. Sus valores posibles son core-standard-annual, core-enterprise-annual, core-embed-annual, nonprod-core-standard-annual, nonprod-core-enterprise-annual, nonprod-core-embed-annual, core-trial-standard, core-trial-enterprise o core-trial-embed. Las ediciones no se pueden cambiar después de crear la instancia. Si deseas cambiar una edición, puedes usar la importación y la exportación para mover los datos de la instancia de Looker (Google Cloud Core) a una instancia nueva que esté configurada con una edición diferente.
- CONSUMER_NETWORK: Tu red de VPC o VPC compartida. Se debe configurar si creas una instancia de conexiones privadas.
- RESERVED_RANGE: El rango de direcciones IP dentro de la VPC en el que Google aprovisionará una subred para tu instancia de Looker (Google Cloud Core). No definas un rango si habilitas una conexión de red de conexiones privadas para tu instancia.
También incluye estas marcas:
- --public-ip-enabled se usa para habilitar la conexión segura pública.
- Se recomienda --async cuando creas una instancia de Looker (Google Cloud Core).
Puedes agregar más parámetros para aplicar otros parámetros de configuración de la instancia:
```
[--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
```
Reemplaza lo siguiente:
- MAINTENANCE_WINDOW_DAY: Debe ser uno de los siguientes: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Consulta la página de documentación Administra las políticas de mantenimiento para Looker (Google Cloud Core) para obtener más información sobre la configuración del período de mantenimiento.
- MAINTENANCE_WINDOW_TIME y DENY_MAINTENANCE_PERIOD_TIME: Deben estar en hora UTC en formato de 24 horas (por ejemplo, 13:00, 17:45).
- DENY_MAINTENANCE_PERIOD_START_DATE y DENY_MAINTENANCE_PERIOD_END_DATE: Deben estar en formato YYYY-MM-DD.
- KMS_KEY_ID: Debe ser la clave que se crea cuando se configuran las claves de encriptación administradas por el cliente (CMEK).
Puedes incluir la marca --fips-enabled para habilitar el cumplimiento del nivel 1 de FIPS 140-2 o reemplazar la marca --catalog-integration-enabled por la marca --no-catalog-integration-enabled para inhabilitar la integración de Looker (Google Cloud Core) y Knowledge Catalog.

Sugerencia: Debes tener cuota para el tipo de edición adecuado para crear una instancia. Si no tienes cuota, comunícate con Ventas para asignar una cuota a tu proyecto.

Terraform

Usa el siguiente recurso de Terraform para aprovisionar una instancia Standard de Looker (Google Cloud Core) con funcionalidad básica:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Usa el siguiente recurso de Terraform para aprovisionar una instancia Standard de Looker (Google Cloud Core) con parámetros de configuración adicionales aplicados:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Usa el siguiente recurso de Terraform para aprovisionar una instancia Enterprise de Looker (Google Cloud Core) con una conexión de red privada:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

La creación de instancias no se puede pausar ni finalizar una vez que se inicia. Cuando tu recurso de Terraform se aprovisione correctamente, tu terminal imprimirá el siguiente mensaje:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]

Apply complete! Resources: X added, X changed, X destroyed.

Para ver el estado de tu instancia nueva, a la que se le asignará un nombre generado de forma aleatoria, visita la página Instancias en la consola.

A medida que se crea la instancia, puedes ver su estado en la página Instancias de la consola. También puedes ver la actividad de creación de instancias haciendo clic en el ícono de notificaciones en el Google Cloud menú de la consola.

Una vez que se cree la instancia de conexión segura pública, la URL pública de la instancia aparecerá en la columna URL de la instancia de la página Instancias.

Después de crear la instancia, puedes verla navegando a la URL de la instancia, que se mostrará en la página Instancias, y acceder con Google.

Para editar la configuración de la instancia, incluida la adición de credenciales de OAuth manuales si lo deseas, visita la página de detalles de la instancia y haz clic en Editar.