创建公共安全连接 Looker (Google Cloud Core) 实例

本页面讨论了如何预配配置为使用公共安全连接的 Looker (Google Cloud Core) 生产实例或 非生产实例

如果要创建专用连接实例,则必须在创建实例时分配配置。如需了解如何创建专用连接实例,请按照创建 Looker (Google Cloud Core) Private Service Connect 实例创建专用连接(专用服务访问通道)Looker (Google Cloud Core) 实例文档页面上的步骤操作,而不是按照以下步骤操作。

准备工作

  1. 与销售团队合作,确保完成您的年度合同,并在您的项目中分配配额
  2. 确保您的 Google Cloud 项目已启用结算功能。
  3. 在 Google Cloud 控制台的“项目选择器”页面上,创建 Google Cloud 项目或前往现有项目。

    前往“项目选择器”页面

  4. 在 Google Cloud 控制台中为您的项目启用 Looker API。启用 API 时,您可能需要刷新控制台页面才能确认相应 API 已启用。

    启用 API

  5. 如果您想使用 VPC Service Controls,则必须创建 专用连接(专用服务访问通道) 实例,而不是公共安全连接实例。

所需的角色

如需获得创建 Looker (Google Cloud Core) 实例所需的权限,请让您的管理员为您授予Looker Admin (roles/looker.admin) IAM 角色,该角色位于实例将驻留的项目中。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。

如果您想设置客户管理的加密密钥 (CMEK),可能还需要其他 IAM 角色。如需了解详情,请访问 Cloud Key Management Service 文档的“使用 IAM 进行访问权限控制”页面。

创建 Looker (Google Cloud Core) 实例

Looker (Google Cloud Core) 生成新实例大约需要 60 分钟。

如需创建 Looker (Google Cloud Core) 实例,请选择以下选项之一:

控制台

  1. 在 Google Cloud 控制台中,从您的项目前往 Looker (Google Cloud Core) 产品页面。如果您已在此项目中创建 Looker (Google Cloud Core) 实例,系统会打开实例 页面。

    前往 Looker (Google Cloud Core)

  2. 点击创建实例
  3. 实例名称 部分中,为 Looker (Google Cloud Core) 实例提供名称。实例名称在创建后不会与 Looker (Google Cloud Core) 实例的网址关联。实例创建完成后,此字段便无法更改。
  4. 区域 部分中,从下拉菜单中选择相应选项以托管 Looker (Google Cloud Core) 实例。选择与订阅合同中的区域匹配的区域,因为这是分配项目配额的位置。Looker (Google Cloud Core) 位置文档页面列出了可用的区域。实例创建后,此区域便无法更改。

  5. 版本 部分中,根据贵组织的需求设置实例版本。版本类型会影响实例可用的部分功能。请确保您选择的版本类型与您的年度合同中列出的版本类型相同,并且您已为该版本类型分配配额。以下是版本选项:

    • 标准版:Looker (Google Cloud Core) 平台,适合用户少于 50 人的小型组织或团队
    • 企业版:具有增强型安全功能的 Looker (Google Cloud Core) 平台,适用于各种内部 BI 和分析应用场景
    • 嵌入版:Looker (Google Cloud Core) 平台,适合用于大规模部署和维护可靠的外部分析和自定义应用
    • 非生产版本:如果您需要预演和测试环境,请选择其中一个非生产版本。如需了解详情,请参阅非生产实例文档
    • 试用版:试用版与相应的正式版具有相同的功能支持,但试用版的有效期为 90 天。

    实例创建完成后,此字段便无法更改。如果您想更改版本,可以使用 导入和导出 功能将 Looker (Google Cloud Core) 实例数据移到配置了不同版本的新实例中。

  6. 自定义实例 部分中,点击显示配置选项 以显示一组您可以为实例自定义的其他设置。

  7. 连接 部分中,选择使用公共安全连接 。公共安全连接设置会分配一个可通过互联网访问的外部 IP 地址,并且适用于所有版本类型。

  8. 如果您要创建企业版嵌入版 实例,您会看到加密 部分。在加密 部分中,您可以选择要在实例上使用的加密类型。以下加密选项可用:

  9. 维护期 部分中,您可以选择指定 Looker (Google Cloud Core) 安排维护的星期几和小时。维护窗口持续一小时。默认情况下,维护期 中的首选窗口期 选项设置为任意窗口期

  10. 拒绝维护期 部分中,您可以选择 指定 Looker (Google Cloud Core) 不安排维护的时间段。拒绝维护期最长可达 60 天。您必须在任意两个拒绝维护期之间至少留出 14 天允许维护时间。

  11. Gemini in Looker 部分中,您可以选择为 Looker (Google Cloud Core) 实例启用 Gemini in Looker 功能。如需启用 Gemini in Looker,请选择 Gemini,然后选择 可信测试员功能。启用可信测试员功能 后,用户可以使用 Gemini in Looker 中的可信测试员功能。您可以通过 Gemini in Looker 预览表单 按用户申请使用非公开的可信测试员功能。您必须启用此设置,才能在正式版发布前的预览期间使用 Gemini。您可以选择启用可信测试员数据使用 。启用此设置后,即表示您同意 Google 按照 Gemini for Google Cloud 可信测试员计划条款中所述的方式使用您的数据。如需为 Looker (Google Cloud Core) 实例停用 Gemini,请清除 Gemini 设置。

  12. 通用目录集成 部分中,如果您不希望 Looker (Google Cloud Core) 与 Knowledge Catalog 集成,可以选择取消选中 启用目录集成 复选框。默认情况下,Looker (Google Cloud Core) 和 Knowledge Catalog 已集成。 注意:Looker (Google Cloud Core) 和 Knowledge Catalog 之间的集成处于预览版阶段。非正式版产品和功能“按原样”提供,可能只能获得有限的支持。

  13. 点击创建

gcloud

  1. 如果您使用的是 CMEK,请先 创建 Looker 服务账号,然后按照说明设置 CMEK。

  2. 使用 gcloud looker instances create 命令创建实例:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE] \
--public-ip-enabled \
--async

    替换以下内容:

    • INSTANCE_NAME:Looker (Google Cloud Core) 实例的名称;它不与实例网址关联。
    • PROJECT_ID:您要在其中创建 Looker (Google Cloud Core) 实例的 Google Cloud 项目的名称。
    • REGION:Looker (Google Cloud Core) 实例托管的区域。选择与订阅合同中的区域匹配的区域。Looker (Google Cloud Core) 位置文档页面列出了可用的区域。实例创建后,此区域便无法更改。
    • EDITION:实例的版本、环境类型(生产环境或 非生产)以及是否为 试用版。可能的值包括 core-standard-annualcore-enterprise-annualcore-embed-annualnonprod-core-standard-annualnonprod-core-enterprise-annualnonprod-core-embed-annualcore-trial-standardcore-trial-enterprisecore-trial-embed。实例创建完成后,此字段便无法更改。如果您想更改版本,可以使用 导入和导出 功能将 Looker (Google Cloud Core) 实例数据移到配置了不同版本的新实例中。
    • CONSUMER_NETWORK您的 VPC 网络或共享 VPC。如果您要创建专用连接实例,则必须设置此字段。
    • RESERVED_RANGE:VPC 内的 IP 地址范围,Google 将在此范围内为 Looker (Google Cloud Core) 实例预配子网。如果您要为实例启用专用连接网络连接,请勿定义范围。

    另请添加以下标志:

    • --public-ip-enabled 用于启用公共安全连接。
    • 建议您在创建 Looker (Google Cloud Core) 实例时使用 --async

  3. 您可以添加更多参数来应用其他实例设置: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    替换以下内容:

    • MAINTENANCE_WINDOW_DAY:必须是以下值之一:fridaymondaysaturdaysundaythursdaytuesdaywednesday。如需详细了解维护窗口设置,请参阅管理 Looker (Google Cloud Core) 的维护政策文档页面。
    • MAINTENANCE_WINDOW_TIMEDENY_MAINTENANCE_PERIOD_TIME:必须采用 24 小时制 UTC 时间格式(例如 13:00、17:45)。
    • DENY_MAINTENANCE_PERIOD_START_DATEDENY_MAINTENANCE_PERIOD_END_DATE:必须采用 YYYY-MM-DD 格式。
    • KMS_KEY_ID:必须是在设置 客户管理的加密密钥 (CMEK) 时创建的密钥。

    您可以添加 --fips-enabled 标志以 启用 FIPS 140-2 级别 1 合规性,也可以将 --catalog-integration-enabled 标志替换为 --no-catalog-integration-enabled 标志,以 停用 Looker (Google Cloud Core) 和 Knowledge Catalog 集成

Terraform

使用以下 Terraform 资源预配具有基本功能的 标准版 Looker (Google Cloud Core) 实例:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

使用以下 Terraform 资源预配应用了其他设置的 标准版 Looker (Google Cloud Core) 实例:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

使用以下 Terraform 资源预配具有专用 网络连接企业版 Looker (Google Cloud Core) 实例:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

如需了解如何应用或移除 Terraform 配置,请参阅 基本 Terraform 命令

实例创建过程一旦启动,便无法暂停或终止。成功预配 Terraform 资源后,终端将输出以下消息:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]


Apply complete! Resources: X added, X changed, X destroyed.

如需查看新实例的状态(系统会为新实例分配随机生成的名称),请访问控制台中的实例 页面。

创建实例时,您可以在控制台中的实例 页面上查看其状态。您还可以点击 Google Cloud 控制台菜单中的通知图标,查看实例创建活动。

创建公共安全连接实例后,实例的公共网址将显示在实例 页面的实例网址 列中。

创建实例后,您可以前往实例 页面上显示的实例网址,然后使用 Google 账号登录,即可查看该实例。

您可以访问实例详情页面,然后点击修改,以修改实例设置,包括添加手动 OAuth 凭据(如果您需要)。

后续步骤