Criar uma instância do Looker (Google Cloud Core) com conexões particulares (acesso a serviços particulares)

Nesta página, explicamos como criar uma instância de produção ou não produção do Looker (Google Cloud Core) com conexões particulares (PSA) que usa o acesso a serviços particulares (PSA).

As conexões particulares tornam os serviços acessíveis sem passar pela Internet ou usar endereços IP externo. Como não atravessam a Internet, as conexões particulares geralmente oferecem menor latência e vetores de ataque limitados. As conexões particulares permitem que sua instância do Looker (Google Cloud Core) se comunique com outros recursos na sua nuvem privada virtual (VPC), mas não permitem a comunicação de entrada da Internet pública.

A conectividade particular permite o uso de alguns recursos, como o VPC Service Controls. No entanto, as conexões particulares não são compatíveis com alguns recursos do Looker (Google Cloud Core). Consulte a tabela de compatibilidade de recursos para mais informações.

O Looker (Google Cloud Core) é compatível com conexões particulares (PSA) para edições de instâncias Enterprise ou Embed.

Papéis e permissões necessárias

Para configurar uma instância de conexões particulares (PSA, na sigla em inglês), você precisa ter as seguintes permissões do IAM:

  1. Para criar uma instância do Looker (Google Cloud Core), é preciso ter o papel Administrador do Looker (roles/looker.Admin).

  2. Para ter as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares, peça ao administrador para conceder a você o papel do IAM de Administrador de rede do Compute (roles/compute.networkAdmin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Esse papel predefinido contém as permissões necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

    Permissões necessárias

    As seguintes permissões são necessárias para criar intervalos de endereços IP alocados e gerenciar conexões particulares:

    • Confira as redes disponíveis no menu suspenso Rede:
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • Crie uma rede VPC:
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • Alocar um intervalo de IP particular e configurar uma conexão de acesso a serviços particulares: compute.networks.addPeering

    Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

    Se você estiver usando uma rede particular já configurada, não vai precisar dessas permissões.

Talvez você também precise de outros papéis do IAM para configurar o VPC Service Controls ou as chaves de criptografia gerenciadas pelo cliente (CMEK). Para saber mais, acesse as páginas de documentação Suporte do VPC Service Controls para o Looker (Google Cloud Core) ou Ativar o CMEK para o Looker (Google Cloud Core).

Antes de começar

  1. Trabalhe com a equipe de vendas para garantir que seu contrato anual seja concluído e que você tenha cota alocada no projeto.
  2. Verifique se o faturamento está ativado para seu projeto do Google Cloud .
  3. No console do Google Cloud, na página do seletor de projetos, crie um Google Cloud projeto ou navegue até um projeto em que você quer criar a instância do Looker (Google Cloud core).

    Acessar o seletor de projetos

  4. Ative a API Looker para seu projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.

    Ativar a API

  5. Ative a API Service Networking no projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.

    Ativar a API

  6. Ative a API Compute Engine para seu projeto no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.

    Ativar a API

  7. Configure um cliente OAuth e crie credenciais de autorização. O cliente OAuth permite autenticar e acessar a instância. É necessário configurar o OAuth para criar uma instância do Looker (Google Cloud Core), mesmo que você esteja usando um método de autenticação diferente para autenticar usuários na sua instância.

Criar e configurar uma rede VPC

Antes de criar uma conexão particular, crie e configure uma rede de nuvem privada virtual (VPC). O Looker (Google Cloud Core) é compatível com várias instâncias de conexões particulares (PSA) na mesma VPC, seja na mesma região ou em regiões diferentes.

  1. Crie uma rede VPC no seu projeto. Como alternativa, se você estiver usando uma VPC compartilhada em vez de criar uma rede VPC, siga as etapas na seção a seguir, Como criar uma instância em uma VPC compartilhada, além de concluir as etapas restantes nesta seção para a VPC compartilhada.
  2. Alocar um intervalo de IP IPv4 (bloco CIDR) na sua VPC para uma conexão de acesso a serviços particulares com o Looker (Google Cloud Core).
    • Antes de alocar seu intervalo, considere as restrições.
    • Ao definir o tamanho do intervalo de endereços IP, saiba que o tamanho mínimo é um bloco /22.
    • O Looker (Google Cloud Core) é compatível com todos os intervalos IPv4 na RFC 1918, que especifica endereços IP atribuídos para uso interno (ou seja, em uma organização) e não são roteados na Internet. São eles:
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • Os intervalos IPv4 de classe E (240.0.0.0/4) são reservados para uso futuro, conforme indicado em RFC 5735 e RFC 1112, e não são compatíveis com o Looker (Google Cloud Core).
    Quando uma instância do Looker (Google Cloud Core) é criada pela primeira vez em uma região dentro de uma VPC, o Looker cria uma sub-rede somente proxy. A sub-rede somente proxy usa uma sub-rede de intervalo /26 da sub-rede /22 que você reserva ao criar a instância do Looker (Google Cloud Core). Todas as instâncias subsequentes do Looker (Google Cloud Core) com conexões particulares (PSA) na mesma VPC e região usam a mesma sub-rede somente de proxy.
  3. Adicione a conexão de acesso privado a serviços à sua rede VPC usando o intervalo de IP alocado na etapa anterior para a Alocação atribuída.
  4. Depois que a rede VPC for criada, volte para a página Criar instância do Looker no projeto Google Cloud . Talvez seja necessário atualizar a página para que sua rede VPC seja reconhecida.

Depois de concluir essas etapas, siga as instruções na página de documentação Criar uma instância do Looker (Google Cloud Core) , começando pela seção Antes de começar.

Várias instâncias de conexões particulares na mesma VPC

Se duas ou mais instâncias do Looker (Google Cloud Core) com conexões particulares estiverem localizadas na mesma região e na mesma VPC, e você excluir a primeira instância do Looker (Google Cloud Core) criada na região, a sub-rede somente proxy não será liberada porque ainda está em uso pelas instâncias restantes. Se você tentar criar uma nova instância do Looker (Google Cloud Core) de conexões particulares (PSA) que use o mesmo intervalo de endereços da instância excluída (que contém o intervalo de endereços IP da sub-rede somente proxy), a criação da instância vai falhar e você vai receber um erro "Intervalos de IP esgotados". Para verificar se um intervalo de IP está em uso, confira o peering de VPC para o Service Networking e as rotas de importação para saber se elas estão usando o intervalo de IP de seu interesse.

Criar uma instância em uma VPC compartilhada

Se você estiver criando uma instância do Looker (Google Cloud core) em uma VPC compartilhada, conclua as etapas a seguir no projeto host da VPC compartilhada:

  1. Ative a API Looker no projeto host da VPC compartilhada no console do Google Cloud. Ao ativar a API, talvez seja necessário atualizar a página do console para confirmar que ela foi ativada.

    Ativar a API

  2. Crie uma conta de serviço no projeto host da VPC compartilhada usando o comando services identity create do gcloud:

    gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID

    Substitua SHARED_HOST_PROJECT_ID pelo projeto host da VPC compartilhada.

  3. Conceda a permissão do IAM compute.globalAddresses.get à conta de serviço no projeto host.

Depois de criar a conta de serviço e conceder a ela a permissão do IAM, aguarde alguns minutos para que a conta de serviço e a permissão sejam propagadas.

Além disso, aloque um intervalo de IP IPv4 na VPC compartilhada e adicione a conexão de acesso a serviços particulares à VPC compartilhada, conforme descrito na seção anterior, Criar e configurar uma rede VPC.

Criar a instância de conexões particulares

O Looker (Google Cloud Core) leva aproximadamente 60 minutos para gerar uma nova instância.

Se você quiser uma instância de conexões particulares (PSA), use a Google Cloud CLI ou o Terraform e configure a instância como conexões particulares (PSA) ao criá-la. Não é possível adicionar ou remover conexões particulares de uma instância depois que ela é criada.

Para criar uma instância de conexões particulares (PSA) usando a Google Cloud CLI, siga estas etapas:

  1. Se você estiver usando a CMEK, siga as instruções para criar uma conta de serviço, um keyring e uma chave antes de criar a instância do Looker (Google Cloud Core).

  2. Use o comando gcloud looker instances create para criar a instância:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    Substitua:

    • INSTANCE_NAME: um nome para sua instância do Looker (Google Cloud Core). Ele não está associado ao URL da instância.
    • PROJECT_ID: o nome do projeto Google Cloud em que você está criando a instância do Looker (Google Cloud Core).
    • OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET: o ID e a chave secreta do cliente OAuth que você criou ao configurar seu cliente OAuth. Depois que a instância for criada, insira o URL dela na seção URIs de redirecionamento autorizados do cliente OAuth.
    • REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada. Selecione a região que corresponde à região no contrato de assinatura. As regiões disponíveis estão listadas na página de documentação Locais do Looker (Google Cloud Core).
    • EDITION: a edição e o tipo de ambiente (produção ou não produção) da instância. Para uma instância de conexões particulares (PSA), esse valor precisa ser core-enterprise-annual, core-embed-annual, nonprod-core-enterprise-annual ou nonprod-core-embed-annual. Escolha o mesmo tipo de edição listado no seu contrato anual e verifique se você tem cota alocada. Não é possível mudar as edições depois que uma instância é criada. Se quiser mudar de edição, use a importação e exportação para mover os dados da instância do Looker (Google Cloud Core) para uma nova instância configurada com uma edição diferente.
    • CONSUMER_NETWORK: sua rede VPC ou VPC compartilhada. Precisa ser definido se você estiver criando uma instância de conexões particulares (PSA).
    • RESERVED_RANGE: o intervalo de endereços IP na VPC em que o Google vai provisionar uma sub-rede para sua instância do Looker (Google Cloud Core).

    É possível incluir as seguintes flags:

    • --private-ip-enabled ativa conexões particulares (PSA). Isso precisa ser incluído para criar uma instância de conexões particulares (PSA).
    • --public-ip-enabled ativa o IP público.
    • --no-public-ip-enabled desativa o IP público.
    • --async é recomendado ao criar uma instância do Looker (Google Cloud Core).

  3. É possível adicionar mais parâmetros para aplicar outras configurações da instância: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    Substitua:

    • MAINTENANCE_WINDOW_DAY: precisa ser um dos seguintes valores: friday, monday, saturday, sunday, thursday, tuesday, wednesday. Consulte a página de documentação Gerenciar políticas de manutenção para o Looker (Google Cloud Core) para mais informações sobre as configurações da janela de manutenção.
    • MAINTENANCE_WINDOW_TIME e DENY_MAINTENANCE_PERIOD_TIME: precisam estar no fuso horário UTC em formato de 24 horas (por exemplo, 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE e DENY_MAINTENANCE_PERIOD_END_DATE: precisam estar no formato YYYY-MM-DD.
    • KMS_KEY_ID: precisa ser a chave criada ao configurar as chaves de criptografia gerenciadas pelo cliente (CMEK).

    Você pode incluir a flag --fips-enabled para ativar a conformidade com o nível 1 do FIPS 140-2.

Enquanto a instância é criada, você pode conferir o status dela na página Instâncias no console. Para conferir sua atividade de criação de instâncias, clique no ícone de notificações no menu do console Google Cloud .

Se você criar uma instância somente com conexões particulares (PSA), um URL não vai aparecer na página Instâncias. Consulte a seção Como acessar uma instância de conexões particulares (PSA) após a criação para mais informações sobre como configurar o acesso à sua instância de conexões particulares (PSA).

Acessar uma instância de conexões particulares (PSA) após a criação

Se você criar uma instância ativada apenas para conexões particulares (PSA), não vai receber um URL para ela. Para acessar a instância, configure um domínio personalizado para ela e adicione esse domínio às credenciais OAuth da instância. Para entender as diferentes opções de rede de conexões particulares para configurar e acessar um domínio personalizado, acesse a página de documentação Opções de rede de domínio personalizado para instâncias de conexões particulares do Looker (Google Cloud Core).

A seguir