Koneksi IP pribadi membuat layanan dapat dijangkau tanpa melalui internet atau menggunakan alamat IP eksternal. Karena mereka tidak melintasi internet, koneksi melalui IP pribadi biasanya memberikan latensi yang lebih rendah dan vektor serangan yang terbatas. Koneksi IP Pribadi memungkinkan instance Looker (Google Cloud core) Anda berkomunikasi dengan resource lain di Virtual Private Cloud (VPC) Anda, tetapi tidak mengizinkan komunikasi masuk dari internet publik.
Konektivitas IP pribadi tidak kompatibel dengan beberapa fitur Looker (Google Cloud core). Lihat tabel kompatibilitas fitur untuk mengetahui informasi selengkapnya.
Looker (Google Cloud core) mendukung IP pribadi untuk instance yang memenuhi kriteria berikut:
- Edisi instance harus Enterprise atau Embed.
Untuk menyiapkan instance IP pribadi, Anda harus memiliki izin IAM berikut:
- Admin Looker
- Compute Network Admin (atau menjadi pemilik project Google Cloud Anda)
Sebelum memulai
-
Untuk mendapatkan izin yang diperlukan guna membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi, minta administrator untuk memberi Anda peran IAM Admin Jaringan Compute (
roles/compute.networkAdmin
) pada project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.Peran bawaan ini berisi izin yang diperlukan untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi:
-
Lihat jaringan yang tersedia di drop-down Jaringan:
-
compute.addresses.list
-
compute.globalAddresses.list
-
-
Buat jaringan VPC baru:
-
compute.addresses.create
-
compute.globalAddresses.create
-
serviceusage.services.enable
-
-
Alokasikan rentang IP pribadi dan siapkan koneksi akses layanan pribadi:
compute.networks.addPeering
Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.
Jika Anda membuat instance IP pribadi dengan Terraform atau Google Cloud CLI dan menggunakan jaringan pribadi yang telah disiapkan, Anda tidak memerlukan izin ini.
-
Lihat jaringan yang tersedia di drop-down Jaringan:
- Aktifkan Compute Engine API untuk project Anda di Konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk memastikan bahwa API telah diaktifkan.
Membuat dan mengonfigurasi jaringan VPC
Agar dapat membuat koneksi IP pribadi, Anda harus terlebih dahulu membuat dan mengonfigurasi jaringan Virtual Private Cloud (VPC).
- Buat jaringan VPC di project Anda. Atau, jika Anda menggunakan VPC Bersama dan bukan membuat jaringan VPC baru, selesaikan langkah-langkah di bagian berikut, Membuat instance di VPC Bersama, selain menyelesaikan langkah-langkah yang tersisa di bagian ini untuk VPC Bersama.
- Alokasikan rentang IP IPv4 (blok CIDR) di VPC Anda untuk koneksi pribadi ke Looker (Google Cloud core).
- Sebelum mengalokasikan rentang, pertimbangkan batasan.
- Saat menetapkan ukuran rentang alamat IP, perhatikan bahwa ukuran minimum adalah blok
/22
. - Looker (Google Cloud core) mendukung semua rentang IPv4 dalam RFC 1918, yang menentukan alamat IP yang ditetapkan untuk digunakan secara internal (dalam suatu organisasi) dan tidak akan dirutekan di Internet. Secara khusus, yaitu:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
- Rentang IPv4 Kelas E (
240.0.0.0/4
) dicadangkan untuk penggunaan pada masa mendatang seperti yang tercantum dalam RFC 5735 dan RFC 1112 serta tidak didukung untuk Looker (Google Cloud core). - Tambahkan koneksi akses layanan pribadi ke jaringan VPC Anda menggunakan rentang IP yang dialokasikan di langkah sebelumnya untuk Alokasi yang ditetapkan.
- Setelah jaringan VPC dibuat, kembali ke halaman Buat instance Looker di project Google Cloud Anda. Anda mungkin perlu me-refresh halaman agar jaringan VPC Anda dikenali.
Setelah menyelesaikan langkah-langkah ini, Anda dapat mulai membuat instance dengan mengikuti langkah-langkah di halaman dokumentasi Membuat instance Looker (Google Cloud core) , dimulai dengan bagian Sebelum memulai.
Membuat instance di VPC Bersama
Jika Anda membuat instance Looker (Google Cloud core) di VPC Bersama, selesaikan langkah-langkah berikut di project host VPC Bersama:
- Aktifkan Looker API di project host VPC Bersama di Konsol Google Cloud. Saat mengaktifkan API, Anda mungkin perlu memuat ulang halaman konsol untuk memastikan bahwa API telah diaktifkan.
Buat akun layanan di project host VPC Bersama menggunakan perintah
services identity create
gcloud:gcloud beta services identity create --service=looker.googleapis.com --project=SHARED_HOST_PROJECT_ID
Ganti SHARED_HOST_PROJECT_ID dengan project host VPC Bersama.
Berikan izin IAM
compute.globalAddresses.get
ke akun layanan di project host.
Setelah membuat akun layanan dan memberikan izin IAM, tunggu beberapa menit sampai akun layanan dan izin menyebar.
Selain itu, alokasikan rentang IP IPv4 di VPC Bersama dan tambahkan koneksi akses layanan pribadi ke VPC Bersama seperti yang dijelaskan di bagian sebelumnya, Membuat dan mengonfigurasi jaringan VPC.
Konfigurasi jaringan selama pembuatan instance
Untuk mengonfigurasi IP pribadi selama pembuatan instance, pilih salah satu opsi berikut:
console
Jika Anda hanya memilih Private IP atau Private IP dan Public IP selama pembuatan instance, gunakan perintah berikut untuk menyelesaikan konfigurasi:
- Jika pop-up EnableRequired APIs ditampilkan, Anda harus mengaktifkan API tambahan untuk project Google Cloud. Untuk mengaktifkan API yang diperlukan untuk koneksi jaringan pribadi, klik AKTIFKAN SEMUA.
- Di drop-down Network, pilih jaringan VPC Anda. Jaringan IP pribadi memerlukan koneksi akses layanan pribadi, yang memungkinkan layanan Anda berkomunikasi secara eksklusif menggunakan alamat IP internal. Lihat halaman dokumentasi Mengonfigurasi akses layanan pribadi untuk mengetahui informasi selengkapnya tentang cara menyiapkan koneksi IP pribadi. Jika Anda tidak menyiapkan koneksi layanan pribadi saat membuat jaringan VPC, Anda dapat mengklik SIAPKAN KONEKSI pada pesan Private services access connection required. Tindakan ini akan membuka panel samping tempat Anda dapat mengalokasikan rentang IP dan membuat koneksi.
- Di bagian Mengalokasikan rentang IP, Anda dapat memilih rentang alamat IP dalam VPC tempat Google akan menyediakan subnetwork untuk instance Looker (Google Cloud core) Anda. Subnetwork mencadangkan rentang IP yang tidak dapat digunakan oleh resource lain di jaringan VPC. Anda tidak akan dapat mengubah rentang IP ini setelah membuat instance Looker (Google Cloud core). Alokasi rentang IP mencakup opsi berikut:
- Pilih Use automatically assigned IP range agar Google mengalokasikan rentang IP secara otomatis untuk menyediakan subnetwork untuk VPC.
- Pilih rentang IP yang ditentukan selama penyiapan akses layanan pribadi.
- Selesaikan pembuatan instance, lalu klik Buat untuk membuat instance.
gcloud
gcloud looker instances create INSTANCE_NAME \ --project=PROJECT_ID \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE [--no-public-ip-enabled] [--public-ip-enabled]
Ganti kode berikut:
INSTANCE_NAME
: nama untuk instance Looker (Google Cloud core) Anda; nama ini tidak terkait dengan URL instance.PROJECT_ID
: nama project Google Cloud tempat Anda membuat instance Looker (Google Cloud core).OAUTH_CLIENT_ID
danOAUTH_CLIENT_SECRET
: client ID OAuth dan rahasia OAuth yang Anda buat saat menyiapkan klien OAuth. Setelah instance dibuat, masukkan URL instance di bagian Authorized redirect URI pada klien OAuth.REGION
: region tempat instance Looker (Google Cloud core) Anda dihosting. Pilih region yang cocok dengan region dalam kontrak langganan. Region yang tersedia tercantum di halaman dokumentasi Lokasi Looker (Google Cloud core).EDITION
: edisi untuk instance. Nilai yang mungkin adalahcore-standard-annual
,core-enterprise-annual
, ataucore-embed-annual
. Edisi tidak dapat diubah setelah instance dibuat. Jika ingin mengubah edisi, Anda dapat menggunakan fitur impor dan ekspor untuk memindahkan data instance Looker (Google Cloud core) ke instance baru yang dikonfigurasi dengan edisi yang berbeda.CONSUMER_NETWORK
: jaringan VPC Anda atau VPC Bersama. Harus ditetapkan jika Anda membuat instance IP pribadi.RESERVED_RANGE
: rentang alamat IP dalam VPC tempat Google akan menyediakan subnetwork untuk instance Looker (Google Cloud core) Anda. Harus ditetapkan jika Anda membuat instance IP pribadi.
Anda dapat menyertakan flag berikut:
--private-ip-enabled
mengaktifkan IP pribadi.--public-ip-enabled
memungkinkan IP publik.--no-public-ip-enabled
menonaktifkan IP publik.
Konfigurasi instance setelah pembuatan instance
Jika membuat instance yang hanya diaktifkan untuk IP pribadi, Anda tidak akan menerima URL untuk instance tersebut. Untuk mengakses instance, Anda harus melakukan kedua hal berikut:
Siapkan server proxy untuk mengizinkan akses ke instance yang menggunakan IP pribadi.
Konfigurasikan domain kustom lalu tambahkan domain tersebut ke klien OAuth untuk instance tersebut.
Anda juga dapat mengonfigurasi instance IP pribadi lebih lanjut dengan melakukan hal berikut:
- Hapus rute default jika Anda menggunakan kontrol Layanan VPC.
- Buat daftar domain email yang diizinkan untuk membatasi pengiriman email ke domain eksternal.
- Konfigurasikan instance IP pribadi Anda untuk mengizinkan atau membatasi komunikasi dengan internet atau resource eksternal.
Langkah selanjutnya
- Membuat instance Looker (Google Cloud core)
- Menyiapkan domain kustom untuk instance Looker (Google Cloud core)
- Networking IP pribadi dengan Looker (Google Cloud core)
- Menghubungkan Looker (Google Cloud core) ke database Anda
- Mengonfigurasi instance Looker (Google Cloud core)