Looker-Instanz (Google Cloud Core) erstellen

Auf dieser Seite wird erläutert, wie Sie eine Looker (Google Cloud Core)-Instanz bereitstellen.

Hinweise

  1. Erstellen Sie in der Google Cloud Console ein Google Cloud-Projekt auf der Seite für die Projektauswahl oder rufen Sie ein vorhandenes auf.

    Zur Projektauswahl

  2. Aktivieren Sie die Looker API für Ihr Projekt in der Google Cloud Console. Wenn Sie die API aktivieren, müssen Sie möglicherweise die Konsolenseite aktualisieren, um zu bestätigen, dass die API aktiviert wurde.

    API aktivieren

  3. Aktivieren Sie in der Google Cloud Console die Service Networking API für Ihr Projekt. Wenn Sie die API aktivieren, müssen Sie möglicherweise die Konsolenseite aktualisieren, um zu bestätigen, dass die API aktiviert wurde.

    API aktivieren

  4. Richten Sie einen OAuth-Client ein und erstellen Sie Anmeldedaten für die Autorisierung. Mit dem OAuth-Client können Sie sich authentifizieren und auf die Instanz zugreifen. Sie müssen OAuth einrichten, um eine Looker (Google Cloud Core)-Instanz zu erstellen, auch wenn Sie eine andere Authentifizierungsmethode zur Authentifizierung von Nutzern bei Ihrer Instanz verwenden.
  5. Wenn Sie eine private IP-Adresse, VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) mit der von Ihnen erstellten Looker (Google Cloud Core)-Instanz verwenden möchten, ist vor dem Erstellen der Instanz eine zusätzliche Einrichtung erforderlich. Während der Instanzerstellung ist möglicherweise auch eine zusätzliche Versions- und Netzwerkkonfiguration erforderlich.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker-Administrator (roles/looker.admin) für das Projekt zu gewähren, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Möglicherweise benötigen Sie zusätzliche IAM-Rollen, um private IP-Adressen, VPC Service Controls oder vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) einzurichten. Weitere Informationen finden Sie auf den Dokumentationsseiten zu diesen Funktionen.

Looker (Google Cloud Core)-Instanz erstellen

Looker (Google Cloud Core) benötigt etwa 60 Minuten für die Generierung einer neuen Instanz.

Wählen Sie eine der folgenden Optionen aus, um Ihre Looker (Google Cloud Core)-Instanz zu erstellen:

Console

  1. Rufen Sie in der Google Cloud Console in Ihrem Projekt die Produktseite von Looker (Google Cloud Core) auf. Wenn Sie in diesem Projekt bereits eine Looker (Google Cloud Core)-Instanz erstellt haben, wird die Seite Instanzen geöffnet.

    Zu Looker (Google Cloud Core)

  2. Klicken Sie auf INSTANZ ERSTELLEN.
  3. Geben Sie im Abschnitt Instanzname einen Namen für Ihre Looker (Google Cloud Core)-Instanz ein. Der Instanzname wird nach der Erstellung nicht mit der URL der Instanz von Looker (Google Cloud Core) verknüpft. Der Instanzname kann nach dem Erstellen der Instanz nicht mehr geändert werden.
  4. Geben Sie im Abschnitt Anmeldedaten der OAuth-Anwendung die OAuth-Client-ID und das OAuth-Secret ein, das Sie bei der Einrichtung des OAuth-Clients erstellt haben.
  5. Wählen Sie aus dem Drop-down-Menü im Abschnitt Region die entsprechende Option aus. Die entsprechende Region ist die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird. Wählen Sie die Region aus, die mit der Region im Abovertrag übereinstimmt. Dort wird das Kontingent für Ihr Projekt verteilt. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.

  6. Legen Sie im Abschnitt Edition die Instanzedition gemäß den Anforderungen Ihrer Organisation fest. Der Versionstyp wirkt sich auf einige der für die Instanz verfügbaren Funktionen aus. Folgende Versionen sind verfügbar:

    • Standard: Looker-Plattform für kleine Organisationen oder Teams mit weniger als 50 Nutzern. Dieses Produkt kann im Rahmen eines Jahresvertrags erworben werden.
    • Enterprise: Looker-Plattform mit erweiterten Sicherheitsfunktionen für eine Vielzahl interner BI- und Analyseanwendungsfälle. Verfügbar mit einem Jahresvertrag.
    • Embed: Looker-Plattform zum Bereitstellen und Verwalten zuverlässiger externer Analysen und benutzerdefinierter Anwendungen in großem Maßstab. Verfügbar mit einem Jahresvertrag.

    Versionen können nach dem Erstellen der Instanz nicht mehr geändert werden. Wenn Sie eine Version ändern möchten, können Sie die Daten Ihrer Looker (Google Cloud Core)-Instanz mithilfe von Import und Export in eine neue Instanz verschieben, die mit einer anderen Version konfiguriert ist.

  7. Klicken Sie im Bereich Instanz anpassen auf KONFIGURATIONSOPTIONEN ANZEIGEN, um eine Gruppe zusätzlicher Einstellungen aufzurufen, die Sie für die Instanz anpassen können.

  8. Im Abschnitt Verbindungen werden die Optionen für die Netzwerkverbindung angezeigt. Der Typ der ausgewählten Netzwerkverbindung wirkt sich auf die für die Instanz verfügbaren Looker-Funktionen aus. Folgende Netzwerkverbindungsoptionen sind verfügbar:

    • Öffentliche IP-Adresse: Weist eine externe, über das Internet zugängliche IP-Adresse zu.
    • Private IP-Adresse: Weist eine interne, von Google gehostete IP-Adresse zu, auf die über eine Virtual Private Cloud (VPC) zugegriffen werden kann. Sie können diese Adresse verwenden, um eine Verbindung von anderen Ressourcen mit Zugriff auf die VPC herzustellen. Wenn Sie diese Option auswählen, folgen Sie der Anleitung auf der Dokumentationsseite Private IP-Verbindung für Looker (Google Cloud Core) erstellen, um die Netzwerkeinrichtung abzuschließen. Private IP-Adressen werden nur in den Versionen Enterprise und Embed unterstützt.
    • Sie können auch beide Optionen auswählen. Wenn beide Optionen ausgewählt sind, wird eingehender Traffic über eine öffentliche IP-Adresse und ausgehender Traffic über eine private IP-Adresse weitergeleitet. Die Instanz von Looker (Google Cloud Core) verwendet nicht die öffentliche IP-Adresse, um ausgehenden Internettraffic zu starten.

    Wenn Sie nur Private IP-Adresse oder sowohl Öffentliche IP-Adresse als auch Private IP-Adresse auswählen, folgen Sie den Schritten auf der Dokumentationsseite Private IP-Adresse mit Looker (Google Cloud Core) verwenden, um die Netzwerkeinrichtung während der Instanzerstellung abzuschließen.

  9. Im Abschnitt Verschlüsselung können Sie auswählen, ob Sie die standardmäßige von Google verwaltete Verschlüsselung oder einen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden möchten. Weitere Informationen zu CMEK und deren Konfiguration während der Instanzerstellung finden Sie auf der Dokumentationsseite Vom Kunden verwaltete Verschlüsselungsschlüssel mit Looker (Google Cloud Core) verwenden. Der Verschlüsselungstyp kann nach dem Erstellen der Instanz nicht mehr geändert werden.

  10. Im Bereich Wartungsfenster können Sie optional den Wochentag und die Stunde angeben, in denen Looker (Google Cloud Core) die Wartung plant. Wartungsfenster dauern eine Stunde. Standardmäßig ist die Option Bevorzugtes Fenster im Wartungsfenster auf Beliebiges Fenster eingestellt.

  11. Im Abschnitt Wartungszeitraum ablehnen können Sie optional einen Block von Tagen angeben, in dem Looker (Google Cloud Core) keine Wartung plant. Zeiträume für Wartungsausschlüsse können bis zu 60 Tage lang sein. Zwischen zwei Zeiträumen für Wartungsausschlüsse müssen mindestens 14 Tage für die Wartung verfügbar sein.

  12. Klicken Sie auf Erstellen.

Beim Erstellen der Instanz werden Sie in der Console zur Seite Instanzen weitergeleitet. Möglicherweise müssen Sie die Seite aktualisieren, um den Status Ihrer neuen Instanz zu sehen. Sie können sich die Aktivitäten zur Instanzerstellung auch ansehen, indem Sie im Menü der Google Cloud Console auf das Benachrichtigungssymbol klicken. Während die Instanz erstellt wird, ist das Benachrichtigungssymbol im Menü der Google Cloud Console von einem Ladesymbol umgeben.

gcloud

  1. Wenn Sie CMEK verwenden, erstellen Sie das Looker-Dienstkonto und folgen Sie der Anleitung zum Einrichten eines CMEK.

  2. Verwenden Sie den Befehl gcloud looker instances create, um die Instanz zu erstellen:

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]
[--async]

    Ersetzen Sie Folgendes:

    • INSTANCE_NAME: ein Name für Ihre Looker (Google Cloud Core)-Instanz; er ist nicht mit der Instanz-URL verknüpft.
    • PROJECT_ID: der Name des Google Cloud-Projekts, in dem Sie die Looker (Google Cloud Core)-Instanz erstellen.
    • OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.
    • REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird. Wählen Sie die Region aus, die mit der Region im Abovertrag übereinstimmt. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.
    • EDITION ist die Edition für die Instanz. Mögliche Werte sind core-standard-annual, core-enterprise-annual oder core-embed-annual. Versionen können nach dem Erstellen der Instanz nicht mehr geändert werden. Wenn Sie eine Version ändern möchten, können Sie die Daten Ihrer Looker (Google Cloud Core)-Instanz mithilfe von Import und Export in eine neue Instanz verschieben, die mit einer anderen Version konfiguriert ist.
    • CONSUMER_NETWORK: Ihr VPC-Netzwerk oder Ihre freigegebene VPC. Muss festgelegt werden, wenn Sie eine private IP-Instanz erstellen.
    • RESERVED_RANGE: der IP-Adressbereich innerhalb der VPC, in dem Google ein Subnetzwerk für Ihre Looker (Google Cloud Core)-Instanz bereitstellt. Definieren Sie keinen Bereich, wenn Sie eine private IP-Netzwerkverbindung für Ihre Instanz aktivieren.

    Sie können auch folgende Markierungen hinzufügen:

    • --private-ip-enabled aktiviert die private IP-Adresse.
    • --public-ip-enabled oder --no-public-ip-enabled werden verwendet, um öffentliche IP-Adressen zu aktivieren oder zu deaktivieren.
    • --async wird beim Erstellen einer Looker (Google Cloud Core)-Instanz empfohlen.

  3. Sie können weitere Parameter hinzufügen, um andere Instanzeinstellungen anzuwenden: 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
--kms-key=KMS_KEY_ID
    Ersetzen Sie dabei Folgendes:

    • MAINTENANCE_WINDOW_DAY: muss einer der folgenden Werte sein: friday, monday, saturday, sunday, thursday, tuesday oder wednesday. Weitere Informationen zu den Einstellungen für Wartungsfenster finden Sie auf der Dokumentationsseite Wartungsrichtlinien für Looker (Google Cloud Core) verwalten.
    • MAINTENANCE_WINDOW_TIME und DENY_MAINTENANCE_PERIOD_TIME müssen in UTC im 24-Stunden-Format angegeben werden (z. B. 13:00, 17:45).
    • DENY_MAINTENANCE_PERIOD_START_DATE und DENY_MAINTENANCE_PERIOD_END_DATE müssen das Format YYYY-MM-DD haben.
    • KMS_KEY_ID: Muss der Schlüssel sein, der beim Einrichten von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) erstellt wird.

Terraform

Verwenden Sie die folgende Terraform-Ressource, um eine Standard-Instanz von Looker (Google Cloud Core) mit grundlegenden Funktionen bereitzustellen:

# Creates a Standard edition Looker (Google Cloud core) instance with basic functionality enabled.
resource "google_looker_instance" "main" {
  name             = "my-instance"
  platform_edition = "LOOKER_CORE_STANDARD"
  region           = "us-central1"
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Verwenden Sie die folgende Terraform-Ressource, um eine Looker (Google Cloud Core)-Instanz Standard mit zusätzlichen Einstellungen bereitzustellen:

# Creates a Standard edition Looker (Google Cloud core) instance with full functionality enabled.

resource "google_looker_instance" "main" {
  name              = "my-instance"
  platform_edition  = "LOOKER_CORE_STANDARD"
  region            = "us-central1"
  public_ip_enabled = true
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  // User metadata config is only available when platform edition is LOOKER_CORE_STANDARD.
  user_metadata {
    additional_developer_user_count = 10
    additional_standard_user_count  = 10
    additional_viewer_user_count    = 10
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
}

Verwenden Sie die folgende Terraform-Ressource, um eine Enterprise-Looker-Instanz (Google Cloud Core) mit einer privaten Netzwerkverbindung bereitzustellen:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Die Instanzerstellung kann nicht pausiert oder beendet werden, nachdem sie einmal gestartet wurde. Wenn Ihre Terraform-Ressource erfolgreich bereitgestellt wurde, gibt Ihr Terminal die folgende Meldung aus:

Creation complete after XmXs [id=projects/PROJECT-ID/locations/REGION/instances/my-instance-randomly-generated-name]


Apply complete! Resources: X added, X changed, X destroyed.

Den Status der neuen Instanz, der ein zufällig generierter Name zugewiesen wird, finden Sie in der Console auf der Seite Instanzen.

Die Bereitstellung der Instanz kann bis zu 60 Minuten dauern.

Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.

Nachdem die Instanz erstellt und die OAuth-Einrichtung abgeschlossen wurde, können Sie die Instanz aufrufen, indem Sie die Instanz-URL aufrufen, die auf der Seite Instanzen angezeigt wird. Sie können dann die Nutzerauthentifizierungsmethode auswählen und Nutzer hinzufügen, eine Verbindung zur Datenbank herstellen und mit der Instanzeinrichtung fortfahren.

Looker-Dienstkonto

Looker (Google Cloud Core) verwendet einen Dienst-Agent, ein sogenanntes Looker-Dienstkonto, um bestimmte Aktivitäten auszuführen. Ein einzelnes Looker-Dienstkonto arbeitet im Namen aller Instanzen von Looker (Google Cloud Core) in einem bestimmten Google Cloud-Projekt. Das Looker-Dienstkonto wird automatisch erstellt, wenn Sie zum ersten Mal eine Looker (Google Cloud Core)-Instanz in einem Projekt erstellen.

Mit dem Dienstkonto kann Looker (Google Cloud Core) eine Verbindung zu anderen Diensten wie BigQuery herstellen.

Manchmal, z. B. wenn Sie Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) mit einer Verbindung zu BigQuery in einem anderen Projekt verwenden, müssen Sie Informationen zum Looker-Dienstkonto abrufen, z. B. seine E-Mail-Adresse.

Wenn Sie CMEK verwenden und die Google Cloud CLI, Terraform oder die API verwenden möchten, um CMEK zu konfigurieren, bevor Sie die Looker (Google Cloud Core)-Instanz erstellen, müssen Sie das Looker-Dienstkonto manuell erstellen, bevor Sie die Instanz erstellen.

Wählen Sie eine der folgenden Optionen aus, um das Looker-Dienstkonto aufzurufen oder zu erstellen:

Console

So rufen Sie das Looker-Dienstkonto auf:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen
  2. Wählen Sie das Projekt aus, in dem sich die Looker (Google Cloud Core)-Instanz befindet.
  3. Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.

gcloud

So erstellen oder zeigen Sie das Looker-Dienstkonto an:


gcloud beta services identity create --service=looker.googleapis.com --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch das Projekt, in dem sich die Looker (Google Cloud Core)-Instanz befindet.

Der Name des Dienstkontos lautet Looker Service Account. Die E-Mail hat das Format service-<project number>@gcp-sa-looker.iam.gserviceaccount.com.

Nächste Schritte