Benutzerdefinierte Domain mit von Google verwalteten Zertifikaten für Looker (Google Cloud Core) verwenden

Auf dieser Seite wird beschrieben, wie Sie eine benutzerdefinierte Domain für Ihre Looker (Google Cloud Core)-Instanz mit privaten Verbindungen mit von Google verwalteten Zertifikaten konfigurieren. Bei dieser vereinfachten Methode müssen Sie keine eigenen SSL-Zertifikate mehr beziehen, hochladen und verwalten oder einen Reverse-Proxy für die TLS-Terminierung konfigurieren.

Übersicht

Sie können jetzt eine benutzerdefinierte Domain unter *.private.looker.app (z. B. my-instance.private.looker.app) für Ihre Looker (Google Cloud Core)-Instanzen mit Private Service Connect verwenden. Diese Domain ist mit einem von Google verwalteten Zertifikat gesichert. Das bedeutet, dass Google die Bereitstellung und Verlängerung des Zertifikats für Sie übernimmt.

Sie müssen privates DNS (entweder lokal oder in Google Cloud) konfigurieren und einen Private Service Connect-Endpunkt verwenden. Legen Sie die IP-Adresse des PSC-Endpunkts als Wert des A-Eintrags für die angegebene Domain fest.

Diese Funktion bietet folgende Vorteile:

• Vereinfachte Zertifikatsverwaltung: Sie müssen Ihre eigenen SSL-Zertifikate nicht mehr beziehen, hochladen und verwalten.
• Automatische Zertifikatsverlängerung: Google kümmert sich automatisch um die Zertifikatsverlängerung und sorgt so für kontinuierliche Sicherheit ohne manuellen Eingriff.
• Geringere Konfigurationskomplexität: Sie müssen keinen internen Application Load Balancer (HTTPS), keine Private Service Connect-Netzwerkendpunktgruppe (NEG) und kein Zertifikat für die TLS-Terminierung konfigurieren.

Hinweise

Wenn Ihre Instanz Private Service Connect verwendet, muss für eingehende Verbindungen der neue Dienstanhang-URI für Ihre Looker (Google Cloud Core)-Instanz verwendet werden. Wenn Sie sich nicht sicher sind, lesen Sie die Dokumentation Private Service Connect-Verbindungen zum neuen Dienstanhang-URI migrieren.

Bevor Sie die Domain Ihrer Looker (Google Cloud Core)-Instanz anpassen können, müssen Sie herausfinden, wo die DNS-Einträge Ihrer Domain gespeichert sind, damit Sie sie aktualisieren können.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker Admin (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer benutzerdefinierten Domain für eine Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Benutzerdefinierte Domain erstellen

So passen Sie die Domain Ihrer Looker (Google Cloud Core)-Instanz in der Google Cloud Console an:

1. Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie eine benutzerdefinierte Domain einrichten möchten.
2. Klicken Sie auf den Tab Benutzerdefinierte Domain.

3. Klicken Sie auf Benutzerdefinierte Domain hinzufügen, um das Feld Neue benutzerdefinierte Domain hinzufügen zu öffnen.

   

4. Geben Sie unter *.private.looker.app eine benutzerdefinierte Domain ein. Beispiel: my-instance.private.looker.app.

5. Klicken Sie im Bereich Neue benutzerdefinierte Domain hinzufügen auf Fertig, um zum Tab Benutzerdefinierte Domain zurückzukehren.

Das Aktualisieren der benutzerdefinierten Domain dauert 10 bis 15 Minuten.

Nachdem Ihre benutzerdefinierte Domain eingerichtet wurde, wird sie in der Google Cloud -Konsole auf der Seite mit den Instanzdetails von Looker (Google Cloud Core) auf dem Tab BENUTZERDEFINIERTE DOMAIN in der Spalte Domain angezeigt.

Nachdem Sie eine benutzerdefinierte Domain erstellt haben, können Sie Informationen dazu aufrufen oder sie löschen.

OAuth-Anmeldedaten aktualisieren

Sie können jeden OAuth-Client verwenden, um Autorisierungsanmeldedaten für Ihre Looker (Google Cloud Core)-Instanz zu erstellen. In diesem Beispiel wird beschrieben, wie Sie die Anmeldedaten über die Google Cloud Console aktualisieren. Wenn Sie einen anderen Client verwenden, passen Sie die Schritte entsprechend an.

1. Rufen Sie in der Google Cloud -Konsole APIs & Dienste > Anmeldedaten auf und wählen Sie die OAuth-Client-ID für den OAuth-Client aus, der von Ihrer Looker (Google Cloud Core)-Instanz verwendet wird.
2. Klicken Sie auf die Schaltfläche URI hinzufügen, um das Feld Autorisierte JavaScript-Quellen in Ihrem OAuth-Client zu aktualisieren. Es muss denselben DNS-Namen enthalten, den Ihre Organisation für den Zugriff auf Looker (Google Cloud Core) verwendet. Wenn Ihre benutzerdefinierte Domain beispielsweise my-instance.private.looker.app ist, geben Sie my-instance.private.looker.app als URI ein.
3. Aktualisieren oder fügen Sie die benutzerdefinierte Domain der Liste der autorisierten Weiterleitungs-URIs für die OAuth-Anmeldedaten hinzu, die Sie beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet haben. Fügen Sie /oauth2callback am Ende des URI hinzu. Wenn Ihre benutzerdefinierte Domain beispielsweise my-instance.private.looker.app ist, geben Sie my-instance.private.looker.app/oauth2callback ein.

Schritte zur DNS-Konfiguration

Führen Sie die folgenden Schritte aus, um DNS zu konfigurieren:

1. Privates DNS konfigurieren: Implementieren Sie eine private DNS-Lösung, die entweder lokal oder in Google Cloud bereitgestellt werden kann(z. B. mit Cloud DNS).

2. Private Service Connect-Endpunkt verwenden: Achten Sie darauf, dass Sie einen Private Service Connect-Endpunkt bereitgestellt haben, der eine Verbindung zu Looker (Google Cloud Core) herstellt.

3. A-Eintrag erstellen: Erstellen Sie in Ihrer privaten DNS-Zone einen A-Eintrag, der Ihre benutzerdefinierte Domain unter *.private.looker.app (z. B. my-instance.private.looker.app) der IP-Adresse Ihres Private Service Connect-Endpunkts zuordnet.

Sobald Ihr privates DNS so konfiguriert ist, dass Ihre benutzerdefinierte Domain in die IP-Adresse des Private Service Connect-Endpunkts aufgelöst wird, können Sie sicher über diese benutzerdefinierte Domain auf Ihre Looker (Google Cloud Core)-Instanz zugreifen. So wird die TLS-Terminierung nativ unterstützt.

Andere benutzerdefinierte Domains verwenden

Sie können eine benutzerdefinierte Domain verwenden, die nicht *.private.looker.app ist. Für diese benutzerdefinierten Domains müssen Sie jedoch die folgenden Konfigurationen manuell angeben:

• Zertifikate bereitstellen: Sie müssen Ihre eigenen Zertifikate bereitstellen. Dabei kann es sich um selbstverwaltete (selbstsignierte) oder von Google verwaltete Zertifikate handeln.
• Infrastrukturbereitstellung: Stellen Sie einen HTTPS Application Load Balancer (entweder intern oder extern) bereit. Dieser Load Balancer muss eine Private Service Connect-NEG als Backend-Dienst verwenden, wobei das Zertifikat auf das Frontend angewendet wird.
• DNS-Konfiguration: Konfigurieren Sie die erforderlichen DNS-Einträge (entweder privates oder öffentliches DNS), um Ihre benutzerdefinierte Domain über einen A-Eintrag der IP-Adresse des Application Load Balancers zuzuordnen.

Nächste Schritte

• Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
• Looker (Google Cloud Core)-Instanz für Nutzer vorbereiten
• Nutzer in Looker (Google Cloud Core) verwalten