Usar un dominio personalizado con certificados gestionados por Google en Looker (en la infraestructura de Google Cloud)

En esta página se explica cómo configurar un dominio personalizado para tu instancia de conexiones privadas de Looker (Google Cloud core) mediante certificados gestionados por Google. Con este método simplificado, no es necesario que obtengas, subas ni gestiones tus propios certificados SSL, ni que configures un proxy inverso para la terminación de TLS.

Información general

Ahora puedes usar un dominio personalizado en *.private.looker.app (por ejemplo, my-instance.private.looker.app) para tus instancias de Private Service Connect de Looker (Google Cloud Core). Este dominio está protegido por un certificado gestionado por Google, lo que significa que Google se encarga del proceso de aprovisionamiento y renovación del certificado.

Debes configurar un DNS privado (local o en Google Cloud) y usar un endpoint de Private Service Connect. Además, debes definir la dirección IP del endpoint de PSC como el valor del registro A del dominio especificado.

Esta función ofrece las siguientes ventajas:

• Gestión de certificados simplificada: ya no tienes que obtener, subir ni gestionar tus propios certificados SSL.
• Renovación automática de certificados: Google gestiona automáticamente las renovaciones de certificados, lo que garantiza una seguridad continua sin intervención manual.
• Menor complejidad de configuración: no es necesario configurar un balanceador de carga de aplicación interno (HTTPS), un grupo de endpoints de red (NEG) de Private Service Connect ni un certificado para la terminación de TLS.

Antes de empezar

Si tu instancia usa Private Service Connect, asegúrate de que tu instancia de Looker (Google Cloud Core) esté usando el nuevo URI de adjunto de servicio para sus conexiones entrantes. Si no lo tienes claro, consulta la documentación sobre cómo migrar conexiones de Private Service Connect al nuevo URI de vinculación de servicio.

Antes de personalizar el dominio de tu instancia de Looker (Google Cloud core), identifica dónde se almacenan los registros DNS de tu dominio para poder actualizarlos.

Roles obligatorios

Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud core), pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Looker (roles/looker.admin) en el proyecto en el que reside la instancia. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear un dominio personalizado

En la Google Cloud consola, sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud core):

1. En la página Instancias, haz clic en el nombre de la instancia para la que quieras configurar un dominio personalizado.
2. Haz clic en la pestaña Dominio personalizado.

3. Haz clic en Añadir un dominio personalizado para abrir el panel Añadir un dominio personalizado.

   

4. Introduce un dominio personalizado en *.private.looker.app. Por ejemplo, my-instance.private.looker.app.

5. En el panel Añadir un nuevo dominio personalizado, haz clic en Hecho para volver a la pestaña Dominio personalizado.

La actualización del dominio personalizado tarda entre 10 y 15 minutos en completarse.

Una vez que haya configurado su dominio personalizado, se mostrará en la columna Dominio de la pestaña DOMINIO PERSONALIZADO de la página de detalles de la instancia de Looker (Google Cloud core) en la consola de Google Cloud .

Una vez que hayas creado tu dominio personalizado, podrás ver información sobre él o eliminarlo.

Actualizar las credenciales de OAuth

Puedes usar cualquier cliente de OAuth para crear credenciales de autorización para tu instancia de Looker (Google Cloud core). Por ejemplo, estos pasos te guían para actualizar las credenciales mediante la Google Cloud consola. Si usas otro cliente, adapta los pasos en consecuencia.

1. Para acceder a tu cliente de OAuth, ve a APIs & Services > Credentials (APIs y servicios > Credenciales) en la Google Cloud consola y selecciona el ID de cliente de OAuth que usa tu instancia de Looker (Google Cloud core).
2. Haz clic en el botón Añadir URI para actualizar el campo Orígenes de JavaScript autorizados de tu cliente de OAuth e incluir el mismo nombre de DNS que utilizará tu organización para acceder a Looker (Google Cloud core). Por ejemplo, si tu dominio personalizado es my-instance.private.looker.app, debes introducir my-instance.private.looker.app como URI.
3. Actualiza o añade el dominio personalizado a la lista de URIs de redirección autorizadas de las credenciales de OAuth que usaste al crear la instancia de Looker (Google Cloud Core). Añade /oauth2callback al final del URI. Por ejemplo, si tu dominio personalizado es my-instance.private.looker.app, debes introducir my-instance.private.looker.app/oauth2callback.

Pasos para configurar el DNS

Para configurar el DNS, sigue estos pasos:

1. Configurar un DNS privado: implementa una solución de DNS privado, que se puede desplegar de forma local o en la nube(por ejemplo, con Cloud DNS). Google Cloud

2. Usar un endpoint de Private Service Connect: asegúrate de haber aprovisionado un endpoint de Private Service Connect que se conecte a Looker (Google Cloud core).

3. Crea el registro A: en tu zona DNS privada, crea un registro A que asigne tu dominio personalizado en *.private.looker.app (por ejemplo, my-instance.private.looker.app) a la dirección IP de tu endpoint de Private Service Connect.

Una vez que tu DNS privado esté configurado para resolver tu dominio personalizado en la dirección IP del endpoint de Private Service Connect, podrás acceder de forma segura a tu instancia de Looker (Google Cloud core) mediante ese dominio personalizado, lo que te permitirá disfrutar de la compatibilidad nativa con la terminación TLS.

Usar otros dominios personalizados

Puedes usar un dominio personalizado que no sea *.private.looker.app. Sin embargo, en el caso de estos dominios personalizados, debe proporcionar manualmente las siguientes configuraciones:

• Aprovisionamiento de certificados: debes proporcionar tus propios certificados. Pueden ser certificados autogestionados (con firma automática) o gestionados por Google.
• Despliegue de infraestructura: despliega un balanceador de carga de aplicaciones HTTPS (interno o externo). Este balanceador de carga debe usar un NEG de Private Service Connect como servicio de backend con el certificado aplicado al frontend.
• Configuración de DNS: configura los registros DNS necesarios (DNS privado o público) para asignar tu dominio personalizado a la dirección IP del balanceador de carga de aplicaciones mediante un registro A.

Siguientes pasos

• Conectar Looker (Google Cloud Core) a tu base de datos
• Preparar una instancia de Looker (Google Cloud Core) para los usuarios
• Gestionar usuarios en Looker (servicio principal de Google Cloud)