Usa un dominio personalizado con certificados administrados por Google para Looker (Google Cloud Core)

En esta página, se explica cómo configurar un dominio personalizado para tu instancia de conexiones privadas de Looker (Google Cloud Core) con certificados administrados por Google. Este método simplificado elimina la necesidad de que obtengas, subas y administres tus propios certificados SSL, o bien que configures un proxy inverso para la finalización de TLS.

Descripción general

Ahora puedes usar un dominio personalizado en *.private.looker.app (por ejemplo, my-instance.private.looker.app) para tus instancias de Private Service Connect de Looker (Google Cloud Core). Este dominio está protegido por un certificado administrado por Google, lo que significa que Google se encarga del proceso de aprovisionamiento y renovación del certificado por ti.

Debes configurar un DNS privado (ya sea local o dentro de Google Cloud) y usar un extremo de Private Service Connect, estableciendo la dirección IP del extremo de PSC como el valor del registro A para el dominio especificado.

Esta función ofrece los siguientes beneficios:

• Administración de certificados simplificada: Ya no necesitas obtener, subir ni administrar tus propios certificados SSL.
• Renovación automática de certificados: Google se encarga automáticamente de la renovación de certificados, lo que garantiza una seguridad continua sin intervención manual.
• Menor complejidad de configuración: No necesitas configurar un balanceador de cargas de aplicaciones interno (HTTPS), un grupo de extremos de red (NEG) de Private Service Connect ni un certificado para la finalización de TLS.

Antes de comenzar

Si tu instancia usa Private Service Connect, asegúrate de que tu instancia de Looker (Google Cloud Core) use el nuevo URI de adjunto de servicio para sus conexiones entrantes. Si no tienes certeza, consulta la documentación sobre la migración de conexiones de Private Service Connect al nuevo URI del adjunto de servicio.

Antes de personalizar el dominio de tu instancia de Looker (Google Cloud Core), identifica dónde se almacenan los registros DNS de tu dominio para que puedas actualizarlos.

Roles obligatorios

Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud Core), pídele a tu administrador que te otorgue el rol de IAM de administrador de Looker (roles/looker.admin) en el proyecto en el que reside la instancia. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea un dominio personalizado

En la consola de Google Cloud , sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud Core):

1. En la página Instancias, haz clic en el nombre de la instancia para la que deseas configurar un dominio personalizado.
2. Haz clic en la pestaña Dominio personalizado.

3. Haz clic en Agregar un dominio personalizado para abrir el panel Agregar un nuevo dominio personalizado.

   

4. Ingresa un dominio personalizado en *.private.looker.app. Por ejemplo, my-instance.private.looker.app

5. En el panel Agregar un nuevo dominio personalizado, haz clic en Listo para volver a la pestaña Dominio personalizado.

La actualización del dominio personalizado tarda entre 10 y 15 minutos en completarse.

Una vez que se configura tu dominio personalizado, se muestra en la columna Dominio de la pestaña DOMINIO PERSONALIZADO de la página de detalles de la instancia de Looker (Google Cloud Core) en la consola de Google Cloud .

Después de crear tu dominio personalizado, puedes ver información sobre él o borrarlo.

Actualiza las credenciales de OAuth

Puedes usar cualquier cliente de OAuth para crear credenciales de autorización para tu instancia de Looker (Google Cloud Core). Como ejemplo, estos pasos te guían para actualizar las credenciales con la consola de Google Cloud . Si usas un cliente diferente, ajusta los pasos según corresponda.

1. Para acceder a tu cliente de OAuth, navega en la consola de Google Cloud a APIs & Services > Credentials y selecciona el ID de cliente de OAuth para el cliente de OAuth que usa tu instancia de Looker (Google Cloud Core).
2. Haz clic en el botón Agregar URI para actualizar el campo Orígenes de JavaScript autorizados en tu cliente de OAuth y, así, incluir el mismo nombre de DNS que tu organización usará para acceder a Looker (Google Cloud Core). Por ejemplo, si tu dominio personalizado es my-instance.private.looker.app, debes ingresar my-instance.private.looker.app como el URI.
3. Actualiza o agrega el dominio personalizado a la lista de URIs de redireccionamiento autorizados para las credenciales de OAuth que usaste cuando creaste la instancia de Looker (Google Cloud Core). Agrega /oauth2callback al final del URI. Por ejemplo, si tu dominio personalizado es my-instance.private.looker.app, debes ingresar my-instance.private.looker.app/oauth2callback.

Pasos para configurar el DNS

Para configurar el DNS, completa los siguientes pasos:

1. Configura el DNS privado: Implementa una solución de DNS privado que se pueda implementar de forma local o dentro de Google Cloud (por ejemplo, con Cloud DNS).

2. Usa un extremo de Private Service Connect: Asegúrate de haber aprovisionado un extremo de Private Service Connect que se conecte a Looker (Google Cloud Core).

3. Crea el registro A: En tu zona DNS privada, crea un registro A que asigne tu dominio personalizado en *.private.looker.app (por ejemplo, my-instance.private.looker.app) a la dirección IP de tu extremo de Private Service Connect.

Una vez que tu DNS privado esté configurado para resolver tu dominio personalizado en la dirección IP del extremo de Private Service Connect, podrás acceder de forma segura a tu instancia de Looker (Google Cloud Core) con ese dominio personalizado, lo que habilitará la compatibilidad nativa con la finalización de TLS.

Uso de otros dominios personalizados

Puedes usar un dominio personalizado que no sea *.private.looker.app. Sin embargo, para estos dominios personalizados, debes proporcionar manualmente los siguientes parámetros de configuración:

• Aprovisionamiento de certificados: Debes proporcionar tus propios certificados. Estos pueden ser certificados autoadministrados (autofirmados) o administrados por Google.
• Implementación de infraestructura: Implementa un balanceador de cargas de aplicaciones HTTPS (interno o externo). Este balanceador de cargas debe usar un NEG de Private Service Connect como su servicio de backend con el certificado aplicado al frontend.
• Configuración de DNS: Configura los registros DNS necesarios (DNS privado o público) para asignar tu dominio personalizado a la dirección IP del balanceador de cargas de aplicaciones a través de un registro A.

¿Qué sigue?

• Conecta Looker (Google Cloud Core) a tu base de datos
• Prepara una instancia de Looker (Google Cloud Core) para los usuarios
• Administra usuarios en Looker (Google Cloud Core)