Utiliser un domaine personnalisé avec des certificats gérés par Google pour Looker (Google Cloud Core)

Cette page explique comment configurer un domaine personnalisé pour votre instance Looker (Google Cloud Core) avec des connexions privées à l'aide de certificats gérés par Google. Cette méthode simplifiée vous évite d'avoir à obtenir, importer et gérer vos propres certificats SSL, ou à configurer un proxy inverse pour la terminaison TLS.

Présentation

Vous pouvez désormais utiliser un domaine personnalisé sous *.private.looker.app (par exemple, my-instance.private.looker.app) pour vos instances Looker (Google Cloud Core) Private Service Connect. Ce domaine est sécurisé par un certificat géré par Google, ce qui signifie que Google gère le processus de provisionnement et de renouvellement du certificat pour vous.

Vous devez configurer un DNS privé (sur site ou dans Google Cloud) et utiliser un point de terminaison Private Service Connect, en définissant l'adresse IP du point de terminaison PSC comme valeur de l'enregistrement A pour le domaine spécifié.

Cette fonctionnalité présente les avantages suivants :

• Gestion simplifiée des certificats : vous n'avez plus besoin d'obtenir, d'importer ni de gérer vos propres certificats SSL.
• Renouvellement automatique des certificats : Google gère automatiquement le renouvellement des certificats, ce qui garantit une sécurité continue sans intervention manuelle.
• Complexité de configuration réduite : vous n'avez pas besoin de configurer un équilibreur de charge d'application interne (HTTPS), un groupe de points de terminaison du réseau Private Service Connect (NEG) ni un certificat pour l'arrêt TLS.

Avant de commencer

Si votre instance utilise Private Service Connect, assurez-vous que votre instance Looker (Google Cloud Core) utilise le nouvel URI de rattachement de service pour ses connexions entrantes. En cas de doute, consultez la documentation Migrer les connexions Private Service Connect vers le nouvel URI de rattachement de service.

Avant de pouvoir personnaliser le domaine de votre instance Looker (Google Cloud Core), identifiez l'emplacement des enregistrements DNS de votre domaine afin de pouvoir les mettre à jour.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer un domaine personnalisé pour une instance Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle IAM Administrateur Looker (roles/looker.admin) sur le projet dans lequel réside l'instance. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un domaine personnalisé

Dans la console Google Cloud , procédez comme suit pour personnaliser le domaine de votre instance Looker (Google Cloud Core) :

1. Sur la page Instances, cliquez sur le nom de l'instance pour laquelle vous souhaitez configurer un domaine personnalisé.
2. Cliquez sur l'onglet Domaine personnalisé.

3. Cliquez sur Ajouter un domaine personnalisé pour ouvrir le panneau Ajouter un nom de domaine personnalisé.

   

4. Saisissez un domaine personnalisé sous *.private.looker.app. Exemple :my-instance.private.looker.app

5. Dans le panneau Ajouter un nom de domaine personnalisé, cliquez sur OK pour revenir à l'onglet Domaine personnalisé.

La mise à jour du domaine personnalisé prend entre 10 et 15 minutes.

Une fois votre domaine personnalisé configuré, il s'affiche dans la colonne Domaine de l'onglet DOMAINE PERSONNALISÉ de la page Détails de l'instance Looker (Google Cloud Core) dans la console Google Cloud .

Une fois votre domaine personnalisé créé, vous pouvez afficher des informations à son sujet ou le supprimer.

Mettre à jour les identifiants OAuth

Vous pouvez utiliser n'importe quel client OAuth pour créer des identifiants d'autorisation pour votre instance Looker (Google Cloud Core). Par exemple, ces étapes vous expliquent comment mettre à jour les identifiants à l'aide de la console Google Cloud . Si vous utilisez un autre client, ajustez les étapes en conséquence.

1. Accédez à votre client OAuth en accédant à API et services > Identifiants dans la console Google Cloud , puis en sélectionnant l'ID client OAuth du client OAuth utilisé par votre instance Looker (Google Cloud Core).
2. Cliquez sur le bouton Ajouter un URI pour mettre à jour le champ Origines JavaScript autorisées de votre client OAuth afin d'inclure le même nom DNS que celui que votre organisation utilisera pour accéder à Looker (Google Cloud Core). Par exemple, si votre domaine personnalisé est my-instance.private.looker.app, saisissez my-instance.private.looker.app comme URI.
3. Mettez à jour ou ajoutez le domaine personnalisé à la liste des URI de redirection autorisés pour les identifiants OAuth que vous avez utilisés lorsque vous avez créé l'instance Looker (Google Cloud Core). Ajoutez /oauth2callback à la fin de l'URI. Par exemple, si votre domaine personnalisé est my-instance.private.looker.app, saisissez my-instance.private.looker.app/oauth2callback.

Étapes de configuration DNS

Pour configurer le DNS, procédez comme suit :

1. Configurer un DNS privé : implémentez une solution DNS privée, qui peut être déployée sur site ou dans Google Cloud (par exemple, à l'aide de Cloud DNS).

2. Utilisez un point de terminaison Private Service Connect : assurez-vous d'avoir provisionné un point de terminaison Private Service Connect qui se connecte à Looker (Google Cloud Core).

3. Créez l'enregistrement A : dans votre zone DNS privée, créez un enregistrement A qui mappe votre domaine personnalisé sous *.private.looker.app (par exemple, my-instance.private.looker.app) à l'adresse IP de votre point de terminaison Private Service Connect.

Une fois votre DNS privé configuré pour résoudre votre domaine personnalisé en adresse IP du point de terminaison Private Service Connect, vous pouvez accéder de manière sécurisée à votre instance Looker (Google Cloud Core) à l'aide de ce domaine personnalisé, ce qui permet la prise en charge native de l'arrêt TLS.

Utiliser d'autres domaines personnalisés

Vous pouvez utiliser un domaine personnalisé autre que *.private.looker.app. Toutefois, pour ces domaines personnalisés, vous devez fournir manuellement les configurations suivantes :

• Provisionnement des certificats : vous devez fournir vos propres certificats. Il peut s'agir de certificats autogérés (autosignés) ou gérés par Google.
• Déploiement de l'infrastructure : déployez un équilibreur de charge d'application HTTPS (interne ou externe). Cet équilibreur de charge doit utiliser un NEG Private Service Connect comme service de backend, avec le certificat appliqué au frontend.
• Configuration DNS : configurez les enregistrements DNS nécessaires (DNS privé ou public) pour mapper votre domaine personnalisé à l'adresse IP de l'équilibreur de charge d'application à l'aide d'un enregistrement A.

Étapes suivantes

• Connecter Looker (Google Cloud Core) à votre base de données
• Préparer une instance Looker (Google Cloud Core) pour les utilisateurs
• Gérer les utilisateurs dans Looker (Google Cloud Core)