Utilizzo di un dominio personalizzato con certificati gestiti da Google per Looker (Google Cloud core)

Questa pagina spiega come configurare un dominio personalizzato per l'istanza di connessioni private di Looker (Google Cloud core) utilizzando i certificati gestiti da Google. Questo metodo semplificato elimina la necessità di ottenere, caricare e gestire i tuoi certificati SSL o configurare un proxy inverso per la terminazione TLS.

Panoramica

Ora puoi utilizzare un dominio personalizzato in *.private.looker.app (ad esempio, my-instance.private.looker.app) per le tue istanze Private Service Connect di Looker (Google Cloud core). Questo dominio è protetto da un certificato gestito da Google, il che significa che Google gestisce la procedura di provisioning e rinnovo del certificato per tuo conto.

Devi configurare il DNS privato (on-premise o all'interno di Google Cloud) e utilizzare un endpoint Private Service Connect, impostando l'indirizzo IP dell'endpoint PSC come valore del record A per il dominio specificato.

Questa funzionalità offre i seguenti vantaggi:

• Gestione semplificata dei certificati: non devi più ottenere, caricare e gestire i tuoi certificati SSL.
• Rinnovo automatico dei certificati: Google gestisce automaticamente i rinnovi dei certificati, garantendo una sicurezza continua senza interventi manuali.
• Complessità di configurazione ridotta: non devi configurare un bilanciatore del carico delle applicazioni interno (HTTPS), un gruppo di endpoint di rete (NEG) Private Service Connect e un certificato per la terminazione TLS.

Prima di iniziare

Se la tua istanza utilizza Private Service Connect, assicurati che l'istanza di Looker (Google Cloud core) utilizzi il nuovo URI del collegamento del servizio per le connessioni in entrata. In caso di dubbi, consulta la documentazione Migrazione delle connessioni Private Service Connect al nuovo URI del collegamento del servizio.

Prima di poter personalizzare il dominio dell'istanza di Looker (Google Cloud core), identifica dove sono archiviati i record DNS del tuo dominio, in modo da poterli aggiornare.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un dominio personalizzato per un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti il ruolo IAM Amministratore di Looker (roles/looker.admin) nel progetto in cui si trova l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare un dominio personalizzato

Nella console Google Cloud , segui questi passaggi per personalizzare il dominio dell'istanza di Looker (Google Cloud core):

1. Nella pagina Istanze, fai clic sul nome dell'istanza per cui vuoi configurare un dominio personalizzato.
2. Fai clic sulla scheda Dominio personalizzato.

3. Fai clic su Aggiungi un dominio personalizzato per aprire il riquadro Aggiungi un nuovo dominio personalizzato.

   

4. Inserisci un dominio personalizzato in *.private.looker.app. Ad esempio, my-instance.private.looker.app.

5. Nel riquadro Aggiungi un nuovo dominio personalizzato, fai clic su Fine per tornare alla scheda Domini personalizzati.

L'aggiornamento del dominio personalizzato richiede 10-15 minuti.

Una volta configurato il dominio personalizzato, questo viene visualizzato nella colonna Dominio della scheda DOMINIO PERSONALIZZATO della pagina dei dettagli dell'istanza di Looker (Google Cloud core) nella console Google Cloud .

Una volta creato il dominio personalizzato, puoi visualizzarne le informazioni o eliminarlo.

Aggiorna le credenziali OAuth

Puoi utilizzare qualsiasi client OAuth per creare le credenziali di autorizzazione per la tua istanza di Looker (Google Cloud core). Ad esempio, questi passaggi ti guidano nell'aggiornamento delle credenziali utilizzando la console Google Cloud . Se utilizzi un altro client, adatta i passaggi di conseguenza.

1. Accedi al client OAuth andando nella console Google Cloud a API e servizi > Credenziali e selezionando l'ID client OAuth per il client OAuth utilizzato dall'istanza di Looker (Google Cloud core).
2. Fai clic sul pulsante Aggiungi URI per aggiornare il campo Origini JavaScript autorizzate nel client OAuth in modo da includere lo stesso nome DNS che la tua organizzazione utilizzerà per accedere a Looker (Google Cloud core). Ad esempio, se il tuo dominio personalizzato è my-instance.private.looker.app, inserisci my-instance.private.looker.app come URI.
3. Aggiorna o aggiungi il dominio personalizzato all'elenco degli URI di reindirizzamento autorizzati per le credenziali OAuth che hai utilizzato durante la creazione dell'istanza di Looker (Google Cloud core). Aggiungi /oauth2callback alla fine dell'URI. Ad esempio, se il tuo dominio personalizzato è my-instance.private.looker.app, inserisci my-instance.private.looker.app/oauth2callback.

Passaggi di configurazione DNS

Per configurare il DNS, completa i seguenti passaggi:

1. Configura DNS privato: implementa una soluzione DNS privata, che può essere implementata on-premise o all'interno di Google Cloud (ad esempio, utilizzando Cloud DNS).

2. Utilizza un endpoint Private Service Connect: assicurati di aver eseguito il provisioning di un endpoint Private Service Connect che si connette a Looker (Google Cloud core).

3. Crea il record A: nella zona DNS privata, crea un record A che mappa il tuo dominio personalizzato in *.private.looker.app (ad esempio my-instance.private.looker.app) all'indirizzo IP del tuo endpoint Private Service Connect.

Una volta configurato il DNS privato per risolvere il tuo dominio personalizzato nell'indirizzo IP dell'endpoint Private Service Connect, puoi accedere in modo sicuro alla tua istanza di Looker (Google Cloud core) utilizzando quel dominio personalizzato, consentendo il supporto nativo della terminazione TLS.

Utilizzo di altri domini personalizzati

Puoi utilizzare un dominio personalizzato diverso da *.private.looker.app. Tuttavia, per questi domini personalizzati, devi fornire manualmente le seguenti configurazioni:

• Provisioning dei certificati: devi fornire i tuoi certificati. Questi possono essere certificati autogestiti (autofirmati) o gestiti da Google.
• Deployment dell'infrastruttura: esegui il deployment di un bilanciatore del carico delle applicazioni HTTPS (interno o esterno). Questo bilanciatore del carico deve utilizzare un NEG di Private Service Connect come servizio di backend con il certificato applicato al frontend.
• Configurazione DNS: configura i record DNS necessari (DNS privato o pubblico) per mappare il tuo dominio personalizzato all'indirizzo IP del bilanciamento del carico delle applicazioni tramite un record A.

Passaggi successivi

• Connetti Looker (Google Cloud core) al tuo database
• Prepara un'istanza di Looker (Google Cloud core) per gli utenti
• Gestisci gli utenti in Looker (Google Cloud core)