이 페이지에서는 Google 관리 인증서를 사용하여 Looker (Google Cloud 핵심 서비스) 비공개 연결 인스턴스의 커스텀 도메인을 구성하는 방법을 설명합니다. 이 간소화된 방법을 사용하면 자체 SSL 인증서를 획득, 업로드, 관리하거나 TLS 종료를 위한 역방향 프록시를 구성할 필요가 없습니다.
개요
이제 Looker (Google Cloud 핵심 서비스) Private Service Connect 인스턴스에 *.private.looker.app 아래의 커스텀 도메인 (예: my-instance.private.looker.app)을 사용할 수 있습니다. 이 도메인은 Google 관리형 인증서로 보호되므로 Google에서 인증서 프로비저닝 및 갱신 프로세스를 처리합니다.
비공개 DNS (온프레미스 또는 Google Cloud내)를 구성하고 Private Service Connect 엔드포인트를 사용하여 지정된 도메인의 A 레코드 값을 PSC 엔드포인트 IP 주소로 설정해야 합니다.
이 기능은 다음과 같은 이점이 있습니다.
- 간소화된 인증서 관리: 이제 자체 SSL 인증서를 획득, 업로드, 관리할 필요가 없습니다.
- 자동 인증서 갱신: Google에서 인증서 갱신을 자동으로 처리하므로 수동 개입 없이 지속적인 보안이 보장됩니다.
- 구성 복잡성 감소: 내부 애플리케이션 부하 분산기 (HTTPS), Private Service Connect 네트워크 엔드포인트 그룹 (NEG), TLS 종료용 인증서를 구성할 필요가 없습니다.
시작하기 전에
인스턴스에서 Private Service Connect를 사용하는 경우 Looker (Google Cloud 핵심 서비스) 인스턴스에서 인바운드 연결에 새 서비스 연결 URI를 사용하고 있는지 확인합니다. 잘 모르겠다면 Private Service Connect 연결을 새 서비스 연결 URI로 이전 문서를 참고하세요.
Looker(Google Cloud 핵심 서비스) 인스턴스의 도메인을 맞춤설정하려면 먼저 도메인의 DNS 레코드가 저장된 위치를 확인하여 업데이트해야 합니다.
필요한 역할
Looker (Google Cloud 핵심 서비스) 인스턴스의 커스텀 도메인을 만드는 데 필요한 권한을 얻으려면 관리자에게 인스턴스가 있는 프로젝트에 대한 Looker 관리자 (roles/looker.admin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
커스텀 도메인 만들기
Google Cloud 콘솔에서 다음 단계에 따라 Looker (Google Cloud 핵심 서비스) 인스턴스의 도메인을 맞춤설정합니다.
- 인스턴스 페이지에서 커스텀 도메인을 설정하려는 인스턴스의 이름을 클릭합니다.
- 맞춤 도메인 탭을 클릭합니다.
커스텀 도메인 추가를 클릭하여 새 커스텀 도메인 추가 패널을 엽니다.
*.private.looker.app에 커스텀 도메인을 입력합니다. 예를 들면my-instance.private.looker.app입니다.새 커스텀 도메인 추가 패널에서 완료를 클릭하여 커스텀 도메인 탭으로 돌아갑니다.
커스텀 도메인 업데이트를 완료하는 데 10~15분이 걸립니다.
커스텀 도메인이 설정되면 Google Cloud 콘솔의 Looker (Google Cloud 핵심 서비스) 인스턴스 세부정보 페이지에 있는 커스텀 도메인 탭의 도메인 열에 커스텀 도메인이 표시됩니다.
커스텀 도메인이 생성된 후에는 관련 정보를 확인하거나 삭제할 수 있습니다.
OAuth 사용자 인증 정보 업데이트
모든 OAuth 클라이언트를 사용하여 Looker (Google Cloud 핵심 서비스) 인스턴스의 승인 사용자 인증 정보를 만들 수 있습니다. 예를 들어 다음 단계에서는 Google Cloud 콘솔을 사용하여 사용자 인증 정보를 업데이트하는 단계를 안내합니다. 다른 클라이언트를 사용하는 경우 그에 따라 단계를 조정하세요.
- Google Cloud 콘솔에서 API 및 서비스 > 사용자 인증 정보로 이동하고 Looker (Google Cloud 핵심 서비스) 인스턴스에서 사용하는 OAuth 클라이언트의 OAuth 클라이언트 ID를 선택하여 OAuth 클라이언트에 액세스합니다.
- URI 추가 버튼을 클릭하여 OAuth 클라이언트의 승인된 JavaScript 원본 필드를 업데이트하여 조직에서 Looker(Google Cloud 핵심 서비스)에 액세스하는 데 사용할 DNS 이름을 동일하게 포함합니다. 예를 들어 커스텀 도메인이
my-instance.private.looker.app이면 URI로my-instance.private.looker.app을 입력합니다. - Looker(Google Cloud 핵심 서비스) 인스턴스를 만들 때 사용한 OAuth 사용자 인증 정보의 승인된 리디렉션 URI 목록에서 커스텀 도메인을 업데이트하거나 추가합니다. URI 끝에
/oauth2callback을 추가합니다. 예를 들어 커스텀 도메인이my-instance.private.looker.app이면my-instance.private.looker.app/oauth2callback을 입력합니다.
DNS 구성 단계
DNS를 구성하려면 다음 단계를 완료하세요.
비공개 DNS 구성: 온프레미스 또는 Google Cloud 내에 배포할 수 있는 비공개 DNS 솔루션을 구현합니다(예: Cloud DNS 사용).
Private Service Connect 엔드포인트 사용: Looker (Google Cloud 핵심 서비스)에 연결되는 Private Service Connect 엔드포인트가 프로비저닝되어 있는지 확인합니다.
A 레코드 만들기: 비공개 DNS 영역에서
*.private.looker.app아래의 커스텀 도메인 (예: my-instance.private.looker.app)을 Private Service Connect 엔드포인트의 IP 주소에 매핑하는 A 레코드를 만듭니다.
커스텀 도메인이 Private Service Connect 엔드포인트의 IP 주소로 확인되도록 비공개 DNS를 구성하면 해당 커스텀 도메인을 사용하여 Looker (Google Cloud 핵심 서비스) 인스턴스에 안전하게 액세스할 수 있으므로 TLS 종료가 기본적으로 지원됩니다.
다른 커스텀 도메인 사용
*.private.looker.app 이외의 맞춤 도메인을 사용할 수 있습니다. 하지만 이러한 커스텀 도메인의 경우 다음 구성을 수동으로 제공해야 합니다.
- 인증서 프로비저닝: 자체 인증서를 제공해야 합니다. 이러한 인증서는 자체 관리 (자체 서명) 또는 Google 관리 인증서일 수 있습니다.
- 인프라 배포: HTTPS 애플리케이션 부하 분산기 (내부 또는 외부)를 배포합니다. 이 부하 분산기는 프런트엔드에 인증서가 적용된 Private Service Connect NEG를 백엔드 서비스로 사용해야 합니다.
- DNS 구성: A 레코드를 통해 커스텀 도메인을 Application Load Balancer의 IP 주소에 매핑하도록 필요한 DNS 레코드 (비공개 또는 공개 DNS)를 구성합니다.
다음 단계
- Looker(Google Cloud 핵심 서비스)를 데이터베이스에 연결
- 사용자를 위한 Looker(Google Cloud 핵심 서비스) 인스턴스 준비
- Looker(Google Cloud 핵심 서비스) 내에서 사용자 관리