Usar um domínio personalizado com certificados geridos pela Google para o Looker (Google Cloud Core)

Esta página explica como configurar um domínio personalizado para a sua instância de ligações privadas do Looker (Google Cloud core) através de certificados geridos pela Google. Este método simplificado elimina a necessidade de obter, carregar e gerir os seus próprios certificados SSL ou configurar um proxy inverso para a terminação TLS.

Vista geral

Agora, pode usar um domínio personalizado em *.private.looker.app (por exemplo, my-instance.private.looker.app) para as suas instâncias do Private Service Connect do Looker (essencial para o Google Cloud). Este domínio está protegido por um certificado gerido pela Google, o que significa que a Google trata do processo de aprovisionamento e renovação de certificados por si.

Tem de configurar o DNS privado (no local ou no Google Cloud) e usar um ponto final do Private Service Connect, definindo o endereço IP do ponto final do PSC como o valor do registo A para o domínio especificado.

Esta funcionalidade oferece as seguintes vantagens:

• Gestão de certificados simplificada: já não precisa de obter, carregar e gerir os seus próprios certificados SSL.
• Renovação automática de certificados: a Google processa automaticamente as renovações de certificados, garantindo a segurança contínua sem intervenção manual.
• Complexidade de configuração reduzida: não precisa de configurar um balanceador de carga de aplicações interno (HTTPS), um grupo de pontos finais da rede (NEG) do Private Service Connect e um certificado para a terminação de TLS.

Antes de começar

Se a sua instância usar o Private Service Connect, certifique-se de que a instância do Looker (essencial para o Google Cloud) está a usar o novo URI de anexo de serviço para as respetivas ligações de entrada. Se não tiver a certeza, consulte a documentação Migrar ligações do Private Service Connect para o novo URI da associação do serviço.

Antes de poder personalizar o domínio da sua instância do Looker (Google Cloud core), identifique onde os registos de DNS do seu domínio estão armazenados para que os possa atualizar.

Funções necessárias

Para receber as autorizações de que precisa para criar um domínio personalizado para uma instância do Looker (Google Cloud core), peça ao seu administrador para lhe conceder a função de administrador do Looker (roles/looker.admin) do IAM no projeto em que a instância reside. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie um domínio personalizado

Na Google Cloud consola, siga estes passos para personalizar o domínio da sua instância do Looker (Google Cloud core):

1. Na página Instâncias, clique no nome da instância para a qual quer configurar um domínio personalizado.
2. Clique no separador Domínio personalizado.

3. Clique em Adicionar um domínio personalizado para abrir o painel Adicionar um novo domínio personalizado.

   

4. Introduza um domínio personalizado em *.private.looker.app. Por exemplo, my-instance.private.looker.app.

5. No painel Adicionar um novo domínio personalizado, clique em Concluído para voltar ao separador Domínio personalizado.

A atualização do domínio personalizado demora entre 10 e 15 minutos.

Depois de configurar o domínio personalizado, este é apresentado na coluna Domínio no separador DOMÍNIO PERSONALIZADO da página de detalhes da instância do Looker (Google Cloud core) na Google Cloud consola.

Depois de criar o domínio personalizado, pode ver informações sobre o mesmo ou eliminá-lo.

Atualize as credenciais do OAuth

Pode usar qualquer cliente OAuth para criar credenciais de autorização para a sua instância do Looker (Google Cloud core). Por exemplo, estes passos explicam como atualizar as credenciais através da Google Cloud consola. Se estiver a usar um cliente diferente, ajuste os passos em conformidade.

1. Aceda ao seu cliente OAuth navegando na Google Cloud consola para APIs e serviços > Credenciais e selecionando o ID de cliente OAuth do cliente OAuth usado pela sua instância do Looker (Google Cloud core).
2. Clique no botão Adicionar URI para atualizar o campo Origens JavaScript autorizadas no seu cliente OAuth de modo a incluir o mesmo nome DNS que a sua organização vai usar para aceder ao Looker (essencial para o Google Cloud). Por exemplo, se o seu domínio personalizado for my-instance.private.looker.app, introduza my-instance.private.looker.app como o URI.
3. Atualize ou adicione o domínio personalizado à lista de URIs de redirecionamento autorizados para as credenciais OAuth que usou quando criou a instância do Looker (Google Cloud core). Adicione /oauth2callback ao final do URI. Por exemplo, se o seu domínio personalizado for my-instance.private.looker.app, introduza my-instance.private.looker.app/oauth2callback.

Passos de configuração de DNS

Para configurar o DNS, conclua os seguintes passos:

1. Configure o DNS privado: implemente uma solução de DNS privado, que pode ser implementada nas instalações ou na nuvem Google Cloud (por exemplo, através do Cloud DNS).

2. Use um ponto final do Private Service Connect: certifique-se de que aprovisionou um ponto final do Private Service Connect que se liga ao Looker (essencial para o Google Cloud).

3. Crie o registo A: na sua zona DNS privada, crie um registo A que mapeie o seu domínio personalizado em *.private.looker.app (por exemplo, my-instance.private.looker.app) para o endereço IP do seu ponto final do Private Service Connect.

Depois de o DNS privado estar configurado para resolver o seu domínio personalizado para o endereço IP do ponto final do Private Service Connect, pode aceder em segurança à sua instância do Looker (Google Cloud core) através desse domínio personalizado, o que permite o suporte nativo da terminação TLS.

Usar outros domínios personalizados

Pode usar um domínio personalizado diferente de *.private.looker.app. No entanto, para estes domínios personalizados, tem de fornecer manualmente as seguintes configurações:

• Aprovisionamento de certificados: tem de fornecer os seus próprios certificados. Estes podem ser certificados autogeridos (autossinados) ou geridos pela Google.
• Implementação de infraestrutura: implemente um balanceador de carga de aplicações HTTPS (interno ou externo). Este balanceador de carga tem de usar um NEG do Private Service Connect como serviço de back-end com o certificado aplicado ao front-end.
• Configuração de DNS: configure os registos de DNS necessários (DNS privado ou público) para mapear o seu domínio personalizado para o endereço IP do Application Load Balancer através de um registo A.

O que se segue?

• Associe o Looker (Google Cloud Core) à sua base de dados
• Prepare uma instância do Looker (Google Cloud Core) para os utilizadores
• Faça a gestão de utilizadores no Looker (Google Cloud Core)