Usar um domínio personalizado com certificados gerenciados pelo Google para o Looker (Google Cloud Core)

Nesta página, explicamos como configurar um domínio personalizado para sua instância de conexões particulares do Looker (Google Cloud Core) usando certificados gerenciados pelo Google. Esse método simplificado elimina a necessidade de obter, fazer upload e gerenciar seus próprios certificados SSL ou configurar um proxy reverso para término de TLS.

Visão geral

Agora é possível usar um domínio personalizado em *.private.looker.app (por exemplo, my-instance.private.looker.app) para suas instâncias do Private Service Connect do Looker (Google Cloud Core). Esse domínio é protegido por um certificado gerenciado pelo Google, o que significa que o Google cuida do processo de provisionamento e renovação do certificado para você.

É necessário configurar o DNS particular (local ou no Google Cloud) e usar um endpoint do Private Service Connect, definindo o endereço IP do endpoint do PSC como o valor do registro A para o domínio especificado.

Esse recurso oferece os seguintes benefícios:

• Gerenciamento simplificado de certificados: não é mais necessário obter, fazer upload e gerenciar seus próprios certificados SSL.
• Renovação automática de certificados: o Google processa automaticamente as renovações de certificados, garantindo segurança contínua sem intervenção manual.
• Complexidade de configuração reduzida: não é necessário configurar um balanceador de carga de aplicativo interno (HTTPS), um grupo de endpoints da rede (NEG) do Private Service Connect e um certificado para término de TLS.

Antes de começar

Se a instância usa o Private Service Connect, verifique se a instância do Looker (Google Cloud Core) está usando o novo URI de anexo de serviço para as conexões de entrada. Se você não tiver certeza, consulte a documentação Migrar conexões do Private Service Connect para o novo URI de anexo de serviço.

Antes de personalizar o domínio da sua instância do Looker (Google Cloud Core), identifique onde os registros DNS do domínio estão armazenados para poder atualizá-los.

Funções exigidas

Para receber as permissões necessárias para criar um domínio personalizado para uma instância do Looker (Google Cloud Core), peça ao administrador para conceder a você o papel do IAM de Administrador do Looker (roles/looker.admin) no projeto em que a instância está localizada. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Criar um domínio personalizado

No Google Cloud console, siga estas etapas para personalizar o domínio da sua instância do Looker (Google Cloud Core):

1. Na página Instâncias, clique no nome da instância em que você quer configurar um domínio personalizado.
2. Clique na guia Domínio personalizado.

3. Clique em Adicionar um domínio personalizado para abrir o painel Adicionar um novo domínio personalizado.

   

4. Insira um domínio personalizado em *.private.looker.app. Por exemplo, my-instance.private.looker.app.

5. No painel Adicionar um novo domínio personalizado, clique em Concluído para voltar à guia Domínio personalizado.

A atualização do domínio personalizado leva de 10 a 15 minutos para ser concluída.

Depois que o domínio personalizado for configurado, ele vai aparecer na coluna Domínio da guia DOMÍNIO PERSONALIZADO na página de detalhes da instância do Looker (Google Cloud Core) no console Google Cloud .

Depois de criar seu domínio personalizado, você pode ver informações sobre ele ou excluí-lo.

Atualizar as credenciais do OAuth

Você pode usar qualquer cliente OAuth para criar credenciais de autorização para sua instância do Looker (Google Cloud Core). Por exemplo, estas etapas mostram como atualizar as credenciais usando o console Google Cloud . Se você estiver usando um cliente diferente, ajuste as etapas de acordo com a situação.

1. Acesse seu cliente OAuth navegando no console Google Cloud até APIs e serviços > Credenciais e selecionando o ID do cliente OAuth usado pela sua instância do Looker (Google Cloud Core).
2. Clique no botão Adicionar URI para atualizar o campo Origens JavaScript autorizadas no cliente OAuth e incluir o mesmo nome de DNS que sua organização vai usar para acessar o Looker (Google Cloud Core). Por exemplo, se o domínio personalizado for my-instance.private.looker.app, insira my-instance.private.looker.app como o URI.
3. Atualize ou adicione o domínio personalizado à lista de URIs de redirecionamento autorizados para as credenciais OAuth usadas ao criar a instância do Looker (Google Cloud Core). Adicione /oauth2callback ao final do URI. Por exemplo, se o domínio personalizado for my-instance.private.looker.app, insira my-instance.private.looker.app/oauth2callback.

Etapas de configuração do DNS

Para configurar o DNS, siga estas etapas:

1. Configure o DNS privado: implemente uma solução de DNS privado, que pode ser implantada no local ou no Google Cloud (por exemplo, usando o Cloud DNS).

2. Use um endpoint do Private Service Connect: verifique se você provisionou um endpoint do Private Service Connect que se conecta ao Looker (Google Cloud Core).

3. Crie o registro A: na sua zona DNS particular, crie um registro A que mapeie seu domínio personalizado em *.private.looker.app (por exemplo, my-instance.private.looker.app) para o endereço IP do endpoint do Private Service Connect.

Depois que o DNS particular for configurado para resolver seu domínio personalizado no endereço IP do endpoint do Private Service Connect, você poderá acessar com segurança sua instância do Looker (Google Cloud Core) usando esse domínio personalizado, o que permite o suporte nativo ao encerramento de TLS.

Como usar outros domínios personalizados

Você pode usar um domínio personalizado que não seja *.private.looker.app. No entanto, para esses domínios personalizados, é necessário fornecer manualmente as seguintes configurações:

• Provisionamento de certificados: você precisa fornecer seus próprios certificados. Eles podem ser autogerenciados (autoassinados) ou gerenciados pelo Google.
• Implantação de infraestrutura: implante um balanceador de carga de aplicativo HTTPS (interno ou externo). Esse balanceador de carga precisa usar um NEG do Private Service Connect como serviço de back-end com o certificado aplicado ao front-end.
• Configuração de DNS: configure os registros DNS necessários (DNS particular ou público) para mapear seu domínio personalizado para o endereço IP do balanceador de carga de aplicativo usando um registro A.

A seguir

• Conectar o Looker (Google Cloud Core) ao seu banco de dados
• Preparar uma instância do Looker (Google Cloud Core) para usuários
• Gerenciar usuários no Looker (Google Cloud Core)