将自定义网域与 Google 管理的证书搭配使用,以用于 Looker (Google Cloud Core)

本页面介绍了如何使用 Google 管理的证书为 Looker (Google Cloud Core) 专用连接实例配置自定义网域。这种简化方法无需您自行获取、上传和管理 SSL 证书,也无需配置反向代理以进行 TLS 终结。

概览

您现在可以为 Looker (Google Cloud Core) Private Service Connect 实例使用 *.private.looker.app 下的自定义网域(例如 my-instance.private.looker.app)。此网域受 Google 管理的证书保护,这意味着 Google 会为您处理证书预配和续订流程。

您必须配置专用 DNS(本地或在 Google Cloud中),并使用 Private Service Connect 端点,将 PSC 端点 IP 地址设置为指定网域的 A 记录的值。

此功能具有以下优势:

  • 简化的证书管理:您不再需要自行获取、上传和管理 SSL 证书。
  • 自动续订证书:Google 会自动处理证书续订事宜,确保安全性持续无虞,无需手动干预。
  • 降低了配置复杂性:您无需配置内部应用负载均衡器 (HTTPS)、Private Service Connect 网络端点组 (NEG) 和用于 TLS 终结的证书。

准备工作

如果您的实例使用 Private Service Connect,请确保 Looker (Google Cloud Core) 实例使用新的服务连接 URI 进行入站连接。如果您不确定,请参阅将 Private Service Connect 连接迁移到新的服务连接 URI 文档。

在自定义 Looker (Google Cloud Core)实例的网域之前,请先确定网域的 DNS 记录存储在何处,以便您可以更新这些记录。

所需的角色

如需获得为 Looker (Google Cloud Core) 实例创建自定义网域所需的权限,请让您的管理员为您授予该实例所在项目的 Looker Admin (roles/looker.admin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建自定义网域

在 Google Cloud 控制台中,按以下步骤操作,自定义 Looker (Google Cloud Core) 实例的网域:

  1. 实例页面上,点击要为其设置自定义网域的实例的名称。
  2. 点击自定义网域标签页。

  3. 点击添加自定义网域,打开添加新的自定义网域面板。

  4. *.private.looker.app 下输入自定义网域。例如 my-instance.private.looker.app

  5. 添加新的自定义网域面板中,点击完成以返回到自定义网域标签页。

更新自定义网域需要 10 到 15 分钟才能完成。

设置自定义网域后,该网域会显示在 Google Cloud 控制台中的 Looker (Google Cloud Core) 实例详情页面自定义网域标签页的网域列中。

创建自定义网域后,您可以查看删除该网域的相关信息。

更新 OAuth 凭据

您可以使用任何 OAuth 客户端为 Looker (Google Cloud Core) 实例创建授权凭据。以下步骤以使用 Google Cloud 控制台更新凭据为例,引导您完成相应操作。如果您使用的是其他客户端,请相应地调整步骤。

  1. 在 Google Cloud 控制台中,依次前往 API 和服务 > 凭据,然后选择 Looker (Google Cloud Core) 实例使用的 OAuth 客户端的 OAuth 客户端 ID,即可访问您的 OAuth 客户端。
  2. 点击添加 URI 按钮,以更新 OAuth 客户端中的已获授权的 JavaScript 来源字段,使其包含贵组织将用于访问 Looker (Google Cloud Core)的相同 DNS 名称。例如,如果您的自定义网域是 my-instance.private.looker.app,则您输入的 URI 也是 my-instance.private.looker.app
  3. 更新或添加自定义网域,将其添加到您创建 Looker (Google Cloud Core) 实例时使用的 OAuth 凭据已获授权的重定向 URI 列表中。在 URI 末尾添加 /oauth2callback。例如,如果您的自定义网域是 my-instance.private.looker.app,请输入 my-instance.private.looker.app/oauth2callback

DNS 配置步骤

如需配置 DNS,请完成以下步骤:

  1. 配置专用 DNS:实现专用 DNS 解决方案,该解决方案可以部署在本地或 Google Cloud 中(例如,使用 Cloud DNS)。

  2. 使用 Private Service Connect 端点:确保您已预配连接到 Looker (Google Cloud Core)的 Private Service Connect 端点。

  3. 创建 A 记录:在专用 DNS 区域中,创建一个 A 记录,将 *.private.looker.app 下的自定义网域(例如 my-instance.private.looker.app)映射到 Private Service Connect 端点的 IP 地址。

将专用 DNS 配置为将自定义网域解析为 Private Service Connect 端点的 IP 地址后,您可以使用该自定义网域安全地访问 Looker (Google Cloud Core) 实例,从而实现对 TLS 终结的原生支持。

使用其他自定义网域

您可以使用 *.private.looker.app 以外的自定义网域。不过,对于这些自定义网域,您必须手动提供以下配置:

  • 证书配置:您必须提供自己的证书。这些证书可以是自行管理的(自签名)证书或 Google 管理的证书。
  • 基础架构部署:部署 HTTPS 应用负载平衡器(内部或外部)。此负载均衡器必须使用 Private Service Connect NEG 作为其后端服务,并将证书应用于前端。
  • DNS 配置:配置必要的 DNS 记录(专用或公共 DNS),以通过 A 记录将您的自定义网域映射到应用负载平衡器的 IP 地址。

后续步骤