搭配 Google 代管憑證使用 Looker (Google Cloud Core) 的自訂網域

本頁說明如何使用 Google 管理的憑證，為 Looker (Google Cloud Core) 私人連線執行個體設定自訂網域。這個簡化的方法可讓您不必自行取得、上傳及管理 SSL 憑證，也不必設定反向 Proxy 來終止 TLS。

總覽

您現在可以在 *.private.looker.app 下使用自訂網域 (例如 my-instance.private.looker.app)，用於 Looker (Google Cloud Core) Private Service Connect 執行個體。這個網域受到 Google 代管的憑證保護，也就是說，Google 會為您處理憑證佈建和更新程序。

您必須設定私有 DNS (在內部部署或 Google Cloud中)，並使用 Private Service Connect 端點，將 PSC 端點 IP 位址設為指定網域的 A 記錄值。

這項功能可帶來下列好處：

• 簡化憑證管理：您不必再自行取得、上傳及管理 SSL 憑證。
• 自動更新憑證：Google 會自動處理憑證更新事宜，確保安全性不中斷，不必手動介入。
• 降低設定複雜度：您不需要設定內部應用程式負載平衡器 (HTTPS)、Private Service Connect 網路端點群組 (NEG) 和 TLS 終止憑證。

事前準備

如果執行個體使用 Private Service Connect，請確認 Looker (Google Cloud Core) 執行個體是否使用新的服務連結 URI 進行連入連線。如果不確定，請參閱「將 Private Service Connect 連線遷移至新的服務附件 URI」文件。

自訂 Looker (Google Cloud Core) 執行個體的網域前，請先找出網域的 DNS 記錄儲存位置，以便更新記錄。

必要的角色

如要取得為 Looker (Google Cloud Core) 執行個體建立自訂網域所需的權限，請要求管理員在執行個體所在的專案中，授予您 Looker 管理員 (roles/looker.admin) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

建立自訂網域

在 Google Cloud 控制台中，按照下列步驟自訂 Looker (Google Cloud Core) 執行個體的網域：

1. 在「執行個體」頁面中，按一下要設定自訂網域的執行個體名稱。
2. 按一下「自訂網域」分頁標籤。

3. 按一下「新增自訂網域」，開啟「新增自訂網域」面板。

   

4. 在 *.private.looker.app 下方輸入自訂網域。例如：my-instance.private.looker.app。

5. 在「新增自訂網域」面板上，按一下「完成」，返回「自訂網域」分頁。

更新自訂網域需要 10 到 15 分鐘。

自訂網域設定完成後，系統會將其顯示在 Google Cloud 控制台的 Looker (Google Cloud Core) 執行個體詳細資料頁面中，位於「自訂網域」分頁的「網域」欄。

自訂網域建立完成後，您可以查看相關資訊或刪除該網域。

更新 OAuth 憑證

您可以使用任何 OAuth 用戶端，為 Looker (Google Cloud Core) 執行個體建立授權憑證。舉例來說，下列步驟說明如何使用 Google Cloud 控制台更新憑證。如果使用其他用戶端，請視情況調整步驟。

1. 在 Google Cloud 控制台中依序前往「API 和服務」>「憑證」，然後選取 Looker (Google Cloud Core) 執行個體使用的 OAuth 用戶端 ID，即可存取 OAuth 用戶端。
2. 按一下「新增 URI」按鈕，更新 OAuth 用戶端的「已授權的 JavaScript 來源」欄位，加入貴機構用來存取 Looker (Google Cloud Core) 的 DNS 名稱。舉例來說，如果您的自訂網域是 my-instance.private.looker.app，請輸入 my-instance.private.looker.app 做為 URI。
3. 更新或新增自訂網域至「授權重新導向 URI」清單，該清單適用於您建立 Looker (Google Cloud Core) 執行個體時使用的 OAuth 憑證。在 URI 結尾新增 /oauth2callback。舉例來說，如果您的自訂網域是 my-instance.private.looker.app，請輸入 my-instance.private.looker.app/oauth2callback。

DNS 設定步驟

如要設定 DNS，請完成下列步驟：

1. 設定私人 DNS：實作私人 DNS 解決方案，可部署於地端或 Google Cloud (例如使用 Cloud DNS)。

2. 使用 Private Service Connect 端點：請確認您已佈建連線至 Looker (Google Cloud Core) 的 Private Service Connect 端點。

3. 建立 A 記錄：在私人 DNS 區域中，建立 A 記錄，將 *.private.looker.app 下的自訂網域 (例如 my-instance.private.looker.app) 對應至 Private Service Connect 端點的 IP 位址。

將私人 DNS 設定為將自訂網域解析為 Private Service Connect 端點的 IP 位址後，您就能使用該自訂網域安全地存取 Looker (Google Cloud Core) 執行個體，並啟用 TLS 終止的本機支援。

使用其他自訂網域

您可以使用 *.private.looker.app 以外的自訂網域。不過，您必須手動為這些自訂網域提供下列設定：

• 憑證佈建：您必須提供自己的憑證。這些憑證可以是自行管理 (自行簽署) 或 Google 代管的憑證。
• 基礎架構部署：部署 HTTPS 應用程式負載平衡器 (內部或外部皆可)。這個負載平衡器必須使用 Private Service Connect NEG 做為後端服務，並將憑證套用至前端。
• DNS 設定：設定必要的 DNS 記錄 (私人或公開 DNS)，透過 A 記錄將自訂網域對應至應用程式負載平衡器的 IP 位址。

後續步驟

• 將 Looker (Google Cloud Core) 連線至資料庫
• 為使用者準備 Looker (Google Cloud Core) 執行個體
• 在 Looker (Google Cloud Core) 中管理使用者