גישה ציבורית נכנסת למופע של Looker (ליבת Google Cloud) באמצעות Private Service Connect

בדף התיעוד הזה מוסבר איך להשתמש ב-Private Service Connect כדי להגדיר ניתוב מלקוחות אל Looker (ליבת Google Cloud), שנקרא גם תנועה נכנסת.

‫Private Service Connect מאפשר לצרכנים לגשת לשירותים מנוהלים באופן פרטי מתוך רשת ה-VPC שלהם, דרך Hybrid Networking, או באופן ציבורי כשהוא נפרס עם מאזן עומסים של אפליקציות (ALB) חיצוני אזורי. היא מאפשרת לבעלי שירותים מנוהלים לארח את השירותים האלה ברשתות VPC נפרדות משלהם ולהציע לצרכנים חיבור פרטי או ציבורי.

כשמשתמשים ב-Private Service Connect כדי לגשת ל-Looker (Google Cloud core), אתם צרכני השירות ו-Looker (Google Cloud core) הוא בעלים של שירות מנוהל. כדי לאפשר גישה נכנסת ל-Looker (Google Cloud core), צריך להוסיף את ה-VPC של הלקוח כVPC מותר למופע Private Service Connect של Looker (Google Cloud core).

במסמך הזה מתואר תהליך ההגדרה והקביעה של דומיין בהתאמה אישית, ומוסבר איך לגשת ל-Looker (Google Cloud core) באמצעות קצה עורפי של Private Service Connect לקישוריות פרטית או ציבורית עם אישורים.

הפריסה המומלצת לגישה אל Looker (Google Cloud Core)‎ היא באמצעות מאזן עומסים של אפליקציות עם קצה עורפי. ההגדרה הזו מאפשרת גם אימות של אישורים לדומיין בהתאמה אישית, וכך מוסיפה עוד שכבת אבטחה ושליטה בגישת המשתמשים.

יצירת דומיין מותאם אישית

השלב הראשון אחרי יצירת מופע Looker (Google Cloud core) הוא להגדיר דומיין מותאם אישית ולעדכן את פרטי הכניסה ל-OAuth של המופע. בקטעים הבאים מפורט תהליך ההגדרה.

כשיוצרים דומיין מותאם אישית למופעים של חיבורים פרטיים (Private Service Connect), הדומיין המותאם אישית צריך לעמוד בדרישות הבאות:

  • הדומיין המותאם אישית חייב לכלול לפחות שלושה חלקים, כולל לפחות תת-דומיין אחד. לדוגמה, subdomain.domain.com.
  • אסור שהדומיין המותאם אישית יכיל את הרכיבים הבאים:
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

הגדרת דומיין מותאם אישית

אחרי שיוצרים את המכונה של Looker (Google Cloud core), אפשר להגדיר דומיין בהתאמה אישית.

לפני שמתחילים

לפני שמתאימים אישית את הדומיין של מופע Looker (Google Cloud core), צריך לזהות איפה מאוחסנות רשומות ה-DNS של הדומיין כדי שתוכלו לעדכן אותן.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות ליצירת דומיין בהתאמה אישית למופע של Looker (Google Cloud core), צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Looker Admin (roles/looker.admin) בפרויקט שבו נמצא המופע. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת דומיין מותאם אישית

כדי להתאים אישית את הדומיין של מופע Looker (Google Cloud core) במסוף Google Cloud :

  1. בדף Instances (מכונות), לוחצים על השם של המכונה שרוצים להגדיר לה דומיין מותאם אישית.
  2. לוחצים על הכרטיסייה דומיין מותאם אישית.

  3. לוחצים על הוספת דומיין מותאם אישית.

    תיפתח החלונית הוספת דומיין מותאם אישית חדש.

  4. מזינים את שם המארח של דומיין האינטרנט שרוצים להשתמש בו, באורך של עד 64 תווים, תוך שימוש רק באותיות, במספרים ובמקפים – לדוגמה: looker.examplepetstore.com.

  5. לוחצים על הלחצן המשך.

  6. הקטע עדכון רשומות ה-DNS ייפתח. כתובת ה-IP הציבורית של התנועה הנכנסת מופיעה בשדה Data.

  7. לוחצים על סיום בחלונית הוספת דומיין חדש מותאם אישית כדי לחזור לכרטיסייה דומיין מותאם אישית.

העדכון של הדומיין המותאם אישית נמשך 10 עד 15 דקות.

אחרי שמגדירים את הדומיין המותאם אישית, הוא מוצג בעמודה Domain בכרטיסייה CUSTOM DOMAIN בדף פרטי המופע של Looker (Google Cloud core) ב Google Cloud מסוף.

אחרי שיוצרים דומיין מותאם אישית, אפשר לראות מידע עליו או למחוק אותו.

עדכון פרטי הכניסה של OAuth

  1. כדי לגשת ללקוח OAuth, עוברים במסוף Google Cloud אל APIs & Services > Credentials ובוחרים את מזהה לקוח OAuth של לקוח OAuth שבו נעשה שימוש במופע Looker (Google Cloud core).

  2. לוחצים על הלחצן הוספת URI כדי לעדכן את השדה מקורות מורשים של JavaScript בלקוח OAuth, כך שיכלול את אותו שם DNS שהארגון שלכם ישתמש בו כדי לגשת ל-Looker (Google Cloud core). לדוגמה, אם הדומיין המותאם אישית הוא looker.examplepetstore.com, מזינים looker.examplepetstore.com כ-URI.

  3. מעדכנים או מוסיפים את הדומיין המותאם אישית לרשימת כתובות ה-URI המורשות להפניה אוטומטית עבור פרטי הכניסה של OAuth שבהם השתמשתם כשיצרתם את מופע Looker (Google Cloud core). מוסיפים /oauth2callback לסוף ה-URI. לדוגמה, אם הדומיין המותאם אישית הוא looker.examplepetstore.com, מזינים looker.examplepetstore.com/oauth2callback.

גישה ציבורית ל-Looker (Google Cloud Core)‎

אחרי שמגדירים את הדומיין המותאם אישית, השלב הבא הוא ליצור אישור בחתימה עצמית או אישור בניהול Google עם הרשאת DNS. אחרי שיוצרים את האישור, אפשר לפרוס מאזן עומסים חיצוני של אפליקציות אזוריות עם קצה עורפי מסוג Private Service Connect כשירות הקצה העורפי. אחרי פריסת מאזן העומסים, אפשר לעדכן את ה-DNS הציבורי עם דומיין הלקוח וכתובת ה-IP של מאזן העומסים כרשומת A.

התפקידים הנדרשים

תפקיד

תיאור

אדמין של רשת מחשוב (roles/compute.networkAdmin)

התפקיד הזה נותן שליטה מלאה ברשת ה-VPC שיוזמת חיבור למופע Looker (Google Cloud core), כולל יצירה וניהול של שרת proxy ליעד HTTPS.

התפקיד 'אדמין של מאזן עומסים של Compute' (roles/compute.loadBalancerAdmin)

יוצרים בק-אנדים של Private Service Connect.

אדמין ב-Looker (roles/looker.admin)

התפקיד הזה נותן שליטה מלאה במשאבים של Looker (ליבת Google Cloud), כולל יצירת מופע שמופעל בו Private Service Connect ויצירת דומיין בהתאמה אישית.

אדמין DNS (roles/dns.admin) (אופציונלי)

התפקיד הזה נותן שליטה מלאה על משאבי Cloud DNS, כולל אזורי DNS ורשומות DNS.

הבעלים של Certificate Manager (roles/certificatemanager.owner) (אופציונלי)

נדרשת כדי ליצור ולנהל משאבים של Certificate Manager.

הגדרת רשת

נדרשים רכיבי הרשת הבאים:

‫Looker (Google Cloud core) שנפרס עם Private Service Connect תומך בקבוצות של נקודות קצה ברשת (NEGs) מסוג Private Service Connect, שנקראות קצוות עורפיים, שמשולבות עם Google Cloud מאזני עומסים. ב-Codelab בנושא Looker PSC Northbound Regional External L7 ALB מוסבר איך לגשת באופן ציבורי למופע Looker (Google Cloud core) שמופעל בו Private Service Connect באמצעות בק-אנד.

בתרשים הבא מוצגת דוגמה להגדרת רשת עורפית של Private Service Connect לגישה ציבורית:

ארכיטקטורת הרשת לגישה למכונת Looker (Google Cloud core) מתוך הארגון באמצעות קצה עורפי.

כפי שמוצג בדיאגרמה, לקוחות ציבוריים ניגשים ל-Looker (Google Cloud core) על ידי ביצוע חיפוש DNS באמצעות ציון דומיין הלקוח של Looker (Google Cloud core) שמחזיר את כתובת ה-IP של מאזן העומסים האזורי החיצוני כרשומת A. אחרי שמאזן העומסים מקבל תנועה, שירות הקצה העורפי (שכולל את הקצה העורפי של Private Service Connect) מתחבר לקובץ מצורף של שירות ב-VPC של מפיק שמנוהל על ידי Google ומארח את Looker (הליבה של Google Cloud). חשוב לוודא שרשת ה-VPC של הלקוח מאפשרת כניסה למופע Looker (Google Cloud core).

המאמרים הבאים