גישה פרטית נכנסת למופע של Looker (ליבת Google Cloud) באמצעות Private Service Connect

כדי להשתמש ב-Private Service Connect עם Looker (Google Cloud core), צריך להפעיל את האפשרות להשתמש ב-Private Service Connect במהלך יצירת המכונה של Looker (Google Cloud core).

בדף התיעוד הזה מוסבר איך להשתמש ב-Private Service Connect כדי להגדיר ניתוב מלקוחות אל Looker (הליבה של Google Cloud), שנקרא גם תנועה נכנסת.

‫Private Service Connect מאפשר לצרכנים לגשת לשירותים מנוהלים באופן פרטי מתוך רשת ה-VPC שלהם, דרך Hybrid Networking, או באופן ציבורי כשהוא נפרס עם מאזן עומסים של אפליקציות (ALB) חיצוני אזורי. היא מאפשרת לבעלי שירותים מנוהלים לארח את השירותים האלה ברשתות VPC נפרדות משלהם ולהציע לצרכנים חיבור פרטי או ציבורי.

כשמשתמשים ב-Private Service Connect כדי לגשת ל-Looker (Google Cloud core), אתם צרכני השירות ו-Looker (Google Cloud core) הוא בעלים של שירות מנוהל. כדי לאפשר גישה נכנסת ל-Looker (Google Cloud core), צריך להוסיף את ה-VPC של הלקוח כVPC מותר למופע Private Service Connect של Looker (Google Cloud core).

במסמך הזה מוסבר איך להגדיר דומיין בהתאמה אישית, ואיך לגשת ל-Looker (Google Cloud core) באמצעות נקודת קצה (endpoint) לקישוריות פרטית.

הפריסה המומלצת לגישה אל Looker (Google Cloud Core)‎ היא באמצעות מאזן עומסים של אפליקציות עם קצה עורפי. ההגדרה הזו מאפשרת גם אימות של אישורים לדומיין בהתאמה אישית, וכך מוסיפה עוד שכבת אבטחה ושליטה בגישת המשתמשים.

יצירת דומיין מותאם אישית

השלב הראשון אחרי יצירת מופע Looker (Google Cloud core) הוא להגדיר דומיין מותאם אישית ולעדכן את פרטי הכניסה ל-OAuth של המופע. בקטעים הבאים מפורט תהליך ההגדרה.

כשיוצרים דומיין מותאם אישית למופעים של חיבורים פרטיים (Private Service Connect), הדומיין המותאם אישית צריך לעמוד בדרישות הבאות:

• הדומיין המותאם אישית חייב לכלול לפחות שלושה חלקים, כולל לפחות תת-דומיין אחד. לדוגמה, subdomain.domain.com.
• אסור שהדומיין המותאם אישית יכיל את הרכיבים הבאים:
  • looker.com
  • google.com
  • googleapis.com
  • gcr.io
  • pkg.dev

הגדרת דומיין מותאם אישית

אחרי שיוצרים את המכונה של Looker (Google Cloud core), אפשר להגדיר דומיין בהתאמה אישית.

לפני שמתחילים

לפני שמתאימים אישית את הדומיין של מופע Looker (Google Cloud core), צריך לזהות איפה מאוחסנות רשומות ה-DNS של הדומיין כדי שתוכלו לעדכן אותן.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות ליצירת דומיין בהתאמה אישית למופע של Looker (Google Cloud core), צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Looker Admin (roles/looker.admin) בפרויקט שבו נמצא המופע. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת דומיין מותאם אישית

כדי להתאים אישית את הדומיין של מופע Looker (Google Cloud core) במסוף Google Cloud :

1. בדף Instances (מכונות), לוחצים על השם של המכונה שרוצים להגדיר לה דומיין מותאם אישית.
2. לוחצים על הכרטיסייה דומיין מותאם אישית.

3. לוחצים על הוספת דומיין מותאם אישית.

   

   תיפתח החלונית הוספת דומיין מותאם אישית חדש.

4. מזינים את שם המארח של דומיין האינטרנט שרוצים להשתמש בו, באורך של עד 64 תווים, תוך שימוש רק באותיות, במספרים ובמקפים – לדוגמה: looker.examplepetstore.com.

   

5. לוחצים על הלחצן המשך.

6. הקטע עדכון רשומות ה-DNS ייפתח. כתובת ה-IP הציבורית של התנועה הנכנסת מופיעה בשדה Data.

7. לוחצים על סיום בחלונית הוספת דומיין חדש מותאם אישית כדי לחזור לכרטיסייה דומיין מותאם אישית.

העדכון של הדומיין המותאם אישית נמשך 10 עד 15 דקות.

אחרי שמגדירים את הדומיין המותאם אישית, הוא מוצג בעמודה Domain בכרטיסייה CUSTOM DOMAIN בדף פרטי המופע של Looker (Google Cloud core) ב Google Cloud מסוף.

אחרי שיוצרים דומיין מותאם אישית, אפשר לראות מידע עליו או למחוק אותו.

עדכון פרטי הכניסה של OAuth

1. כדי לגשת ללקוח OAuth, עוברים במסוף Google Cloud אל APIs & Services > Credentials ובוחרים את מזהה לקוח OAuth של לקוח OAuth שבו נעשה שימוש במופע Looker (Google Cloud core).

2. לוחצים על הלחצן הוספת URI כדי לעדכן את השדה מקורות מורשים של JavaScript בלקוח OAuth, כך שיכלול את אותו שם DNS שהארגון שלכם ישתמש בו כדי לגשת ל-Looker (Google Cloud core). לדוגמה, אם הדומיין המותאם אישית הוא looker.examplepetstore.com, מזינים looker.examplepetstore.com כ-URI.

   

3. מעדכנים או מוסיפים את הדומיין המותאם אישית לרשימת כתובות ה-URI המורשות להפניה אוטומטית עבור פרטי הכניסה של OAuth שבהם השתמשתם כשיצרתם את מופע Looker (Google Cloud core). מוסיפים /oauth2callback לסוף ה-URI. לדוגמה, אם הדומיין המותאם אישית הוא looker.examplepetstore.com, מזינים looker.examplepetstore.com/oauth2callback.

   

גישה פרטית ל-Looker (Google Cloud Core)‎

אחרי שמגדירים את הדומיין המותאם אישית, כדי לגשת למופע ממיקום מקומי או מסביבה של ספק אחר של שירותי ענן (במילים אחרות, דרך רשת היברידית), נדרשים רכיבי הרשת הבאים:

• Cloud Router
• מוצרי רשת היברידית, כמו HA-VPN,‏ Cloud Interconnect ו-SD-WAN
• ב-On-premises או ב-Cloud DNS
• תת-רשת ל-Proxy בלבד
• מאזן עומסים פנימי של אפליקציות (ALB)
• משאב אישור SSL

‫Looker (Google Cloud core) שנפרס עם Private Service Connect תומך בקבוצות של נקודות קצה ברשת מסוג Private Service Connect, שנקראות בק-אנדים, שמשולבות עם Cloud Load Balancing. ב-Codelab Looker PSC Northbound Regional Internal L7 ALB מוסבר איך לגשת באופן פרטי למופע Looker (Google Cloud core) שמופעל בו Private Service Connect באמצעות בק-אנד.

בתרשים הבא מוצגת דוגמה להגדרת רשת עורפית של Private Service Connect:

הגדרת DNS

כשמגדירים DNS, אפשר להשתמש באחת משתי האפשרויות הבאות:

• מעדכנים את ה-DNS המקומי כך שיהיה סמכותי עבור הדומיין המותאם אישית של Looker (Google Cloud core) שממופה לכתובת ה-IP של נקודת הקצה (endpoint) של Private Service Connect.
• יוצרים אזור פרטי של Cloud DNS, יוצרים קבוצת רשומות באמצעות כתובת ה-IP שהוקצתה לנקודת הקצה של Private Service Connect, ומפעילים העברת DNS נכנסת כדי לאפשר ל-VPC להיות סמכותי לגבי הדומיין המותאם אישית של Looker (Google Cloud core) שממופה לכתובת ה-IP של נקודת הקצה של Private Service Connect.

המאמרים הבאים

• קישור Looker (Google Cloud Core)‎ למסד הנתונים
• הכנת מופע של Looker (Google Cloud Core)‎ למשתמשים
• ניהול משתמשים ב-Looker (Google Cloud Core)‎