Per utilizzare Private Service Connect con Looker (Google Cloud core), l'istanza di Looker (Google Cloud core) deve essere abilitata all'utilizzo di Private Service Connect durante la creazione dell'istanza.
Questa pagina della documentazione spiega come utilizzare Private Service Connect per configurare il routing dai client a Looker (Google Cloud core), chiamato anche traffico in entrata.
Private Service Connect consente ai consumer di accedere ai servizi gestiti privatamente dall'interno della propria rete VPC, tramite rete ibrida o pubblicamente quando viene eseguito il deployment con un bilanciatore del carico delle applicazioni regionale esterno. Consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti VPC separate e di offrire una connessione privata o pubblica ai propri consumer.
Quando utilizzi Private Service Connect per accedere a Looker (Google Cloud core), sei il consumer del servizio e Looker (Google Cloud core) è il producer di servizi. L'accesso in ingresso a Looker (Google Cloud core) richiede che il VPC del consumer venga aggiunto come VPC consentito per l'istanza Private Service Connect di Looker (Google Cloud core).
Questa documentazione descrive la configurazione di un dominio personalizzato e fornisce indicazioni sull'accesso a Looker (Google Cloud core) utilizzando un endpoint per la connettività privata.
Il deployment consigliato per l'accesso a Looker (Google Cloud core) è tramite un bilanciatore del carico delle applicazioni con un backend. Questa configurazione consente anche l'autenticazione del certificato del dominio personalizzato, aggiungendo un ulteriore livello di sicurezza e controllo per l'accesso degli utenti.
Creare un dominio personalizzato
Il primo passo dopo la creazione dell'istanza di Looker (Google Cloud core) è configurare un dominio personalizzato e aggiornare le credenziali OAuth per l'istanza. Le sezioni successive ti guideranno nella procedura.
Quando crei un dominio personalizzato per le istanze con connessioni private (Private Service Connect), il dominio personalizzato deve soddisfare i seguenti requisiti:
- Il dominio personalizzato deve essere composto da almeno tre parti, incluso almeno un sottodominio. Ad esempio,
subdomain.domain.com. - Il dominio personalizzato non deve contenere nessuno dei seguenti elementi:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurare un dominio personalizzato
Una volta creata l'istanza di Looker (Google Cloud core), puoi configurare un dominio personalizzato.
Prima di iniziare
Prima di poter personalizzare il dominio dell'istanza di Looker (Google Cloud core), identifica dove sono archiviati i record DNS del tuo dominio, in modo da poterli aggiornare.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare un dominio personalizzato per un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti ilruolo IAM Looker Admin (roles/looker.admin) sul progetto in cui risiede l'istanza.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare un dominio personalizzato
Nella Google Cloud console, segui questi passaggi per personalizzare il dominio dell'istanza di Looker (Google Cloud core):
- Nella pagina Istanze, fai clic sul nome dell'istanza per cui vuoi configurare un dominio personalizzato.
- Fai clic sulla scheda Dominio personalizzato.
Fai clic su Aggiungi un dominio personalizzato.
Si aprirà il riquadro Aggiungi un nuovo dominio personalizzato.
Utilizzando solo lettere, numeri e trattini, inserisci il nome host di un massimo di 64 caratteri per il dominio web che vuoi utilizzare, ad esempio
looker.examplepetstore.com.
Fai clic sul pulsante Continua.
Si apre la sezione Aggiorna i record DNS. L'IP pubblico in ingresso è elencato nel campo Dati.
Fai clic su FINE nel riquadro Aggiungi un nuovo dominio personalizzato per tornare alla scheda DOMINIO PERSONALIZZATO.
L'aggiornamento del dominio personalizzato richiede 10-15 minuti.
Una volta configurato il dominio personalizzato, viene visualizzato nella colonna Dominio della scheda DOMINIO PERSONALIZZATO della pagina dei dettagli dell'istanza di Looker (Google Cloud core) nella Google Cloud console.
Dopo aver creato il dominio personalizzato, puoi visualizzarne le informazioni o eliminarlo.
Aggiornare le credenziali OAuth
- Accedi al client OAuth navigando nella Google Cloud console in API e servizi > Credenziali e selezionando l'ID client OAuth per il client OAuth utilizzato dall'istanza di Looker (Google Cloud core).
Fai clic sul pulsante Aggiungi URI per aggiornare il campo Origini JavaScript autorizzate nel client OAuth in modo da includere lo stesso nome DNS che la tua organizzazione utilizzerà per accedere a Looker (Google Cloud core). Ad esempio, se il dominio personalizzato è
looker.examplepetstore.com, inseriscilooker.examplepetstore.comcome URI.
Aggiorna o aggiungi il dominio personalizzato all'elenco degli URI di reindirizzamento autorizzati per le credenziali OAuth che hai utilizzato quando hai creato l'istanza di Looker (Google Cloud core). Aggiungi
/oauth2callbackalla fine dell'URI. Ad esempio, se il dominio personalizzato èlooker.examplepetstore.com, inseriscilooker.examplepetstore.com/oauth2callback.
Accesso privato a Looker (Google Cloud core)
Dopo aver configurato il dominio personalizzato, per accedere all'istanza da un ambiente on-premise o da un altro provider di servizi cloud (in altre parole, tramite rete ibrida), sono necessari i seguenti componenti di rete:
- Cloud Router
- Prodotti di rete ibrida, come HA-VPN, Cloud Interconnect e SD-WAN
- DNS on-premise o Cloud DNS
- Subnet solo proxy
- Bilanciatore del carico delle applicazioni interno
- Risorsa del certificato SSL
Looker (Google Cloud core) di cui è stato eseguito il deployment con Private Service Connect supporta i gruppi di endpoint di rete Private Service Connect, chiamati backend, integrati con Cloud Load Balancing. Consulta il codelab Looker PSC Northbound Regional Internal L7 ALB per istruzioni su come accedere privatamente a un'istanza di Looker (Google Cloud core) abilitata per Private Service Connect utilizzando un backend.
Un esempio di configurazione di rete di backend Private Service Connect è mostrato nel seguente diagramma:
Configurare il DNS
Quando configuri il DNS, puoi utilizzare una delle seguenti due opzioni:
- Aggiorna il DNS on-premise in modo che sia autorevole per il dominio personalizzato di Looker (Google Cloud core) mappato all'indirizzo IP dell'endpoint Private Service Connect.
- Crea una zona privata di Cloud DNS, crea un record set utilizzando l'indirizzo IP allocato per l'endpoint Private Service Connect e abilita il forwarding DNS in ingresso per consentire al VPC di essere autorevole per il dominio personalizzato di Looker (Google Cloud core) mappato all'indirizzo IP dell'endpoint Private Service Connect.
Passaggi successivi
- Connetti Looker (Google Cloud core) al tuo database
- Prepara un'istanza di Looker (Google Cloud core) per gli utenti
- Gestisci gli utenti in Looker (Google Cloud core)