Öffentlicher Northbound-Zugriff auf eine Looker (Google Cloud Core)-Instanz über Private Service Connect

Auf dieser Dokumentationsseite wird beschrieben, wie Sie Private Service Connect verwenden, um das Routing von Clients zu Looker (Google Cloud Core) zu konfigurieren, auch als Northbound-Traffic bezeichnet.

Mit Private Service Connect können Nutzer privat aus ihrem VPC-Netzwerk, über Hybridnetzwerke oder öffentlich auf verwaltete Dienste zugreifen, wenn es mit einem externen regionalen Application Load Balancer bereitgestellt wird. Ersteller verwalteter Dienste können damit diese Dienste in ihren eigenen separaten VPC-Netzwerken hosten und ihren Nutzern eine private oder öffentliche Verbindung bieten.

Wenn Sie mit Private Service Connect auf Looker (Google Cloud Core) zugreifen, sind Sie der Dienstnutzer und Looker (Google Cloud Core) ist der Dienstersteller. Für den Northbound-Zugriff auf Looker (Google Cloud Core) muss die VPC des Nutzers als zulässige VPC für die Private Service Connect-Instanz von Looker (Google Cloud Core) hinzugefügt werden.

In dieser Dokumentation wird das Einrichten und Konfigurieren einer benutzerdefinierten Domain beschrieben. Außerdem finden Sie hier eine Anleitung für den Zugriff auf Looker (Google Cloud Core) über ein Private Service Connect-Backend für private oder öffentliche Verbindungen mit Zertifikaten.

Die empfohlene Bereitstellung für den Zugriff auf Looker (Google Cloud Core) erfolgt über einen Application Load Balancer mit einem Back-End. Diese Einrichtung ermöglicht auch die Authentifizierung von benutzerdefinierten Domainzertifikaten, was eine zusätzliche Sicherheitsebene und mehr Kontrolle über den Nutzerzugriff bietet.

Benutzerdefinierte Domain erstellen

Nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde, müssen Sie als Erstes eine benutzerdefinierte Domain einrichten und die OAuth-Anmeldedaten für die Instanz aktualisieren. In den folgenden Abschnitten wird der Prozess beschrieben.

Wenn Sie eine benutzerdefinierte Domain für Instanzen mit privater IP-Adresse (Private Service Connect) erstellen, muss die benutzerdefinierte Domain die folgenden Anforderungen erfüllen:

• Die benutzerdefinierte Domain muss aus mindestens drei Teilen bestehen, darunter mindestens eine Subdomain. Beispiel: subdomain.domain.com.
• Die benutzerdefinierte Domain darf Folgendes nicht enthalten:
  • looker.com
  • google.com
  • googleapis.com
  • gcr.io
  • pkg.dev

Benutzerdefinierte Domain einrichten

Nachdem Ihre Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie eine benutzerdefinierte Domain einrichten.

Hinweise

Bevor Sie die Domain Ihrer Looker (Google Cloud Core)-Instanz anpassen können, müssen Sie herausfinden, wo die DNS-Einträge Ihrer Domain gespeichert sind, damit Sie sie aktualisieren können.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker-Administrator (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer benutzerdefinierten Domain für eine Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Benutzerdefinierte Domain erstellen

So passen Sie die Domain Ihrer Looker (Google Cloud Core)-Instanz in der Google Cloud -Konsole an:

1. Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie eine benutzerdefinierte Domain einrichten möchten.
2. Klicken Sie auf den Tab BENUTZERDEFINIERTE DOMAIN.

3. Klicken Sie auf BENUTZERDEFINIERTE DOMAIN HINZUFÜGEN.

   

   Daraufhin öffnet sich der Bereich Neue benutzerdefinierte Domain hinzufügen.

4. Geben Sie den Hostnamen der Webdomain ein, die Sie verwenden möchten. Er darf maximal 64 Zeichen lang sein und nur Buchstaben, Ziffern und Bindestriche enthalten, z. B. looker.examplepetstore.com.

   

5. Klicken Sie im Bereich Neue benutzerdefinierte Domain hinzufügen auf FERTIG, um zum Tab BENUTZERDEFINIERTE DOMAIN zurückzukehren.

Nachdem Ihre benutzerdefinierte Domain eingerichtet wurde, wird sie in der Google Cloud Console auf der Seite mit den Instanzdetails von Looker (Google Cloud Core) auf dem Tab BENUTZERDEFINIERTE DOMAIN in der Spalte Domain angezeigt.

Nachdem Sie eine benutzerdefinierte Domain erstellt haben, können Sie Informationen dazu aufrufen oder sie löschen.

OAuth-Anmeldedaten aktualisieren

1. Rufen Sie in der Google Cloud -Konsole APIs & Dienste > Anmeldedaten auf und wählen Sie die OAuth-Client-ID für den OAuth-Client aus, der von Ihrer Looker (Google Cloud Core)-Instanz verwendet wird.

2. Klicken Sie auf die Schaltfläche URI hinzufügen, um das Feld Autorisierte JavaScript-Quellen in Ihrem OAuth-Client zu aktualisieren. Es muss denselben DNS-Namen enthalten, den Ihre Organisation für den Zugriff auf Looker (Google Cloud Core) verwendet. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com ist, geben Sie looker.examplepetstore.com als URI ein.

   

3. Aktualisieren oder fügen Sie die benutzerdefinierte Domain der Liste der autorisierten Weiterleitungs-URIs für die OAuth-Anmeldedaten hinzu, die Sie beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet haben. Fügen Sie /oauth2callback am Ende des URI hinzu. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com ist, geben Sie looker.examplepetstore.com/oauth2callback ein.

   

Öffentlicher Zugriff auf Looker (Google Cloud Core)

Nachdem Sie die benutzerdefinierte Domain eingerichtet haben, müssen Sie als Nächstes ein selbst signiertes Zertifikat oder ein von Google verwaltetes Zertifikat mit DNS-Autorisierung erstellen. Nachdem Sie Ihr Zertifikat erstellt haben, können Sie einen externen regionalen Application Load Balancer mit einem Private Service Connect-Backend als Backend-Dienst bereitstellen. Nachdem der Load-Balancer bereitgestellt wurde, können Sie Ihr öffentliches DNS mit der Kundendomain und der IP-Adresse des Load-Balancers als A-Eintrag aktualisieren.

Erforderliche Rollen

Rolle	Beschreibung
Compute-Netzwerkadministrator (roles/compute.networkAdmin)	Vollständige Kontrolle über das VPC-Netzwerk, das eine Verbindung zu einer Looker (Google Cloud Core)-Instanz initiiert, einschließlich des Erstellens und Verwaltens eines HTTPS-Zielproxys.
Rolle „Administrator für Compute-Load-Balancer“ (roles/compute.loadBalancerAdmin)	Private Service Connect-Back-Ends erstellen
Looker-Administrator (roles/looker.admin)	Gewährt die vollständige Kontrolle über Looker (Google Cloud Core)-Ressourcen, einschließlich des Erstellens einer Instanz, die für Private Service Connect aktiviert ist, und des Erstellens einer benutzerdefinierten Domain.
DNS-Administrator (roles/dns.admin) (optional)	Vollständige Kontrolle über Cloud DNS-Ressourcen, einschließlich DNS-Zonen und -Einträgen.
Zertifikatmanager-Inhaber (roles/certificatemanager.owner) (optional)	Erforderlich zum Erstellen und Verwalten von Certificate Manager-Ressourcen.

Netzwerkeinrichtung

Folgende Netzwerkkomponenten sind erforderlich:

• Nur-Proxy-Subnetz
• Regionaler externer Application Load Balancer
• SSL-Zertifikatsressource

Looker (Google Cloud Core), das mit Private Service Connect bereitgestellt wird, unterstützt Private Service Connect-Netzwerk-Endpunktgruppen (NEGs), die als Back-Ends bezeichnet werden und in Google Cloud Load Balancer integriert sind. Im Codelab Looker PSC Northbound Regional External L7 ALB finden Sie eine Anleitung dazu, wie Sie über ein Back-End öffentlich auf eine Looker (Google Cloud Core)-Instanz zugreifen, für die Private Service Connect aktiviert ist.

Ein Beispiel für die Einrichtung eines Private Service Connect-Backend-Netzwerks für den öffentlichen Zugriff ist im folgenden Diagramm dargestellt:

Wie im Diagramm dargestellt, greifen öffentliche Clients auf Looker (Google Cloud Core) zu, indem sie einen DNS-Lookup durchführen und die Kundendomain von Looker (Google Cloud Core) angeben, die die IP-Adresse des externen regionalen Application Load Balancers als A-Eintrag zurückgibt. Sobald der Load Balancer Traffic empfängt, stellt der Backend-Dienst (der aus dem Private Service Connect-Backend besteht) eine Verbindung zu einem Dienstanhang in einer von Google verwalteten Ersteller-VPC her, in der Looker (Google Cloud Core) gehostet wird. Achten Sie darauf, dass das Consumer-VPC-Netzwerk Eingang zulässt für Ihre Looker (Google Cloud Core)-Instanz.

Nächste Schritte

• Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
• Looker (Google Cloud Core)-Instanz für Nutzer vorbereiten
• Nutzer in Looker (Google Cloud Core) verwalten