En esta página de documentación se explica cómo usar Private Service Connect para configurar el enrutamiento de clientes a Looker (Google Cloud core), también llamado tráfico entrante.
Private Service Connect permite a los consumidores acceder a servicios gestionados de forma privada desde su red de VPC, a través de redes híbridas o públicamente cuando se implementa con un balanceador de carga de aplicaciones regional externo. Permite a los productores de servicios gestionados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada o pública a sus consumidores.
Cuando usas Private Service Connect para acceder a Looker (Google Cloud Core), eres el consumidor del servicio y Looker (Google Cloud Core) es el productor del servicio. Para acceder a Looker (Google Cloud core), es necesario que la VPC del consumidor se añada como VPC permitida a la instancia de Private Service Connect de Looker (Google Cloud core).
En esta documentación se describe cómo configurar un dominio personalizado y se ofrecen directrices sobre cómo acceder a Looker (Google Cloud core) mediante un backend de Private Service Connect para la conectividad privada o pública con certificados.
La implementación recomendada para acceder a Looker (Google Cloud core) es a través de un balanceador de carga de aplicaciones con un backend. Esta configuración también permite la autenticación de certificados de dominio personalizado, lo que añade una capa adicional de seguridad y control para el acceso de los usuarios.
Crear un dominio personalizado
El primer paso después de crear la instancia de Looker (Google Cloud core) es configurar un dominio personalizado y actualizar las credenciales de OAuth de la instancia. En las siguientes secciones se explica el proceso.
Cuando creas un dominio personalizado para instancias de conexiones privadas (Private Service Connect), este debe cumplir los siguientes requisitos:
- El dominio personalizado debe constar de al menos tres partes, incluido al menos un subdominio. Por ejemplo,
subdomain.domain.com. - El dominio personalizado no debe contener ninguno de los siguientes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurar un dominio personalizado
Una vez que se haya creado tu instancia de Looker (Google Cloud core), podrás configurar un dominio personalizado.
Antes de empezar
Antes de personalizar el dominio de tu instancia de Looker (Google Cloud core), identifica dónde se almacenan los registros DNS de tu dominio para poder actualizarlos.
Roles obligatorios
Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud core),
pide a tu administrador que te conceda el rol de gestión de identidades y accesos
Administrador de Looker (roles/looker.admin)
en el proyecto en el que reside la instancia.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Crear un dominio personalizado
En la Google Cloud consola, sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud core):
- En la página Instancias, haz clic en el nombre de la instancia para la que quieras configurar un dominio personalizado.
- Haz clic en la pestaña DOMINIO PERSONALIZADO.
Haz clic en AÑADIR UN DOMINIO PERSONALIZADO.
Se abrirá el panel Añadir un dominio personalizado.
Introduce el nombre de host del dominio web que quieras usar (hasta 64 caracteres) con letras, números y guiones. Por ejemplo:
looker.examplepetstore.com.
Haz clic en HECHO en el panel Añadir un nuevo dominio personalizado para volver a la pestaña DOMINIO PERSONALIZADO.
Una vez que haya configurado su dominio personalizado, se mostrará en la columna Dominio de la pestaña DOMINIO PERSONALIZADO de la página de detalles de la instancia de Looker (Google Cloud core) en la consola de Google Cloud .
Una vez que hayas creado tu dominio personalizado, podrás ver información sobre él o eliminarlo.
Actualizar las credenciales de OAuth
- Para acceder a tu cliente de OAuth, ve a APIs & Services > Credentials (APIs y servicios > Credenciales) en la consola y selecciona el ID de cliente de OAuth del cliente de OAuth que usa tu instancia de Looker (Google Cloud core). Google Cloud
Haz clic en el botón Añadir URI para actualizar el campo Orígenes de JavaScript autorizados de tu cliente de OAuth e incluir el mismo nombre de DNS que utilizará tu organización para acceder a Looker (Google Cloud core). Por ejemplo, si tu dominio personalizado es
looker.examplepetstore.com, debes introducirlooker.examplepetstore.comcomo URI.
Actualiza o añade el dominio personalizado a la lista de URIs de redirección autorizadas de las credenciales de OAuth que usaste al crear la instancia de Looker (Google Cloud Core). Añade
/oauth2callbackal final del URI. Por ejemplo, si tu dominio personalizado eslooker.examplepetstore.com, debes introducirlooker.examplepetstore.com/oauth2callback.
Acceso público a Looker (servicio principal de Google Cloud)
Una vez que hayas configurado el dominio personalizado, el siguiente paso es crear un certificado autofirmado o un certificado gestionado por Google con autorización de DNS. Una vez que se haya creado el certificado, puedes implementar un balanceador de carga de aplicaciones regional externo con un backend de Private Service Connect como servicio de backend. Una vez que se haya implementado el balanceador de carga, puedes actualizar tu DNS público con el dominio del cliente y la dirección IP del balanceador de carga como registro A.
Roles obligatorios
Role |
Descripción |
Administrador de red de Compute |
Otorga control total sobre la red VPC que inicia una conexión con una instancia de Looker (núcleo de Google Cloud), lo que incluye la creación y la gestión de un proxy de destino HTTPS. |
Rol Administrador de balanceadores de carga de Compute |
Crea backends de Private Service Connect. |
Administrador de Looker |
Concede control total sobre los recursos de Looker (núcleo de Google Cloud), lo que incluye la creación de una instancia habilitada para Private Service Connect y la creación de un dominio personalizado. |
Administrador de DNS |
Otorga control total sobre los recursos de Cloud DNS, incluidas las zonas y los registros DNS. |
Propietario de Certificate Manager |
Se requiere para crear y gestionar recursos de Certificate Manager. |
Configuración de red
Se necesitan los siguientes componentes de red:
Looker (Google Cloud core) implementado con Private Service Connect admite grupos de endpoints de red (NEGs) de Private Service Connect, denominados backends, que están integrados con Google Cloud balanceadores de carga. Consulta el codelab Looker PSC Northbound Regional External L7 ALB para obtener instrucciones sobre cómo acceder públicamente a una instancia de Looker (Google Cloud core) que tenga habilitado Private Service Connect mediante un backend.
En el siguiente diagrama se muestra un ejemplo de configuración de red de backend de Private Service Connect para el acceso público:
Como se muestra en el diagrama, los clientes públicos acceden a Looker (Google Cloud Core) realizando una búsqueda de DNS especificando el dominio de cliente de Looker (Google Cloud Core), que devuelve la dirección IP del balanceador de carga de aplicaciones regional externo como registro A. Una vez que el balanceador de carga recibe el tráfico, el servicio de backend (que consta del backend de Private Service Connect) se conecta a una vinculación de servicio en una VPC de productor gestionada por Google que aloja Looker (Google Cloud core). Asegúrate de que la red de VPC de consumidor tenga permitido el acceso a tu instancia de Looker (Google Cloud core).
Siguientes pasos
- Conectar Looker (Google Cloud Core) a tu base de datos
- Preparar una instancia de Looker (Google Cloud Core) para los usuarios
- Gestionar usuarios en Looker (servicio principal de Google Cloud)