En esta página de documentación, se explica cómo usar Private Service Connect para configurar el enrutamiento de clientes a Looker (Google Cloud Core), también llamado tráfico ascendente.
Private Service Connect permite a los consumidores acceder a servicios administrados de forma privada desde su red de VPC, a través de redes híbridas o de forma pública cuando se implementa con un balanceador de cargas de aplicaciones regional externo. Permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada o pública a sus consumidores.
Cuando usas Private Service Connect para acceder a Looker (Google Cloud Core), eres el consumidor del servicio y Looker (Google Cloud Core) es el productor de servicios. El acceso de salida a Looker (Google Cloud Core) requiere que la VPC del consumidor se agregue como una VPC permitida para la instancia de Private Service Connect de Looker (Google Cloud Core).
En esta documentación, se describe la configuración de un dominio personalizado y se proporciona orientación para acceder a Looker (Google Cloud Core) con un backend de Private Service Connect para la conectividad privada o pública con certificados.
La implementación recomendada para acceder a Looker (Google Cloud Core) es a través de un balanceador de cargas de aplicaciones con un backend. Esta configuración también permite la autenticación de certificados de dominio personalizado, lo que agrega una capa adicional de seguridad y control para el acceso de los usuarios.
Crea un dominio personalizado
El primer paso después de crear la instancia de Looker (Google Cloud Core) es configurar un dominio personalizado y actualizar las credenciales de OAuth para la instancia. En las siguientes secciones, se te guiará a través del proceso.
Cuando creas un dominio personalizado para instancias de IP privada (Private Service Connect), el dominio personalizado debe cumplir con los siguientes requisitos:
- El dominio personalizado debe constar de al menos tres partes, incluido al menos un subdominio. Por ejemplo,
subdomain.domain.com. - El dominio personalizado no debe contener ninguno de los siguientes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurar un dominio personalizado
Una vez que se haya creado tu instancia de Looker (Google Cloud Core), puedes configurar un dominio personalizado.
Antes de comenzar
Antes de personalizar el dominio de tu instancia de Looker (Google Cloud Core), identifica dónde se almacenan los registros DNS de tu dominio para que puedas actualizarlos.
Roles obligatorios
Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud Core), pídele a tu administrador que te otorgue el rol de IAM de administrador de Looker (roles/looker.admin) en el proyecto en el que reside la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea un dominio personalizado
En la consola de Google Cloud , sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud Core):
- En la página Instancias, haz clic en el nombre de la instancia para la que deseas configurar un dominio personalizado.
- Haz clic en la pestaña DOMINIO PERSONALIZADO.
Haz clic en ADD A CUSTOM DOMAIN.
Se abrirá el panel Agregar un nuevo dominio personalizado.
Con solo letras, números y guiones, ingresa el nombre de host de hasta 64 caracteres para el dominio web que deseas usar, por ejemplo,
looker.examplepetstore.com.
Haz clic en LISTO en el panel Agregar un dominio personalizado nuevo para volver a la pestaña DOMINIO PERSONALIZADO.
Una vez que configures tu dominio personalizado, se mostrará en la columna Dominio de la pestaña DOMINIO PERSONALIZADO de la página de detalles de la instancia de Looker (Google Cloud Core) en la consola de Google Cloud .
Después de crear tu dominio personalizado, puedes ver información sobre él o borrarlo.
Actualiza las credenciales de OAuth
- Para acceder a tu cliente de OAuth, navega en la consola de Google Cloud a APIs & Services > Credentials y selecciona el ID de cliente de OAuth del cliente de OAuth que usa tu instancia de Looker (Google Cloud Core).
Haz clic en el botón Agregar URI para actualizar el campo Orígenes de JavaScript autorizados en tu cliente de OAuth y, así, incluir el mismo nombre de DNS que tu organización usará para acceder a Looker (Google Cloud Core). Por ejemplo, si tu dominio personalizado es
looker.examplepetstore.com, debes ingresarlooker.examplepetstore.comcomo el URI.
Actualiza o agrega el dominio personalizado a la lista de URIs de redireccionamiento autorizadas para las credenciales de OAuth que usaste cuando creaste la instancia de Looker (Google Cloud Core). Agrega
/oauth2callbackal final del URI. Por ejemplo, si tu dominio personalizado eslooker.examplepetstore.com, debes ingresarlooker.examplepetstore.com/oauth2callback.
Acceso público a Looker (Google Cloud Core)
Después de configurar el dominio personalizado, el siguiente paso es crear un certificado autofirmado o un certificado administrado por Google con autorización de DNS. Una vez que se cree tu certificado, podrás implementar un balanceador de cargas de aplicaciones externo regional con un backend de Private Service Connect como servicio de backend. Una vez que se implemente el balanceador de cargas, puedes actualizar tu DNS público con el dominio del cliente y la dirección IP del balanceador de cargas como el registro A.
Roles obligatorios
Función |
Descripción |
Administrador de red de Compute |
Otorga control total sobre la red de VPC que inicia una conexión a una instancia de Looker (Google Cloud Core), lo que incluye la creación y administración de un proxy de destino HTTPS. |
Rol de administrador de balanceador de cargas de Compute |
Crear backends de Private Service Connect |
Administrador de Looker |
Otorga control total sobre los recursos de Looker (Google Cloud Core), incluida la creación de una instancia habilitada para Private Service Connect y la creación de un dominio personalizado. |
Administrador de DNS |
Otorga control total sobre los recursos de Cloud DNS, lo que incluye zonas y registros DNS. |
Propietario de Certificate Manager |
Se requiere para crear y administrar recursos de Certificate Manager. |
Configuración de red
Se requieren los siguientes componentes de red:
- Subred de solo proxy
- Balanceador de cargas de aplicaciones externo regional
- Recurso de certificado SSL
Looker (Google Cloud Core) implementado con Private Service Connect admite grupos de extremos de red (NEG) de Private Service Connect, llamados backends, que se integran con los balanceadores de cargas Google Cloud . Consulta el codelab Looker PSC Northbound Regional External L7 ALB para obtener instrucciones sobre cómo acceder públicamente a una instancia de Looker (Google Cloud Core) habilitada para Private Service Connect con un backend.
En el siguiente diagrama, se muestra un ejemplo de configuración de red de backend de Private Service Connect para el acceso público:
Como se muestra en el diagrama, los clientes públicos acceden a Looker (Google Cloud Core) realizando una búsqueda de DNS en la que se especifica el dominio del cliente de Looker (Google Cloud Core) que devuelve la dirección IP del balanceador de cargas de aplicaciones externo regional como el registro A. Una vez que el balanceador de cargas recibe el tráfico, el servicio de backend (que consta del backend de Private Service Connect) se conecta a una vinculación de servicio en una VPC del productor administrada por Google que aloja Looker (Google Cloud Core). Asegúrate de que la red de VPC del consumidor tenga ingreso permitido a tu instancia de Looker (Google Cloud Core).
¿Qué sigue?
- Conecta Looker (Google Cloud Core) a tu base de datos
- Prepara una instancia de Looker (Google Cloud Core) para los usuarios
- Administra usuarios en Looker (Google Cloud Core)