Akses northbound publik ke instance Looker (Google Cloud core) menggunakan Private Service Connect

Halaman dokumentasi ini menjelaskan cara menggunakan Private Service Connect untuk mengonfigurasi perutean dari klien ke Looker (inti Google Cloud), yang juga disebut traffic ke utara.

Private Service Connect memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC mereka, melalui jaringan hybrid, atau secara publik saat di-deploy dengan load balancer aplikasi regional eksternal. Layanan ini memungkinkan produsen layanan terkelola untuk menghosting layanan ini di jaringan VPC terpisah mereka sendiri dan menawarkan koneksi pribadi atau publik kepada konsumen mereka.

Saat Anda menggunakan Private Service Connect untuk mengakses Looker (Google Cloud core), Anda adalah konsumen layanan, dan Looker (Google Cloud core) adalah produsen layanan. Akses ke Looker (Google Cloud core) dari utara mengharuskan VPC konsumen ditambahkan sebagai VPC yang diizinkan untuk instance Private Service Connect Looker (Google Cloud core).

Dokumentasi ini menjelaskan cara menyiapkan dan mengonfigurasi domain kustom, serta memberikan panduan tentang cara mengakses Looker (inti Google Cloud) menggunakan backend Private Service Connect untuk konektivitas pribadi atau publik dengan sertifikat.

Deployment yang direkomendasikan untuk mengakses Looker (Google Cloud core) adalah melalui load balancer aplikasi dengan backend. Penyiapan ini juga memungkinkan autentikasi sertifikat domain kustom, yang menambahkan lapisan keamanan dan kontrol ekstra untuk akses pengguna.

Membuat domain kustom

Langkah pertama setelah instance Looker (Google Cloud core) dibuat adalah menyiapkan domain kustom dan memperbarui kredensial OAuth untuk instance tersebut. Bagian berikutnya akan memandu Anda melalui prosesnya.

Saat Anda membuat domain kustom untuk instance IP pribadi (Private Service Connect), domain kustom harus memenuhi persyaratan berikut:

  • Domain kustom harus terdiri dari setidaknya tiga bagian, termasuk setidaknya satu subdomain. Misalnya, subdomain.domain.com.
  • Domain kustom tidak boleh berisi salah satu dari berikut ini:
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

Menyiapkan domain kustom

Setelah instance Looker (Google Cloud core) dibuat, Anda dapat menyiapkan domain kustom.

Sebelum memulai

Sebelum Anda dapat menyesuaikan domain instance Looker (Google Cloud core), identifikasi tempat penyimpanan data DNS domain Anda, sehingga Anda dapat memperbaruinya.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna membuat domain kustom untuk instance Looker (Google Cloud core), minta administrator untuk memberi Anda peran IAM Looker Admin (roles/looker.admin) di project tempat instance berada. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat domain kustom

Di konsol Google Cloud , ikuti langkah-langkah berikut untuk menyesuaikan domain instance Looker (Google Cloud core):

  1. Di halaman Instances, klik nama instance yang ingin Anda siapkan untuk menggunakan domain kustom.
  2. Klik tab CUSTOM DOMAIN.

  3. Klik ADD A CUSTOM DOMAIN.

    Tindakan ini akan membuka panel Tambahkan domain kustom baru.

  4. Dengan hanya menggunakan huruf, angka, dan tanda hubung, masukkan nama host hingga 64 karakter untuk domain web yang ingin Anda gunakan — misalnya: looker.examplepetstore.com.

  5. Klik SELESAI di panel Tambahkan domain kustom baru untuk kembali ke tab DOMAIN KUSTOM.

Setelah domain kustom Anda disiapkan, domain tersebut akan ditampilkan di kolom Domain pada tab DOMAIN KUSTOM di halaman detail instance Looker (inti Google Cloud) di konsol Google Cloud .

Setelah domain kustom dibuat, Anda dapat melihat informasi tentangnya, atau menghapusnya.

Perbarui kredensial OAuth

  1. Akses klien OAuth Anda dengan membuka Google Cloud konsol ke APIs & Services > Credentials dan memilih client ID OAuth untuk klien OAuth yang digunakan oleh instance Looker (Google Cloud core) Anda.

  2. Klik tombol Tambahkan URI untuk memperbarui kolom Asal JavaScript resmi di klien OAuth Anda agar menyertakan nama DNS yang sama yang akan digunakan organisasi Anda untuk mengakses Looker (inti Google Cloud). Misalnya, jika domain kustom Anda adalah looker.examplepetstore.com, Anda memasukkan looker.examplepetstore.com sebagai URI.

  3. Perbarui atau tambahkan domain kustom ke daftar URI pengalihan yang sah untuk kredensial OAuth yang Anda gunakan saat membuat instance Looker (Google Cloud core). Tambahkan /oauth2callback di akhir URI. Misalnya, jika domain kustom Anda adalah looker.examplepetstore.com, Anda memasukkan looker.examplepetstore.com/oauth2callback.

Akses publik ke Looker (Google Cloud core)

Setelah menyiapkan domain kustom, langkah berikutnya adalah membuat sertifikat yang ditandatangani sendiri atau sertifikat yang dikelola Google dengan otorisasi DNS. Setelah sertifikat dibuat, Anda dapat men-deploy load balancer aplikasi regional eksternal dengan backend Private Service Connect sebagai layanan backend. Setelah load balancer di-deploy, Anda dapat memperbarui DNS publik dengan alamat IP load balancer dan domain pelanggan sebagai data A.

Peran yang diperlukan

Peran

Deskripsi

Compute Network Admin (roles/compute.networkAdmin)

Memberikan kontrol penuh atas jaringan VPC yang memulai koneksi ke instance Looker (inti Google Cloud), termasuk membuat dan mengelola proxy target HTTPS.

Peran Compute Load Balancer Admin (roles/compute.loadBalancerAdmin)

Buat backend Private Service Connect.

Admin Looker (roles/looker.admin)

Memberikan kontrol penuh atas resource Looker (inti Google Cloud), termasuk membuat instance yang diaktifkan untuk Private Service Connect dan membuat domain kustom.

Admin DNS (roles/dns.admin) (opsional)

Memberikan kontrol penuh atas resource Cloud DNS, termasuk zona dan data DNS.

Pemilik Certificate Manager (roles/certificatemanager.owner) (opsional)

Diperlukan untuk membuat dan mengelola resource Certificate Manager.

Penyiapan jaringan

Komponen jaringan berikut diperlukan:

Looker (inti Google Cloud) yang di-deploy dengan Private Service Connect mendukung grup endpoint jaringan (NEG) Private Service Connect, yang disebut backend, yang terintegrasi dengan load balancer Google Cloud . Lihat codelab Looker PSC Northbound Regional External L7 ALB untuk mengetahui petunjuk tentang cara mengakses instance Looker (inti Google Cloud) yang diaktifkan untuk Private Service Connect secara publik menggunakan backend.

Contoh penyiapan jaringan backend Private Service Connect untuk akses publik ditampilkan dalam diagram berikut:

Arsitektur jaringan untuk mengakses instance Looker (Google Cloud core) dari lokal menggunakan backend.

Seperti yang ditunjukkan dalam diagram, klien publik mengakses Looker (inti Google Cloud) dengan melakukan pencarian DNS dengan menentukan domain pelanggan Looker (inti Google Cloud) yang menampilkan alamat IP load balancer aplikasi regional eksternal sebagai data A. Setelah traffic diterima oleh load balancer, layanan backend (yang terdiri dari backend Private Service Connect) terhubung ke lampiran layanan di VPC produsen yang dikelola Google yang menghosting Looker (inti Google Cloud). Pastikan jaringan VPC konsumen mengizinkan ingress ke instance Looker (inti Google Cloud) Anda.

Langkah berikutnya