Esta página de documentação explica como usar o Private Service Connect para configurar o encaminhamento de clientes para o Looker (Google Cloud core), também denominado tráfego de entrada.
O Private Service Connect permite que os consumidores acedam a serviços geridos de forma privada a partir da respetiva rede VPC, através de redes híbridas ou publicamente quando é implementado com um equilibrador de carga de aplicações regional externo. Permite que os produtores de serviços geridos alojem estes serviços nas suas próprias redes da VPC separadas e ofereçam uma ligação privada ou pública aos respetivos consumidores.
Quando usa o Private Service Connect para aceder ao Looker (essencial para o Google Cloud), é o consumidor do serviço e o Looker (essencial para o Google Cloud) é o produtor do serviço. O acesso a montante ao Looker (Google Cloud core) requer que a VPC do consumidor seja adicionada como uma VPC permitida para a instância do Private Service Connect do Looker (Google Cloud core).
Esta documentação descreve a configuração de um domínio personalizado e fornece orientações sobre o acesso ao Looker (Google Cloud core) através de um backend do Private Service Connect para conectividade privada ou pública com certificados.
A implementação recomendada para aceder ao Looker (Google Cloud Core) é através de um balanceador de carga de aplicações com um back-end. Esta configuração também permite a autenticação de certificados de domínio personalizados, adicionando uma camada adicional de segurança e controlo para o acesso dos utilizadores.
Crie um domínio personalizado
O primeiro passo após a criação da instância do Looker (Google Cloud core) é configurar um domínio personalizado e atualizar as credenciais do OAuth para a instância. As secções seguintes explicam o processo.
Quando cria um domínio personalizado para instâncias de IP privado (Private Service Connect), o domínio personalizado tem de cumprir os seguintes requisitos:
- O domínio personalizado tem de consistir em, pelo menos, três partes, incluindo, pelo menos, um subdomínio. Por exemplo,
subdomain.domain.com. - O domínio personalizado não pode conter nenhum dos seguintes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configure um domínio personalizado
Depois de criar a instância do Looker (Google Cloud core), pode configurar um domínio personalizado.
Antes de começar
Antes de poder personalizar o domínio da sua instância do Looker (Google Cloud core), identifique onde os registos de DNS do seu domínio estão armazenados para que os possa atualizar.
Funções necessárias
Para receber as autorizações de que
precisa para criar um domínio personalizado para uma instância do Looker (Google Cloud core),
peça ao seu administrador para lhe conceder a função de IAM
administrador do Looker (roles/looker.admin)
no projeto em que a instância reside.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Crie um domínio personalizado
Na Google Cloud consola, siga estes passos para personalizar o domínio da sua instância do Looker (Google Cloud core):
- Na página Instâncias, clique no nome da instância para a qual quer configurar um domínio personalizado.
- Clique no separador DOMÍNIO PERSONALIZADO.
Clique em ADICIONAR UM DOMÍNIO PERSONALIZADO.
É apresentado o painel Adicionar um novo domínio personalizado.
Usando apenas letras, números e travessões, introduza o nome do anfitrião de até 64 carateres para o domínio Web que quer usar, por exemplo:
looker.examplepetstore.com.
Clique em CONCLUÍDO no painel Adicionar um novo domínio personalizado para voltar ao separador DOMÍNIO PERSONALIZADO.
Depois de configurar o domínio personalizado, este é apresentado na coluna Domínio no separador DOMÍNIO PERSONALIZADO da página de detalhes da instância do Looker (Google Cloud core) na Google Cloud consola.
Depois de criar o domínio personalizado, pode ver informações sobre o mesmo ou eliminá-lo.
Atualize as credenciais do OAuth
- Aceda ao seu cliente OAuth navegando na Google Cloud consola para APIs e serviços > Credenciais e selecionando o ID de cliente OAuth do cliente OAuth usado pela sua instância do Looker (Google Cloud core).
Clique no botão Adicionar URI para atualizar o campo Origens JavaScript autorizadas no seu cliente OAuth de modo a incluir o mesmo nome DNS que a sua organização vai usar para aceder ao Looker (essencial para o Google Cloud). Por exemplo, se o seu domínio personalizado for
looker.examplepetstore.com, introduzalooker.examplepetstore.comcomo o URI.
Atualize ou adicione o domínio personalizado à lista de URIs de redirecionamento autorizados para as credenciais OAuth que usou quando criou a instância do Looker (Google Cloud core). Adicionar
/oauth2callbackao final do URI. Por exemplo, se o seu domínio personalizado forlooker.examplepetstore.com, introduzalooker.examplepetstore.com/oauth2callback.
Acesso público ao Looker (Google Cloud Core)
Depois de configurar o domínio personalizado, o passo seguinte é criar um certificado autoassinado ou um certificado gerido pela Google com autorização de DNS. Depois de criar o certificado, pode implementar um balanceador de carga de aplicações regional externo com um back-end do Private Service Connect como serviço de back-end. Assim que o equilibrador de carga for implementado, pode atualizar o seu DNS público com o domínio do cliente e o endereço IP do equilibrador de carga como o registo A.
Funções necessárias
Role |
Descrição |
Administrador de rede de Calcular |
Concede controlo total sobre a rede VPC que inicia uma ligação a uma instância do Looker (Google Cloud core), incluindo a criação e a gestão de um proxy HTTPS de destino. |
Função de administrador do balanceador de carga do Compute |
Crie back-ends do Private Service Connect. |
Administrador do Looker |
Concede controlo total sobre os recursos do Looker (Google Cloud core), incluindo a criação de uma instância ativada para o Private Service Connect e a criação de um domínio personalizado. |
Administrador de DNS |
Concede controlo total sobre os recursos do Cloud DNS, incluindo zonas e registos de DNS. |
Proprietário do Gestor de certificados |
Necessário para criar e gerir recursos do Gestor de certificados. |
Configuração de rede
Os seguintes componentes de rede são necessários:
O Looker (Google Cloud core) implementado com o Private Service Connect suporta grupos de pontos finais da rede (NEGs) do Private Service Connect, denominados back-ends, que estão integrados com Google Cloud balanceadores de carga. Consulte o codelab Looker PSC Northbound Regional External L7 ALB para obter instruções sobre como aceder publicamente a uma instância do Looker (essencial para o Google Cloud) ativada para o Private Service Connect através de um back-end.
Um exemplo de uma configuração de rede de back-end do Private Service Connect para acesso público é apresentado no diagrama seguinte:
Conforme mostrado no diagrama, os clientes públicos acedem ao Looker (Google Cloud core) através de uma pesquisa de DNS que especifica o domínio do cliente do Looker (Google Cloud core) que devolve o endereço IP do equilibrador de carga da aplicação regional externa como o registo A. Assim que o balanceador de carga recebe tráfego, o serviço de back-end (que consiste no back-end do Private Service Connect) estabelece ligação a uma associação de serviço numa VPC do produtor gerida pela Google que aloja o Looker (essencial para o Google Cloud). Certifique-se de que a rede VPC do consumidor tem entrada permitida na sua instância do Looker (Google Cloud core).
O que se segue?
- Associe o Looker (Google Cloud Core) à sua base de dados
- Prepare uma instância do Looker (Google Cloud Core) para os utilizadores
- Faça a gestão dos utilizadores no Looker (Google Cloud Core)