本說明文件頁面說明如何使用 Private Service Connect,設定從用戶端到 Looker (Google Cloud Core) 的路由,也稱為北向流量。
Private Service Connect 可讓消費者透過虛擬私有雲網路、混合式網路,或透過外部區域應用程式負載平衡器部署時,以公開方式從內部存取代管服務。代管服務供應商可藉此在自己的獨立虛擬私有雲網路中代管這些服務,並為消費者提供私人或公開連線。
使用 Private Service Connect 存取 Looker (Google Cloud Core) 時,您是服務消費者,而 Looker (Google Cloud Core) 是服務生產者。如要對 Looker (Google Cloud Core) 進行北向存取,必須將消費者 VPC 新增為 Looker (Google Cloud Core) Private Service Connect 執行個體的允許的 VPC。
本文說明如何設定及設定自訂網域,並提供相關指引,說明如何使用 Private Service Connect 後端,透過憑證建立私人或公開連線,存取 Looker (Google Cloud Core)。
建議您透過後端應用程式負載平衡器存取 Looker (Google Cloud Core)。這項設定也允許自訂網域憑證驗證,為使用者存取權額外增添一層安全防護和控管機制。
建立自訂網域
建立 Looker (Google Cloud Core) 執行個體後,第一步是設定自訂網域,並更新執行個體的 OAuth 憑證。接下來的章節將逐步說明這個程序。
為私人 IP (Private Service Connect) 執行個體建立自訂網域時,自訂網域必須符合下列規定:
- 自訂網域必須包含至少三個部分,包括至少一個子網域。例如
subdomain.domain.com。 - 自訂網域不得包含下列任何項目:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
設定自訂網域
Looker (Google Cloud Core) 執行個體建立完成後,即可設定自訂網域。
事前準備
自訂 Looker (Google Cloud Core) 執行個體的網域前,請先找出網域的 DNS 記錄儲存位置,以便更新記錄。
必要的角色
如要取得為 Looker (Google Cloud Core) 執行個體建立自訂網域所需的權限,請要求管理員授予您執行個體所在專案的 Looker 管理員 (roles/looker.admin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
建立自訂網域
在 Google Cloud 控制台中,按照下列步驟自訂 Looker (Google Cloud Core) 執行個體的網域:
- 在「執行個體」頁面中,按一下要設定自訂網域的執行個體名稱。
- 按一下「自訂網域」分頁標籤。
按一下「新增自訂網域」。
系統隨即會開啟「新增自訂網域」面板。
輸入要使用的網域主機名稱,最多 64 個字元,只能使用英文字母、數字和連字號,例如:
looker.examplepetstore.com。
按一下「Add a new custom domain」(新增自訂網域) 面板上的「DONE」(完成),返回「CUSTOM DOMAIN」(自訂網域) 分頁。
設定自訂網域後,該網域會顯示在 Google Cloud 控制台的 Looker (Google Cloud Core) 執行個體詳細資料頁面中,「自訂網域」分頁的「網域」欄。
更新 OAuth 憑證
- 在 Google Cloud 控制台中依序前往「API 和服務」>「憑證」,然後選取 Looker (Google Cloud Core) 執行個體使用的 OAuth 用戶端 ID,即可存取 OAuth 用戶端。
按一下「新增 URI」按鈕,更新 OAuth 用戶端的「已授權的 JavaScript 來源」欄位,加入貴機構將用來存取 Looker (Google Cloud Core) 的 DNS 名稱。舉例來說,如果您的自訂網域是
looker.examplepetstore.com,請輸入looker.examplepetstore.com做為 URI。
更新或新增自訂網域至「授權重新導向 URI」清單,該清單適用於您建立 Looker (Google Cloud Core) 執行個體時使用的 OAuth 憑證。在 URI 結尾新增
/oauth2callback。舉例來說,如果您的自訂網域是looker.examplepetstore.com,請輸入looker.examplepetstore.com/oauth2callback。
公開存取 Looker (Google Cloud Core)
設定自訂網域後,下一步是建立自行簽署的憑證或 Google 代管的憑證,並使用 DNS 授權。建立憑證後,您就可以部署外部區域應用程式負載平衡器,並將 Private Service Connect 後端做為後端服務。部署負載平衡器後,您可以更新公開 DNS,將顧客網域和負載平衡器 IP 位址設為 A 記錄。
必要的角色
角色 |
說明 |
Compute 網路管理員 |
授予發起 Looker (Google Cloud Core) 執行個體連線的虛擬私有雲網路完整控制權,包括建立及管理 HTTPS 目標 Proxy。 |
Compute 負載平衡器管理員角色 |
建立 Private Service Connect 後端。 |
Looker 管理員 |
授予 Looker (Google Cloud Core) 資源的完整控制權,包括建立已啟用 Private Service Connect 的執行個體,以及建立自訂網域。 |
DNS 管理員 |
授予 Cloud DNS 資源的完整控制權,包括 DNS 區域和記錄。 |
Certificate Manager 擁有者 |
建立及管理 Certificate Manager 資源時必須具備這項權限。 |
網路設定
您必須具備下列網路元件:
透過 Private Service Connect 部署的 Looker (Google Cloud Core) 支援 Private Service Connect 網路端點群組 (NEG),也就是與 Google Cloud 負載平衡器整合的後端。如要瞭解如何使用後端公開存取已啟用 Private Service Connect 的 Looker (Google Cloud Core) 執行個體,請參閱 Looker PSC Northbound Regional External L7 ALB Codelab。
下圖顯示公開存取的 Private Service Connect 後端網路設定範例:
如圖所示,公開用戶端會指定 Looker (Google Cloud Core) 客戶網域,執行 DNS 查詢,傳回外部區域應用程式負載平衡器的 IP 位址做為 A 記錄,藉此存取 Looker (Google Cloud Core)。負載平衡器收到流量後,後端服務 (由 Private Service Connect 後端組成) 會連線至 Google 管理的供應商虛擬私有雲中的服務連結,該虛擬私有雲會代管 Looker (Google Cloud Core)。確認消費者 VPC 網路允許連入 Looker (Google Cloud Core) 執行個體。
後續步驟
- 將 Looker (Google Cloud Core) 連線至資料庫
- 為使用者準備 Looker (Google Cloud Core) 執行個體
- 在 Looker (Google Cloud Core) 中管理使用者