Para usar Private Service Connect con Looker (Google Cloud core), la instancia de Looker (Google Cloud core) debe tener habilitado el uso de Private Service Connect durante la creación de la instancia.
En esta página de documentación se explica cómo usar Private Service Connect para configurar el enrutamiento de clientes a Looker (Google Cloud core), también llamado tráfico entrante.
Private Service Connect permite a los consumidores acceder a servicios gestionados de forma privada desde su red de VPC, a través de redes híbridas o públicamente cuando se implementa con un balanceador de carga de aplicaciones regional externo. Permite a los productores de servicios gestionados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada o pública a sus consumidores.
Cuando usas Private Service Connect para acceder a Looker (Google Cloud Core), eres el consumidor del servicio y Looker (Google Cloud Core) es el productor del servicio. Para acceder a Looker (Google Cloud core), es necesario que la VPC del consumidor se añada como VPC permitida a la instancia de Private Service Connect de Looker (Google Cloud core).
En esta documentación se describe cómo configurar un dominio personalizado y se ofrecen directrices sobre cómo acceder a Looker (servicio principal de Google Cloud) mediante un endpoint para la conectividad privada.
La implementación recomendada para acceder a Looker (Google Cloud core) es a través de un balanceador de carga de aplicaciones con un backend. Esta configuración también permite la autenticación de certificados de dominio personalizado, lo que añade una capa adicional de seguridad y control para el acceso de los usuarios.
Crear un dominio personalizado
El primer paso después de crear la instancia de Looker (Google Cloud core) es configurar un dominio personalizado y actualizar las credenciales de OAuth de la instancia. En las siguientes secciones se explica el proceso.
Cuando creas un dominio personalizado para instancias de conexiones privadas (Private Service Connect), este debe cumplir los siguientes requisitos:
- El dominio personalizado debe constar de al menos tres partes, incluido al menos un subdominio. Por ejemplo,
subdomain.domain.com. - El dominio personalizado no debe contener ninguno de los siguientes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurar un dominio personalizado
Una vez que se haya creado tu instancia de Looker (Google Cloud core), podrás configurar un dominio personalizado.
Antes de empezar
Antes de personalizar el dominio de tu instancia de Looker (Google Cloud core), identifica dónde se almacenan los registros DNS de tu dominio para poder actualizarlos.
Roles obligatorios
Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud core),
pide a tu administrador que te conceda el rol de gestión de identidades y accesos
Administrador de Looker (roles/looker.admin)
en el proyecto en el que reside la instancia.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Crear un dominio personalizado
En la Google Cloud consola, sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud core):
- En la página Instancias, haz clic en el nombre de la instancia para la que quieras configurar un dominio personalizado.
- Haz clic en la pestaña DOMINIO PERSONALIZADO.
Haz clic en AÑADIR UN DOMINIO PERSONALIZADO.
Se abrirá el panel Añadir un dominio personalizado.
Introduce el nombre de host del dominio web que quieras usar (hasta 64 caracteres) con letras, números y guiones. Por ejemplo:
looker.examplepetstore.com.
Haz clic en HECHO en el panel Añadir un nuevo dominio personalizado para volver a la pestaña DOMINIO PERSONALIZADO.
Una vez que haya configurado su dominio personalizado, se mostrará en la columna Dominio de la pestaña DOMINIO PERSONALIZADO de la página de detalles de la instancia de Looker (Google Cloud core) en la consola de Google Cloud .
Una vez que hayas creado tu dominio personalizado, podrás ver información sobre él o eliminarlo.
Actualizar las credenciales de OAuth
- Para acceder a tu cliente de OAuth, ve a APIs & Services > Credentials (APIs y servicios > Credenciales) en la consola y selecciona el ID de cliente de OAuth del cliente de OAuth que usa tu instancia de Looker (Google Cloud core). Google Cloud
Haz clic en el botón Añadir URI para actualizar el campo Orígenes de JavaScript autorizados de tu cliente de OAuth e incluir el mismo nombre de DNS que utilizará tu organización para acceder a Looker (Google Cloud core). Por ejemplo, si tu dominio personalizado es
looker.examplepetstore.com, debes introducirlooker.examplepetstore.comcomo URI.
Actualiza o añade el dominio personalizado a la lista de URIs de redirección autorizadas de las credenciales de OAuth que usaste al crear la instancia de Looker (Google Cloud Core). Añade
/oauth2callbackal final del URI. Por ejemplo, si tu dominio personalizado eslooker.examplepetstore.com, debes introducirlooker.examplepetstore.com/oauth2callback.
Acceso privado a Looker (servicio principal de Google Cloud)
Una vez que hayas configurado el dominio personalizado, para acceder a la instancia desde un entorno local o desde otro proveedor de la nube (es decir, a través de una red híbrida), se necesitan los siguientes componentes de red:
- Cloud Router
- Productos de redes híbridas, como HA-VPN, Cloud Interconnect y SD-WAN
- DNS local o Cloud DNS
- Subred de solo proxy
- Balanceador de carga de aplicación interno
- Recurso de certificado SSL
Looker (Google Cloud core) implementado con Private Service Connect admite grupos de endpoints de red de Private Service Connect, denominados backends, que están integrados con Cloud Load Balancing. Consulta el codelab Looker PSC Northbound Regional Internal L7 ALB para obtener instrucciones sobre cómo acceder de forma privada a una instancia de Looker (Google Cloud core) que tenga habilitado Private Service Connect mediante un backend.
En el siguiente diagrama se muestra un ejemplo de configuración de red de backend de Private Service Connect:
Configurar DNS
Al configurar el DNS, puedes usar una de las dos opciones siguientes:
- Actualiza el DNS local para que sea autoritativo para el dominio personalizado de Looker (Google Cloud Core) que se asigna a la dirección IP del endpoint de Private Service Connect.
- Crea una zona privada de Cloud DNS, crea un conjunto de registros con la dirección IP asignada al endpoint de Private Service Connect y habilita el reenvío de DNS entrante para que tu VPC sea autoritativa para el dominio personalizado de Looker (Google Cloud core) asignado a la dirección IP del endpoint de Private Service Connect.
Siguientes pasos
- Conectar Looker (Google Cloud Core) a tu base de datos
- Preparar una instancia de Looker (Google Cloud Core) para los usuarios
- Gestionar usuarios en Looker (servicio principal de Google Cloud)