Para usar Private Service Connect con Looker (Google Cloud Core), la instancia de Looker (Google Cloud Core) debe estar habilitada para usar Private Service Connect durante la creación de la instancia.
En esta página de documentación, se explica cómo usar Private Service Connect para configurar el enrutamiento de clientes a Looker (Google Cloud Core), también llamado tráfico ascendente.
Private Service Connect permite a los consumidores acceder a servicios administrados de forma privada desde su red de VPC, a través de redes híbridas o de forma pública cuando se implementa con un balanceador de cargas de aplicaciones regional externo. Permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada o pública a sus consumidores.
Cuando usas Private Service Connect para acceder a Looker (Google Cloud Core), eres el consumidor del servicio y Looker (Google Cloud Core) es el productor de servicios. El acceso de salida a Looker (Google Cloud Core) requiere que la VPC del consumidor se agregue como una VPC permitida para la instancia de Private Service Connect de Looker (Google Cloud Core).
En esta documentación, se describe la configuración de un dominio personalizado y se proporciona orientación para acceder a Looker (Google Cloud Core) con un extremo para la conectividad privada.
La implementación recomendada para acceder a Looker (Google Cloud Core) es a través de un balanceador de cargas de aplicaciones con un backend. Esta configuración también permite la autenticación de certificados de dominio personalizado, lo que agrega una capa adicional de seguridad y control para el acceso de los usuarios.
Crea un dominio personalizado
El primer paso después de crear la instancia de Looker (Google Cloud Core) es configurar un dominio personalizado y actualizar las credenciales de OAuth para la instancia. En las siguientes secciones, se te guiará a través del proceso.
Cuando creas un dominio personalizado para instancias de IP privada (Private Service Connect), el dominio personalizado debe cumplir con los siguientes requisitos:
- El dominio personalizado debe constar de al menos tres partes, incluido al menos un subdominio. Por ejemplo,
subdomain.domain.com. - El dominio personalizado no debe contener ninguno de los siguientes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurar un dominio personalizado
Una vez que se haya creado tu instancia de Looker (Google Cloud Core), puedes configurar un dominio personalizado.
Antes de comenzar
Antes de personalizar el dominio de tu instancia de Looker (Google Cloud Core), identifica dónde se almacenan los registros DNS de tu dominio para que puedas actualizarlos.
Roles obligatorios
Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud Core), pídele a tu administrador que te otorgue el rol de IAM de administrador de Looker (roles/looker.admin) en el proyecto en el que reside la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea un dominio personalizado
En la consola de Google Cloud , sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud Core):
- En la página Instancias, haz clic en el nombre de la instancia para la que deseas configurar un dominio personalizado.
- Haz clic en la pestaña DOMINIO PERSONALIZADO.
Haz clic en ADD A CUSTOM DOMAIN.
Se abrirá el panel Agregar un nuevo dominio personalizado.
Con solo letras, números y guiones, ingresa el nombre de host de hasta 64 caracteres para el dominio web que deseas usar, por ejemplo,
looker.examplepetstore.com.
Haz clic en LISTO en el panel Agregar un dominio personalizado nuevo para volver a la pestaña DOMINIO PERSONALIZADO.
Una vez que configures tu dominio personalizado, se mostrará en la columna Dominio de la pestaña DOMINIO PERSONALIZADO de la página de detalles de la instancia de Looker (Google Cloud Core) en la consola de Google Cloud .
Después de crear tu dominio personalizado, puedes ver información sobre él o borrarlo.
Actualiza las credenciales de OAuth
- Para acceder a tu cliente de OAuth, navega en la consola de Google Cloud a APIs & Services > Credentials y selecciona el ID de cliente de OAuth del cliente de OAuth que usa tu instancia de Looker (Google Cloud Core).
Haz clic en el botón Agregar URI para actualizar el campo Orígenes de JavaScript autorizados en tu cliente de OAuth y, así, incluir el mismo nombre de DNS que tu organización usará para acceder a Looker (Google Cloud Core). Por ejemplo, si tu dominio personalizado es
looker.examplepetstore.com, debes ingresarlooker.examplepetstore.comcomo el URI.
Actualiza o agrega el dominio personalizado a la lista de URIs de redireccionamiento autorizadas para las credenciales de OAuth que usaste cuando creaste la instancia de Looker (Google Cloud Core). Agrega
/oauth2callbackal final del URI. Por ejemplo, si tu dominio personalizado eslooker.examplepetstore.com, debes ingresarlooker.examplepetstore.com/oauth2callback.
Acceso privado a Looker (Google Cloud Core)
Después de configurar el dominio personalizado, para acceder a la instancia desde un entorno local o desde otro proveedor de servicios en la nube (en otras palabras, a través de redes híbridas), se requieren los siguientes componentes de red:
- Cloud Router
- Productos de redes híbridas, como VPN con alta disponibilidad, Cloud Interconnect y SD-WAN
- DNS local o de Cloud DNS
- Subred de solo proxy
- Balanceador de cargas de aplicaciones interno
- Recurso de certificado SSL
Looker (Google Cloud Core) implementado con Private Service Connect admite grupos de extremos de red de Private Service Connect, llamados backends, que se integran con Cloud Load Balancing. Consulta el codelab Looker PSC Northbound Regional Internal L7 ALB para obtener instrucciones sobre cómo acceder de forma privada a una instancia de Looker (Google Cloud Core) habilitada para Private Service Connect con un backend.
En el siguiente diagrama, se muestra un ejemplo de configuración de red de backend de Private Service Connect:
Configura el DNS
Cuando configures el DNS, puedes usar una de las siguientes dos opciones:
- Actualiza el DNS local para que sea autoritativo para el dominio personalizado de Looker (Google Cloud Core) que se asigna a la dirección IP del extremo de Private Service Connect.
- Crea una zona privada de Cloud DNS, crea un conjunto de registros con la dirección IP asignada al extremo de Private Service Connect y habilita el reenvío de DNS entrante para permitir que tu VPC sea autorizada para el dominio personalizado de Looker (Google Cloud Core) que se asigna a la dirección IP del extremo de Private Service Connect.
¿Qué sigue?
- Conecta Looker (Google Cloud Core) a tu base de datos
- Prepara una instancia de Looker (Google Cloud Core) para los usuarios
- Administra usuarios en Looker (Google Cloud Core)