Private Service Connect를 사용한 Looker(Google Cloud 핵심 서비스) 인스턴스에 대한 상위 액세스

이 문서에서는 Private Service Connect를 사용하여 클라이언트에서 Looker(Google Cloud 핵심 서비스)로의 라우팅(상위 트래픽이라고도 함)을 구성하는 방법을 설명합니다.

커스텀 도메인 만들기

Looker(Google Cloud 핵심 서비스) 인스턴스가 생성된 후의 첫 번째 단계는 커스텀 도메인을 설정하고 인스턴스에 대한 OAuth 사용자 인증 정보를 업데이트하는 것입니다. 다음 섹션에서는 이 프로세스를 안내합니다.

비공개 IP(Private Service Connect) 인스턴스에 커스텀 도메인을 만들 때 커스텀 도메인은 다음 요구사항을 충족해야 합니다.

  • 커스텀 도메인은 하위 도메인 하나 이상을 포함하여 최소 3개 이상의 부분으로 구성되어야 합니다. 예를 들면 subdomain.domain.com입니다.
  • 커스텀 도메인에는 다음이 포함되어서는 안 됩니다.
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

커스텀 도메인 설정

Looker(Google Cloud 핵심 서비스) 인스턴스를 만든 후 커스텀 도메인을 설정할 수 있습니다.

시작하기 전에

Looker(Google Cloud 핵심 서비스) 인스턴스의 도메인을 맞춤설정하려면 먼저 도메인의 DNS 레코드가 저장된 위치를 확인하여 업데이트해야 합니다.

필요한 역할

Looker(Google Cloud 핵심 서비스) 인스턴스의 커스텀 도메인을 만드는 데 필요한 권한을 얻으려면 관리자에게 인스턴스가 있는 프로젝트에 대한 Looker Admin(roles/looker.admin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

커스텀 도메인 만들기

Google Cloud 콘솔에서 다음 단계에 따라 Looker(Google Cloud 핵심 서비스) 인스턴스의 도메인을 맞춤설정합니다.

  1. 인스턴스 페이지에서 커스텀 도메인을 설정하려는 인스턴스의 이름을 클릭합니다.
  2. 커스텀 도메인 탭을 클릭합니다.
  3. 커스텀 도메인 추가를 클릭합니다.

    그러면 새 커스텀 도메인 추가 패널이 열립니다.

  4. 문자, 숫자, 대시만 사용하여 사용하려는 웹 도메인의 호스트 이름을 최대 64자(예: looker.examplepetstore.com)로 입력합니다.

  5. 새 커스텀 도메인 추가 패널에서 완료를 클릭하여 커스텀 도메인 탭으로 돌아갑니다.

커스텀 도메인이 설정되면 Google Cloud 콘솔의 Looker (Google Cloud 핵심 서비스) 인스턴스 세부정보 페이지에 있는 커스텀 도메인 탭의 도메인 열에 표시됩니다.

커스텀 도메인이 생성된 후에는 관련 정보를 확인하거나 삭제할 수 있습니다.

OAuth 사용자 인증 정보 업데이트

  1. Google Cloud 콘솔에서 API 및 서비스 > 사용자 인증 정보로 이동하고 Looker(Google Cloud 핵심 서비스) 인스턴스에서 사용하는 OAuth 클라이언트의 OAuth 클라이언트 ID를 선택하여 OAuth 클라이언트에 액세스합니다.
  2. URI 추가 버튼을 클릭하여 OAuth 클라이언트의 승인된 JavaScript 원본 필드를 업데이트하여 조직에서 Looker(Google Cloud 핵심 서비스)에 액세스하는 데 사용할 DNS 이름을 동일하게 포함합니다. 예를 들어 커스텀 도메인이 looker.examplepetstore.com이면 URI로 looker.examplepetstore.com을 입력합니다.

  3. Looker(Google Cloud 핵심 서비스) 인스턴스를 만들 때 사용한 OAuth 사용자 인증 정보승인된 리디렉션 URI 목록에서 커스텀 도메인을 업데이트하거나 추가합니다. URI 끝에 /oauth2callback을 추가합니다. 예를 들어 커스텀 도메인이 looker.examplepetstore.com이면 looker.examplepetstore.com/oauth2callback을 입력합니다.

엔드포인트를 사용하여 하이브리드 네트워킹을 통해 인스턴스에 액세스

커스텀 도메인을 설정한 후 온프레미스 또는 다른 클라우드 제공업체 환경(즉, 하이브리드 네트워킹을 통해)에서 인스턴스에 액세스하려면 다음 단계를 수행합니다.

  1. Private Service Connect 엔드포인트를 통해 Looker(Google Cloud 핵심 서비스)를 노출합니다.
  2. 멀티 클라우드 환경과 온프레미스 환경에 엔드포인트를 알립니다.
  3. DNS를 설정합니다.

네트워킹 개요

하이브리드 네트워킹 환경에는 다음과 같은 네트워크 구성요소가 필요합니다.

또한 액세스하려면 DNS를 설정해야 합니다.

Private Service Connect를 사용하면 소비자는 자신의 VPC 네트워크 내부에서 또는 하이브리드 네트워킹을 통해 관리형 서비스에 비공개로 액세스할 수 있습니다. 이를 통해 관리형 서비스 프로듀서는 이러한 서비스를 별도의 자체 VPC 네트워크에서 호스팅하고 소비자에게 비공개 연결을 제공할 수 있습니다. 예를 들어 Private Service Connect를 사용하여 Looker(Google Cloud 핵심 서비스)에 액세스하는 경우 사용자는 서비스 소비자이고 Looker(Google Cloud 핵심 서비스)는 서비스 프로듀서입니다.

Private Service Connect로 배포된 Looker(Google Cloud 핵심 서비스)는 엔드포인트를 지원합니다.

다음 다이어그램에서는 Private Service Connect 엔드포인트 네트워크 설정 예시를 보여줍니다.

온프레미스에서 Looker(Google Cloud 핵심 서비스) 인스턴스에 액세스하기 위한 네트워크 아키텍처입니다.

이 예시에서 온프레미스 환경은 Cloud Interconnect를 통해 Google Cloud 호스트 프로젝트에 연결되어 Cloud Router를 통해 Private Service Connect 엔드포인트로 라우팅되며 이 엔드포인트는 Google 관리 프로듀서 VPC의 서비스 연결에 연결됩니다. 공유 VPC는 API 확인을 위해 Cloud DNS를 호스팅합니다.

필요한 역할

역할

설명

Compute 네트워크 관리자(roles/compute.networkAdmin)

Looker(Google Cloud 핵심 서비스) 인스턴스에 대한 연결을 시작하는 VPC 네트워크에 대한 전체 제어 권한을 부여합니다.

서비스 디렉터리 편집자(roles/servicedirectory.editor)

Private Service Connect 엔드포인트를 만듭니다.

Looker 관리자(roles/looker.admin)

Private Service Connect에 사용 설정된 인스턴스 만들기 및 커스텀 도메인 만들기를 포함하여 Looker(Google Cloud 핵심 서비스) 리소스에 대한 전체 제어 권한을 부여합니다.

DNS 관리자(roles/dns.admin)(선택사항)

DNS 영역 및 레코드를 포함한 Cloud DNS 리소스에 대한 전체 제어 권한을 부여합니다.

Looker(Google Cloud 핵심 서비스)용 Private Service Connect 엔드포인트 만들기

VPC 네트워크 내에서 Private Service Connect 엔드포인트를 만드는 방법 안내를 따르세요. 네트워크에서 Looker(Google Cloud 핵심 서비스) 인스턴스에 인그레스를 허용하는지 확인하고 다음 가이드라인을 따르세요.

  • 대상 서비스 필드(Google Cloud 콘솔의 경우) 또는 SERVICE_ATTACHMENT 변수(Google Cloud CLI 또는 API 안내를 따르는 경우)를 Looker 서비스 연결 URI로 설정합니다. 다음 명령어를 실행하면 이 URI를 확인할 수 있습니다.

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    다음을 바꿉니다.

    • INSTANCE_NAME: Looker(Google Cloud 핵심 서비스) 인스턴스의 이름입니다.
    • REGION: Looker(Google Cloud 핵심 서비스) 인스턴스가 호스팅되는 리전입니다.
  • Looker(Google Cloud 핵심 서비스) 인스턴스와 동일한 리전에 호스팅되는 모든 서브넷을 사용할 수 있습니다.

  • 전역 액세스를 사용 설정하지 마세요.

생성 후 엔드포인트 세부정보를 보려면 엔드포인트 세부정보 보기 안내를 따르세요.

멀티 클라우드 환경과 온프레미스 환경에 엔드포인트 공지

Cloud Router를 사용하여 Private Service Connect 엔드포인트의 IP 주소를 온프레미스 네트워크나 기타 환경에 공지합니다.

Private Service Connect 엔드포인트를 배포할 때는 소비자 가상 프라이빗 클라우드(VPC) 내의 일반 서브넷이 사용됩니다. Cloud Router에서 이 서브넷을 자동으로 공지합니다. 그러나 Cloud Router를 통해 커스텀 서브넷을 선택적으로 공지하는 경우 Private Service Connect 엔드포인트의 IP 주소나 서브넷이 포함되도록 Cloud Router 구성을 수정해야 합니다.

온프레미스(또는 다른 환경) 방화벽에서 하이브리드 네트워킹 고려사항을 고려하면서 Private Service Connect 엔드포인트의 IP 주소나 서브넷으로의 아웃바운드 트래픽을 허용하는지 확인합니다.

DNS 설정

DNS를 설정할 때 다음 두 가지 옵션 중 하나를 사용할 수 있습니다.

  • Private Service Connect 엔드포인트 IP 주소에 매핑된 Looker(Google Cloud 핵심 서비스) 커스텀 도메인에 대한 권한이 있도록 온프레미스 DNS를 업데이트합니다.
  • Cloud DNS 비공개 영역을 만들고 Private Service Connect 엔드포인트에 할당된 IP 주소를 사용하여 레코드 세트를 만듭니다. 그런 다음 인바운드 DNS 전달을 사용 설정하여 Private Service Connect 엔드포인트 IP 주소에 매핑된 Looker(Google Cloud 핵심 서비스) 커스텀 도메인에 대한 권한이 VPC에 있도록 허용합니다.

다음 단계