Para usar o Private Service Connect com o Looker (essencial para o Google Cloud), a instância do Looker (essencial para o Google Cloud) tem de estar ativada para usar o Private Service Connect durante a criação da instância.
Esta página de documentação explica como usar o Private Service Connect para configurar o encaminhamento de clientes para o Looker (Google Cloud core), também denominado tráfego de entrada.
O Private Service Connect permite que os consumidores acedam a serviços geridos de forma privada a partir da respetiva rede VPC, através de redes híbridas ou publicamente quando é implementado com um equilibrador de carga de aplicações regional externo. Permite que os produtores de serviços geridos alojem estes serviços nas suas próprias redes da VPC separadas e ofereçam uma ligação privada ou pública aos respetivos consumidores.
Quando usa o Private Service Connect para aceder ao Looker (essencial para o Google Cloud), é o consumidor do serviço e o Looker (essencial para o Google Cloud) é o produtor do serviço. O acesso a montante ao Looker (Google Cloud core) requer que a VPC do consumidor seja adicionada como uma VPC permitida para a instância do Private Service Connect do Looker (Google Cloud core).
Esta documentação descreve a configuração de um domínio personalizado e fornece orientações sobre o acesso ao Looker (Google Cloud core) através de um ponto final para conectividade privada.
A implementação recomendada para aceder ao Looker (Google Cloud Core) é através de um balanceador de carga de aplicações com um back-end. Esta configuração também permite a autenticação de certificados de domínio personalizados, adicionando uma camada adicional de segurança e controlo para o acesso dos utilizadores.
Crie um domínio personalizado
O primeiro passo após a criação da instância do Looker (Google Cloud core) é configurar um domínio personalizado e atualizar as credenciais do OAuth para a instância. As secções seguintes explicam o processo.
Quando cria um domínio personalizado para instâncias de IP privado (Private Service Connect), o domínio personalizado tem de cumprir os seguintes requisitos:
- O domínio personalizado tem de consistir em, pelo menos, três partes, incluindo, pelo menos, um subdomínio. Por exemplo,
subdomain.domain.com. - O domínio personalizado não pode conter nenhum dos seguintes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configure um domínio personalizado
Depois de criar a instância do Looker (Google Cloud core), pode configurar um domínio personalizado.
Antes de começar
Antes de poder personalizar o domínio da sua instância do Looker (Google Cloud core), identifique onde os registos de DNS do seu domínio estão armazenados para que os possa atualizar.
Funções necessárias
Para receber as autorizações de que
precisa para criar um domínio personalizado para uma instância do Looker (Google Cloud core),
peça ao seu administrador para lhe conceder a função de IAM
administrador do Looker (roles/looker.admin)
no projeto em que a instância reside.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Crie um domínio personalizado
Na Google Cloud consola, siga estes passos para personalizar o domínio da sua instância do Looker (Google Cloud core):
- Na página Instâncias, clique no nome da instância para a qual quer configurar um domínio personalizado.
- Clique no separador DOMÍNIO PERSONALIZADO.
Clique em ADICIONAR UM DOMÍNIO PERSONALIZADO.
É apresentado o painel Adicionar um novo domínio personalizado.
Usando apenas letras, números e travessões, introduza o nome do anfitrião de até 64 carateres para o domínio Web que quer usar, por exemplo:
looker.examplepetstore.com.
Clique em CONCLUÍDO no painel Adicionar um novo domínio personalizado para voltar ao separador DOMÍNIO PERSONALIZADO.
Depois de configurar o domínio personalizado, este é apresentado na coluna Domínio no separador DOMÍNIO PERSONALIZADO da página de detalhes da instância do Looker (Google Cloud core) na Google Cloud consola.
Depois de criar o domínio personalizado, pode ver informações sobre o mesmo ou eliminá-lo.
Atualize as credenciais do OAuth
- Aceda ao seu cliente OAuth navegando na Google Cloud consola para APIs e serviços > Credenciais e selecionando o ID de cliente OAuth do cliente OAuth usado pela sua instância do Looker (Google Cloud core).
Clique no botão Adicionar URI para atualizar o campo Origens JavaScript autorizadas no seu cliente OAuth de modo a incluir o mesmo nome DNS que a sua organização vai usar para aceder ao Looker (essencial para o Google Cloud). Por exemplo, se o seu domínio personalizado for
looker.examplepetstore.com, introduzalooker.examplepetstore.comcomo o URI.
Atualize ou adicione o domínio personalizado à lista de URIs de redirecionamento autorizados para as credenciais OAuth que usou quando criou a instância do Looker (Google Cloud core). Adicionar
/oauth2callbackao final do URI. Por exemplo, se o seu domínio personalizado forlooker.examplepetstore.com, introduzalooker.examplepetstore.com/oauth2callback.
Acesso privado ao Looker (Google Cloud Core)
Depois de configurar o domínio personalizado, para aceder à instância a partir de instalações locais ou de outro ambiente de fornecedor de nuvem (por outras palavras, através de redes híbridas), são necessários os seguintes componentes de rede:
- Cloud Router
- Produtos de rede híbrida, como HA-VPN, Cloud Interconnect e SD-WAN
- DNS no local ou na nuvem
- Sub-rede só de proxy
- Balanceador de carga de aplicações interno
- Recurso de certificado SSL
O Looker (essencial para o Google Cloud) implementado com o Private Service Connect suporta grupos de pontos finais da rede do Private Service Connect, denominados back-ends, que estão integrados com o Cloud Load Balancing. Consulte o codelab Looker PSC Northbound Regional Internal L7 ALB para obter instruções sobre como aceder de forma privada a uma instância do Looker (essencial para o Google Cloud) ativada para o Private Service Connect através de um back-end.
Um exemplo de uma configuração de rede de back-end do Private Service Connect é apresentado no diagrama seguinte:
Configure o DNS
Quando configurar o DNS, pode usar uma das seguintes duas opções:
- Atualize o DNS no local para ser autoritário para o domínio personalizado do Looker (Google Cloud core) mapeado para o endereço IP do ponto final do Private Service Connect.
- Crie uma zona privada do Cloud DNS, crie um conjunto de registos com o endereço IP atribuído ao ponto final do Private Service Connect e ative o encaminhamento de DNS de entrada para permitir que a sua VPC seja autorizada para o domínio personalizado do Looker (Google Cloud core) mapeado para o endereço IP do ponto final do Private Service Connect.
O que se segue?
- Associe o Looker (Google Cloud Core) à sua base de dados
- Prepare uma instância do Looker (Google Cloud Core) para os utilizadores
- Faça a gestão dos utilizadores no Looker (Google Cloud Core)