Para usar o Private Service Connect com o Looker (Google Cloud Core), a instância do Looker (Google Cloud Core) precisa estar ativada para usar o Private Service Connect durante a criação da instância.
Nesta página de documentação, explicamos como usar o Private Service Connect para configurar o roteamento de clientes para o Looker (Google Cloud Core), também chamado de tráfego norte.
O Private Service Connect permite que os consumidores acessem serviços gerenciados de maneira privada na rede VPC deles, em redes híbridas ou publicamente quando implantado com um balanceador de carga de aplicativo regional externo. Assim, produtores de serviço gerenciado conseguem hospedar serviços em redes VPC separadas e oferecer uma conexão privada ou pública aos consumidores.
Ao usar o Private Service Connect para acessar o Looker (Google Cloud Core), você é o consumidor de serviço, e o Looker (Google Cloud Core) é o produtor de serviços. O acesso de saída ao Looker (Google Cloud Core) exige que a VPC do consumidor seja adicionada como uma VPC permitida para a instância do Private Service Connect do Looker (Google Cloud Core).
Esta documentação descreve a configuração de um domínio personalizado e fornece orientações sobre como acessar o Looker (Google Cloud Core) usando um endpoint para conectividade particular.
A implantação recomendada para acessar o Looker (Google Cloud Core) é por um balanceador de carga de aplicativo com um back-end. Essa configuração também permite a autenticação de certificado de domínio personalizado, adicionando uma camada extra de segurança e controle para o acesso do usuário.
Criar um domínio personalizado
A primeira etapa após a criação da instância do Looker (Google Cloud Core) é configurar um domínio personalizado e atualizar as credenciais OAuth da instância. As seções a seguir explicam o processo.
Ao criar um domínio personalizado para instâncias de IP particular (Private Service Connect), ele precisa atender aos seguintes requisitos:
- O domínio personalizado precisa ter pelo menos três partes, incluindo pelo menos um subdomínio. Por exemplo,
subdomain.domain.com - O domínio personalizado não pode conter nenhum dos seguintes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurar um domínio personalizado
Depois que a instância do Looker (Google Cloud Core) for criada, você poderá configurar um domínio personalizado.
Antes de começar
Antes de personalizar o domínio da sua instância do Looker (Google Cloud Core), identifique onde os registros DNS do domínio estão armazenados para poder atualizá-los.
Funções exigidas
Para receber as permissões necessárias para criar um domínio personalizado para uma instância do Looker (Google Cloud Core), peça ao administrador para conceder a você o papel do IAM de Administrador do Looker (roles/looker.admin) no projeto em que a instância está localizada.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar um domínio personalizado
No console Google Cloud , siga estas etapas para personalizar o domínio da sua instância do Looker (Google Cloud Core):
- Na página Instâncias, clique no nome da instância em que você quer configurar um domínio personalizado.
- Clique na guia DOMÍNIO PERSONALIZADO.
Clique em ADICIONAR UM DOMÍNIO PERSONALIZADO.
O painel Adicionar um novo domínio personalizado será aberto.
Usando apenas letras, números e traços, insira o nome do host de até 64 caracteres para o domínio da Web que você quer usar. Por exemplo:
looker.examplepetstore.com.
Clique em CONCLUÍDO no painel Adicionar um novo domínio personalizado para voltar à guia DOMÍNIO PERSONALIZADO.
Depois que o domínio personalizado é configurado, ele aparece na coluna Domínio da guia DOMÍNIO PERSONALIZADO na página de detalhes da instância do Looker (Google Cloud Core) no console Google Cloud .
Depois que seu domínio personalizado for criado, você poderá ver informações sobre ele ou excluí-lo.
Atualizar as credenciais do OAuth
- Acesse seu cliente OAuth navegando no console Google Cloud até APIs e serviços > Credenciais e selecionando o ID do cliente OAuth usado pela sua instância do Looker (Google Cloud Core).
Clique no botão Adicionar URI para atualizar o campo Origens JavaScript autorizadas no cliente OAuth e incluir o mesmo nome de DNS que sua organização vai usar para acessar o Looker (Google Cloud Core). Por exemplo, se o domínio personalizado for
looker.examplepetstore.com, insiralooker.examplepetstore.comcomo o URI.
Atualize ou adicione o domínio personalizado à lista de URIs de redirecionamento autorizados para as credenciais OAuth usadas ao criar a instância do Looker (Google Cloud Core). Adicione
/oauth2callbackao final do URI. Por exemplo, se o domínio personalizado forlooker.examplepetstore.com, insiralooker.examplepetstore.com/oauth2callback.
Acesso particular ao Looker (Google Cloud Core)
Depois de configurar o domínio personalizado, para acessar a instância no local ou em outro ambiente de provedor de nuvem (ou seja, por rede híbrida), os seguintes componentes de rede são necessários:
- Cloud Router
- Produtos de rede híbrida, como HA-VPN, Cloud Interconnect e SD-WAN
- DNS local ou do Cloud
- Sub-rede somente proxy
- Balanceador de carga de aplicativo interno
- Recurso de certificado SSL
O Looker (Google Cloud Core) implantado com o Private Service Connect é compatível com grupos de endpoints de rede do Private Service Connect, chamados de back-ends, que são integrados ao Cloud Load Balancing. Consulte o codelab ALB interno regional L7 do Looker PSC Northbound para instruções sobre como acessar de forma particular uma instância do Looker (Google Cloud Core) ativada para o Private Service Connect usando um back-end.
Um exemplo de configuração de rede de back-end do Private Service Connect é mostrado no diagrama a seguir:
Configurar o DNS
Ao configurar o DNS, você pode usar uma destas duas opções:
- Atualize o DNS local para ser autoritativo para o domínio personalizado do Looker (Google Cloud Core) mapeado para o endereço IP do endpoint do Private Service Connect.
- Crie uma zona privada do Cloud DNS, crie um conjunto de registros usando o endereço IP alocado para o endpoint do Private Service Connect e ative o encaminhamento de entrada do DNS para permitir que sua VPC seja autoritativa para o domínio personalizado do Looker (Google Cloud Core) mapeado para o endereço IP do endpoint do Private Service Connect.
A seguir
- Conectar o Looker (Google Cloud Core) ao seu banco de dados
- Preparar uma instância do Looker (Google Cloud Core) para usuários
- Gerenciar usuários no Looker (Google Cloud Core)