如需将 Private Service Connect 与 Looker (Google Cloud Core) 搭配使用,必须在创建 Looker (Google Cloud Core) 实例时启用 Private Service Connect。
此文档页面介绍了如何使用 Private Service Connect 配置从客户端到 Looker (Google Cloud Core) 的路由(也称为北向流量)。
Private Service Connect 可让使用方从其 VPC 网络内部、通过混合网络或在部署了外部区域应用负载均衡器时以公开方式私密访问托管式服务。它允许代管式服务提供方在其各自的 VPC 网络中托管这些服务,并为其使用方提供专用或公共连接。
当您使用 Private Service Connect 访问 Looker (Google Cloud Core) 时,您是服务使用方,而 Looker (Google Cloud Core) 是服务提供方。对 Looker (Google Cloud Core) 的北向访问要求将使用方 VPC 添加为 Looker (Google Cloud Core) Private Service Connect 实例的允许的 VPC。
本文档介绍了如何设置和配置自定义网域,并提供了有关如何使用专用连接的端点访问 Looker (Google Cloud Core) 的指南。
建议通过具有后端的应用负载均衡器来访问 Looker (Google Cloud Core)。此设置还支持自定义网域证书身份验证,从而为用户访问添加额外的安全和控制层。
创建自定义网域
创建 Looker (Google Cloud Core) 实例后的第一步是设置自定义网域并更新该实例的 OAuth 凭据。以下部分将引导您完成此过程。
为专用 IP (Private Service Connect) 实例创建自定义网域时,该自定义网域必须满足以下要求:
- 自定义网域必须至少包含三个部分,其中包括至少一个子网域。例如
subdomain.domain.com。 - 自定义网域不得包含以下任何内容:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
设置自定义域名
创建 Looker (Google Cloud Core) 实例后,您可以设置自定义网域。
准备工作
在自定义 Looker (Google Cloud Core) 实例的网域之前,请先确定网域的 DNS 记录存储在何处,以便您更新这些记录。
所需的角色
如需获得为 Looker (Google Cloud Core) 实例创建自定义网域所需的权限,请让您的管理员为您授予该实例所在项目的 Looker Admin (roles/looker.admin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建自定义网域
在 Google Cloud 控制台中,按照以下步骤自定义 Looker (Google Cloud Core) 实例的网域:
- 在实例页面上,点击要为其设置自定义网域的实例的名称。
- 点击自定义网域标签页。
点击添加自定义网域。
系统随即会打开添加新的自定义网域面板。
仅使用字母、数字和短划线,输入您要使用的 Web 网域的主机名(最多 64 个字符),例如:
looker.examplepetstore.com。
点击添加新的自定义网域面板上的完成,返回到自定义网域标签页。
自定义网域设置完毕后,它会显示在 Google Cloud 控制台的 Looker (Google Cloud Core) 实例详情页面的自定义网域标签页中的网域列中。
更新 OAuth 凭据
- 在 Google Cloud 控制台中,依次前往 API 和服务 > 凭据,然后选择 Looker (Google Cloud Core) 实例使用的 OAuth 客户端的 OAuth 客户端 ID,即可访问您的 OAuth 客户端。
点击添加 URI 按钮,以更新 OAuth 客户端中的已获授权的 JavaScript 来源字段,使其包含贵组织将用于访问 Looker (Google Cloud Core)的相同 DNS 名称。例如,如果您的自定义网域是
looker.examplepetstore.com,则您输入的 URI 也是looker.examplepetstore.com。
更新或添加自定义网域,将其添加到您创建 Looker (Google Cloud Core) 实例时使用的 OAuth 凭据的已获授权的重定向 URI 列表中。在 URI 末尾添加
/oauth2callback。例如,如果您的自定义网域是looker.examplepetstore.com,请输入looker.examplepetstore.com/oauth2callback。
对 Looker (Google Cloud Core) 的私密访问
设置自定义网域后,如需从本地环境或其他云提供商环境(即通过混合网络)访问实例,则需要以下网络组件:
- Cloud Router
- 混合网络产品,例如高可用性 VPN、Cloud Interconnect 和 SD-WAN
- 本地 DNS 或 Cloud DNS
- 代理专用子网
- 内部应用负载均衡器
- SSL 证书资源
通过 Private Service Connect 部署的 Looker (Google Cloud Core)支持与 Cloud Load Balancing 集成的 Private Service Connect 网络端点组(称为后端)。如需了解如何使用后端以私密方式访问已启用 Private Service Connect 的 Looker (Google Cloud Core) 实例,请参阅 Looker PSC 北向区域内部 L7 ALB Codelab。
下图展示了 Private Service Connect 后端网络设置示例:
设置 DNS
设置 DNS 时,您可以使用以下两种方法中的任一种:
- 更新本地 DNS,使其成为映射到 Private Service Connect 端点 IP 地址的 Looker (Google Cloud Core) 自定义网域的权威 DNS。
- 创建 Cloud DNS 专用区域,使用为 Private Service Connect 端点分配的 IP 地址创建记录集,并启用入站 DNS 转发,以允许您的 VPC 成为映射到 Private Service Connect 端点 IP 地址的 Looker (Google Cloud Core) 自定义网域的权威来源。
后续步骤
- 将 Looker (Google Cloud Core) 连接到您的数据库
- 为用户准备 Looker (Google Cloud Core) 实例
- 在 Looker (Google Cloud Core) 中管理用户