使用 Private Service Connect 對 Looker (Google Cloud Core) 執行個體的私人北向存取權

如要在 Looker (Google Cloud Core) 中使用 Private Service Connect,建立執行個體時必須啟用 Private Service Connect

本說明文件頁面說明如何使用 Private Service Connect,設定從用戶端到 Looker (Google Cloud Core) 的路由,也稱為北向流量

Private Service Connect 可讓消費者透過虛擬私有雲網路、混合式網路,或透過外部區域應用程式負載平衡器部署時,以公開方式從內部存取代管服務。代管服務供應商可藉此在自己的獨立虛擬私有雲網路中代管這些服務,並為消費者提供私人或公開連線。

使用 Private Service Connect 存取 Looker (Google Cloud Core) 時,您是服務消費者,而 Looker (Google Cloud Core) 是服務生產者。如要對 Looker (Google Cloud Core) 進行北向存取,必須將消費者 VPC 新增為 Looker (Google Cloud Core) Private Service Connect 執行個體的允許的 VPC

本文說明如何設定及配置自訂網域,並提供相關指引,說明如何使用私人連線的端點存取 Looker (Google Cloud Core)。

建議您透過後端應用程式負載平衡器存取 Looker (Google Cloud Core)。這項設定也允許自訂網域憑證驗證,為使用者存取權額外增添一層安全防護和控管機制。

建立自訂網域

建立 Looker (Google Cloud Core) 執行個體後,第一步是設定自訂網域,並更新執行個體的 OAuth 憑證。接下來的章節將逐步說明這個程序。

為私人 IP (Private Service Connect) 執行個體建立自訂網域時,自訂網域必須符合下列規定:

  • 自訂網域必須包含至少三個部分,包括至少一個子網域。例如 subdomain.domain.com
  • 自訂網域不得包含下列任何項目:
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

設定自訂網域

Looker (Google Cloud Core) 執行個體建立完成後,即可設定自訂網域。

事前準備

自訂 Looker (Google Cloud Core) 執行個體的網域前,請先找出網域的 DNS 記錄儲存位置,以便更新記錄。

必要的角色

如要取得為 Looker (Google Cloud Core) 執行個體建立自訂網域所需的權限,請要求管理員授予您執行個體所在專案的 Looker 管理員 (roles/looker.admin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

建立自訂網域

在 Google Cloud 控制台中,按照下列步驟自訂 Looker (Google Cloud Core) 執行個體的網域:

  1. 在「執行個體」頁面中,按一下要設定自訂網域的執行個體名稱。
  2. 按一下「自訂網域」分頁標籤。

  3. 按一下「新增自訂網域」

    系統隨即會開啟「新增自訂網域」面板。

  4. 輸入要使用的網域主機名稱,最多 64 個字元,只能使用英文字母、數字和連字號,例如:looker.examplepetstore.com

  5. 按一下「Add a new custom domain」(新增自訂網域) 面板上的「DONE」(完成),返回「CUSTOM DOMAIN」(自訂網域) 分頁。

設定自訂網域後,該網域會顯示在 Google Cloud 控制台的 Looker (Google Cloud Core) 執行個體詳細資料頁面中,「自訂網域」分頁的「網域」欄。

自訂網域建立完成後,您可以查看相關資訊刪除該網域。

更新 OAuth 憑證

  1. 在 Google Cloud 控制台中依序前往「API 和服務」>「憑證」,然後選取 Looker (Google Cloud Core) 執行個體使用的 OAuth 用戶端 ID,即可存取 OAuth 用戶端。

  2. 按一下「新增 URI」按鈕,更新 OAuth 用戶端的「已授權的 JavaScript 來源」欄位,加入貴機構將用來存取 Looker (Google Cloud Core) 的 DNS 名稱。舉例來說,如果您的自訂網域是 looker.examplepetstore.com,請輸入 looker.examplepetstore.com 做為 URI。

  3. 更新或新增自訂網域至「授權重新導向 URI」清單,該清單適用於您建立 Looker (Google Cloud Core) 執行個體時使用的 OAuth 憑證。在 URI 結尾新增 /oauth2callback。舉例來說,如果您的自訂網域是 looker.examplepetstore.com,請輸入 looker.examplepetstore.com/oauth2callback

私下存取 Looker (Google Cloud Core)

設定自訂網域後,如要從地端部署或其他雲端服務供應商環境存取執行個體 (也就是透過混合式網路),必須具備下列網路元件:

透過 Private Service Connect 部署的 Looker (Google Cloud Core) 支援 Private Service Connect 網路端點群組 (稱為後端),並與 Cloud Load Balancing 整合。如要瞭解如何使用後端,以私密方式存取已啟用 Private Service Connect 的 Looker (Google Cloud Core) 執行個體,請參閱 Looker PSC Northbound Regional Internal L7 ALB Codelab。

下圖顯示 Private Service Connect 後端網路設定範例:

透過後端從地端存取 Looker (Google Cloud Core) 執行個體的網路架構。

設定 DNS

設定 DNS 時,您可以選擇下列其中一個選項:

  • 更新內部部署 DNS,使其成為對應至 Private Service Connect 端點 IP 位址的 Looker (Google Cloud Core) 自訂網域授權。
  • 建立 Cloud DNS 私人區域,使用為 Private Service Connect 端點分配的 IP 位址建立記錄集,並啟用入埠 DNS 轉送,讓 VPC 成為對應至 Private Service Connect 端點 IP 位址的 Looker (Google Cloud Core) 自訂網域授權。

後續步驟