您可以通过自定义网域(而不是 Looker (Google Cloud Core) 提供的默认网域)提供 Looker (Google Cloud Core) 实例。
本文档页面介绍了如何为同时满足以下两个条件的实例设置和访问自定义网域:
- 该实例仅限专用 IP。
- 传入实例的流量来自该实例所在的同一区域,或者来自混合网络。
要为此类实例实现自定义网域,请执行以下步骤:
设置自定义域名
创建 Looker (Google Cloud Core) 实例后,您可以设置自定义网域。
准备工作
在自定义 Looker (Google Cloud Core) 实例的网域之前,请先确定您网域的 DNS 记录的存储位置,以便更新这些记录。
所需的角色
如需获取为 Looker (Google Cloud Core) 实例创建自定义网域所需的权限,请让管理员向您授予该实例所在项目的 Looker Admin (roles/looker.admin) IAM 角色。
如需详细了解如何授予角色,请参阅管理访问权限。
创建自定义网域
在 Google Cloud 控制台中,请按照以下步骤自定义 Looker (Google Cloud Core) 实例的网域:
- 在实例页面上,点击要为其设置自定义网域的实例的名称。
- 点击自定义网域标签页。
点击添加自定义网域。
此时将打开添加新的自定义网域面板。
为您要使用的网站域名输入主机名(最多 64 个字符),请仅使用字母、数字和短划线。例如:
looker.examplepetstore.com。
点击添加新的自定义网域面板上的完成,返回到自定义网域标签页。
Google Cloud 控制台实例页面上的实例网址列会显示您的自定义网域。
启用对自定义网域的访问权限
如果流向仅专用 IP 的 Looker (Google Cloud Core) 实例的流量来自该实例所在的同一区域,您可以通过正确的 DNS 和凭据设置来确保安全地访问该实例。
准备工作
如需获取设置对专用 IP 自定义网域的访问权限所需的权限,请让管理员向您授予对实例所在项目的以下 IAM 角色:
-
Looker 管理员 (
roles/looker.admin) -
DNS Admin (
roles/dns.admin) -
使用 Google OAuth:OAuth Config Editor (
roles/oauthconfig.editor)
如需详细了解如何授予角色,请参阅管理访问权限。
网络概览
采用专用 IP 网络配置的 Looker (Google Cloud Core) 是一种区域级部署模型,可让您从各种环境(例如本地、多云和计算实例)无缝连接到 Looker (Google Cloud Core) 界面。
如需建立从本地或多云环境到 Looker (Google Cloud Core) 的连接,请修改 VPC 中的服务网络 VPC 对等互连连接,以导出自定义路由到托管 Looker (Google Cloud Core) 的 Google 管理的 VPC。此操作会将 VPC 中所有符合条件的静态路由和动态路由发送到 Looker (Google Cloud Core)。服务提供方的网络会自动导入这些路由,使流量通过 VPC 网络发送回您的本地网络。
默认情况下,与主机设备的连接是在 Looker (Google Cloud Core) 所在的区域内建立,如下图所示:
创建 Cloud DNS 专用区域
创建对 VPC 可见的 Cloud DNS 专用区域,以管理您的 Cloud DNS 记录。区域名称应与自定义网域一致。
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --labels=LABELS \ --visibility=private
请替换以下内容:
NAME:您的区域的名称。DESCRIPTION:您的区域的说明。DNS_SUFFIX:地区的 DNS 后缀,例如examplepetstore.com。VPC_NETWORK_LIST:有权查询区域的 VPC 网络列表(以英文逗号分隔)。请务必添加包含您的 Looker (Google Cloud Core) 实例的 VPC。LABELS:可选的键值对(例如dept=marketing或project=project1)列表,以英文逗号分隔;如需了解详情,请参阅 SDK 文档。
设置好区域后,如果您在 Google Cloud 控制台的 Cloud DNS 区域页面上导航到该区域,您会看到该区域为专用区域,其名称以自定义网域命名,并且包含自定义网域的记录集。
添加 Cloud DNS A 记录
如需添加 Cloud DNS A 记录,请完成以下步骤:
找到 Looker (Google Cloud Core) 实例的入站流量专用 IP 地址。此地址会显示在实例页面的详细信息标签页中。(该名称也会显示在添加新的自定义网域面板的更新 DNS 记录部分的数据字段中。)
在专用地区中为自定义网域添加 DNS A 记录,该记录包含 Looker (Google Cloud Core) 实例的入站 IP 地址。A 记录使用完全限定域名 (FQDN),与您配置为 Looker (Google Cloud Core) 自定义网域的配置相同。
当您在 Google Cloud 控制台的 Cloud DNS 区域页面上查看专用区域详情时,完整的设置应该会显示自定义网域的 A 记录。
要使用 Cloud VPN 隧道、Cloud Interconnect VLAN 连接或路由器设备将 VPC 网络的名称解析服务提供给连接到 VPC 网络的本地网络,您可以使用入站服务器政策。
在您更新网域的 DNS 记录并在 Google Cloud 控制台中验证网域后,在实例页面的自定义网域标签页上,映射到实例的自定义网域的状态将从未验证更新为可用。
更新 OAuth 凭据
- 要访问您的 OAuth 客户端,请在 Google Cloud 控制台中依次转到 API 和服务 > 凭据,然后选择您的 Looker (Google Cloud Core) 实例使用的 OAuth 客户端的 OAuth 客户端 ID。
点击添加 URI 按钮,以更新 OAuth 客户端中的已获授权的 JavaScript 来源字段。请使用贵组织将用于访问 Looker (Google Cloud Core) 的 DNS 名称。例如,如果您的自定义网域是
looker.examplepetstore.com,则应输入looker.examplepetstore.com作为 URI。
针对创建 Looker (Google Cloud Core) 实例时使用的 OAuth 凭据,将自定义网域更新或添加到已获授权的重定向 URI 列表中。将
/oauth2callback添加到 URI 的末尾。例如,如果您的自定义网域是looker.examplepetstore.com,则应输入looker.examplepetstore.com/oauth2callback。
添加用户
完成上述步骤后,用户就可以使用自定义网域网址了。
在将用户添加到 Looker (Google Cloud Core) 实例之前,请确保已为其完整设置用户身份验证方法。
后续步骤
- 在 Looker (Google Cloud Core) 中管理用户
- 配置 Looker (Google Cloud Core) 实例
- 将 Looker (Google Cloud Core) 连接到您的数据库