Accedere a un'istanza di Looker (Google Cloud core) con accesso ai servizi privati: traffico proveniente dalla stessa regione

Questa pagina della documentazione descrive come configurare un dominio personalizzato e l'accesso a un'istanza di Looker (Google Cloud core) che soddisfi i seguenti criteri:

Per accedere a questo tipo di istanza, segui questi passaggi:

  1. Configura un dominio personalizzato.
  2. Crea una zona privata Cloud DNS.
  3. Aggiungi il record A DNS.
  4. Aggiorna le credenziali OAuth.

Configurazione di un dominio personalizzato

Una volta creata l'istanza di Looker (Google Cloud core), puoi configurare un dominio personalizzato.

Prima di iniziare

Prima di poter personalizzare il dominio della tua istanza di Looker (Google Cloud core), identifica dove sono archiviati i record DNS del dominio per poterli aggiornare.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un dominio personalizzato per un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti il ruolo IAM Amministratore di Looker (roles/looker.admin) nel progetto in cui si trova l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare un dominio personalizzato

Nella console Google Cloud , segui questi passaggi per personalizzare il dominio dell'istanza Looker (Google Cloud core):

  1. Nella pagina Istanze, fai clic sul nome dell'istanza per cui vuoi configurare un dominio personalizzato.
  2. Fai clic sulla scheda DOMINO PERSONALIZZATO.
  3. Fai clic su AGGIUNGI UN DOMINIO PERSONALIZZATO.

    Si aprirà il riquadro Aggiungi un nuovo dominio personalizzato.

  4. Utilizzando solo lettere, numeri e trattini, inserisci il nome host di massimo 64 caratteri per il dominio web che vuoi utilizzare, ad esempio looker.examplepetstore.com.

  5. Fai clic su FINE nel riquadro Aggiungi un nuovo dominio personalizzato per tornare alla scheda DOMINO PERSONALIZZATO.

Una volta configurato, il dominio personalizzato viene visualizzato nella colonna Dominio della scheda DOMINO PERSONALIZZATO della pagina dei dettagli dell'istanza di Looker (Google Cloud core) nella console Google Cloud .

Una volta creato il dominio personalizzato, puoi visualizzare le informazioni relative o eliminarlo.

Attivare l'accesso al dominio personalizzato

Quando il traffico verso un'istanza di Looker (Google Cloud core) con solo IP privato proviene dalla stessa regione in cui si trova l'istanza, puoi garantire l'accesso sicuro all'istanza tramite la configurazione corretta di DNS e credenziali.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per configurare l'accesso a un dominio personalizzato con IP privato, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto in cui si trova l'istanza:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Panoramica sul networking

Looker (Google Cloud core) con una configurazione di rete IP privata è un modello di deployment regionale che ti consente di connetterti facilmente all'interfaccia utente di Looker (Google Cloud core) da vari ambienti, come istanze on-premise, multicloud ed di calcolo.

Per stabilire la connettività dagli ambienti on-premise o multicloud a Looker (Google Cloud core), modifica la connessione di peering VPC della rete di servizi nel tuo VPC in modo da esportare le route personalizzate nel VPC gestito da Google che ospita Looker (Google Cloud core). Questa azione invia tutte le route statiche e dinamiche idonee dalla tua VPC a Looker (Google Cloud core). La rete del producer di servizi importa automaticamente queste route, consentendo di inviare nuovamente il traffico alla rete on-premise tramite la rete VPC.

Per impostazione predefinita, la connessione dai dispositivi host viene stabilita nella stessa regione di Looker (Google Cloud core), come illustrato nel seguente diagramma:

Una rete Google Cloud che mostra l'accesso sicuro a un'istanza di Looker (Google Cloud core) per il traffico all'interno della stessa regione, utilizzando Cloud DNS, router Cloud, Cloud Interconnect e Private Services Access.

Crea la zona privata Cloud DNS

Crea una zona Cloud DNS privata visibile al VPC in cui si trova l'istanza di Looker (Google Cloud core). La zona privata Cloud DNS verrà utilizzata dalla VPC e dagli host on-premise per la risoluzione DNS per raggiungere l'interfaccia utente di Looker (Google Cloud core). Il nome della zona deve corrispondere al dominio personalizzato.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Sostituisci quanto segue:

  • NAME: un nome per la zona.
  • DESCRIPTION: una descrizione della tua zona.
  • DNS_SUFFIX: il suffisso DNS per la tua zona, ad esempio examplepetstore.com.

  • VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC autorizzate a eseguire query sulla zona. Assicurati di includere la VPC contenente l'istanza di Looker (Google Cloud core).

  • LABELS: un elenco facoltativo di coppie chiave-valore separate da virgola, ad esempio dept=marketing o project=project1. Per ulteriori informazioni, consulta la documentazione dell'SDK.

Una volta configurata la zona, se accedi alla pagina Zone Cloud DNS della console Google Cloud , puoi vedere che è privata, è denominata in base al dominio personalizzato e contiene set di record per il dominio personalizzato.

Aggiungi il record A Cloud DNS

Per aggiungere il record A di Cloud DNS:

  1. Poiché utilizzerai un bilanciatore del carico, il record A nella zona privata Cloud DNS verrà mappato all'indirizzo IP del bilanciatore del carico.

    L'IP privato di ingresso evidenziato nella scheda Dettagli della pagina Istanze.

  2. Aggiungi un record A DNS per il dominio personalizzato nella zona privata, costituito dall'indirizzo IP di ingresso dell'istanza di Looker (Google Cloud core). Il record A utilizza il nome di dominio completo (FQDN), lo stesso configurato come dominio personalizzato di Looker (Google Cloud core).

    La configurazione completa dovrebbe mostrare il record A per il dominio personalizzato quando visualizzi i dettagli della zona privata nella pagina Zone Cloud DNS della console Google Cloud .

    Per rendere disponibili i servizi di risoluzione dei nomi di una rete VPC alle reti on-premise connesse alla rete VPC utilizzando tunnel Cloud VPN, collegamenti VLAN Cloud Interconnect o appliance router, puoi utilizzare un regolamento del server in entrata.

    Una volta aggiornati i record DNS del dominio e verificato il dominio nella console Google Cloud, lo stato del dominio personalizzato mappato all'istanza passerà da Non verificato a Disponibile nella scheda Dominio personalizzato della pagina Istanze.

Aggiorna le credenziali OAuth

  1. Accedi al client OAuth nella console Google Cloud , vai a API e servizi > Credenziali e seleziona l'ID client OAuth per il client OAuth utilizzato dall'istanza Looker (Google Cloud core).
  2. Fai clic sul pulsante Aggiungi URI per aggiornare il campo Origini JavaScript autorizzate nel client OAuth. Utilizza lo stesso nome DNS che la tua organizzazione utilizzerà per accedere a Looker (Google Cloud core). Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, devi inserire looker.examplepetstore.com come URI.

  3. Aggiorna o aggiungi il dominio personalizzato all'elenco di URI di reindirizzamento autorizzati per le credenziali OAuth utilizzate durante la creazione dell'istanza di Looker (Google Cloud core). Aggiungi /oauth2callback alla fine dell'URI. Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, devi inserire looker.examplepetstore.com/oauth2callback.

Aggiungi utenti

Una volta completati i passaggi precedenti, l'URL del dominio personalizzato è accessibile agli utenti.

Prima di aggiungere utenti all'istanza, assicurati che il metodo di autenticazione utente sia completamente configurato per l'istanza di Looker (Google Cloud core).

Passaggi successivi