Accedi a un'istanza di Looker (Google Cloud core) con accesso ai servizi privati: traffico proveniente dalla stessa regione

Questa pagina della documentazione descrive come configurare un dominio personalizzato e l'accesso a un'istanza di Looker (Google Cloud core) che soddisfi i seguenti criteri:

Per accedere a questo tipo di istanza, segui questi passaggi:

  1. Configura un dominio personalizzato.
  2. Crea una zona privata di Cloud DNS.
  3. Aggiungi il record A DNS.
  4. Aggiorna le credenziali OAuth.

Configurazione di un dominio personalizzato

Dopo aver creato l'istanza di Looker (Google Cloud core), puoi configurare un dominio personalizzato.

Prima di iniziare

Prima di poter personalizzare il dominio dell'istanza di Looker (Google Cloud core), devi identificare dove sono archiviati i record DNS del dominio per poterli aggiornare.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un dominio personalizzato per un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti il ruolo IAM Amministratore di Looker (roles/looker.admin) nel progetto in cui si trova l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Creare un dominio personalizzato

Nella console Google Cloud, segui questi passaggi per personalizzare il dominio della tua istanza di Looker (Google Cloud core):

  1. Nella pagina Istanze, fai clic sul nome dell'istanza per la quale vuoi configurare un dominio personalizzato.
  2. Fai clic sulla scheda DOMINO PERSONALIZZATO.
  3. Fai clic su AGGIUNGI UN DOMINIO PERSONALIZZATO.

    Si apre il riquadro Aggiungi un nuovo dominio personalizzato.

  4. Utilizzando solo lettere, numeri e trattini, inserisci il nome host di massimo 64 caratteri per il dominio web che vuoi utilizzare, ad esempio: looker.examplepetstore.com.

  5. Fai clic su FINE nel riquadro Aggiungi un nuovo dominio personalizzato per tornare alla scheda DOMINIO PERSONALIZZATO.

Una volta configurato, il dominio personalizzato viene visualizzato nella colonna Dominio della scheda Dominio personalizzato della pagina dei dettagli dell'istanza della console Google Cloud.

Dopo aver creato il dominio personalizzato, puoi visualizzarne le informazioni o eliminarlo.

Abilita l'accesso al dominio personalizzato

Quando il traffico verso un'istanza di Looker (Google Cloud core) con solo IP privato proviene dalla stessa regione in cui si trova l'istanza, puoi garantire un accesso sicuro all'istanza attraverso una corretta configurazione del DNS e delle credenziali.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per configurare l'accesso a un dominio personalizzato con IP privato, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto in cui si trova l'istanza:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Panoramica sul networking

Looker (Google Cloud core) con una configurazione di rete IP privata è un modello di deployment a livello di regione che ti consente di connetterti senza problemi alla UI di Looker (Google Cloud core) da vari ambienti, come istanze on-premise, multi-cloud e istanze di calcolo.

Per stabilire la connettività da ambienti on-premise o multi-cloud a Looker (Google Cloud core), modifica la connessione in peering VPC di rete di servizi nel tuo VPC per esportare route personalizzate nel VPC gestito da Google che ospita Looker (Google Cloud core). Questa azione invia tutte le route statiche e dinamiche idonee dal tuo VPC a Looker (Google Cloud core). La rete del producer di servizi importa automaticamente queste route, consentendo il reinvio del traffico alla rete on-premise attraverso la rete VPC.

Per impostazione predefinita, la connessione dai dispositivi host viene stabilita all'interno della stessa regione di Looker (Google Cloud core), come illustrato nel seguente diagramma:

Una rete Google Cloud che mostra l'accesso sicuro a un'istanza di Looker (Google Cloud core) per il traffico all'interno della stessa regione, utilizzando Cloud DNS, router Cloud, Cloud Interconnect e accesso privato ai servizi.

Crea la zona privata di Cloud DNS

Crea una zona privata di Cloud DNS visibile al VPC per la gestione dei record di Cloud DNS. Il nome della zona deve corrispondere al dominio personalizzato.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Sostituisci quanto segue:

  • NAME: un nome per la zona.
  • DESCRIPTION: una descrizione della zona.
  • DNS_SUFFIX: il suffisso DNS per la tua zona, ad esempio examplepetstore.com.
  • VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC autorizzate a eseguire query sulla zona. Assicurati di includere il VPC che contiene la tua istanza di Looker (Google Cloud core).
  • LABELS: un elenco facoltativo di coppie chiave-valore, come dept=marketing o project=project1, delimitato da virgole. per saperne di più, consulta la documentazione relativa all'SDK.

Una volta configurata la zona, se accedi alla zona nella pagina Zone Cloud DNS della console Google Cloud puoi vedere che è privata, ha il nome del dominio personalizzato e include dei set di record per quel dominio.

Aggiungi il record A di Cloud DNS

Completa i seguenti passaggi per aggiungere il record A di Cloud DNS:

  1. Trova l'indirizzo IP privato in entrata dell'istanza di Looker (Google Cloud core). Questo indirizzo viene visualizzato nella scheda Dettagli della pagina Istanze. I dati vengono visualizzati anche nel campo Dati nella sezione Aggiorna i tuoi record DNS del riquadro Aggiungi un nuovo dominio personalizzato.

    L'IP privato in entrata evidenziato nella scheda Dettagli della pagina Istanze.

  2. Aggiungi un record A DNS per il dominio personalizzato nella zona privata, composto dall'indirizzo IP in entrata dell'istanza di Looker (Google Cloud core). Il record A utilizza il nome di dominio completo (FQDN), uguale a quello che hai configurato come dominio personalizzato Looker (Google Cloud core).

    La configurazione completa dovrebbe mostrare il record A per il dominio personalizzato quando visualizzi i dettagli della zona privata nella pagina Zone Cloud DNS della console Google Cloud.

    Per rendere disponibili i servizi di risoluzione dei nomi di una rete VPC alle reti on-premise collegate alla rete VPC tramite tunnel Cloud VPN, collegamenti VLAN di Cloud Interconnect o appliance router, puoi utilizzare un criterio del server in entrata.

    Una volta aggiornati i record DNS del dominio e verificato il dominio nella console Google Cloud, lo stato del dominio personalizzato mappato all'istanza passerà da Non verificato a Disponibile nella scheda Dominio personalizzato della pagina Istanze.

Aggiornare le credenziali OAuth

  1. Per accedere al tuo client OAuth, nella console Google Cloud vai ad API e Servizi > Credenziali e selezionando l'ID client OAuth per il client OAuth utilizzato dalla tua istanza di Looker (Google Cloud core).
  2. Fai clic sul pulsante Aggiungi URI per aggiornare il campo Origini JavaScript autorizzate nel client OAuth. Utilizza lo stesso nome DNS che la tua organizzazione utilizzerà per accedere a Looker (Google Cloud core). Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, inserirai looker.examplepetstore.com come URI.

  3. Aggiorna o aggiungi il dominio personalizzato all'elenco di URI di reindirizzamento autorizzati per le credenziali OAuth utilizzate al momento della creazione dell'istanza di Looker (Google Cloud core). Aggiungi /oauth2callback alla fine dell'URI. Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, devi inserire looker.examplepetstore.com/oauth2callback.

Aggiungi utenti

Una volta completati i passaggi precedenti, l'URL del dominio personalizzato sarà accessibile agli utenti.

Prima di aggiungere utenti all'istanza, assicurati che il metodo di autenticazione utente sia completamente configurato per l'istanza di Looker (Google Cloud core).

Passaggi successivi