이 문서 페이지에서는 다음 기준을 충족하는 Looker(Google Cloud 핵심 서비스) 인스턴스의 커스텀 도메인을 설정하고 액세스 권한을 설정하는 방법을 설명합니다.
- 인스턴스가 비공개 IP 전용입니다.
- 인스턴스는 생성 시 비공개 서비스 액세스를 사용하도록 설정되었습니다.
- 트래픽이 인스턴스와 동일한 리전에서 들어오거나 하이브리드 네트워킹을 통해 인스턴스로 들어옵니다.
이러한 종류의 인스턴스에 액세스하려면 다음 단계를 수행합니다.
커스텀 도메인 설정
Looker(Google Cloud 핵심 서비스) 인스턴스를 만든 후 커스텀 도메인을 설정할 수 있습니다.
시작하기 전에
Looker(Google Cloud 핵심 서비스) 인스턴스의 도메인을 맞춤설정하려면 먼저 도메인의 DNS 레코드가 저장된 위치를 확인하여 업데이트해야 합니다.
필요한 역할
Looker(Google Cloud 핵심 서비스) 인스턴스의 커스텀 도메인을 만드는 데 필요한 권한을 얻으려면 관리자에게 인스턴스가 있는 프로젝트에 대한 Looker Admin(roles/looker.admin
) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
커스텀 도메인 만들기
Google Cloud 콘솔에서 다음 단계에 따라 Looker(Google Cloud 핵심 서비스) 인스턴스의 도메인을 맞춤설정합니다.
- 인스턴스 페이지에서 커스텀 도메인을 설정하려는 인스턴스의 이름을 클릭합니다.
- 커스텀 도메인 탭을 클릭합니다.
커스텀 도메인 추가를 클릭합니다.
그러면 새 커스텀 도메인 추가 패널이 열립니다.
문자, 숫자, 대시만 사용하여 사용하려는 웹 도메인의 호스트 이름을 최대 64자(예:
looker.examplepetstore.com
)로 입력합니다.새 커스텀 도메인 추가 패널에서 완료를 클릭하여 커스텀 도메인 탭으로 돌아갑니다.
커스텀 도메인이 설정되면 Google Cloud 콘솔의 Looker (Google Cloud 핵심 서비스) 인스턴스 세부정보 페이지에 있는 커스텀 도메인 탭의 도메인 열에 표시됩니다.
커스텀 도메인이 생성된 후에는 관련 정보를 확인하거나 삭제할 수 있습니다.
커스텀 도메인에 대한 액세스 사용 설정
비공개 IP 전용 Looker(Google Cloud 핵심 서비스) 인스턴스에 대한 트래픽이 인스턴스와 동일한 리전에서 들어오는 경우 적절한 DNS 및 사용자 인증 정보 설정을 통해 인스턴스에 대한 보안 액세스를 구현할 수 있습니다.
시작하기 전에
비공개 IP 커스텀 도메인에 대한 액세스를 설정하는 데 필요한 권한을 얻으려면 관리자에게 인스턴스가 있는 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
Looker 관리자(
roles/looker.admin
) -
DNS 관리자(
roles/dns.admin
) -
Google OAuth 사용:
OAuth 구성 편집자(
roles/oauthconfig.editor
)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
네트워킹 개요
비공개 IP 네트워크 구성이 있는 Looker(Google Cloud 핵심 서비스)는 온프레미스, 멀티 클라우드, 컴퓨팅 인스턴스와 같은 다양한 환경에서 Looker(Google Cloud 핵심 서비스) UI에 원활하게 연결할 수 있는 리전별 배포 모델입니다.
온프레미스 또는 멀티 클라우드 환경에서 Looker(Google Cloud 핵심 서비스)로의 연결을 설정하려면 VPC에서 서비스 네트워킹 VPC 피어링 연결을 수정하여 Looker(Google Cloud 핵심 서비스)를 호스팅하는 Google 관리형 VPC로 커스텀 경로를 내보냅니다. 이렇게 하면 모든 운영 가능 고정 및 동적 경로가 VPC에서 Looker(Google Cloud 핵심 서비스)로 전송됩니다. 서비스 프로듀서의 네트워크는 이러한 경로를 자동으로 가져오므로 VPC 네트워크를 통해 온프레미스 네트워크로 트래픽을 다시 전송할 수 있습니다.
호스트 기기의 연결은 기본적으로 다음 다이어그램과 같이 Looker(Google Cloud 핵심 서비스)와 동일한 리전 내에서 설정됩니다.
Cloud DNS 비공개 영역 만들기
Cloud DNS 레코드를 관리할 수 있도록 VPC에서 인식 가능한 Cloud DNS 비공개 영역을 만듭니다. 영역의 이름은 커스텀 도메인과 일치해야 합니다.
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --labels=LABELS \ --visibility=private
다음을 바꿉니다.
NAME
: 영역 이름DESCRIPTION
: 영역에 대한 설명DNS_SUFFIX
: 영역의 DNS 서픽스(예:examplepetstore.com
)VPC_NETWORK_LIST
: 영역을 쿼리하도록 승인된 VPC 네트워크의 쉼표로 구분된 목록. Looker(Google Cloud 핵심 서비스) 인스턴스가 속한 VPC를 포함해야 합니다.LABELS
: 쉼표로 구분된 선택적인 키-값 쌍 목록(예:dept=marketing
또는project=project1
). 자세한 내용은 SDK 문서를 참조하세요.
영역이 설정된 후 Google Cloud 콘솔의 Cloud DNS 영역 페이지에서 영역으로 이동하면 영역이 비공개 상태이고, 커스텀 도메인의 이름과 같으며, 커스텀 도메인에 대한 레코드 세트가 있음을 확인할 수 있습니다.
Cloud DNS A 레코드 추가
Cloud DNS A 레코드를 추가하려면 다음 단계를 완료하세요.
Looker(Google Cloud 핵심 서비스) 인스턴스의 인그레스 비공개 IP 주소를 찾습니다. 이 주소는 인스턴스 페이지의 세부정보 탭에 표시됩니다. 새 커스텀 도메인 추가 패널의 DNS 레코드 업데이트 섹션에 있는 데이터 필드에도 표시됩니다.
Looker(Google Cloud 핵심 서비스) 인스턴스의 인그레스 IP 주소로 구성된 비공개 영역의 커스텀 도메인에 대한 DNS A 레코드를 추가합니다. A 레코드는 Looker(Google Cloud 핵심 서비스) 커스텀 도메인으로 구성한 것과 동일한 정규화된 도메인 이름(FQDN)을 사용합니다.
설정이 완료되면 Google Cloud 콘솔의 Cloud DNS 영역 페이지에서 비공개 영역 세부정보를 볼 때 커스텀 도메인의 A 레코드가 표시되어야 합니다.
Cloud VPN 터널, Cloud Interconnect VLAN 연결 또는 라우터 어플라이언스를 사용하여 VPC 네트워크에 연결된 온프레미스 네트워크에서 VPC 네트워크의 이름 변환 서비스를 사용할 수 있도록 하려면 인바운드 서버 정책이 필요합니다.
도메인의 DNS 레코드가 업데이트되고 Google Cloud 콘솔에서 도메인이 확인되면 인스턴스 페이지의 커스텀 도메인 탭에서 인스턴스에 매핑된 커스텀 도메인의 상태가확인되지 않음에서 사용 가능으로 업데이트됩니다.
OAuth 사용자 인증 정보 업데이트
- Google Cloud 콘솔에서 API 및 서비스 > 사용자 인증 정보로 이동하고 Looker(Google Cloud 핵심 서비스) 인스턴스에서 사용하는 OAuth 클라이언트의 OAuth 클라이언트 ID를 선택하여 OAuth 클라이언트에 액세스합니다.
URI 추가 버튼을 클릭하여 OAuth 클라이언트의 승인된 JavaScript 원본 필드를 업데이트합니다. 조직에서 Looker(Google Cloud 핵심 서비스)에 액세스하는 데 사용하는 것과 동일한 DNS 이름을 사용하세요. 예를 들어 커스텀 도메인이
looker.examplepetstore.com
이면 URI로looker.examplepetstore.com
을 입력합니다.Looker(Google Cloud 핵심 서비스) 인스턴스를 만들 때 사용한 OAuth 사용자 인증 정보의 승인된 리디렉션 URI 목록에 커스텀 도메인을 업데이트하거나 추가합니다. URI 끝에
/oauth2callback
을 추가합니다. 예를 들어 커스텀 도메인이looker.examplepetstore.com
이면looker.examplepetstore.com/oauth2callback
을 입력합니다.
사용자 추가
위 단계가 완료되면 사용자가 커스텀 도메인 URL에 액세스할 수 있습니다.
인스턴스에 사용자를 추가하기 전에 Looker(Google Cloud 핵심 서비스) 인스턴스에 사용자 인증 방법이 완전히 설정되어 있는지 확인하세요.
다음 단계
- Looker(Google Cloud 핵심 서비스)를 데이터베이스에 연결
- 사용자를 위한 Looker(Google Cloud 핵심 서비스) 인스턴스 준비
- Looker(Google Cloud 핵심 서비스) 내에서 사용자 관리