本文档页面介绍了如何设置自定义网域,以及如何设置对符合以下条件的 Looker (Google Cloud Core) 实例的访问权限:
- 实例仅使用专用 IP。
- 实例在创建时已设置为使用专用服务访问通道。
- 传输到实例的流量来自实例所在的区域,或者通过混合网络传输。
如需访问此类实例,请执行以下步骤:
设置自定义域名
创建 Looker (Google Cloud Core) 实例后,您可以设置自定义网域。
准备工作
在自定义 Looker (Google Cloud Core) 实例的网域之前,请先确定网域的 DNS 记录的存储位置,以便您可以更新这些记录。
所需的角色
如需获得为 Looker (Google Cloud Core) 实例创建自定义网域所需的权限,请让您的管理员为您授予实例所在项目的 Looker Admin (roles/looker.admin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建自定义网域
在 Google Cloud 控制台中,按照以下步骤自定义 Looker (Google Cloud Core)实例的域名:
- 在实例页面上,点击要为其设置自定义网域的实例的名称。
- 点击自定义网域标签页。
点击添加自定义网域。
此时将打开添加新的自定义网域面板。
仅使用字母、数字和短划线,输入您要使用的网域的主机名(最多 64 个字符),例如
looker.examplepetstore.com。
点击添加新的自定义网域面板中的完成,返回到自定义网域标签页。
自定义网域设置完毕后,它会显示在 Google Cloud 控制台中 Looker (Google Cloud Core)实例详情页面的自定义网域标签页的网域列中。
启用对自定义网域的访问权限
当流量来自与 Looker (Google Cloud Core) 实例所在区域相同的区域时,您可以通过正确的 DNS 和凭据设置来确保对实例的安全访问。
准备工作
如需获得设置对私有 IP 自定义网域的访问权限所需的权限,请让管理员向您授予实例所在项目的以下 IAM 角色:
-
Looker Admin (
roles/looker.admin) -
DNS 管理员 (
roles/dns.admin) -
使用 Google OAuth:
OAuth Config Editor (
roles/oauthconfig.editor)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
网络概览
采用专用 IP 网络配置的 Looker (Google Cloud Core) 是一种区域部署模式,可让您从各种环境(例如本地环境、多云环境和计算实例)无缝连接到 Looker (Google Cloud Core) 界面。
如需从本地或多云环境建立与 Looker (Google Cloud Core) 的连接,请修改 VPC 中的服务网络 VPC 对等连接,以将自定义路由导出到托管 Looker (Google Cloud Core) 的 Google 管理 VPC。此操作会将 VPC 中的所有符合条件的静态和动态路由发送到 Looker (Google Cloud Core)。服务提供方的网络会自动导入这些路由,以便通过 VPC 网络将流量发回至您的本地网络。
默认情况下,主机设备的连接会在 Looker (Google Cloud Core)所在的区域内建立,如下图所示:
创建 Cloud DNS 专用区域
创建一个 Cloud DNS 专用区域,该区域对 Looker (Google Cloud Core) 实例所在的 VPC 可见。VPC 和本地主机将使用 Cloud DNS 专用区域进行 DNS 解析,以访问 Looker (Google Cloud Core)界面。该区域的名称应与自定义域名一致。
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --labels=LABELS \ --visibility=private
替换以下内容:
NAME:您的可用区的名称。DESCRIPTION:您的可用区的说明。DNS_SUFFIX:您的地区的 DNS 后缀,如examplepetstore.com。VPC_NETWORK_LIST:有权查询可用区的 VPC 网络的逗号分隔列表。请务必添加包含 Looker (Google Cloud Core) 实例的 VPC。LABELS:(可选)以英文逗号分隔的键值对列表,例如dept=marketing或project=project1;如需了解详情,请参阅 SDK 文档。
设置区域后,如果您在 Google Cloud 控制台中前往Cloud DNS 区域页面,您会发现该区域是专用的,以自定义网域命名,并且包含自定义网域的记录集。
添加 Cloud DNS A 记录
如需添加 Cloud DNS A 记录,请完成以下步骤:
由于您将使用负载均衡器,因此 Cloud DNS 专用可用区中的 A 记录将映射到负载均衡器 IP 地址。
在专用区域中为自定义网域添加 DNS A 记录,该记录包含 Looker (Google Cloud Core) 实例的入站 IP 地址。A 记录使用完全限定域名 (FQDN),与您配置为 Looker (Google Cloud Core)自定义网域的域名相同。
当您在 Google Cloud 控制台的 Cloud DNS 区域页面上查看专用区域详细信息时,完成的设置应会显示自定义网域的 A 记录。
若要将 VPC 网络的名称解析服务提供给使用 Cloud VPN 隧道、Cloud Interconnect VLAN 附加网络或路由器设备连接到 VPC 网络的本地网络,您可以使用入站服务器政策。
在 Google Cloud 控制台中更新网域的 DNS 记录并验证网域后,实例页面上的自定义网域标签页中映射到实例的自定义网域的状态将从未验证更新为可用。
更新 OAuth 凭据
- 如需访问您的 OAuth 客户端,请在 Google Cloud 控制台中前往 API 和服务 > 凭据,然后选择 Looker (Google Cloud Core)实例使用的 OAuth 客户端的 OAuth 客户端 ID。
点击添加 URI 按钮,更新 OAuth 客户端中的已获授权的 JavaScript 来源字段。使用贵组织将用于访问 Looker (Google Cloud Core) 的 DNS 名称。例如,如果您的自定义网域是
looker.examplepetstore.com,您应输入looker.examplepetstore.com作为 URI。
将自定义网域更新或添加到创建 Looker (Google Cloud Core) 实例时使用的 OAuth 凭据的已获授权的重定向 URI列表中。将
/oauth2callback添加到 URI 的末尾。例如,如果您的自定义网域是looker.examplepetstore.com,请输入looker.examplepetstore.com/oauth2callback。
添加用户
完成上述步骤后,用户便可访问自定义网域网址。
在向 Looker (Google Cloud Core) 实例添加用户之前,请确保已为该实例完全设置用户身份验证方法。
后续步骤
- 将 Looker (Google Cloud Core) 连接到您的数据库
- 为用户准备 Looker (Google Cloud Core) 实例
- 在 Looker (Google Cloud Core) 中管理用户