Auf eine Looker (Google Cloud Core)-Instanz mit Zugriff auf private Dienste zugreifen: Traffic aus derselben Region

Auf dieser Dokumentationsseite wird beschrieben, wie Sie eine benutzerdefinierte Domain und den Zugriff auf eine Looker (Google Cloud Core)-Instanz einrichten, die die folgenden Kriterien erfüllt:

• Die Instanz hat nur eine private IP-Adresse.
• Die Instanz wurde zum Zeitpunkt der Erstellung für den Zugriff auf private Dienste eingerichtet.
• Der Traffic zur Instanz stammt entweder aus derselben Region wie die Instanz oder über ein hybrides Netzwerk.

Führen Sie die folgenden Schritte aus, um auf diese Art von Instanz zuzugreifen:

1. Benutzerdefinierte Domain einrichten
2. Erstellen Sie eine private Cloud DNS-Zone.
3. Fügen Sie den DNS-A-Eintrag hinzu.
4. Aktualisieren Sie die OAuth-Anmeldedaten.

Benutzerdefinierte Domain einrichten

Nachdem Ihre Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie eine benutzerdefinierte Domain einrichten.

Hinweis

Bevor Sie die Domain Ihrer Looker (Google Cloud Core)-Instanz anpassen können, müssen Sie ermitteln, wo die DNS-Einträge Ihrer Domain gespeichert sind, damit Sie sie aktualisieren können.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker Admin (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer benutzerdefinierten Domain für eine Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Benutzerdefinierte Domain erstellen

Führen Sie in der Google Cloud Console die folgenden Schritte aus, um die Domain Ihrer Looker (Google Cloud Core)-Instanz anzupassen:

1. Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie eine benutzerdefinierte Domain einrichten möchten.
2. Klicken Sie auf den Tab BENUTZERDEFINIERTE DOMAIN.

3. Klicken Sie auf BENUTZERDEFINIERTE DOMAIN HINZUFÜGEN.

   

   Daraufhin wird der Bereich Neue benutzerdefinierte Domain hinzufügen geöffnet.

4. Geben Sie den Hostnamen mit bis zu 64 Zeichen für die gewünschte Webdomain ein, z. B. looker.examplepetstore.com. Verwenden Sie ausschließlich Buchstaben, Ziffern und Bindestriche.

   

5. Klicken Sie im Bereich Neue benutzerdefinierte Domain hinzufügen auf FERTIG, um zum Tab BENUTZERDEFINIERTE DOMAIN zurückzukehren.

Nach der Einrichtung wird Ihre benutzerdefinierte Domain in der Spalte Domain auf dem Tab Benutzerdefinierte Domain der Detailseite der Instanz in der Google Cloud Console angezeigt.

Nachdem Ihre benutzerdefinierte Domain erstellt wurde, können Sie Informationen dazu aufrufen oder sie löschen.

Zugriff auf die benutzerdefinierte Domain aktivieren

Wenn der Traffic zu einer Looker-Instanz (Google Cloud Core) mit nur privaten IP-Adressen aus derselben Region stammt, in der sich die Instanz befindet, können Sie durch eine ordnungsgemäße DNS- und Anmeldedateneinrichtung für sicheren Zugriff auf die Instanz sorgen.

Hinweis

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Einrichten des Zugriffs auf eine benutzerdefinierte Domain mit privater IP-Adresse benötigen:

• Looker-Administrator (roles/looker.admin)
• DNS-Administrator (roles/dns.admin)
• Google OAuth verwenden: OAuth-Konfigurationsbearbeiter (roles/oauthconfig.editor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Netzwerkübersicht

Looker (Google Cloud Core) mit einer privaten IP-Netzwerkkonfiguration ist ein regionales Bereitstellungsmodell, mit dem Sie sich aus verschiedenen Umgebungen wie lokalen, Multi-Cloud- und Compute-Instanzen nahtlos mit der Benutzeroberfläche von Looker (Google Cloud Core) verbinden können.

Wenn Sie eine Verbindung von lokalen oder Multi-Cloud-Umgebungen zu Looker (Google Cloud Core) herstellen möchten, ändern Sie die VPC-Peering-Verbindung des Dienstnetzwerks in Ihrer VPC, um benutzerdefinierte Routen in die von Google verwaltete VPC zu exportieren, in der Looker (Google Cloud Core) gehostet wird. Bei dieser Aktion werden alle zulässigen statischen und dynamischen Routen aus Ihrem VPC an Looker (Google Cloud Core) gesendet. Das Netzwerk des Diensterstellers importiert diese Routen automatisch, sodass der Traffic über das VPC-Netzwerk an Ihr lokales Netzwerk zurückgesendet werden kann.

Standardmäßig wird die Verbindung von Hostgeräten in derselben Region wie Looker (Google Cloud Core) hergestellt, wie das folgende Diagramm zeigt:

Private Cloud DNS-Zone erstellen

Erstellen Sie eine private Cloud DNS-Zone, die für die VPC sichtbar ist, um Ihre Cloud DNS-Einträge zu verwalten. Der Name der Zone muss mit der benutzerdefinierten Domain übereinstimmen.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Ersetzen Sie Folgendes:

• NAME: Ein Name für Ihre Zone.
• DESCRIPTION: Eine Beschreibung Ihrer Zone.
• DNS_SUFFIX: Das DNS-Suffix für Ihre Zone, z. B. examplepetstore.com.
• VPC_NETWORK_LIST: eine durch Kommas getrennte Liste von VPC-Netzwerken, die zum Abfragen der Zone autorisiert sind. Achten Sie darauf, das VPC anzugeben, das Ihre Looker (Google Cloud Core)-Instanz enthält.
• LABELS: Eine optionale, durch Kommas getrennte Liste von Schlüssel/Wert-Paaren wie dept=marketing oder project=project1. Weitere Informationen finden Sie in der SDK-Dokumentation.

Wenn die Zone eingerichtet ist, sehen Sie in der Google Cloud Console auf der Seite Cloud DNS-Zonen, dass sie privat ist, nach der benutzerdefinierten Domain benannt ist und Datensätze für die benutzerdefinierte Domain enthält.

Cloud DNS-A-Eintrag hinzufügen

Führen Sie die folgenden Schritte aus, um den Cloud DNS-A-Eintrag hinzuzufügen:

1. Suchen Sie die private IP-Adresse für eingehenden Traffic der Looker (Google Cloud Core)-Instanz. Diese Adresse wird auf der Seite Instanzen auf dem Tab Details angezeigt. Sie wird auch im Feld Daten im Bereich DNS-Einträge aktualisieren des Bereichs Neue benutzerdefinierte Domain hinzufügen angezeigt.

   

2. Fügen Sie einen DNS-A-Eintrag für die benutzerdefinierte Domain in der privaten Zone hinzu, die aus der eingehenden IP-Adresse der Looker (Google Cloud Core)-Instanz besteht. Der A-Eintrag verwendet den Fully Qualified Domain Name (FQDN), den Sie als benutzerdefinierte Domain von Looker (Google Cloud Core) konfiguriert haben.

   

   Nach der vollständigen Einrichtung sollte der A-Eintrag für die benutzerdefinierte Domain angezeigt werden, wenn Sie sich in der Google Cloud Console auf der Seite Cloud DNS-Zonen die Details der privaten Zone ansehen.

   Um die Namensauflösungsdienste eines VPC-Netzwerks lokalen Netzwerken zur Verfügung zu stellen, die über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliances mit dem VPC-Netzwerk verbunden sind, können Sie eine Serverrichtlinie für eingehenden Traffic verwenden.

   Sobald die DNS-Einträge Ihrer Domain aktualisiert und die Domain in der Google Cloud Console bestätigt wurde, wird der Status der benutzerdefinierten Domain, die der Instanz zugeordnet ist, auf dem Tab Benutzerdefinierte Domain auf der Seite Instanzen von Nicht überprüft auf Verfügbar aktualisiert.

   

OAuth-Anmeldedaten aktualisieren

1. Greifen Sie auf Ihren OAuth-Client zu, indem Sie in der Google Cloud Console zu APIs und Dienste > Anmeldedaten und wählen Sie die OAuth-Client-ID für den OAuth-Client aus, der von Ihrer Looker (Google Cloud Core)-Instanz verwendet wird.

2. Klicken Sie auf die Schaltfläche URI hinzufügen, um das Feld Autorisierte JavaScript-Quellen in Ihrem OAuth-Client zu aktualisieren. Verwenden Sie denselben DNS-Namen, den Ihre Organisation für den Zugriff auf Looker (Google Cloud Core) verwendet. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com als URI ein.

   

3. Aktualisieren oder fügen Sie die benutzerdefinierte Domain der Liste der autorisierten Weiterleitungs-URIs für die OAuth-Anmeldedaten hinzu, die beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet wurden. Fügen Sie am Ende des URIs /oauth2callback hinzu. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com/oauth2callback ein.

   

Nutzer hinzufügen

Sobald die vorherigen Schritte ausgeführt wurden, können Nutzer auf die URL der benutzerdefinierten Domain zugreifen.

Die Nutzerauthentifizierungsmethode muss für die Looker (Google Cloud Core)-Instanz vollständig eingerichtet sein, bevor Sie Nutzer zur Instanz hinzufügen.

Nächste Schritte

• Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
• Looker-Instanz (Google Cloud Core) für Nutzer vorbereiten
• Nutzer in Looker (Google Cloud Core) verwalten