Auf eine Looker (Google Cloud Core)-Instanz mit Zugriff auf private Dienste zugreifen: Traffic aus derselben Region

Auf dieser Dokumentationsseite wird beschrieben, wie Sie eine benutzerdefinierte Domain und den Zugriff auf eine Looker-Instanz (Google Cloud Core) einrichten, die die folgenden Kriterien erfüllt:

• Die Instanz hat nur eine private IP-Adresse.
• Die Instanz wurde bei der Erstellung so eingerichtet, dass sie den Zugriff auf private Dienste verwendet.
• Der Traffic zur Instanz stammt entweder aus derselben Region wie die Instanz oder über ein hybrides Netzwerk.

So greifen Sie auf diese Art von Instanz zu:

1. Benutzerdefinierte Domain einrichten
2. Erstellen Sie eine private Cloud DNS-Zone.
3. Fügen Sie den DNS-A-Eintrag hinzu.
4. Aktualisieren Sie die OAuth-Anmeldedaten.

Benutzerdefinierte Domain einrichten

Nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie eine benutzerdefinierte Domain einrichten.

Hinweis

Bevor Sie die Domain Ihrer Looker (Google Cloud Core)-Instanz anpassen können, müssen Sie herausfinden, wo die DNS-Einträge Ihrer Domain gespeichert sind, damit Sie sie aktualisieren können.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker Admin (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer benutzerdefinierten Domain für eine Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Benutzerdefinierte Domain erstellen

So passen Sie in der Google Cloud Console die Domain Ihrer Looker (Google Cloud Core)-Instanz an:

1. Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie eine benutzerdefinierte Domain einrichten möchten.
2. Klicken Sie auf den Tab BENUTZERDEFINIERTE DOMAIN.

3. Klicken Sie auf BENUTZERDEFINIERTE DOMAIN HINZUFÜGEN.

   

   Daraufhin wird der Bereich Neue benutzerdefinierte Domain hinzufügen geöffnet.

4. Geben Sie den Hostnamen mit bis zu 64 Zeichen für die gewünschte Webdomain ein. Verwenden Sie dabei nur Buchstaben, Ziffern und Bindestriche, z. B. looker.examplepetstore.com.

   

5. Klicken Sie im Bereich Neue benutzerdefinierte Domain hinzufügen auf FERTIG, um zum Tab BENUTZERDEFINIERTE DOMAIN zurückzukehren.

Nachdem Sie die benutzerdefinierte Domain eingerichtet haben, wird sie in der Spalte Domain auf dem Tab BENUTZERDEFINIERTE DOMAIN der Seite mit den Instanzdetails von Looker (Google Cloud Core) in der Google Cloud Console angezeigt.

Nachdem Ihre benutzerdefinierte Domain erstellt wurde, können Sie Informationen dazu aufrufen oder sie löschen.

Zugriff auf die benutzerdefinierte Domain aktivieren

Wenn der Traffic zu einer Looker (Google Cloud Core)-Instanz mit privater IP-Adresse aus derselben Region stammt, in der sich die Instanz befindet, können Sie durch eine ordnungsgemäße DNS- und Anmeldedatenkonfiguration einen sicheren Zugriff auf die Instanz gewährleisten.

Hinweis

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Einrichten des Zugriffs auf eine benutzerdefinierte Domain mit privater IP-Adresse benötigen:

• Looker Admin (roles/looker.admin)
• DNS-Administrator (roles/dns.admin)
• Google OAuth verwenden: OAuth-Konfigurationsbearbeiter (roles/oauthconfig.editor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Netzwerkübersicht

Looker (Google Cloud Core) mit einer privaten IP-Netzwerkkonfiguration ist ein regionales Bereitstellungsmodell, mit dem Sie von verschiedenen Umgebungen aus, z. B. On-Premises-, Multi-Cloud- und Compute-Instanzen, nahtlos eine Verbindung zur Looker (Google Cloud Core)-Benutzeroberfläche herstellen können.

Wenn Sie eine Verbindung von lokalen oder Multi-Cloud-Umgebungen zu Looker (Google Cloud Core) herstellen möchten, ändern Sie die VPC-Peering-Verbindung des Dienstnetzwerks in Ihrem VPC, um benutzerdefinierte Routen in das von Google verwaltete VPC zu exportieren, in dem Looker (Google Cloud Core) gehostet wird. Bei dieser Aktion werden alle zulässigen statischen und dynamischen Routen aus Ihrem VPC an Looker (Google Cloud Core) gesendet. Das Netzwerk des Diensterstellers importiert diese Routen automatisch, sodass Traffic über das VPC-Netzwerk an Ihr lokales Netzwerk zurückgesendet werden kann.

Standardmäßig wird die Verbindung von Hostgeräten in derselben Region wie Looker (Google Cloud Core) hergestellt, wie im folgenden Diagramm dargestellt:

Private Cloud DNS-Zone erstellen

Erstellen Sie eine private Cloud DNS-Zone, die für die VPC sichtbar ist, in der sich die Looker (Google Cloud Core)-Instanz befindet. Die private Cloud DNS-Zone wird vom VPC und den lokalen Hosts für die DNS-Auflösung verwendet, um die Looker-Benutzeroberfläche (Google Cloud Core) aufzurufen. Der Name der Zone muss mit der benutzerdefinierten Domain übereinstimmen.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Ersetzen Sie Folgendes:

• NAME: Ein Name für Ihre Zone.
• DESCRIPTION: Eine Beschreibung für Ihre Zone.

• DNS_SUFFIX: das DNS-Suffix für Ihre Zone, z. B. examplepetstore.com.

• VPC_NETWORK_LIST: eine durch Kommas getrennte Liste von VPC-Netzwerken, die zum Abfragen der Zone autorisiert sind. Achten Sie darauf, das VPC anzugeben, das Ihre Looker (Google Cloud Core)-Instanz enthält.

• LABELS: Eine optionale durch Kommas getrennte Liste von Schlüssel/Wert-Paaren wie dept=marketing oder project=project1. Weitere Informationen finden Sie in der SDK-Dokumentation.

Wenn Sie die Zone in der Google Cloud Console auf der Seite Cloud DNS-Zonen aufrufen, sehen Sie, dass sie privat ist, nach der benutzerdefinierten Domain benannt ist und Datensätze für die benutzerdefinierte Domain enthält.

Cloud DNS-A-Eintrag hinzufügen

Führen Sie die folgenden Schritte aus, um den Cloud DNS-A-Eintrag hinzuzufügen:

1. Da Sie einen Load Balancer verwenden, wird der A-Eintrag in der privaten Cloud DNS-Zone der IP-Adresse des Load Balancers zugeordnet.

   

2. Fügen Sie der privaten Zone einen DNS-A-Eintrag für die benutzerdefinierte Domain hinzu, der aus der Ingress-IP-Adresse der Looker (Google Cloud Core)-Instanz besteht. Der A-Eintrag verwendet den voll qualifizierten Domainnamen (Fully Qualified Domain Name, FQDN), den Sie als benutzerdefinierte Domain für Looker (Google Cloud Core) konfiguriert haben.

   

   Nach Abschluss der Einrichtung sollte der A-Eintrag für die benutzerdefinierte Domain angezeigt werden, wenn Sie sich die Details der privaten Zone auf der Seite Cloud DNS-Zonen in der Google Cloud Console ansehen.

   Wenn Sie die Namensauflösungsdienste eines VPC-Netzwerks für lokale Netzwerke verfügbar machen möchten, die über Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge oder Router-Appliance mit dem VPC-Netzwerk verbunden sind, können Sie eine Serverrichtlinie für eingehenden Traffic verwenden.

   Sobald die DNS-Einträge Ihrer Domain aktualisiert und Ihre Domain in der Google Cloud Console bestätigt wurde, ändert sich der Status der benutzerdefinierten Domain, die der Instanz zugeordnet ist, auf der Seite Instanzen auf dem Tab Benutzerdefinierte Domain von Nicht bestätigt zu Verfügbar.

   

OAuth-Anmeldedaten aktualisieren

1. Rufen Sie in der Google Cloud Console APIs und Dienste > Anmeldedaten auf und wählen Sie die OAuth-Client-ID für den OAuth-Client aus, der von Ihrer Looker-Instanz (Google Cloud Core) verwendet wird.

2. Klicken Sie auf die Schaltfläche URI hinzufügen, um das Feld Autorisierte JavaScript-Quellen in Ihrem OAuth-Client zu aktualisieren. Verwenden Sie denselben DNS-Namen, den Ihre Organisation für den Zugriff auf Looker (Google Cloud Core) verwendet. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com als URI ein.

   

3. Aktualisieren oder fügen Sie die benutzerdefinierte Domain der Liste der autorisierten Weiterleitungs-URIs für die OAuth-Anmeldedaten hinzu, die beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet wurden. Fügen Sie am Ende des URIs /oauth2callback hinzu. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com/oauth2callback ein.

   

Nutzer hinzufügen

Sobald die vorherigen Schritte ausgeführt wurden, können Nutzer auf die URL der benutzerdefinierten Domain zugreifen.

Achten Sie darauf, dass die Nutzerauthentifizierungsmethode für die Looker (Google Cloud Core)-Instanz vollständig eingerichtet ist, bevor Sie der Instanz Nutzer hinzufügen.

Nächste Schritte

• Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
• Looker (Google Cloud Core)-Instanz für Nutzer vorbereiten
• Nutzer in Looker (Google Cloud Core) verwalten