本文档页面介绍了如何设置自定义网域,以及如何为符合以下条件的 Looker (Google Cloud Core) 实例设置访问权限:
- 实例仅使用专用 IP。
- 该实例在创建时设置为使用专用服务访问通道。
- 传输到实例的流量来自实例所在的区域,或者通过混合网络传输。
如需访问此类实例,请执行以下步骤:
设置自定义域名
创建 Looker (Google Cloud Core) 实例后,您可以设置自定义网域。
准备工作
在自定义 Looker (Google Cloud Core) 实例的网域之前,请先确定您网域的 DNS 记录的存储位置,以便更新这些记录。
所需的角色
如需获取为 Looker (Google Cloud Core) 实例创建自定义网域所需的权限,
请让管理员授予您
Looker Admin (roles/looker.admin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建自定义域
在 Google Cloud 控制台中,请按照以下步骤自定义 Looker (Google Cloud Core) 实例的网域:
- 在实例页面上,点击要为其设置自定义网域的实例的名称。
- 点击自定义网域标签页。
点击添加自定义网域。
此时系统会打开添加新的自定义网域面板。
为您要使用的网站域名输入主机名(最多 64 个字符),请仅使用字母、数字和短划线。例如:
looker.examplepetstore.com。
点击添加新的自定义网域面板上的完成,返回到自定义网域标签页。
设置完成后,您的自定义网域会显示在 Google Cloud 控制台实例详情页面的自定义网域标签页的网域列中。
启用对自定义网域的访问权限
如果流向仅专用 IP 的 Looker (Google Cloud Core) 实例的流量来自该实例所在的同一区域,您可以通过正确的 DNS 和凭据设置来确保安全地访问该实例。
准备工作
如需获取设置专用 IP 自定义网域的访问权限所需的权限, 请让管理员授予您 针对实例所在项目的以下 IAM 角色:
-
Looker Admin (
roles/looker.admin) -
DNS Admin (
roles/dns.admin) -
使用 Google OAuth:
OAuth Config Editor (
roles/oauthconfig.editor)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
网络概览
采用专用 IP 网络配置的 Looker (Google Cloud Core) 是一种区域级部署模型,可让您从各种环境(例如本地、多云和计算实例)无缝连接到 Looker (Google Cloud Core) 界面。
如需建立从本地或多云环境到 Looker (Google Cloud Core) 的连接,请修改 VPC 中的服务网络 VPC 对等互连连接,以导出自定义路由到托管 Looker (Google Cloud Core) 的 Google 管理的 VPC。此操作会将 VPC 中的所有符合条件的静态和动态路由发送到 Looker(Google Cloud 核心)。服务提供方的网络会自动导入这些路由,以便通过 VPC 网络将流量发回至您的本地网络。
默认情况下,与主机设备的连接是在 Looker (Google Cloud Core) 所在的区域内建立,如下图所示:
创建 Cloud DNS 专用区域
创建对 VPC 可见的 Cloud DNS 专用区域,以管理您的 Cloud DNS 记录。区域名称应与自定义网域一致。
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --labels=LABELS \ --visibility=private
替换以下内容:
NAME:您的区域的名称。DESCRIPTION:您的区域的说明。DNS_SUFFIX:地区的 DNS 后缀,例如examplepetstore.com。VPC_NETWORK_LIST:有权查询区域的 VPC 网络列表(以英文逗号分隔)。请务必添加包含您的 Looker (Google Cloud Core) 实例的 VPC。LABELS:可选的键值对列表(以英文逗号分隔),例如dept=marketing或project=project1;如需了解详情,请参阅 SDK 文档。
设置好区域后,如果您在 Google Cloud 控制台的 Cloud DNS 区域页面上导航到该区域,您会看到该区域为专用区域,其名称以自定义网域命名,并且包含自定义网域的记录集。
添加 Cloud DNS A 记录
如需添加 Cloud DNS A 记录,请完成以下步骤:
找到 Looker (Google Cloud Core) 实例的入站流量专用 IP 地址。此地址会显示在实例页面的详细信息标签页中。(此值也会显示在添加新的自定义网域面板的更新您的 DNS 记录部分中的数据字段中。)
在专用地区中为自定义网域添加 DNS A 记录,该记录包含 Looker (Google Cloud Core) 实例的入站 IP 地址。A 记录使用完全限定域名 (FQDN),与您配置为 Looker (Google Cloud Core) 自定义网域的配置相同。
当您在 Google Cloud 控制台的 Cloud DNS 可用区页面上查看专用可用区详细信息时,完成的设置应显示自定义网域的 A 记录。
要使用 Cloud VPN 隧道、Cloud Interconnect VLAN 连接或路由器设备将 VPC 网络的名称解析服务提供给连接到 VPC 网络的本地网络,您可以使用入站服务器政策。
在 Google Cloud 控制台中更新网域的 DNS 记录并验证网域后,实例页面上的自定义网域标签页中映射到实例的自定义网域的状态将从未验证更新为可用。
更新 OAuth 凭据
- 如需访问您的 OAuth 客户端,请在 Google Cloud 控制台中依次前往 API 和服务 > 凭据,然后选择 Looker(Google Cloud 核心)实例使用的 OAuth 客户端的 OAuth 客户端 ID。
点击添加 URI 按钮,更新 OAuth 客户端中的已获授权的 JavaScript 来源字段。使用贵组织将用于访问 Looker (Google Cloud Core) 的 DNS 名称。例如,如果您的自定义网域是
looker.examplepetstore.com,则应输入looker.examplepetstore.com作为 URI。
针对创建 Looker (Google Cloud Core) 实例时使用的 OAuth 凭据,将自定义网域更新或添加到已获授权的重定向 URI 列表中。将
/oauth2callback添加到 URI 的末尾。例如,如果您的自定义网域是looker.examplepetstore.com,请输入looker.examplepetstore.com/oauth2callback。
添加用户
完成上述步骤后,用户便可访问自定义网域网址。
请先为 Looker (Google Cloud Core) 实例完整设置用户身份验证方法,然后再向该实例添加用户。
后续步骤
- 将 Looker (Google Cloud Core) 连接到您的数据库
- 为用户准备 Looker (Google Cloud Core) 实例
- 在 Looker (Google Cloud Core) 中管理用户