Accede a una instancia de Looker (Google Cloud Core) con acceso privado a servicios: tráfico que se origina en la misma región

En esta página de documentación, se describe cómo configurar un dominio personalizado y el acceso a una instancia de Looker (Google Cloud Core) que cumpla con los siguientes criterios:

• La instancia solo tiene IP privada.
• La instancia se configuró para usar el acceso a servicios privados en el momento de su creación.
• El tráfico a la instancia se origina en la misma región que la instancia o a través de redes híbridas.

Para acceder a este tipo de instancia, sigue estos pasos:

1. Configura un dominio personalizado.
2. Crea una zona privada de Cloud DNS.
3. Agrega el registro A de DNS.
4. Actualiza las credenciales de OAuth.

Configurar un dominio personalizado

Después de crear tu instancia de Looker (Google Cloud Core), puedes configurar un dominio personalizado.

Antes de comenzar

Antes de personalizar el dominio de tu instancia de Looker (núcleo de Google Cloud), identifica dónde se almacenan los registros DNS de tu dominio para que puedas actualizarlos.

Roles obligatorios

Para obtener los permisos que necesitas a fin de crear un dominio personalizado para una instancia de Looker (Google Cloud Core), solicita a tu administrador que te otorgue el Rol de IAM Administrador de Looker (roles/looker.admin) en el proyecto en el que reside la instancia. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea un dominio personalizado

En la consola de Google Cloud, sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud Core):

1. En la página Instancias, haz clic en el nombre de la instancia para la que deseas configurar un dominio personalizado.
2. Haz clic en la pestaña DOMINIO PERSONALIZADO.

3. Haz clic en AGREGAR UN DOMINIO PERSONALIZADO.

   

   Se abrirá el panel Agregar un nuevo dominio personalizado.

4. Usa solo letras, números y guiones para ingresar el nombre de host de hasta 64 caracteres del dominio web que deseas usar, por ejemplo: looker.examplepetstore.com.

   

5. Haz clic en LISTO en el panel Agregar un nuevo dominio personalizado para volver a la pestaña DOMINIO PERSONALIZADO.

Una vez configurado, tu dominio personalizado se mostrará en la columna Dominio de la pestaña Dominio personalizado de la página de detalles de la instancia de la consola de Google Cloud.

Una vez que se haya creado tu dominio personalizado, podrás ver información sobre él o borrarlo.

Habilita el acceso al dominio personalizado

Cuando el tráfico a una instancia de Looker (Google Cloud Core) con IP privada proviene de la misma región en la que se encuentra la instancia, puedes garantizar un acceso seguro a la instancia mediante la configuración adecuada de DNS y credenciales.

Antes de comenzar

Para obtener los permisos que necesitas para configurar el acceso a un dominio personalizado de IP privada, sigue estos pasos: solicita a tu administrador que te otorgue el siguientes roles de IAM en el proyecto en el que reside la instancia:

• Administrador de Looker (roles/looker.admin)
• Administrador de DNS (roles/dns.admin)
• Usa OAuth de Google: Editor de configuración de OAuth (roles/oauthconfig.editor)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Descripción general de las Herramientas de redes

Looker (Google Cloud Core) con una configuración de red de IP privada es un modelo de implementación regional que te permite conectarte sin problemas a la IU de Looker (Google Cloud Core) desde varios entornos, como instancias de procesamiento, multinube y locales.

Para establecer la conectividad de entornos locales o de múltiples nubes a Looker (Google Cloud Core), modifica la conexión de intercambio de tráfico de VPC de las redes de servicio en tu VPC para exportar rutas personalizadas a la VPC administrada por Google que aloja Looker (Google Cloud Core). Esta acción envía todas las rutas estáticas y dinámicas aptas de tu VPC a Looker (núcleo de Google Cloud). La red del productor de servicios importa automáticamente estas rutas, lo que permite que el tráfico se envíe a tu red local a través de la red de VPC.

De forma predeterminada, la conexión de los dispositivos host se establece dentro de la misma región que Looker (Google Cloud Core), como se ilustra en el siguiente diagrama:

Crea la zona privada de Cloud DNS

Crea una zona privada de Cloud DNS que sea visible para la VPC para administrar tus registros de Cloud DNS. El nombre de la zona debe coincidir con el dominio personalizado.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Reemplaza lo siguiente:

• NAME: Es el nombre de tu zona.
• DESCRIPTION: Es una descripción para tu zona.
• DNS_SUFFIX: El sufijo de DNS de tu zona, como examplepetstore.com.
• VPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC que están autorizadas para consultar la zona. Asegúrate de incluir la VPC que contiene tu instancia de Looker (Google Cloud Core).
• LABELS: Es una lista opcional de pares clave-valor delimitada por comas, como dept=marketing o project=project1. Para obtener más información, consulta la documentación del SDK.

Una vez configurada la zona, si navegas a ella en la página Zonas de Cloud DNS de la consola de Google Cloud, verás que es privada, que lleva el nombre del dominio personalizado y que tiene conjuntos de registros para el dominio personalizado.

Agrega el registro A de Cloud DNS

Completa los siguientes pasos para agregar el registro A de DNS de Cloud:

1. Busca la dirección IP privada de entrada de la instancia de Looker (Google Cloud Core). Esta dirección aparece en la pestaña Detalles de la página Instancias. (También se muestra en el campo Datos de la sección Actualiza tus registros DNS del panel Agregar un dominio personalizado nuevo).

   

2. Agrega un registro A de DNS para el dominio personalizado en la zona privada, que consiste en la dirección IP de entrada de la instancia de Looker (Google Cloud Core). El registro A usa el nombre de dominio completamente calificado (FQDN), el mismo que configuraste como el dominio personalizado de Looker (núcleo de Google Cloud).

   

   La configuración completa debería mostrar el registro A del dominio personalizado cuando veas los detalles de la zona privada en la página Zonas de Cloud DNS de la consola de Google Cloud.

   Si quieres que los servicios de resolución de nombres de una red de VPC estén disponibles para las redes locales conectadas a la red de VPC con túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o dispositivos de router, puedes usar una política del servidor entrante.

   Cuando se actualicen los registros DNS de tu dominio y se verifique tu dominio en la consola de Google Cloud, el estado del dominio personalizado asignado a la instancia se actualizará de Sin verificar a Disponible en la pestaña Dominio personalizado de la página Instancias.

   

Actualiza las credenciales de OAuth

1. Para acceder a tu cliente de OAuth, navega en la consola de Google Cloud a APIs y servicios > Credenciales y selecciona el ID de cliente de OAuth que usa tu instancia de Looker (núcleo de Google Cloud).

2. Haz clic en el botón Agregar URI para actualizar el campo Orígenes autorizados de JavaScript en tu cliente de OAuth. Usa el mismo nombre de DNS que usará tu organización para acceder a Looker (Google Cloud Core). Por ejemplo, si tu dominio personalizado es looker.examplepetstore.com, debes ingresar looker.examplepetstore.com como el URI.

   

3. Actualiza o agrega el dominio personalizado a la lista de URIs de redireccionamiento autorizados para las credenciales de OAuth que se usaron cuando se creó la instancia de Looker (Google Cloud Core). Agrega /oauth2callback al final del URI. Por ejemplo, si tu dominio personalizado es looker.examplepetstore.com, debes ingresar looker.examplepetstore.com/oauth2callback.

   

Agregar usuarios

Una vez que se completen los pasos anteriores, los usuarios podrán acceder a la URL del dominio personalizado.

Asegúrate de que el método de autenticación de usuarios esté completamente configurado para la instancia de Looker (Google Cloud Core) antes de agregar usuarios a la instancia.

¿Qué sigue?

• Cómo conectar Looker (Google Cloud Core) a tu base de datos
• Prepara tu instancia de Looker (Google Cloud Core) para los usuarios
• Administra usuarios en Looker (Google Cloud Core)