Accéder à une instance Looker (Google Cloud Core) avec un accès aux services privés : trafic provenant de la même région

Cette page de documentation explique comment configurer un domaine personnalisé et l'accès à une instance Looker (Google Cloud Core) répondant aux critères suivants:

• L'instance utilise une adresse IP privée uniquement.
• L'instance a été configurée pour utiliser l'accès aux services privés au moment de la création.
• Le trafic vers l'instance provient de la même région que l'instance ou via un réseau hybride.

Pour accéder à ce type d'instance, procédez comme suit :

1. Configurez un domaine personnalisé.
2. Créez une zone privée Cloud DNS.
3. Ajoutez l'enregistrement DNS A.
4. Mettez à jour les identifiants OAuth.

Définir un domaine personnalisé

Une fois votre instance Looker (Google Cloud Core) créée, vous pouvez configurer un domaine personnalisé.

Avant de commencer

Pour pouvoir personnaliser le domaine de votre instance Looker (Google Cloud Core), vous devez identifier l'emplacement de stockage des enregistrements DNS de votre domaine afin de pouvoir les mettre à jour.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer un domaine personnalisé pour une instance Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle IAM Administrateur Looker (roles/looker.admin) sur le projet dans lequel se trouve l'instance. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un domaine personnalisé

Dans la console Google Cloud, procédez comme suit pour personnaliser le domaine de votre instance Looker (Google Cloud Core) :

1. Sur la page Instances, cliquez sur le nom de l'instance pour laquelle vous souhaitez configurer un domaine personnalisé.
2. Cliquez sur l'onglet DOMAINE PERSONNALISÉ.

3. Cliquez sur AJOUTER UN DOMAINE PERSONNALISÉ.

   

   Le panneau Ajouter un domaine personnalisé s'ouvre.

4. N'utilisez que des lettres, des chiffres et des tirets. Saisissez un nom d'hôte comportant jusqu'à 64 caractères pour le domaine Web que vous voulez utiliser (par exemple, looker.examplepetstore.com).

   

5. Cliquez sur OK dans le panneau Ajouter un domaine personnalisé pour revenir à l'onglet DOMAINE PERSONNALISÉ.

Une fois configuré, votre domaine personnalisé s'affiche dans la colonne Domaine de l'onglet Domaine personnalisé de la page Informations sur l'instance de la console Google Cloud.

Une fois votre domaine personnalisé créé, vous pouvez afficher des informations le concernant ou le supprimer.

Activer l'accès au domaine personnalisé

Lorsque le trafic vers une instance Looker (Google Cloud Core) à adresse IP privée provient de la même région que l'instance, vous pouvez sécuriser l'accès à l'instance grâce à une configuration appropriée des identifiants et du DNS.

Avant de commencer

Pour obtenir les autorisations nécessaires pour configurer l'accès à un domaine personnalisé d'adresse IP privée, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel se trouve l'instance :

• Administrateur Looker (roles/looker.admin)
• DNS Admin (Administrateur DNS) (roles/dns.admin)
• Utiliser Google OAuth: OAuth Config Editor (roles/oauthconfig.editor)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Présentation de la mise en réseau

Looker (Google Cloud Core) avec une configuration de réseau IP privée est un modèle de déploiement régional qui vous permet de vous connecter facilement à l'interface utilisateur de Looker (Google Cloud Core) à partir de divers environnements, tels que des instances sur site, multicloud et d'infrastructure de calcul.

Pour établir la connectivité à Looker (Google Cloud Core) à partir d'environnements sur site ou multicloud, modifiez la connexion d'appairage VPC de mise en réseau de services dans votre VPC afin d'exporter des routes personnalisées vers le VPC géré par Google qui héberge Looker (Google Cloud Core). Cette action envoie toutes les routes statiques et dynamiques éligibles de votre VPC à Looker (Google Cloud Core). Le réseau du producteur de services importe automatiquement ces routes, ce qui permet de renvoyer le trafic vers votre réseau sur site via le réseau VPC.

Par défaut, la connexion depuis les appareils hôtes est établie dans la même région que Looker (Google Cloud Core), comme illustré dans le schéma suivant:

Créer une zone privée Cloud DNS

Créez une zone privée Cloud DNS visible par le VPC pour gérer vos enregistrements Cloud DNS. Le nom de la zone doit correspondre au domaine personnalisé.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Remplacez les éléments suivants :

• NAME : nom de votre zone.
• DESCRIPTION: description de votre zone.
• DNS_SUFFIX: suffixe DNS de votre zone, par exemple examplepetstore.com.
• VPC_NETWORK_LIST: liste des réseaux VPC autorisés à interroger la zone, séparés par une virgule. Veillez à inclure le VPC qui contient votre instance Looker (Google Cloud Core).
• LABELS: liste facultative de paires clé-valeur séparées par une virgule, telle que dept=marketing ou project=project1. Pour en savoir plus, consultez la documentation du SDK.

Une fois la zone configurée, accédez-y sur la page Zones Cloud DNS de la console Google Cloud. Vous verrez qu'elle est privée, qu'elle porte le nom du domaine personnalisé et qu'elle contient des ensembles d'enregistrements pour le domaine personnalisé.

Ajouter l'enregistrement A de Cloud DNS

Pour ajouter l'enregistrement A Cloud DNS, procédez comme suit :

1. Recherchez l'adresse IP privée d'entrée de l'instance Looker (Google Cloud Core). Cette adresse apparaît dans l'onglet Détails de la page Instances. (Il s'affiche également dans le champ Données de la section Mettre à jour vos enregistrements DNS du panneau Ajouter un domaine personnalisé.)

   

2. Ajoutez un enregistrement A DNS pour le domaine personnalisé dans la zone privée, composé de l'adresse IP d'entrée de l'instance Looker (Google Cloud Core). L'enregistrement A utilise le nom de domaine complet (FQDN), qui est le même que celui que vous avez configuré comme domaine personnalisé Looker (Google Cloud Core).

   

   Une fois la configuration terminée, l'enregistrement A du domaine personnalisé devrait apparaître lorsque vous affichez les détails de la zone privée sur la page Zones Cloud DNS de la console Google Cloud.

   Pour rendre les services de résolution de noms d'un réseau VPC disponibles pour les réseaux sur site qui sont connectés au réseau VPC à l'aide de tunnels Cloud VPN, de rattachements de VLAN Cloud Interconnect ou de dispositifs de routeur, vous pouvez utiliser une règle de serveur entrant.

   Une fois que les enregistrements DNS de votre domaine ont été mis à jour et que votre domaine a été validé dans la console Google Cloud, l'état du domaine personnalisé mappé à l'instance passe de Non validé à Disponible dans l'onglet Domaine personnalisé de la page Instances.

   

Mettre à jour les identifiants OAuth

1. Accédez à votre client OAuth en accédant à API et Services > Identifiants et en sélectionnant l'ID client OAuth du client OAuth utilisé par votre instance Looker (Google Cloud Core).

2. Cliquez sur le bouton Ajouter un URI pour mettre à jour le champ Origines JavaScript autorisées dans votre client OAuth. Utilisez le même nom DNS que celui que votre organisation utilisera pour accéder à Looker (Google Cloud Core). Par exemple, si votre domaine personnalisé est looker.examplepetstore.com, vous devez saisir looker.examplepetstore.com comme URI.

   

3. Mettez à jour ou ajoutez le domaine personnalisé à la liste des URI de redirection autorisés pour les identifiants OAuth utilisés lors de la création de l'instance Looker (Google Cloud Core). Ajoutez /oauth2callback à la fin de l'URI. Par exemple, si votre domaine personnalisé est looker.examplepetstore.com, vous devez saisir looker.examplepetstore.com/oauth2callback.

   

Ajouter des utilisateurs

Une fois les étapes précédentes terminées, les utilisateurs peuvent accéder à l'URL du domaine personnalisé.

Assurez-vous que la méthode d'authentification des utilisateurs est entièrement configurée pour l'instance Looker (Google Cloud Core) avant d'ajouter des utilisateurs à l'instance.

Étape suivante

• Connecter Looker (Google Cloud Core) à votre base de données
• Préparer votre instance Looker (Google Cloud Core) pour les utilisateurs
• Gérer les utilisateurs dans Looker (Google Cloud Core)