Accéder à une instance Looker (Google Cloud Core) avec accès aux services privés: trafic provenant de la même région

Cette page de documentation explique comment configurer un domaine personnalisé et un accès à une instance Looker (Google Cloud Core) qui répond aux critères suivants:

Pour accéder à ce type d'instance, procédez comme suit:

  1. Configurez un domaine personnalisé.
  2. Créez une zone privée Cloud DNS.
  3. Ajoutez l'enregistrement DNS A.
  4. Mettez à jour les identifiants OAuth.

Définir un domaine personnalisé

Une fois votre instance Looker (Google Cloud Core) créée, vous pouvez configurer un domaine personnalisé.

Avant de commencer

Avant de pouvoir personnaliser le domaine de votre instance Looker (Google Cloud Core), identifiez l'emplacement où sont stockés les enregistrements DNS de votre domaine afin de pouvoir les mettre à jour.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer un domaine personnalisé pour une instance Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle IAM Administrateur Looker (roles/looker.admin) sur le projet dans lequel se trouve l'instance. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un domaine personnalisé

Dans la console Google Cloud, procédez comme suit pour personnaliser le domaine de votre instance Looker (Google Cloud Core) :

  1. Sur la page Instances, cliquez sur le nom de l'instance pour laquelle vous souhaitez configurer un domaine personnalisé.
  2. Cliquez sur l'onglet DOMAINE PERSONNALISÉ.
  3. Cliquez sur AJOUTER UN DOMAINE PERSONNALISÉ.

    Le panneau Ajouter un domaine personnalisé s'ouvre.

  4. Saisissez le nom d'hôte (jusqu'à 64 caractères) du domaine Web que vous souhaitez utiliser, en utilisant uniquement des lettres, des chiffres et des tirets (par exemple, looker.examplepetstore.com).

  5. Cliquez sur OK dans le panneau Ajouter un domaine personnalisé pour revenir à l'onglet DOMAINE PERSONNALISÉ.

Une fois votre domaine personnalisé configuré, il s'affiche dans la colonne Domaine de l'onglet DOMAINE PERSONNALISÉ de la page d'informations sur l'instance Looker (Google Cloud Core) dans la console Google Cloud.

Une fois votre domaine personnalisé créé, vous pouvez afficher des informations le concernant ou le supprimer.

Activer l'accès au domaine personnalisé

Lorsque le trafic vers une instance Looker (Google Cloud Core) disposant d'une adresse IP privée provient de la même région que l'instance, vous pouvez sécuriser l'accès à l'instance grâce à une configuration appropriée des identifiants et du DNS.

Avant de commencer

Pour obtenir les autorisations nécessaires pour configurer l'accès à un domaine personnalisé d'adresse IP privée, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel se trouve l'instance:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Présentation de la mise en réseau

Looker (Google Cloud Core) avec une configuration de réseau IP privée est un modèle de déploiement régional qui vous permet de vous connecter facilement à l'interface utilisateur de Looker (Google Cloud Core) à partir de différents environnements, tels que des instances sur site, multicloud et d'infrastructures de calcul.

Pour établir une connectivité à partir d'environnements sur site ou multicloud vers Looker (Google Cloud Core), modifiez la connexion d'appairage VPC de la mise en réseau de service dans votre VPC afin d'exporter des routes personnalisées vers le VPC géré par Google qui héberge Looker (Google Cloud Core). Cette action envoie toutes les routes statiques et dynamiques éligibles de votre VPC à Looker (Google Cloud Core). Le réseau du producteur de services importe automatiquement ces routes, ce qui permet de renvoyer le trafic vers votre réseau sur site via le réseau VPC.

Par défaut, la connexion des appareils hôtes est établie dans la même région que Looker (noyau Google Cloud), comme illustré dans le schéma suivant:

Réseau Google Cloud montrant un accès sécurisé à une instance Looker (noyau Google Cloud) pour le trafic dans la même région, à l'aide de Cloud DNS, Cloud Router, Cloud Interconnect et Private Services Access.

Créer une zone privée Cloud DNS

Créez une zone privée Cloud DNS visible par le VPC dans lequel se trouve l'instance Looker (Google Cloud Core). La zone privée Cloud DNS sera utilisée par le VPC et les hôtes sur site pour la résolution DNS afin d'accéder à l'interface utilisateur de Looker (Google Cloud Core). Le nom de la zone doit correspondre au domaine personnalisé.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Remplacez les éléments suivants :

  • NAME: nom de votre zone.
  • DESCRIPTION: description de votre zone.
  • DNS_SUFFIX: suffixe DNS de votre zone, tel que examplepetstore.com.

  • VPC_NETWORK_LIST: liste de réseaux VPC autorisés à interroger la zone, séparés par une virgule. Veillez à inclure le VPC contenant votre instance Looker (Google Cloud Core).

  • LABELS: liste facultative de paires clé/valeur séparées par une virgule, telle que dept=marketing ou project=project1. Pour en savoir plus, consultez la documentation du SDK.

Une fois la zone configurée, si vous accédez à la page Zones Cloud DNS de la console Google Cloud, vous pouvez voir qu'elle est privée, qu'elle porte le nom du domaine personnalisé et qu'elle comporte des ensembles d'enregistrements pour le domaine personnalisé.

Ajouter l'enregistrement A Cloud DNS

Pour ajouter l'enregistrement A Cloud DNS, procédez comme suit:

  1. Étant donné que vous utiliserez un équilibreur de charge, l'enregistrement A de la zone privée Cloud DNS sera mappé sur l'adresse IP de l'équilibreur de charge.

    L'adresse IP privée d'entrée mise en surbrillance dans l'onglet "Détails" de la page "Instances".

  2. Ajoutez un enregistrement A DNS pour le domaine personnalisé dans la zone privée. Il doit correspondre à l'adresse IP d'entrée de l'instance Looker (Google Cloud Core). L'enregistrement A utilise le nom de domaine complet (FQDN), qui est le même que celui que vous avez configuré comme domaine personnalisé Looker (Google Cloud Core).

    La configuration complète doit afficher l'enregistrement A du domaine personnalisé lorsque vous consultez les détails de la zone privée sur la page Zones Cloud DNS de la console Google Cloud.

    Pour mettre les services de résolution de noms d'un réseau VPC à la disposition des réseaux sur site qui y sont connectés à l'aide de tunnels Cloud VPN, de rattachements de VLAN Cloud Interconnect ou d'appareils de routeur, vous pouvez utiliser une règle de serveur entrant.

    Une fois que les enregistrements DNS de votre domaine ont été mis à jour et que votre domaine a été validé dans la console Google Cloud, l'état du domaine personnalisé mappé à l'instance passe de Non validé à Disponible dans l'onglet Domaine personnalisé de la page Instances.

Mettre à jour les identifiants OAuth

  1. Pour accéder à votre client OAuth, accédez à API et services > Identifiants dans la console Google Cloud, puis sélectionnez l'ID client OAuth du client OAuth utilisé par votre instance Looker (Google Cloud core).
  2. Cliquez sur le bouton Ajouter un URI pour mettre à jour le champ Origines JavaScript autorisées de votre client OAuth. Utilisez le même nom DNS que celui que votre organisation utilisera pour accéder à Looker (Google Cloud Core). Par exemple, si votre domaine personnalisé est looker.examplepetstore.com, saisissez looker.examplepetstore.com comme URI.

  3. Mettez à jour ou ajoutez le domaine personnalisé à la liste des URI de redirection autorisés pour les identifiants OAuth utilisés lors de la création de l'instance Looker (Google Cloud Core). Ajoutez /oauth2callback à la fin de l'URI. Par exemple, si votre domaine personnalisé est looker.examplepetstore.com, saisissez looker.examplepetstore.com/oauth2callback.

Ajouter des utilisateurs

Une fois les étapes précédentes terminées, les utilisateurs peuvent accéder à l'URL du domaine personnalisé.

Assurez-vous que la méthode d'authentification des utilisateurs est entièrement configurée pour l'instance Looker (Google Cloud Core) avant d'y ajouter des utilisateurs.

Étape suivante