Accede a una instancia de Looker (Google Cloud Core) con acceso a servicios privados: Tráfico que se origina en la misma región

En esta página de documentación, se describe cómo configurar un dominio personalizado y establecer el acceso a una instancia de Looker (Google Cloud Core) que cumpla con los siguientes criterios:

• La instancia solo tiene una IP privada.
• La instancia se configuró para usar el acceso a servicios privados en el momento de su creación.
• El tráfico a la instancia se origina en la misma región que la instancia o a través de redes híbridas.

Para acceder a este tipo de instancia, sigue estos pasos:

1. Configura un dominio personalizado.
2. Crea una zona privada de Cloud DNS.
3. Agrega el registro A de DNS.
4. Actualiza las credenciales de OAuth.

Configurar un dominio personalizado

Después de crear tu instancia de Looker (Google Cloud Core), puedes configurar un dominio personalizado.

Antes de comenzar

Antes de personalizar el dominio de tu instancia de Looker (Google Cloud Core), identifica dónde se almacenan los registros DNS de tu dominio para que puedas actualizarlos.

Roles obligatorios

Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud Core), pídele a tu administrador que te otorgue el rol de IAM de administrador de Looker (roles/looker.admin) en el proyecto en el que reside la instancia. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea un dominio personalizado

En la consola de Google Cloud , sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud Core):

1. En la página Instancias, haz clic en el nombre de la instancia para la que deseas configurar un dominio personalizado.
2. Haz clic en la pestaña CUSTOM DOMAIN.

3. Haz clic en ADD A CUSTOM DOMAIN.

   

   Se abrirá el panel Agregar un nuevo dominio personalizado.

4. Usa solo letras, números y guiones para ingresar el nombre de host de hasta 64 caracteres del dominio web que deseas usar, por ejemplo: looker.examplepetstore.com.

   

5. Haz clic en DONE en el panel Add a new custom domain para volver a la pestaña CUSTOM DOMAIN.

Una vez que se configura tu dominio personalizado, se muestra en la columna Dominio de la pestaña CUSTOM DOMAIN de la página de detalles de la instancia de Looker (Google Cloud Core) en la consola de Google Cloud .

Una vez que se haya creado tu dominio personalizado, podrás ver información sobre él o borrarlo.

Habilita el acceso al dominio personalizado

Cuando el tráfico a una instancia de Looker (Google Cloud Core) con IP privada proviene de la misma región en la que se encuentra la instancia, puedes garantizar un acceso seguro a la instancia mediante la configuración adecuada de DNS y credenciales.

Antes de comenzar

Para obtener los permisos que necesitas para configurar el acceso a un dominio personalizado de IP privada, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que reside la instancia:

• Administrador de Looker (roles/looker.admin)
• Administrador de DNS (roles/dns.admin)
• Usa OAuth de Google: Editor de configuración de OAuth (roles/oauthconfig.editor)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Descripción general de las Herramientas de redes

Looker (Google Cloud Core) con una configuración de red de IP privada es un modelo de implementación regional que te permite conectarte sin problemas a la IU de Looker (Google Cloud Core) desde varios entornos, como instancias de procesamiento, multinube y locales.

Para establecer conectividad desde entornos locales o de múltiples nubes a Looker (Google Cloud Core), modifica la conexión de intercambio de tráfico de VPC de redes de servicios en tu VPC para exportar rutas personalizadas al VPC administrado por Google que aloja Looker (Google Cloud Core). Esta acción envía todas las rutas estáticas y dinámicas aptas de tu VPC a Looker (Google Cloud Core). La red del productor de servicios importa automáticamente estas rutas, lo que permite que el tráfico se envíe a tu red local a través de la red de VPC.

De forma predeterminada, la conexión desde los dispositivos host se establece en la misma región que Looker (Google Cloud Core), como se ilustra en el siguiente diagrama:

Crea la zona privada de Cloud DNS

Crea una zona privada de Cloud DNS que sea visible para la VPC en la que se encuentra la instancia de Looker (Google Cloud Core). La VPC y los hosts locales usarán la zona privada de Cloud DNS para la resolución de DNS para llegar a la IU de Looker (Google Cloud Core). El nombre de la zona debe coincidir con el dominio personalizado.

  gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=VPC_NETWORK_LIST \
  --labels=LABELS \
  --visibility=private

Reemplaza lo siguiente:

• NAME: Es el nombre de tu zona.
• DESCRIPTION: Es una descripción para tu zona.

• DNS_SUFFIX: Es el sufijo de DNS para tu zona, como examplepetstore.com.

• VPC_NETWORK_LIST: Es una lista delimitada por comas de redes de VPC que están autorizadas para consultar la zona. Asegúrate de incluir la VPC que contiene tu instancia de Looker (Google Cloud Core).

• LABELS: Es una lista opcional delimitada por comas de pares clave-valor, como dept=marketing o project=project1. Para obtener más información, consulta la documentación del SDK.

Una vez que se configure la zona, si navegas a ella en la página Zonas de Cloud DNS de la consola de Google Cloud , verás que es privada, tiene el nombre del dominio personalizado y tiene conjuntos de registros para el dominio personalizado.

Agrega el registro A de Cloud DNS

Completa los siguientes pasos para agregar el registro A de Cloud DNS:

1. Como usarás un balanceador de cargas, el registro A en la zona privada de Cloud DNS se asignará a la dirección IP del balanceador de cargas.

   

2. Agrega un registro A de DNS para el dominio personalizado en la zona privada, que consta de la dirección IP de entrada de la instancia de Looker (Google Cloud Core). El registro A usa el nombre de dominio completamente calificado (FQDN), el mismo que configuraste como el dominio personalizado de Looker (Google Cloud Core).

   

   La configuración completa debería mostrar el registro A del dominio personalizado cuando veas los detalles de la zona privada en la página Zonas de Cloud DNS de la consola de Google Cloud .

   Para que los servicios de resolución de nombres de una red de VPC estén disponibles para las redes locales que están conectadas a la red de VPC mediante túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o dispositivos de router, puedes usar una política de servidor entrante.

   Una vez que se actualicen los registros DNS de tu dominio y se verifique en la consola de Google Cloud, el estado del dominio personalizado asignado a la instancia cambiará de No verificado a Disponible en la pestaña Dominio personalizado de la página Instancias.

   

Actualiza las credenciales de OAuth

1. Para acceder a tu cliente de OAuth, navega en la consola de Google Cloud a APIs y servicios > Credenciales y selecciona el ID de cliente de OAuth que usa tu instancia de Looker (Google Cloud Core).

2. Haz clic en el botón Agregar URI para actualizar el campo Orígenes autorizados de JavaScript en tu cliente de OAuth. Usa el mismo nombre de DNS que usará tu organización para acceder a Looker (Google Cloud Core). Por ejemplo, si tu dominio personalizado es looker.examplepetstore.com, debes ingresar looker.examplepetstore.com como el URI.

   

3. Actualiza o agrega el dominio personalizado a la lista de URIs de redireccionamiento autorizados para las credenciales de OAuth que se usaron cuando se creó la instancia de Looker (Google Cloud Core). Agrega /oauth2callback al final del URI. Por ejemplo, si tu dominio personalizado es looker.examplepetstore.com, debes ingresar looker.examplepetstore.com/oauth2callback.

   

Agregar usuarios

Una vez que se completen los pasos anteriores, los usuarios podrán acceder a la URL del dominio personalizado.

Asegúrate de que el método de autenticación de usuarios esté completamente configurado para la instancia de Looker (Google Cloud Core) antes de agregar usuarios a la instancia.

¿Qué sigue?

• Cómo conectar Looker (Google Cloud Core) a tu base de datos
• Prepara tu instancia de Looker (Google Cloud Core) para los usuarios
• Administra usuarios en Looker (Google Cloud Core)