Northbound-Zugriff auf eine Looker (Google Cloud Core)-Instanz über Private Service Connect

In dieser Dokumentation wird erläutert, wie Sie mit Private Service Connect das Routing von Clients zu Looker (Google Cloud Core) konfigurieren, auch als Northbound-Traffic bezeichnet.

Benutzerdefinierte Domain erstellen

Nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde, müssen Sie als Erstes eine benutzerdefinierte Domain einrichten und die OAuth-Anmeldedaten für die Instanz aktualisieren. In den folgenden Abschnitten wird der Vorgang beschrieben.

Wenn Sie eine benutzerdefinierte Domain für Instanzen mit privaten IP-Adressen (Private Service Connect) erstellen, muss sie die folgenden Anforderungen erfüllen:

  • Die benutzerdefinierte Domain muss aus mindestens drei Teilen bestehen, darunter mindestens eine Subdomain. Beispiel: subdomain.domain.com.
  • Die benutzerdefinierte Domain darf keines der folgenden Elemente enthalten:
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

Benutzerdefinierte Domain einrichten

Nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie eine benutzerdefinierte Domain einrichten.

Hinweise

Bevor Sie die Domain Ihrer Looker (Google Cloud Core)-Instanz anpassen können, müssen Sie herausfinden, wo die DNS-Einträge Ihrer Domain gespeichert sind, damit Sie sie aktualisieren können.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker Admin (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer benutzerdefinierten Domain für eine Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Benutzerdefinierte Domain erstellen

So passen Sie in der Google Cloud -Console die Domain Ihrer Looker (Google Cloud Core)-Instanz an:

  1. Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie eine benutzerdefinierte Domain einrichten möchten.
  2. Klicken Sie auf den Tab BENUTZERDEFINIERTE DOMAIN.

  3. Klicken Sie auf BENUTZERDEFINIERTE DOMAIN HINZUFÜGEN.

    Daraufhin wird der Bereich Neue benutzerdefinierte Domain hinzufügen geöffnet.

  4. Geben Sie den Hostnamen der gewünschten Webdomain mit bis zu 64 Zeichen ein. Verwenden Sie dabei nur Buchstaben, Ziffern und Bindestriche, z. B. looker.examplepetstore.com.

  5. Klicken Sie im Bereich Neue benutzerdefinierte Domain hinzufügen auf FERTIG, um zum Tab BENUTZERDEFINIERTE DOMAIN zurückzukehren.

Nachdem Sie Ihre benutzerdefinierte Domain eingerichtet haben, wird sie in der Spalte Domain auf dem Tab BENUTZERDEFINIERTE DOMAIN der Instanzdetailseite von Looker (Google Cloud Core) in der Google Cloud -Console angezeigt.

Nachdem Ihre benutzerdefinierte Domain erstellt wurde, können Sie Informationen dazu aufrufen oder sie löschen.

OAuth-Anmeldedaten aktualisieren

  1. Rufen Sie in der Google Cloud -Konsole APIs & Dienste > Anmeldedaten auf und wählen Sie die OAuth-Client-ID für den OAuth-Client aus, der von Ihrer Looker-Instanz (Google Cloud Core) verwendet wird.

  2. Klicken Sie auf die Schaltfläche URI hinzufügen, um das Feld Autorisierte JavaScript-Quellen in Ihrem OAuth-Client zu aktualisieren und denselben DNS-Namen anzugeben, den Ihre Organisation für den Zugriff auf Looker (Google Cloud Core) verwendet. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com als URI ein.

  3. Aktualisieren oder fügen Sie die benutzerdefinierte Domain der Liste der autorisierten Weiterleitungs-URIs für die OAuth-Anmeldedaten hinzu, die Sie beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet haben. Fügen Sie am Ende des URIs /oauth2callback hinzu. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com/oauth2callback ein.

Über einen Endpunkt auf die Instanz über ein Hybridnetzwerk zugreifen

Nachdem Sie die benutzerdefinierte Domain eingerichtet haben, können Sie über Hybrid-Netzwerktechnologien von einer lokalen Umgebung oder einer anderen Cloud-Umgebung aus auf die Instanz zugreifen. Führen Sie dazu die folgenden Schritte aus:

  1. Looker (Google Cloud Core) über einen Private Service Connect-Endpunkt verfügbar machen
  2. Den Endpunkt für Multi-Cloud- und On-Premises-Umgebungen angeben
  3. Richten Sie das DNS ein.

Netzwerkübersicht

In einer Hybrid-Netzwerkumgebung sind die folgenden Netzwerkkomponenten erforderlich:

Außerdem müssen Sie DNS für den Zugriff einrichten.

Mit Private Service Connect können Nutzer privat aus ihrem VPC-Netzwerk oder über ein Hybridnetzwerk auf verwaltete Dienste zugreifen. So können Ersteller verwalteter Dienste diese Dienste in ihren eigenen separaten VPC-Netzwerken hosten und ihren Nutzern eine private Verbindung bieten. Wenn Sie beispielsweise Private Service Connect verwenden, um auf Looker (Google Cloud Core) zuzugreifen, sind Sie der Dienstempfänger und Looker (Google Cloud Core) ist der Diensteanbieter.

Looker (Google Cloud Core), das mit Private Service Connect bereitgestellt wird, unterstützt Endpunkte.

Das folgende Diagramm zeigt ein Beispiel für die Netzwerkkonfiguration eines Private Service Connect-Endpunkts:

Die Netzwerkarchitektur für den Zugriff auf eine Looker (Google Cloud Core)-Instanz von lokalen Standorten aus.

In diesem Beispiel ist die lokale Umgebung über Cloud Interconnect mit einem Google Cloud -Hostprojekt verbunden, das über einen Cloud Router an einen Private Service Connect-Endpunkt weitergeleitet wird, der mit einem Dienstanhang in einem von Google verwalteten VPC des Produzenten verbunden ist. In einer freigegebene VPC wird Cloud DNS für die API-Auflösung gehostet.

Erforderliche Rollen

Rolle

Beschreibung

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Vollständige Kontrolle über das VPC-Netzwerk, das eine Verbindung zu einer Looker-Instanz (Google Cloud Core) initiiert.

Service Directory-Bearbeiter (roles/servicedirectory.editor)

Private Service Connect-Endpunkte erstellen

Looker Admin (roles/looker.admin)

Gewährt die vollständige Kontrolle über Looker (Google Cloud Core)-Ressourcen, einschließlich des Erstellens einer Instanz, die für Private Service Connect aktiviert ist, und einer benutzerdefinierten Domain.

DNS-Administrator (roles/dns.admin) (optional)

Vollständige Kontrolle über Cloud DNS-Ressourcen, einschließlich DNS-Zonen und -Einträgen.

Private Service Connect-Endpunkt für Looker (Google Cloud Core) erstellen

Folgen Sie der Anleitung zum Erstellen eines Private Service Connect-Endpunkts in einem VPC-Netzwerk. Achten Sie darauf, dass dem Netzwerk Zugriff auf Ihre Looker-Instanz (Google Cloud Core) gewährt wird, und beachten Sie die folgenden Richtlinien:

  • Legen Sie das Feld Zieldienst (für die Google Cloud -Konsole) oder die Variable SERVICE_ATTACHMENT (falls Sie der Anleitung für die Google Cloud CLI oder API folgen) auf den URI der Looker-Dienstanhänge fest. Sie können ihn mit dem folgenden Befehl ermitteln:

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    Ersetzen Sie Folgendes:

    • INSTANCE_NAME: Der Name Ihrer Looker-Instanz (Google Cloud Core).
    • REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird.

  • Sie können jedes Subnetz verwenden, das in derselben Region wie die Looker-Instanz (Google Cloud Core) gehostet wird.

  • Aktivieren Sie den globalen Zugriff nicht.

Wenn Sie die Endpunktdetails nach dem Erstellen aufrufen möchten, folgen Sie der Anleitung unter Endpunktdetails aufrufen.

Endpunkt für Multi-Cloud- und lokale Umgebungen angeben

Verwenden Sie Cloud Router, um die IP-Adresse des Private Service Connect-Endpunkts in Ihrem lokalen Netzwerk oder einer anderen Umgebung anzubieten.

Wenn Sie Private Service Connect-Endpunkte bereitstellen, wird ein reguläres Subnetz innerhalb der Virtual Private Cloud (VPC) des Nutzers verwendet. Dieses Subnetz wird automatisch vom Cloud Router beworben. Wenn Sie jedoch selektiv benutzerdefinierte Subnetze über den Cloud Router angeben, müssen Sie die Cloud Router-Konfiguration so ändern, dass die IP-Adresse oder das Subnetz des Private Service Connect-Endpunkts enthalten ist.

Achten Sie darauf, dass die Firewall Ihrer lokalen Umgebung (oder einer anderen Umgebung) ausgehenden Traffic an die IP-Adresse oder das Subnetz des Private Service Connect-Endpunkts zulässt. Berücksichtigen Sie dabei die Hinweise zu Hybridnetzwerken.

DNS einrichten

Sie haben beim Einrichten des DNS zwei Möglichkeiten:

  • Aktualisieren Sie das lokale DNS, damit es für die benutzerdefinierte Looker-Domain (Google Cloud Core) verbindlich ist, die der IP-Adresse des Private Service Connect-Endpunkts zugeordnet ist.
  • Erstellen Sie eine private Cloud DNS-Zone, erstellen Sie einen Datensatz mit der IP-Adresse, die dem Private Service Connect-Endpunkt zugewiesen ist, und aktivieren Sie die eingehende DNS-Weiterleitung, damit Ihre VPC für die benutzerdefinierte Looker-Domain (Google Cloud Core) maßgebend ist, die der IP-Adresse des Private Service Connect-Endpunkts zugeordnet ist.

Nächste Schritte