Akses northbound ke instance Looker (Google Cloud core) menggunakan Private Service Connect

Dokumentasi ini menjelaskan cara menggunakan Private Service Connect untuk mengonfigurasi perutean dari klien ke Looker (inti Google Cloud), yang juga disebut traffic northbound.

Membuat domain kustom

Langkah pertama setelah instance Looker (Google Cloud core) dibuat adalah menyiapkan domain kustom dan memperbarui kredensial OAuth untuk instance tersebut. Bagian berikutnya akan memandu Anda melalui prosesnya.

Saat Anda membuat domain kustom untuk instance IP pribadi (Private Service Connect), domain kustom harus memenuhi persyaratan berikut:

  • Domain kustom harus terdiri dari minimal tiga bagian, termasuk minimal satu subdomain. Misalnya, subdomain.domain.com.
  • Domain kustom tidak boleh berisi salah satu hal berikut:
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

Menyiapkan domain kustom

Setelah instance Looker (Google Cloud core) dibuat, Anda dapat menyiapkan domain kustom.

Sebelum memulai

Sebelum Anda dapat menyesuaikan domain instance Looker (inti Google Cloud), identifikasi tempat data DNS domain Anda disimpan, sehingga Anda dapat memperbaruinya.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat domain kustom untuk instance Looker (inti Google Cloud), minta administrator untuk memberi Anda peran IAM Looker Admin (roles/looker.admin) di project tempat instance berada. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat domain kustom

Di konsol Google Cloud, ikuti langkah-langkah berikut untuk menyesuaikan domain instance Looker (inti Google Cloud) Anda:

  1. Di halaman Instances, klik nama instance yang ingin Anda siapkan domain kustomnya.
  2. Klik tab CUSTOM DOMAIN.
  3. Klik ADD A CUSTOM DOMAIN.

    Tindakan ini akan membuka panel Tambahkan domain kustom baru.

  4. Hanya menggunakan huruf, angka, dan tanda hubung, masukkan nama host hingga 64 karakter untuk domain web yang ingin Anda gunakan — misalnya: looker.examplepetstore.com.

  5. Klik DONE di panel Add a new custom domain untuk kembali ke tab CUSTOM DOMAIN.

Setelah disiapkan, domain kustom akan ditampilkan di kolom Domain pada tab CUSTOM DOMAIN di halaman detail instance Looker (inti Google Cloud) di konsol Google Cloud.

Setelah domain kustom dibuat, Anda dapat melihat informasi tentang domain tersebut, atau menghapusnya.

Memperbarui kredensial OAuth

  1. Akses klien OAuth Anda dengan membuka APIs & Services > Credentials di konsol Google Cloud dan memilih client ID OAuth untuk klien OAuth yang digunakan oleh instance Looker (inti Google Cloud) Anda.
  2. Klik tombol Tambahkan URI untuk memperbarui kolom Asal JavaScript resmi di klien OAuth Anda agar menyertakan nama DNS yang sama dengan yang akan digunakan organisasi Anda untuk mengakses Looker (inti Google Cloud). Misalnya, jika domain kustom Anda adalah looker.examplepetstore.com, masukkan looker.examplepetstore.com sebagai URI.

  3. Perbarui atau tambahkan domain kustom ke daftar URI pengalihan yang Diizinkan untuk kredensial OAuth yang Anda gunakan saat membuat instance Looker (inti Google Cloud). Tambahkan /oauth2callback ke akhir URI. Misalnya, jika domain kustom Anda adalah looker.examplepetstore.com, Anda memasukkan looker.examplepetstore.com/oauth2callback.

Mengakses instance melalui jaringan hybrid menggunakan endpoint

Setelah menyiapkan domain kustom, untuk mengakses instance dari lingkungan lokal atau dari lingkungan penyedia cloud lain (dengan kata lain, melalui jaringan hybrid), lakukan langkah-langkah berikut:

  1. Ekspos Looker (Google Cloud core) melalui endpoint Private Service Connect.
  2. Iklankan endpoint ke lingkungan multi-cloud dan lokal.
  3. Siapkan DNS.

Ringkasan jaringan

Dalam lingkungan jaringan hybrid, komponen jaringan berikut diperlukan:

Selain itu, Anda harus menyiapkan DNS untuk akses.

Private Service Connect memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC mereka atau melalui jaringan hybrid. Hal ini memungkinkan produsen layanan terkelola menghosting layanan ini di jaringan VPC masing-masing yang terpisah dan menawarkan koneksi pribadi kepada konsumen mereka. Misalnya, saat menggunakan Private Service Connect untuk mengakses Looker (Google Cloud core), Anda adalah konsumen layanan, dan Looker (Google Cloud core) adalah produsen layanan.

Looker (Google Cloud core) yang di-deploy dengan Private Service Connect mendukung endpoint.

Contoh penyiapan jaringan endpoint Private Service Connect ditampilkan dalam diagram berikut:

Arsitektur jaringan untuk mengakses instance Looker (Google Cloud core) dari lokal.

Dalam contoh ini, lingkungan lokal terhubung ke project host Google Cloud melalui Cloud Interconnect, yang merutekan melalui Cloud Router ke endpoint Private Service Connect, yang terhubung ke lampiran layanan di VPC produsen yang dikelola Google. VPC Bersama menghosting Cloud DNS, untuk resolusi API.

Peran yang diperlukan

Peran

Deskripsi

Compute Network Admin (roles/compute.networkAdmin)

Memberikan kontrol penuh atas jaringan VPC yang memulai koneksi ke instance Looker (inti Google Cloud).

Service Directory Editor (roles/servicedirectory.editor)

Buat endpoint Private Service Connect.

Looker Admin (roles/looker.admin)

Memberikan kontrol penuh atas resource Looker (inti Google Cloud), termasuk membuat instance yang diaktifkan untuk Private Service Connect dan membuat domain kustom.

DNS Admin (roles/dns.admin) (opsional)

Memberikan kontrol penuh atas resource Cloud DNS, termasuk zona dan data DNS.

Membuat endpoint Private Service Connect untuk Looker (Google Cloud core)

Ikuti petunjuk untuk membuat endpoint Private Service Connect dalam jaringan VPC. Pastikan jaringan mengizinkan ingress ke instance Looker (Google Cloud core) Anda, dan ikuti panduan berikut:

  • Tetapkan kolom Target service (untuk konsol Google Cloud) atau variabel SERVICE_ATTACHMENT (jika mengikuti petunjuk Google Cloud CLI atau API) ke URI lampiran layanan Looker, yang dapat Anda temukan dengan menjalankan perintah berikut:

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    Ganti kode berikut:

    • INSTANCE_NAME: nama instance Looker (Google Cloud core) Anda.
    • REGION: region tempat instance Looker (Google Cloud core) Anda dihosting.
  • Anda dapat menggunakan subnet apa pun yang dihosting di region yang sama dengan instance Looker (Google Cloud core).

  • Jangan aktifkan akses global.

Untuk melihat detail endpoint setelah pembuatan, ikuti petunjuk untuk melihat detail endpoint.

Mengiklankan endpoint ke lingkungan multi-cloud dan lokal

Gunakan Cloud Router untuk mengiklankan alamat IP endpoint Private Service Connect ke jaringan lokal atau lingkungan lainnya.

Saat Anda men-deploy endpoint Private Service Connect, subnet reguler dalam Virtual Private Cloud (VPC) konsumen akan digunakan. Subnet ini otomatis diiklankan oleh Cloud Router. Namun, jika Anda mengiklankan subnet kustom secara selektif melalui Cloud Router, pastikan untuk mengubah konfigurasi Cloud Router agar menyertakan alamat IP atau subnet endpoint Private Service Connect.

Pastikan firewall lokal (atau lingkungan lain) Anda mengizinkan traffic keluar ke alamat IP atau subnet endpoint Private Service Connect dengan mempertimbangkan pertimbangan jaringan hybrid.

Menyiapkan DNS

Saat menyiapkan DNS, Anda dapat menggunakan salah satu dari dua opsi berikut:

  • Perbarui DNS lokal agar menjadi resmi untuk domain kustom Looker (inti Google Cloud) yang dipetakan ke alamat IP endpoint Private Service Connect.
  • Buat zona pribadi Cloud DNS, buat set data menggunakan alamat IP yang dialokasikan untuk endpoint Private Service Connect, dan aktifkan penerusan DNS masuk agar VPC Anda dapat menjadi otoritatif untuk domain kustom Looker (inti Google Cloud) yang dipetakan ke alamat IP endpoint Private Service Connect.

Langkah selanjutnya