En esta documentación, se explica cómo usar Private Service Connect para configurar el enrutamiento de clientes a Looker (Google Cloud Core), también llamado tráfico ascendente.
Crea un dominio personalizado
El primer paso después de crear la instancia de Looker (Google Cloud Core) es configurar un dominio personalizado y actualizar las credenciales de OAuth de la instancia. En las siguientes secciones, se explica el proceso.
Cuando creas un dominio personalizado para instancias de IP privadas (Private Service Connect), el dominio personalizado debe cumplir con los siguientes requisitos:
- El dominio personalizado debe constar de al menos tres partes, incluido al menos un subdominio. Por ejemplo,
subdomain.domain.com. - El dominio personalizado no debe contener ninguno de los siguientes elementos:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurar un dominio personalizado
Después de crear tu instancia de Looker (Google Cloud Core), puedes configurar un dominio personalizado.
Antes de comenzar
Antes de personalizar el dominio de tu instancia de Looker (Google Cloud Core), identifica dónde se almacenan los registros DNS de tu dominio para poder actualizarlos.
Roles obligatorios
Para obtener los permisos que necesitas para crear un dominio personalizado para una instancia de Looker (Google Cloud Core),
pídele a tu administrador que te otorgue el rol de IAM de
administrador de Looker (roles/looker.admin) en el proyecto en el que reside la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea un dominio personalizado
En la consola de Google Cloud, sigue estos pasos para personalizar el dominio de tu instancia de Looker (Google Cloud Core):
- En la página Instancias, haz clic en el nombre de la instancia para la que deseas configurar un dominio personalizado.
- Haz clic en la pestaña DOMINIO PERSONALIZADO.
Haz clic en ADD A CUSTOM DOMAIN.
Se abrirá el panel Agregar un nuevo dominio personalizado.
Usa solo letras, números y guiones para ingresar el nombre de host de hasta 64 caracteres del dominio web que deseas usar, por ejemplo:
looker.examplepetstore.com.
Haz clic en DONE en el panel Add a new custom domain para volver a la pestaña CUSTOM DOMAIN.
Una vez configurado, el dominio personalizado se muestra en la columna Dominio de la pestaña Dominio personalizado de la página de detalles de la instancia de la consola de Google Cloud.
Una vez que se haya creado tu dominio personalizado, podrás ver información sobre él o borrarlo.
Actualiza las credenciales de OAuth
- Accede a tu cliente de OAuth en la consola de Google Cloud, a APIs & Servicios > Credentials y selecciona el ID de cliente de OAuth para el cliente de OAuth que usa tu instancia de Looker (Google Cloud Core).
Haz clic en el botón Agregar URI para actualizar el campo Orígenes autorizados de JavaScript en tu cliente de OAuth y, así, incluir el mismo nombre de DNS que usará tu organización para acceder a Looker (núcleo de Google Cloud). Por ejemplo, si tu dominio personalizado es
looker.examplepetstore.com, debes ingresarlooker.examplepetstore.comcomo URI.
Actualiza o agrega el dominio personalizado a la lista de URI de redireccionamiento autorizados de las credenciales de OAuth que usaste cuando creaste la instancia de Looker (Google Cloud Core). Agrega
/oauth2callbackal final del URI. Por ejemplo, si el dominio personalizado eslooker.examplepetstore.com, debes ingresarlooker.examplepetstore.com/oauth2callback.
Acceder a la instancia a través de redes híbridas con un extremo
Después de configurar el dominio personalizado, para acceder a la instancia desde una ubicación local o desde otro entorno de proveedor de servicios en la nube (es decir, a través de redes híbridas), sigue estos pasos:
- Expón Looker (Google Cloud Core) a través de un extremo de Private Service Connect.
- Anuncia el extremo a entornos de múltiples nubes y locales.
- Configura el DNS.
Descripción general de las Herramientas de redes
En un entorno de redes híbridas, se requieren los siguientes componentes de red:
- Cloud Router
- Productos de redes híbridas, como VPN con alta disponibilidad, Cloud Interconnect y SD-WAN
Además, deberás configurar el DNS para acceder.
Private Service Connect permite que los consumidores accedan a los servicios administrados de forma privada desde su red de VPC o a través de redes híbridas. Permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada a sus consumidores. Por ejemplo, cuando usas Private Service Connect para acceder a Looker (Google Cloud Core), tú eres el consumidor del servicio y Looker (Google Cloud Core) es el productor de servicios.
Looker (Google Cloud Core) implementado con Private Service Connect admite extremos.
En el siguiente diagrama, se muestra un ejemplo de una configuración de red de extremo de Private Service Connect:
En el ejemplo, el entorno local está conectado a un proyecto de host de Google Cloud a través de Cloud Interconnect, que enruta a través de un Cloud Router a un extremo de Private Service Connect, que se conecta a un adjunto de servicio en una VPC de productor administrada por Google. Una VPC compartida aloja Cloud DNS para la resolución de la API.
Roles obligatorios
Función |
Descripción |
Administrador de red de Compute |
Otorga control total sobre la red de VPC que inicia una conexión a una instancia de Looker (Google Cloud Core). |
Editor del Directorio de servicios |
Crear extremos de Private Service Connect |
Administrador de Looker |
Otorga control total sobre los recursos de Looker (Google Cloud Core), lo que incluye crear una instancia que esté habilitada para Private Service Connect y crear un dominio personalizado. |
Administrador de DNS |
Otorga control total sobre los recursos de Cloud DNS, incluidas las zonas y los registros de DNS. |
Crea un extremo de Private Service Connect para Looker (Google Cloud Core)
Sigue las instrucciones para crear un extremo de Private Service Connect dentro de una red de VPC. Asegúrate de que la red tenga ingresos permitidos a tu instancia de Looker (Google Cloud Core) y sigue estos lineamientos:
Establece el campo Servicio de destino (para la consola de Google Cloud) o la variable
SERVICE_ATTACHMENT(si sigues las instrucciones de la API o de Google Cloud CLI) en el URI de archivo adjunto del servicio de Looker, que puedes encontrar ejecutando el siguiente comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Reemplaza lo siguiente:
INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).
Puedes usar cualquier subred alojada en la misma región que la instancia de Looker (Google Cloud Core).
No habilites el acceso global.
Si quieres ver los detalles del extremo después de crearlo, sigue las instrucciones para ver los detalles del extremo.
Publica el extremo en entornos locales y de múltiples nubes
Usa Cloud Router para anunciar la dirección IP del extremo de Private Service Connect en tu red local o algún otro entorno.
Cuando implementas extremos de Private Service Connect, se usa una subred normal dentro de la nube privada virtual (VPC) del consumidor. Cloud Router anuncia automáticamente esta subred. Sin embargo, si anuncias subredes personalizadas de forma selectiva a través de Cloud Router, asegúrate de modificar su configuración para incluir la dirección IP o la subred del extremo de Private Service Connect.
Asegúrate de que tu firewall local (o el de otro entorno) permita el tráfico saliente a la dirección IP o subred del extremo de Private Service Connect, teniendo en cuenta las consideraciones de las redes híbridas.
Cómo configurar DNS
Cuando configures el DNS, puedes usar una de las siguientes dos opciones:
- Actualiza el DNS local para que sea autorizado para el dominio personalizado de Looker (Google Cloud Core) que está asignado a la dirección IP del extremo de Private Service Connect.
- Crea una zona privada de Cloud DNS, crea un conjunto de registros con la dirección IP asignada para el extremo de Private Service Connect y habilita el reenvío de DNS entrante para permitir que tu VPC sea autorizada para el dominio personalizado de Looker (núcleo de Google Cloud) que se asigna a la dirección IP del extremo de Private Service Connect.
¿Qué sigue?
- Conecta Looker (Google Cloud Core) a tu base de datos
- Prepara una instancia de Looker (Google Cloud Core) para los usuarios
- Administra usuarios en Looker (Google Cloud Core)