Accesso in uscita a un'istanza di Looker (Google Cloud core) utilizzando Private Service Connect

Questa documentazione spiega come utilizzare Private Service Connect per configurare il routing dai client a Looker (Google Cloud core), chiamato anche traffico in uscita.

Creare un dominio personalizzato

Il primo passaggio dopo la creazione dell'istanza di Looker (Google Cloud core) consiste nel configurare un dominio personalizzato e aggiornare le credenziali OAuth per l'istanza. Le sezioni seguenti illustrano la procedura.

Quando crei un dominio personalizzato per le istanze con IP privato (Private Service Connect), il dominio personalizzato deve soddisfare i seguenti requisiti:

  • Il dominio personalizzato deve essere composto da almeno tre parti, tra cui almeno un sottodominio. Ad esempio, subdomain.domain.com.
  • Il dominio personalizzato non deve contenere nessuno dei seguenti elementi:
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

Configurazione di un dominio personalizzato

Una volta creata l'istanza di Looker (Google Cloud core), puoi configurare un dominio personalizzato.

Prima di iniziare

Prima di poter personalizzare il dominio della tua istanza di Looker (Google Cloud core), identifica dove sono archiviati i record DNS del dominio per poterli aggiornare.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un dominio personalizzato per un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti il ruolo IAM Amministratore di Looker (roles/looker.admin) nel progetto in cui si trova l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare un dominio personalizzato

Nella console Google Cloud, segui questi passaggi per personalizzare il dominio dell'istanza di Looker (Google Cloud core):

  1. Nella pagina Istanze, fai clic sul nome dell'istanza per cui vuoi configurare un dominio personalizzato.
  2. Fai clic sulla scheda DOMINO PERSONALIZZATO.
  3. Fai clic su AGGIUNGI UN DOMINIO PERSONALIZZATO.

    Si aprirà il riquadro Aggiungi un nuovo dominio personalizzato.

  4. Utilizzando solo lettere, numeri e trattini, inserisci il nome host di massimo 64 caratteri per il dominio web che vuoi utilizzare, ad esempio looker.examplepetstore.com.

  5. Fai clic su FINE nel riquadro Aggiungi un nuovo dominio personalizzato per tornare alla scheda DOMINO PERSONALIZZATO.

Una volta configurato, il dominio personalizzato viene visualizzato nella colonna Dominio della scheda Dominio personalizzato della pagina dei dettagli dell'istanza della console Google Cloud.

Una volta creato il dominio personalizzato, puoi visualizzare le informazioni relative o eliminarlo.

Aggiorna le credenziali OAuth

  1. Accedi al client OAuth selezionando API e servizi > Credenziali nella console Google Cloud e selezionando l'ID client OAuth utilizzato dall'istanza Looker (Google Cloud core).
  2. Fai clic sul pulsante Aggiungi URI per aggiornare il campo Origini JavaScript autorizzate nel client OAuth in modo da includere lo stesso nome DNS che la tua organizzazione utilizzerà per accedere a Looker (Google Cloud core). Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, inserisci looker.examplepetstore.com come URI.

  3. Aggiorna o aggiungi il dominio personalizzato all'elenco di URI di reindirizzamento autorizzati per le credenziali OAuth che hai utilizzato quando hai creato l'istanza di Looker (Google Cloud core). Aggiungi /oauth2callback alla fine dell'URI. Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, inserisci looker.examplepetstore.com/oauth2callback.

Accedere all'istanza tramite la rete ibrida utilizzando un endpoint

Dopo aver configurato il dominio personalizzato, per accedere all'istanza da un ambiente on-premise o da un altro ambiente del provider cloud (in altre parole, tramite la connettività ibrida), svolgi i seguenti passaggi:

  1. Esponi Looker (Google Cloud core) tramite un endpoint Private Service Connect.
  2. Pubblicizza l'endpoint in ambienti multi-cloud e on-premise.
  3. Configura il DNS.

Panoramica sul networking

In un ambiente di rete ibrida, sono necessari i seguenti componenti di rete:

Inoltre, dovrai configurare il DNS per l'accesso.

Private Service Connect consente ai consumer di accedere ai servizi gestiti in privato dall'interno della loro rete VPC o tramite reti ibride. Consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti VPC separate e di offrire una connessione privata ai propri consumer. Ad esempio, quando utilizzi Private Service Connect per accedere a Looker (Google Cloud core), sei il consumatore del servizio e Looker (Google Cloud core) è il producer di servizi.

Looker (Google Cloud core) di cui è stato eseguito il deployment con Private Service Connect supporta gli endpoint.

Un esempio di configurazione di rete dell'endpoint Private Service Connect è mostrato nel seguente diagramma:

L'architettura di rete per accedere a un'istanza di Looker (Google Cloud core) on-premise.

Nell'esempio, l'ambiente on-premise è connesso a un progetto host Google Cloud tramite Cloud Interconnect, con instradamento tramite un router cloud a un endpoint Private Service Connect, che si connette a un allegato di servizio in una VPC del produttore gestita da Google. Un VPC condiviso ospita Cloud DNS per la risoluzione dell'API.

Ruoli obbligatori

Role

Descrizione

Amministratore rete Compute (roles/compute.networkAdmin)

Concedi il controllo completo sulla rete VPC che avvia una connessione a un'istanza di Looker (Google Cloud core).

Service Directory Editor (roles/servicedirectory.editor)

Crea endpoint Private Service Connect.

Amministratore di Looker (roles/looker.admin)

Concedi il controllo completo sulle risorse di Looker (Google Cloud core), inclusa la creazione di un'istanza abilitata per Private Service Connect e la creazione di un dominio personalizzato.

Amministratore DNS (roles/dns.admin) (facoltativo)

Concede il controllo completo sulle risorse Cloud DNS, inclusi record e zone DNS.

Crea un endpoint Private Service Connect per Looker (Google Cloud core)

Segui le istruzioni per creare un endpoint Private Service Connect all'interno di una rete VPC. Assicurati che la rete sia consentita in entrata per l'istanza di Looker (Google Cloud core) e segui queste linee guida:

  • Imposta il campo Servizio target (per la console Google Cloud) o la variabile SERVICE_ATTACHMENT (se segui le istruzioni dell'API o di Google Cloud CLI) sull'URI dell'attacco del servizio Looker, che puoi trovare eseguendo il seguente comando:

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    Sostituisci quanto segue:

    • INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
  • Puoi utilizzare qualsiasi subnet ospitata nella stessa regione dell'istanza di Looker (Google Cloud core).

  • Non attivare l'accesso globale.

Per visualizzare i dettagli dell'endpoint dopo la creazione, segui le istruzioni per la visualizzazione dei dettagli dell'endpoint.

Pubblicizza l'endpoint in ambienti multi-cloud e on-premise

Utilizza Cloud Router per pubblicizzare l'indirizzo IP dell'endpoint Private Service Connect alla tua rete on-premise o a un altro ambiente.

Quando esegui il deployment degli endpoint di Private Service Connect, viene utilizzata una sottorete normale all'interno del Virtual Private Cloud (VPC) del consumer. Questa subnet viene annunciata automaticamente dal router Cloud. Tuttavia, se pubblicizzi in modo selettivo subnet personalizzate tramite router Cloud, assicurati di modificare la configurazione del router Cloud in modo da includere l'indirizzo IP o la subnet dell'endpoint Private Service Connect.

Assicurati che il firewall on-premise (o di un altro ambiente) consenta il traffico in uscita all'indirizzo IP o alla sottorete dell'endpoint Private Service Connect, tenendo conto delle considerazioni relative alla rete ibrida.

Configurare il DNS

Quando configuri il DNS, puoi utilizzare una delle due seguenti opzioni:

  • Aggiorna il DNS on-premise in modo che sia autorevole per il dominio personalizzato di Looker (Google Cloud core) mappato all'indirizzo IP dell'endpoint Private Service Connect.
  • Crea una zona privata Cloud DNS, crea un insieme di record utilizzando l'indirizzo IP allocato per l'endpoint Private Service Connect e abilita il forwarding DNS in entrata per consentire al tuo VPC di essere autorevole per il dominio personalizzato di Looker (Google Cloud core) mappato all'indirizzo IP dell'endpoint Private Service Connect.

Passaggi successivi