Accesso in direzione nord a un'istanza di Looker (Google Cloud core) utilizzando Private Service Connect

Questa documentazione spiega come utilizzare Private Service Connect per configurare il routing dai client a Looker (Google Cloud core), chiamato anche traffico in uscita.

Creare un dominio personalizzato

Il primo passaggio dopo la creazione dell'istanza di Looker (Google Cloud core) consiste nel configurare un dominio personalizzato e aggiornare le credenziali OAuth per l'istanza. Le sezioni seguenti illustrano la procedura.

Quando crei un dominio personalizzato per le istanze con IP privato (Private Service Connect), il dominio personalizzato deve soddisfare i seguenti requisiti:

  • Il dominio personalizzato deve essere composto da almeno tre parti, tra cui almeno un sottodominio. Ad esempio, subdomain.domain.com.
  • Il dominio personalizzato non deve contenere nessuno dei seguenti elementi:
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

Configurazione di un dominio personalizzato

Dopo aver creato l'istanza di Looker (Google Cloud core), puoi configurare un dominio personalizzato.

Prima di iniziare

Prima di poter personalizzare il dominio della tua istanza Looker (Google Cloud core), identifica dove sono archiviati i record DNS del tuo dominio per poterli aggiornare.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un dominio personalizzato per un'istanza di Looker (Google Cloud core), chiedi all'amministratore di concederti Ruolo IAM Amministratore Looker (roles/looker.admin) nel progetto in cui risiede l'istanza. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Crea un dominio personalizzato

Nella console Google Cloud, segui questi passaggi per personalizzare il dominio dell'istanza di Looker (Google Cloud core):

  1. Nella pagina Istanze, fai clic sul nome dell'istanza per cui vuoi configurare un dominio personalizzato.
  2. Fai clic sulla scheda DOMINO PERSONALIZZATO.
  3. Fai clic su AGGIUNGI UN DOMINIO PERSONALIZZATO.

    Si apre il riquadro Aggiungi un nuovo dominio personalizzato.

  4. Utilizzando solo lettere, numeri e trattini, inserisci il nome host di massimo 64 caratteri per il dominio web che vuoi utilizzare, ad esempio: looker.examplepetstore.com.

  5. Fai clic su FINE nel riquadro Aggiungi un nuovo dominio personalizzato per tornare alla scheda DOMINIO PERSONALIZZATO.

Una volta configurato, il dominio personalizzato viene visualizzato nella colonna Dominio della scheda Dominio personalizzato della pagina dei dettagli dell'istanza della console Google Cloud.

Dopo aver creato il dominio personalizzato, puoi visualizzarne le informazioni o eliminarlo.

Aggiornare le credenziali OAuth

  1. Accedi al client OAuth selezionando API e servizi > Credenziali nella console Google Cloud e selezionando l'ID client OAuth utilizzato dall'istanza Looker (core Google Cloud).
  2. Fai clic sul pulsante Aggiungi URI per aggiornare il campo Origini JavaScript autorizzate nel client OAuth in modo da includere lo stesso nome DNS che la tua organizzazione utilizzerà per accedere a Looker (componente principale di Google Cloud). Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, inserisci looker.examplepetstore.com come URI.

  3. Aggiorna o aggiungi il dominio personalizzato all'elenco di URI di reindirizzamento autorizzati per le credenziali OAuth che hai utilizzato durante la creazione dell'istanza di Looker (Google Cloud core). Aggiungi /oauth2callback alla fine dell'URI. Ad esempio, se il tuo dominio personalizzato è looker.examplepetstore.com, inserisci looker.examplepetstore.com/oauth2callback.

Accedi all'istanza su un networking ibrido utilizzando un endpoint

Dopo aver configurato il dominio personalizzato, per accedere all'istanza da un ambiente on-premise o da un altro ambiente del provider cloud (in altre parole, tramite la connettività ibrida), svolgi i seguenti passaggi:

  1. Esponi Looker (Google Cloud core) tramite un endpoint Private Service Connect.
  2. Pubblicizza l'endpoint in ambienti multi-cloud e on-premise.
  3. Configura il DNS.

Panoramica sul networking

In un ambiente di networking ibrido, sono richiesti i seguenti componenti di rete:

Inoltre, dovrai configurare il DNS per l'accesso.

Private Service Connect consente ai consumer di accedere ai servizi gestiti in privato dall'interno della loro rete VPC o tramite la rete ibrida. Consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti VPC separate e di offrire una connessione privata ai propri consumer. Ad esempio, quando utilizzi Private Service Connect per accedere a Looker (Google Cloud core), sei il consumer di servizi e Looker (Google Cloud core) è il producer di servizi.

Looker (Google Cloud core) di cui è stato eseguito il deployment con Private Service Connect supporta gli endpoint.

Il diagramma seguente mostra un esempio di configurazione della rete di endpoint Private Service Connect:

L'architettura di rete per accedere a un'istanza di Looker (Google Cloud core) da on-premise.

Nell'esempio, l'ambiente on-premise è connesso a un progetto host Google Cloud tramite Cloud Interconnect, con il routing attraverso un router Cloud a un endpoint Private Service Connect, che si connette a un collegamento a un servizio in un VPC del produttore gestito da Google. Un VPC condiviso ospita Cloud DNS per la risoluzione API.

Ruoli obbligatori

Role

Descrizione

Amministratore rete Compute (roles/compute.networkAdmin)

Concede il controllo completo sulla rete VPC che avvia una connessione a un'istanza di Looker (Google Cloud core).

Service Directory Editor (roles/servicedirectory.editor)

Crea endpoint Private Service Connect.

Amministratore Looker (roles/looker.admin)

Concedi il controllo completo sulle risorse di Looker (Google Cloud core), inclusa la creazione di un'istanza abilitata per Private Service Connect e la creazione di un dominio personalizzato.

Amministratore DNS (roles/dns.admin) (facoltativo)

Concede il controllo completo sulle risorse Cloud DNS, inclusi record e zone DNS.

Crea un endpoint Private Service Connect per Looker (Google Cloud core)

Segui le istruzioni per creare un endpoint Private Service Connect all'interno di una rete VPC. Assicurati che la rete sia consentita in entrata per l'istanza di Looker (Google Cloud core) e segui queste linee guida:

  • Imposta il campo Servizio di destinazione (per la console Google Cloud) o la variabile SERVICE_ATTACHMENT (se segui le istruzioni dell'API o di Google Cloud CLI) sull'URI dell'attacco del servizio Looker, che puoi trovare eseguendo il seguente comando:

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    Sostituisci quanto segue:

    • INSTANCE_NAME: il nome dell'istanza di Looker (Google Cloud core).
    • REGION: la regione in cui è ospitata l'istanza di Looker (Google Cloud core).
  • Puoi utilizzare qualsiasi subnet ospitata nella stessa regione dell'istanza di Looker (Google Cloud core).

  • Non abilitare l'accesso globale.

Per visualizzare i dettagli dell'endpoint dopo la creazione, segui le istruzioni per la visualizzazione dei dettagli dell'endpoint.

Pubblicizza l'endpoint in ambienti multi-cloud e on-premise

Utilizza Cloud Router per pubblicizzare l'indirizzo IP dell'endpoint Private Service Connect alla tua rete on-premise o a un altro ambiente.

Quando esegui il deployment degli endpoint Private Service Connect, viene utilizzata una subnet normale all'interno del Virtual Private Cloud (VPC) consumer. Questa subnet è annunciata automaticamente dal router Cloud. Tuttavia, se pubblicizzi in modo selettivo subnet personalizzate tramite Cloud Router, assicurati di modificare la configurazione di Cloud Router in modo da includere l'indirizzo IP o la subnet dell'endpoint Private Service Connect.

Assicurati che il firewall on-premise (o di un altro ambiente) consenta il traffico in uscita verso l'indirizzo IP o la subnet dell'endpoint Private Service Connect, tenendo conto delle considerazioni sul networking ibrido.

Configurare il DNS

Durante la configurazione del DNS, puoi utilizzare una delle due opzioni seguenti:

  • Aggiorna il DNS on-premise in modo che sia autorevole per il dominio personalizzato di Looker (Google Cloud core) mappato all'indirizzo IP dell'endpoint Private Service Connect.
  • Crea una zona privata Cloud DNS, crea un insieme di record utilizzando l'indirizzo IP allocato per l'endpoint Private Service Connect e attiva il forwarding DNS in entrata per consentire al tuo VPC di essere autorevole per il dominio personalizzato di Looker (Google Cloud core) mappato all'indirizzo IP dell'endpoint Private Service Connect.

Passaggi successivi