Zugriff nach Norden auf eine Looker (Google Cloud Core)-Instanz mit Private Service Connect

In dieser Dokumentation wird erläutert, wie Sie mit Private Service Connect das Routing von Clients zu Looker (Google Cloud Core) konfigurieren, auch als Northbound-Traffic bezeichnet.

Benutzerdefinierte Domain erstellen

Nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde, müssen Sie zuerst eine benutzerdefinierte Domain einrichten und die OAuth-Anmeldedaten für die Instanz aktualisieren. In den nächsten Abschnitten werden Sie durch den Prozess geführt.

Wenn Sie eine benutzerdefinierte Domain für private IP-Instanzen (Private Service Connect) erstellen, muss die benutzerdefinierte Domain die folgenden Anforderungen erfüllen:

• Die benutzerdefinierte Domain muss aus mindestens drei Teilen bestehen und mindestens eine Subdomain enthalten. Beispiel: subdomain.domain.com.
• Die benutzerdefinierte Domain darf keines der folgenden Elemente enthalten:
  • looker.com
  • google.com
  • googleapis.com
  • gcr.io
  • pkg.dev

Benutzerdefinierte Domain einrichten

Nachdem Ihre Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie eine benutzerdefinierte Domain einrichten.

Hinweise

Bevor Sie die Domain Ihrer Looker-Instanz (Google Cloud Core) anpassen können, müssen Sie herausfinden, wo die DNS-Einträge Ihrer Domain gespeichert sind, damit Sie sie aktualisieren können.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Looker Admin (roles/looker.admin) für das Projekt zuzuweisen, in dem sich die Instanz befindet, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer benutzerdefinierten Domain für eine Looker (Google Cloud Core)-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Benutzerdefinierte Domain erstellen

Führen Sie in der Google Cloud Console die folgenden Schritte aus, um die Domain Ihrer Looker (Google Cloud Core)-Instanz anzupassen:

1. Klicken Sie auf der Seite Instanzen auf den Namen der Instanz, für die Sie eine benutzerdefinierte Domain einrichten möchten.
2. Klicken Sie auf den Tab BENUTZERDEFINIERTE DOMAIN.

3. Klicken Sie auf BENUTZERDEFINIERTE DOMAIN HINZUFÜGEN.

   

   Daraufhin wird der Bereich Neue benutzerdefinierte Domain hinzufügen geöffnet.

4. Geben Sie den Hostnamen mit bis zu 64 Zeichen für die gewünschte Webdomain ein. Verwenden Sie dabei nur Buchstaben, Ziffern und Bindestriche, z. B. looker.examplepetstore.com.

   

5. Klicken Sie im Bereich Neue benutzerdefinierte Domain hinzufügen auf FERTIG, um zum Tab BENUTZERDEFINIERTE DOMAIN zurückzukehren.

Nach der Einrichtung wird Ihre benutzerdefinierte Domain in der Spalte Domain auf dem Tab Benutzerdefinierte Domain der Detailseite der Instanz in der Google Cloud Console angezeigt.

Nachdem Ihre benutzerdefinierte Domain erstellt wurde, können Sie Informationen dazu aufrufen oder sie löschen.

OAuth-Anmeldedaten aktualisieren

1. Greifen Sie auf Ihren OAuth-Client zu, indem Sie in der Google Cloud Console zu APIs und Dienste > Anmeldedaten und wählen Sie die OAuth-Client-ID für den OAuth-Client aus, der von Ihrer Looker (Google Cloud Core)-Instanz verwendet wird.

2. Klicken Sie auf die Schaltfläche URI hinzufügen, um das Feld Autorisierte JavaScript-Quellen in Ihrem OAuth-Client zu aktualisieren und denselben DNS-Namen anzugeben, den Ihre Organisation für den Zugriff auf Looker (Google Cloud Core) verwendet. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com als URI ein.

   

3. Aktualisieren Sie die benutzerdefinierte Domain oder fügen Sie sie der Liste der autorisierten Weiterleitungs-URIs für die OAuth-Anmeldedaten hinzu, die Sie beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet haben. Fügen Sie am Ende des URIs /oauth2callback hinzu. Wenn Ihre benutzerdefinierte Domain beispielsweise looker.examplepetstore.com lautet, geben Sie looker.examplepetstore.com/oauth2callback ein.

   

Über einen Endpunkt auf die Instanz über ein Hybridnetzwerk zugreifen

Nachdem Sie die benutzerdefinierte Domain eingerichtet haben, führen Sie die folgenden Schritte aus, um von der lokalen Umgebung oder der Umgebung eines anderen Cloud-Anbieters (mit anderen Worten über ein Hybridnetzwerk) auf die Instanz zuzugreifen:

1. Looker (Google Cloud Core) über einen Private Service Connect-Endpunkt verfügbar machen
2. Bieten Sie den Endpunkt für Multi-Cloud- und lokale Umgebungen an.
3. Richten Sie das DNS ein.

Netzwerkübersicht

In einer hybriden Netzwerkumgebung sind die folgenden Netzwerkkomponenten erforderlich:

• Cloud Router
• Hybride Netzwerkprodukte wie HA-VPN, Cloud Interconnect und SD-WAN

Für den Zugriff müssen Sie außerdem das DNS einrichten.

Mit Private Service Connect können Nutzer privat aus ihrem VPC-Netzwerk oder über ein Hybridnetzwerk auf verwaltete Dienste zugreifen. Damit können Ersteller verwalteter Dienste diese Dienste in ihren eigenen separaten VPC-Netzwerken hosten und ihren Nutzern eine private Verbindung anbieten. Wenn Sie beispielsweise Private Service Connect verwenden, um auf Looker (Google Cloud Core) zuzugreifen, sind Sie der Dienstnutzer und Looker (Google Cloud Core) ist der Dienstersteller.

Looker (Google Cloud Core), das mit Private Service Connect bereitgestellt wird, unterstützt Endpunkte.

Das folgende Diagramm zeigt ein Beispiel für die Netzwerkeinrichtung eines Private Service Connect-Endpunkts:

In diesem Beispiel ist die lokale Umgebung über Cloud Interconnect mit einem Google Cloud-Hostprojekt verbunden, das über einen Cloud Router an einen Private Service Connect-Endpunkt weitergeleitet wird, der mit einem Dienstanhang in einem von Google verwalteten VPC des Dienstanbieters verbunden ist. In einer freigegebenen VPC wird Cloud DNS für die API-Auflösung gehostet.

Erforderliche Rollen

Rolle	Beschreibung
Compute-Netzwerkadministrator (roles/compute.networkAdmin)	Vollständige Kontrolle über das VPC-Netzwerk, das eine Verbindung zu einer Looker-Instanz (Google Cloud Core) initiiert.
Service Directory-Bearbeiter (roles/servicedirectory.editor)	Private Service Connect-Endpunkte erstellen
Looker Admin (roles/looker.admin)	Gewährt die vollständige Kontrolle über Looker (Google Cloud Core)-Ressourcen, einschließlich der Erstellung einer Instanz, die für Private Service Connect aktiviert ist, und der Erstellung einer benutzerdefinierten Domain.
DNS-Administrator (roles/dns.admin) (optional)	Vollständige Kontrolle über Cloud DNS-Ressourcen, einschließlich DNS-Zonen und ‑Einträgen.

Private Service Connect-Endpunkt für Looker (Google Cloud Core) erstellen

Folgen Sie der Anleitung zum Erstellen eines Private Service Connect-Endpunkts in einem VPC-Netzwerk. Achten Sie darauf, dass das Netzwerk Zugriff auf Ihre Looker-Instanz (Google Cloud Core) hat, und beachten Sie die folgenden Richtlinien:

• Legen Sie das Feld Zieldienst (für die Google Cloud Console) oder die Variable SERVICE_ATTACHMENT (falls Sie der Anleitung für die Google Cloud CLI oder API folgen) auf den URI der Looker-Dienstanwendung fest. Sie können ihn mit dem folgenden Befehl ermitteln:

  gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

  Ersetzen Sie Folgendes:

  • INSTANCE_NAME: der Name Ihrer Looker (Google Cloud Core)-Instanz.
  • REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird.

• Sie können jedes Subnetz verwenden, das in derselben Region wie die Looker (Google Cloud Core)-Instanz gehostet wird.

• Aktivieren Sie nicht den globalen Zugriff.

Wenn Sie die Endpunktdetails nach dem Erstellen aufrufen möchten, folgen Sie der Anleitung unter Endpunktdetails aufrufen.

Endpunkt für Multi-Cloud- und lokale Umgebungen bewerben

Verwenden Sie Cloud Router, um die IP-Adresse des Private Service Connect-Endpunkts Ihrem lokalen Netzwerk oder einer anderen Umgebung anzubieten.

Wenn Sie Private Service Connect-Endpunkte bereitstellen, wird ein reguläres Subnetz innerhalb der Virtual Private Cloud (VPC) des Nutzers verwendet. Dieses Subnetz wird automatisch vom Cloud Router beworben. Wenn Sie jedoch selektiv benutzerdefinierte Subnetze über den Cloud Router angeben, müssen Sie die Cloud Router-Konfiguration so ändern, dass die IP-Adresse oder das Subnetz des Private Service Connect-Endpunkts enthalten ist.

Achten Sie darauf, dass Ihre lokale Firewall oder die Firewall einer anderen Umgebung ausgehenden Traffic zur IP-Adresse oder zum Subnetz des Private Service Connect-Endpunkts zulässt. Berücksichtigen Sie dabei Überlegungen zu Hybridnetzwerken.

DNS einrichten

Sie haben beim Einrichten des DNS zwei Möglichkeiten:

• Aktualisieren Sie das lokale DNS, damit es für die benutzerdefinierte Looker-Domain (Google Cloud Core) verbindlich ist, die der IP-Adresse des Private Service Connect-Endpunkts zugeordnet ist.
• Erstellen Sie eine private Cloud DNS-Zone, erstellen Sie einen Datensatz mit der IP-Adresse, die dem Private Service Connect-Endpunkt zugewiesen ist, und aktivieren Sie die eingehende DNS-Weiterleitung, damit Ihre VPC für die benutzerdefinierte Looker-Domain (Google Cloud Core) maßgebend ist, die der IP-Adresse des Private Service Connect-Endpunkts zugeordnet ist.

Nächste Schritte

• Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
• Looker (Google Cloud Core)-Instanz für Nutzer vorbereiten
• Nutzer in Looker (Google Cloud Core) verwalten