Accès Northbound à une instance Looker (Google Cloud Core) à l'aide de Private Service Connect

Cette documentation explique comment utiliser Private Service Connect pour configurer le routage des clients vers Looker (Google Cloud Core), également appelé trafic Northbound.

Créer un domaine personnalisé

La première étape après la création de l'instance Looker (Google Cloud Core) consiste à configurer un domaine personnalisé et à mettre à jour les identifiants OAuth de l'instance. Les sections suivantes vous guident tout au long du processus.

Lorsque vous créez un domaine personnalisé pour des instances avec adresse IP privée (Private Service Connect), il doit répondre aux exigences suivantes:

  • Le domaine personnalisé doit comporter au moins trois parties, y compris au moins un sous-domaine. Par exemple, subdomain.domain.com.
  • Le domaine personnalisé ne doit pas contenir les éléments suivants :
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

Définir un domaine personnalisé

Une fois votre instance Looker (Google Cloud Core) créée, vous pouvez configurer un domaine personnalisé.

Avant de commencer

Avant de pouvoir personnaliser le domaine de votre instance Looker (Google Cloud Core), identifiez l'emplacement où sont stockés les enregistrements DNS de votre domaine afin de pouvoir les mettre à jour.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer un domaine personnalisé pour une instance Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle IAM Administrateur Looker (roles/looker.admin) sur le projet dans lequel se trouve l'instance. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un domaine personnalisé

Dans la console Google Cloud, procédez comme suit pour personnaliser le domaine de votre instance Looker (Google Cloud Core) :

  1. Sur la page Instances, cliquez sur le nom de l'instance pour laquelle vous souhaitez configurer un domaine personnalisé.
  2. Cliquez sur l'onglet DOMAINE PERSONNALISÉ.
  3. Cliquez sur AJOUTER UN DOMAINE PERSONNALISÉ.

    Le panneau Ajouter un domaine personnalisé s'ouvre.

  4. Saisissez le nom d'hôte (jusqu'à 64 caractères) du domaine Web que vous souhaitez utiliser, en utilisant uniquement des lettres, des chiffres et des tirets (par exemple, looker.examplepetstore.com).

  5. Cliquez sur OK dans le panneau Ajouter un domaine personnalisé pour revenir à l'onglet DOMAINE PERSONNALISÉ.

Une fois votre domaine personnalisé configuré, il s'affiche dans la colonne Domaine de l'onglet DOMAINE PERSONNALISÉ de la page d'informations sur l'instance Looker (Google Cloud Core) dans la console Google Cloud.

Une fois votre domaine personnalisé créé, vous pouvez afficher des informations le concernant ou le supprimer.

Mettre à jour les identifiants OAuth

  1. Pour accéder à votre client OAuth, accédez à API et services > Identifiants dans la console Google Cloud, puis sélectionnez l'ID client OAuth du client OAuth utilisé par votre instance Looker (Google Cloud core).
  2. Cliquez sur le bouton Ajouter un URI pour mettre à jour le champ Origines JavaScript autorisées de votre client OAuth afin d'y inclure le même nom DNS que celui que votre organisation utilisera pour accéder à Looker (Google Cloud Core). Par exemple, si votre domaine personnalisé est looker.examplepetstore.com, saisissez looker.examplepetstore.com comme URI.

  3. Mettez à jour ou ajoutez le domaine personnalisé à la liste des URI de redirection autorisés pour les identifiants OAuth que vous avez utilisés lorsque vous avez créé l'instance Looker (Google Cloud Core). Ajoutez /oauth2callback à la fin de l'URI. Par exemple, si votre domaine personnalisé est looker.examplepetstore.com, saisissez looker.examplepetstore.com/oauth2callback.

Accéder à l'instance via un réseau hybride à l'aide d'un point de terminaison

Une fois que vous avez configuré le domaine personnalisé, procédez comme suit pour accéder à l'instance depuis un environnement sur site ou depuis un autre environnement de fournisseur cloud (autrement dit, via un réseau hybride) :

  1. Exposez Looker (Google Cloud Core) via un point de terminaison Private Service Connect.
  2. Annoncez le point de terminaison dans les environnements multicloud et sur site.
  3. Configurez le DNS.

Présentation de la mise en réseau

Dans un environnement de réseau hybride, les composants réseau suivants sont requis:

Vous devrez également configurer le DNS pour y accéder.

Private Service Connect permet aux clients d'accéder à des services gérés en mode privé depuis leur réseau VPC ou via un réseau hybride. Il permet aux producteurs de services gérés d'héberger ces services dans leurs propres réseaux VPC distincts et de proposer une connexion privée à leurs clients. Par exemple, lorsque vous utilisez Private Service Connect pour accéder à Looker (Google Cloud Core), vous êtes le client du service et Looker (Google Cloud Core) est le producteur de services.

Looker (Google Cloud Core) déployé avec Private Service Connect est compatible avec les points de terminaison.

Un exemple de configuration réseau de point de terminaison Private Service Connect est illustré dans le schéma suivant:

Architecture réseau permettant d'accéder à une instance Looker (Google Cloud Core) sur site.

Dans l'exemple, l'environnement sur site est connecté à un Google Cloud projet hôte via Cloud Interconnect, qui achemine le trafic via un Cloud Router vers un point de terminaison Private Service Connect, qui se connecte à un rattachement de service dans un VPC producteur géré par Google. Un VPC partagé héberge Cloud DNS pour la résolution des API.

Rôles requis

Rôle

Description

Administrateur de réseaux Compute (roles/compute.networkAdmin)

Accorde un contrôle total sur le réseau VPC qui lance une connexion à une instance Looker (Google Cloud Core).

Éditeur de l'annuaire des services (roles/servicedirectory.editor)

Créez des points de terminaison Private Service Connect.

Administrateur Looker (roles/looker.admin)

Accorde un contrôle total sur les ressources Looker (Google Cloud Core), y compris la création d'une instance activée pour Private Service Connect et la création d'un domaine personnalisé.

Administrateur DNS (roles/dns.admin) (facultatif)

Accorde un contrôle total sur les ressources Cloud DNS, y compris les zones et enregistrements DNS.

Créer un point de terminaison Private Service Connect pour Looker (Google Cloud Core)

Suivez les instructions pour créer un point de terminaison Private Service Connect dans un réseau VPC. Assurez-vous que le réseau est autorisé à entrer dans votre instance Looker (Google Cloud Core) et suivez ces consignes:

  • Définissez le champ Service cible (pour la console Google Cloud) ou la variable SERVICE_ATTACHMENT (si vous suivez les instructions de la Google Cloud CLI ou de l'API) sur l'URI d'attachement du service Looker, que vous pouvez trouver en exécutant la commande suivante:

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    Remplacez les éléments suivants :

    • INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).
    • REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
  • Vous pouvez utiliser n'importe quel sous-réseau hébergé dans la même région que l'instance Looker (Google Cloud Core).

  • N'activez pas l'accès mondial.

Pour afficher les détails du point de terminaison après sa création, suivez les instructions pour afficher les détails du point de terminaison.

Annoncer le point de terminaison dans les environnements multicloud et sur site

Utilisez Cloud Router pour annoncer l'adresse IP du point de terminaison Private Service Connect à votre réseau sur site ou à un autre environnement.

Lorsque vous déployez des points de terminaison Private Service Connect, un sous-réseau standard est utilisé dans le cloud privé virtuel (VPC) du client. Ce sous-réseau est automatiquement annoncé par Cloud Router. Toutefois, si vous annoncez de manière sélective des sous-réseaux personnalisés via Cloud Router, veillez à modifier la configuration de Cloud Router pour inclure l'adresse IP ou le sous-réseau du point de terminaison Private Service Connect.

Assurez-vous que votre pare-feu sur site (ou d'un autre environnement) autorise le trafic sortant vers l'adresse IP ou le sous-réseau du point de terminaison Private Service Connect, tout en tenant compte des considérations liées au réseau hybride.

Configurer le DNS

Lorsque vous configurez le DNS, vous pouvez utiliser l'une des deux options suivantes:

  • Mettez à jour le DNS sur site pour qu'il soit autoritaire pour le domaine personnalisé Looker (Google Cloud Core) mappé sur l'adresse IP du point de terminaison Private Service Connect.
  • Créez une zone privée Cloud DNS, créez un ensemble d'enregistrements à l'aide de l'adresse IP allouée au point de terminaison Private Service Connect, puis activez le transfert DNS entrant pour autoriser votre VPC à être autoritaire pour le domaine personnalisé Looker (Google Cloud Core) mappé sur l'adresse IP du point de terminaison Private Service Connect.

Étape suivante