Cette documentation explique comment utiliser Private Service Connect pour configurer le routage des clients vers Looker (Google Cloud Core), également appelé trafic en direction du nord.
Créer un domaine personnalisé
La première étape après la création de l'instance Looker (Google Cloud Core) consiste à configurer un domaine personnalisé et à mettre à jour les identifiants OAuth de l'instance. Les sections suivantes vous guident tout au long du processus.
Lorsque vous créez un domaine personnalisé pour des instances avec adresse IP privée (Private Service Connect), il doit répondre aux exigences suivantes :
- Le domaine personnalisé doit comporter au moins trois parties, y compris au moins un sous-domaine. Par exemple,
subdomain.domain.com. - Le domaine personnalisé ne doit contenir aucun des éléments suivants:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Définir un domaine personnalisé
Une fois votre instance Looker (Google Cloud Core) créée, vous pouvez configurer un domaine personnalisé.
Avant de commencer
Pour pouvoir personnaliser le domaine de votre instance Looker (Google Cloud Core), vous devez identifier l'emplacement de stockage des enregistrements DNS de votre domaine afin de pouvoir les mettre à jour.
Rôles requis
Pour obtenir les autorisations nécessaires pour créer un domaine personnalisé pour une instance Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle IAM Administrateur Looker (roles/looker.admin) sur le projet dans lequel se trouve l'instance.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer un domaine personnalisé
Dans la console Google Cloud, procédez comme suit pour personnaliser le domaine de votre instance Looker (Google Cloud Core) :
- Sur la page Instances, cliquez sur le nom de l'instance pour laquelle vous souhaitez configurer un domaine personnalisé.
- Cliquez sur l'onglet DOMAINE PERSONNALISÉ.
Cliquez sur AJOUTER UN DOMAINE PERSONNALISÉ.
Le panneau Ajouter un domaine personnalisé s'ouvre.
N'utilisez que des lettres, des chiffres et des tirets. Saisissez un nom d'hôte comportant jusqu'à 64 caractères pour le domaine Web que vous voulez utiliser (par exemple,
looker.examplepetstore.com).
Cliquez sur OK dans le panneau Ajouter un domaine personnalisé pour revenir à l'onglet DOMAINE PERSONNALISÉ.
Une fois configuré, votre domaine personnalisé s'affiche dans la colonne Domaine de l'onglet Domaine personnalisé de la page Informations sur l'instance de la console Google Cloud.
Une fois votre domaine personnalisé créé, vous pouvez afficher des informations le concernant ou le supprimer.
Mettre à jour les identifiants OAuth
- Accédez à votre client OAuth en accédant à API et Services > Identifiants et en sélectionnant l'ID client OAuth du client OAuth utilisé par votre instance Looker (Google Cloud Core).
Cliquez sur le bouton Ajouter un URI pour modifier le champ Origines JavaScript autorisées de votre client OAuth afin d'y inclure le même nom DNS que celui que votre organisation utilisera pour accéder à Looker (Google Cloud Core). Par exemple, si votre domaine personnalisé est
looker.examplepetstore.com, saisissezlooker.examplepetstore.comcomme URI.
Mettez à jour ou ajoutez le domaine personnalisé à la liste des URI de redirection autorisés pour les identifiants OAuth que vous avez utilisés lorsque vous avez créé l'instance Looker (Google Cloud Core). Ajoutez
/oauth2callbackà la fin de l'URI. Par exemple, si votre domaine personnalisé estlooker.examplepetstore.com, saisissezlooker.examplepetstore.com/oauth2callback.
Accéder à l'instance via un réseau hybride à l'aide d'un point de terminaison
Après avoir configuré le domaine personnalisé, procédez comme suit pour accéder à l'instance depuis un environnement sur site ou depuis un autre environnement de fournisseur cloud (autrement dit, via une mise en réseau hybride) :
- Exposez Looker (Google Cloud Core) via un point de terminaison Private Service Connect.
- Annoncez le point de terminaison dans des environnements multicloud et sur site.
- Configurez le DNS.
Présentation de la mise en réseau
Dans un environnement de réseau hybride, les composants réseau suivants sont requis :
- Cloud Router
- Produits de mise en réseau hybride, tels que le VPN haute disponibilité, Cloud Interconnect et le SD-WAN
De plus, vous devez configurer un DNS pour y accéder.
Private Service Connect permet aux clients d'accéder à des services gérés en mode privé depuis leur réseau VPC ou via un réseau hybride. Il permet aux producteurs de services gérés d'héberger ces services dans leurs propres réseaux VPC distincts et de proposer une connexion privée à leurs clients. Par exemple, lorsque vous utilisez Private Service Connect pour accéder à Looker (Google Cloud Core), vous êtes le client du service et Looker (Google Cloud Core) est le producteur de services.
Looker (Google Cloud Core) déployé avec Private Service Connect est compatible avec les points de terminaison.
Un exemple de configuration réseau de point de terminaison Private Service Connect est illustré dans le schéma suivant :
Dans l'exemple, l'environnement sur site est connecté à un projet hôte Google Cloud via Cloud Interconnect, qui achemine le trafic via un Cloud Router vers un point de terminaison Private Service Connect, qui se connecte à un rattachement de service dans un VPC producteur géré par Google. Un VPC partagé héberge Cloud DNS pour la résolution de l'API.
Rôles requis
Rôle |
Description |
Administrateur de réseaux Compute |
Accorde un contrôle total sur le réseau VPC qui lance une connexion à une instance Looker (Google Cloud Core). |
Éditeur de l'annuaire des services |
Créez des points de terminaison Private Service Connect. |
Administrateur Looker |
Accorde un contrôle total sur les ressources Looker (Google Cloud Core), y compris la création d'une instance activée pour Private Service Connect et la création d'un domaine personnalisé. |
Administrateur DNS |
Accorde un contrôle total sur les ressources Cloud DNS, y compris les zones et enregistrements DNS. |
Créer un point de terminaison Private Service Connect pour Looker (Google Cloud Core)
Suivez les instructions pour créer un point de terminaison Private Service Connect au sein d'un réseau VPC. Assurez-vous que le réseau est autorisé à entrer dans votre instance Looker (Google Cloud Core) et suivez ces consignes :
Définissez le champ Service cible (pour la console Google Cloud) ou la variable
SERVICE_ATTACHMENT(si vous suivez les instructions de la Google Cloud CLI ou de l'API) sur l'URI d'attachement du service Looker, que vous pouvez trouver en exécutant la commande suivante :gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Remplacez les éléments suivants :
INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core).REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée.
Vous pouvez utiliser n'importe quel sous-réseau hébergé dans la même région que l'instance Looker (Google Cloud Core).
N'activez pas l'accès mondial.
Pour afficher les détails du point de terminaison après sa création, suivez les instructions pour afficher les détails du point de terminaison.
Annoncer le point de terminaison dans les environnements multicloud et sur site
Utilisez Cloud Router pour annoncer l'adresse IP du point de terminaison Private Service Connect à votre réseau sur site ou à un autre environnement.
Lorsque vous déployez des points de terminaison Private Service Connect, un sous-réseau standard est utilisé dans le cloud privé virtuel (VPC) du client. Ce sous-réseau est automatiquement annoncé par Cloud Router. Toutefois, si vous faites la promotion de sous-réseaux personnalisés de manière sélective via Cloud Router, veillez à modifier sa configuration afin d'inclure l'adresse IP ou le sous-réseau du point de terminaison Private Service Connect.
Assurez-vous que votre pare-feu sur site (ou d'un autre environnement) autorise le trafic sortant vers l'adresse IP ou le sous-réseau du point de terminaison Private Service Connect, tout en tenant compte des considérations relatives aux réseaux hybrides.
Configurer le DNS
Lors de la configuration du DNS, vous pouvez utiliser l'une des deux options suivantes:
- Mettez à jour le DNS sur site afin qu'il fasse autorité pour le domaine personnalisé Looker (Google Cloud Core) mappé à l'adresse IP du point de terminaison Private Service Connect.
- Créez une zone privée Cloud DNS, créez un jeu d'enregistrements à l'aide de l'adresse IP allouée au point de terminaison Private Service Connect, puis activez le transfert DNS entrant pour que votre VPC fasse autorité pour le domaine personnalisé Looker (Google Cloud Core) mappé à l'adresse IP du point de terminaison Private Service Connect.
Étape suivante
- Connecter Looker (Google Cloud Core) à votre base de données
- Préparer une instance Looker (Google Cloud Core) pour les utilisateurs
- Gérer les utilisateurs dans Looker (Google Cloud Core)