Neste documento, explicamos como usar o Private Service Connect para configurar o roteamento de clientes para o Looker (núcleo do Google Cloud), também chamado de tráfego no sentido norte.
Criar um domínio personalizado
A primeira etapa após a criação da instância do Looker (Google Cloud Core) é configurar um domínio personalizado e atualizar as credenciais do OAuth para a instância. As próximas seções explicam o processo.
Quando você cria um domínio personalizado para instâncias de IP privado (Private Service Connect), ele precisa atender aos seguintes requisitos:
- O domínio personalizado precisa ter pelo menos três partes, incluindo pelo menos um subdomínio. Por exemplo,
subdomain.domain.com - O domínio personalizado não pode conter:
- looker.com
- google.com
- googleapis.com
- gcr.io
- pkg.dev
Configurar um domínio personalizado
Depois que sua instância do Looker (Google Cloud Core) for criada, você poderá configurar um domínio personalizado.
Antes de começar
Antes de personalizar o domínio da sua instância do Looker (Google Cloud Core), identifique onde os registros DNS do domínio estão armazenados para atualizá-los.
Funções exigidas
Para ter as permissões necessárias para criar um domínio personalizado para uma instância do Looker (Google Cloud Core),
peça ao administrador para conceder a você
Administrador do Looker (roles/looker.admin) no projeto em que a instância reside.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar um domínio personalizado
No console do Google Cloud, siga estas etapas para personalizar o domínio da sua instância do Looker (Google Cloud Core):
- Na página Instâncias, clique no nome da instância em que você quer configurar um domínio personalizado.
- Clique na guia DOMÍNIO PERSONALIZADO.
Clique em ADICIONAR UM DOMÍNIO PERSONALIZADO.
O painel Adicionar um novo domínio personalizado será aberto.
Usando apenas letras, números e traços, insira o nome do host de até 64 caracteres para o domínio da Web que você quer usar. Por exemplo:
looker.examplepetstore.com.
Clique em CONCLUÍDO no painel Adicionar um novo domínio personalizado para retornar à guia DOMÍNIO PERSONALIZADO.
Depois de configurado, o domínio personalizado vai aparecer na coluna Domínio da guia Domínio personalizado da página de detalhes da instância no console do Google Cloud.
Após criar o domínio personalizado, você poderá ver informações sobre ele ou excluir o domínio.
Atualizar as credenciais do OAuth
- No console do Google Cloud, acesse APIs e Serviços > Credenciais e selecione o ID do cliente OAuth usado pela sua instância do Looker (Google Cloud Core).
Clique no botão Adicionar URI para atualizar o campo Origens JavaScript autorizadas no cliente OAuth e incluir o mesmo nome DNS que a organização vai usar para acessar o Looker (Google Cloud Core). Por exemplo, se o domínio personalizado for
looker.examplepetstore.com, insiralooker.examplepetstore.comcomo o URI.
Atualize ou adicione o domínio personalizado à lista de URIs de redirecionamento autorizados para as credenciais do OAuth que você usou ao criar a instância do Looker (Google Cloud Core). Adicione
/oauth2callbackao final do URI. Por exemplo, se o domínio personalizado forlooker.examplepetstore.com, insiralooker.examplepetstore.com/oauth2callback.
Acesse a instância em uma rede híbrida usando um endpoint
Depois de configurar o domínio personalizado, para acessar a instância no local ou de outro ambiente de provedor de nuvem (em outras palavras, por meio de uma rede híbrida), execute as seguintes etapas:
- Exponha o Looker (Google Cloud Core) usando um endpoint do Private Service Connect.
- Anunciar o endpoint para ambientes multicloud e locais.
- Configure o DNS.
Visão geral da rede
Em um ambiente de rede híbrida, os seguintes componentes de rede são necessários:
- Cloud Router
- Produtos de rede híbrida, como HA-VPN, Cloud Interconnect e SD-WAN
Além disso, você precisará configurar o DNS para ter acesso.
O Private Service Connect permite que consumidores acessem serviços gerenciados de maneira particular de dentro de suas rede VPC ou por meio de uma rede híbrida. Ele permite que os produtores de serviços gerenciados hospedem esses serviços em redes VPC separadas e ofereçam uma conexão particular aos consumidores. Por exemplo, quando você usa o Private Service Connect para acessar o Looker (Google Cloud Core), você é o consumidor de serviços e o Looker (Google Cloud Core) é o produtor de serviços.
O Looker (Google Cloud Core) implantado com o Private Service Connect é compatível com endpoints.
Um exemplo de configuração de rede de endpoint do Private Service Connect é mostrado no diagrama a seguir:
No exemplo, o ambiente local está conectado a um projeto host do Google Cloud pelo Cloud Interconnect, roteando por um Cloud Router para um endpoint do Private Service Connect, que se conecta a um anexo de serviço em uma VPC de produtor gerenciada pelo Google. Uma VPC compartilhada hospeda o Cloud DNS para resolução de API.
Funções exigidas
Papel |
Descrição |
Administrador de rede do Compute |
Concede controle total sobre a rede VPC que inicia uma conexão com uma instância do Looker (Google Cloud Core). |
Editor do Diretório de serviços |
Criar endpoints do Private Service Connect. |
Administrador do Looker |
Concede controle total sobre os recursos do Looker (Google Cloud Core), incluindo a criação de uma instância ativada para o Private Service Connect e um domínio personalizado. |
Administrador do DNS |
Concede controle total sobre os recursos do Cloud DNS, incluindo zonas e registros DNS. |
Criar um endpoint do Private Service Connect para o Looker (Google Cloud Core)
Siga as instruções para criar um endpoint do Private Service Connect em uma rede VPC. Verifique se a rede tem permissão para entrar na sua instância do Looker (Google Cloud Core) e siga estas diretrizes:
Defina o campo Serviço de destino (no console do Google Cloud) ou a variável
SERVICE_ATTACHMENT(se seguir as instruções da API ou da Google Cloud CLI) como o URI do anexo de serviço do Looker, que pode ser encontrado executando este comando:gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
Substitua:
INSTANCE_NAME: o nome da sua instância do Looker (Google Cloud Core).REGION: a região em que sua instância do Looker (Google Cloud Core) está hospedada.
É possível usar qualquer sub-rede hospedada na mesma região da instância do Looker (Google Cloud Core).
Não ative o acesso global.
Para acessar os detalhes do endpoint após a criação, siga as instruções para ver os detalhes do endpoint.
Anunciar o endpoint em ambientes locais e de várias nuvens
Use o Cloud Router para divulgar o endereço IP do endpoint do Private Service Connect na sua rede local ou em outro ambiente.
Ao implantar endpoints do Private Service Connect, uma sub-rede regular na nuvem privada virtual (VPC) do consumidor é usada. Essa sub-rede é divulgada automaticamente pelo Cloud Router. No entanto, se você estiver anunciando seletivamente sub-redes personalizadas pelo Cloud Router, modifique a configuração do Cloud Router para incluir o endereço IP ou a sub-rede do endpoint do Private Service Connect.
Verifique se o firewall local (ou de outro ambiente) permite o tráfego de saída para o endereço IP ou a sub-rede do endpoint do Private Service Connect, considerando as considerações de rede híbrida.
Configurar o DNS
Ao configurar o DNS, você pode usar uma das duas opções a seguir:
- Atualize o DNS local para ser autoritativo para o domínio personalizado do Looker (Google Cloud Core) mapeado para o endereço IP do endpoint do Private Service Connect.
- Crie uma zona privada do Cloud DNS, crie um conjunto de registros usando o endereço IP alocado para o endpoint do Private Service Connect e ative o encaminhamento de DNS de entrada para permitir que sua VPC seja autoritativa para o domínio personalizado do Looker (Google Cloud Core) que é mapeado para o endereço IP do endpoint do Private Service Connect.
A seguir
- Conectar o Looker (Google Cloud Core) ao seu banco de dados
- Preparar uma instância do Looker (Google Cloud Core) para usuários
- Gerenciar usuários no Looker (Google Cloud Core)