1. परिचय
Looker (Google Cloud Core) की मदद से, Google Cloud Console की मदद से Looker इंस्टेंस को आसान और बेहतर तरीके से प्रावधान किया जा सकता है, कॉन्फ़िगर किया जा सकता है, और मैनेज किया जा सकता है. कुछ मामलों में, कंसोल से एडमिन के तौर पर किए जाने वाले काम भी किए जा सकते हैं.
Looker (Google Cloud Core) के इंस्टेंस के लिए, तीन नेटवर्क कॉन्फ़िगरेशन उपलब्ध हैं:
- सार्वजनिक: नेटवर्क कनेक्शन, इंटरनेट से ऐक्सेस किए जा सकने वाले किसी बाहरी आईपी पते का इस्तेमाल करता है.
- निजी: इंटरनेट कनेक्शन, Google के होस्ट किए गए वर्चुअल प्राइवेट क्लाउड (VPC) आईपी पते का इस्तेमाल करता है.
- सार्वजनिक और निजी: नेटवर्क कनेक्शन, सार्वजनिक आईपी पते और निजी आईपी पते, दोनों का इस्तेमाल करता है. इसमें आने वाले ट्रैफ़िक को सार्वजनिक आईपी से और बाहर जाने वाले ट्रैफ़िक को निजी आईपी से रूट किया जाता है.
ट्यूटोरियल में, आपको एचए वीपीएन के ज़रिए ऑन-प्रीमिस वीपीसी से Looker को कनेक्ट करने के लिए, एंड-टू-एंड प्राइवेट नेटवर्क डिप्लॉय करना होगा. इस नेटवर्क को कई क्लाउड और ऑन-प्रीमिस कनेक्टिविटी की ज़रूरतों को पूरा करने के लिए, डुप्लीकेट किया जा सकता है.
Looker (Google Cloud Core), निजी आईपी के साथ उन इंस्टेंस के लिए काम करता है जो नीचे दी गई शर्तें पूरी करते हैं:
- इंस्टेंस के वर्शन, Enterprise या एम्बेड होने चाहिए.
आपको क्या बनाना होगा
इस ट्यूटोरियल में बताया गया है कि एक स्टैंडअलोन VPC में, पूरी जानकारी वाला निजी Looker नेटवर्क डिप्लॉयमेंट कैसे किया जाता है, जिसमें मल्टी क्लाउड और कंपनी की इमारत में हाइब्रिड कनेक्टिविटी होती है.
आपको कंपनी की इमारत में एनवायरमेंट दिखाने के लिए, on-prem-vpc नाम का VPC नेटवर्क सेट अप करना होगा. डिप्लॉयमेंट के लिए, ऑन-प्रीमाइज़ वीपीसी मौजूद नहीं होगा. इसके बजाय, आपके ऑन-प्रीमाइज़ डेटा सेंटर या क्लाउड सेवा देने वाली कंपनी के लिए हाइब्रिड नेटवर्किंग का इस्तेमाल किया जाएगा.
ट्यूटोरियल के मुख्य चरण यहां दिए गए हैं
- us-central1 में स्टैंडअलोन VPC बनाना
- निजी सेवा ऐक्सेस के लिए आईपी सबनेट असाइन करना
- Looker इंस्टेंस को अलग VPC में डिप्लॉय करना
- ऑन-प्रीमिस वीपीसी और हाइब्रिड नेटवर्किंग बनाना
- BGP के ज़रिए Looker आईपी रेंज का विज्ञापन देना और उसकी पुष्टि करना
- Looker और PostgreSQL डेटा कम्यूनिकेशन को इंटिग्रेट करना और उसकी पुष्टि करना
Figure1
आपको क्या सीखने को मिलेगा
- VPC और उससे जुड़ी हाइब्रिड नेटवर्किंग बनाने का तरीका
- Looker को स्टैंडअलोन वीपीसी में डिप्लॉय करने का तरीका
- कंपनी की इमारत में वीपीसी और उससे जुड़ी हाइब्रिड नेटवर्किंग की सुविधा कैसे बनाएं
- एचए वीपीएन के बजाय, कंपनी की इमारत में मौजूद प्रोटोकॉल को Analytics-वीपीएस से कनेक्ट करें
- हाइब्रिड नेटवर्किंग की मदद से, Looker सबनेट का विज्ञापन दिखाने का तरीका
- हाइब्रिड नेटवर्किंग इंफ़्रास्ट्रक्चर को मॉनिटर करने का तरीका
- PostgreSQL डेटाबेस को Looker Cloud Core के साथ इंटिग्रेट करने का तरीका
आपको इन चीज़ों की ज़रूरत होगी
- Google Cloud प्रोजेक्ट
IAM अनुमतियां
2. शुरू करने से पहले
ट्यूटोरियल की मदद करने के लिए, प्रोजेक्ट अपडेट करना
इस ट्यूटोरियल में, Cloud Shell में gcloud कॉन्फ़िगरेशन लागू करने में मदद करने के लिए, $variables का इस्तेमाल किया गया है.
Cloud Shell के अंदर, यह तरीका अपनाएं:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. VPC सेटअप
Analytics-vpc बनाएं
Cloud Shell के अंदर, यह तरीका अपनाएं:
gcloud compute networks create analytics-vpc --project=$projectid --subnet-mode=custom
ऑन-प्रीम-वीपीसी बनाना
Cloud Shell में, ये काम करें:
gcloud compute networks create on-prem-vpc --project=$projectid --subnet-mode=custom
Postgresql का डेटाबेस सबनेट बनाएं
Cloud Shell में, ये काम करें:
gcloud compute networks subnets create database-subnet-us-central1 --project=$projectid --range=172.16.10.0/27 --network=on-prem-vpc --region=us-central1
Cloud राऊटर और NAT का कॉन्फ़िगरेशन
Cloud NAT का इस्तेमाल सॉफ़्टवेयर पैकेज इंस्टॉल करने के लिए ट्यूटोरियल में किया जाता है, क्योंकि डेटाबेस वीएम इंस्टेंस में कोई बाहरी आईपी पता नहीं होता है.
Cloud Shell के अंदर, Cloud राऊटर बनाएं.
gcloud compute routers create on-prem-cr-us-central1-nat --network on-prem-vpc --region us-central1
Cloud Shell के अंदर, NAT गेटवे बनाएं.
gcloud compute routers nats create on-prem-nat-us-central1 --router=on-prem-cr-us-central1-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
डेटाबेस टेस्ट इंस्टेंस बनाना
postgres-database इंस्टेंस बनाएं. इसका इस्तेमाल, Looker से कनेक्टिविटी की जांच करने और उसकी पुष्टि करने के लिए किया जाएगा.
Cloud Shell के अंदर, इंस्टेंस बनाएं.
gcloud compute instances create postgres-database \
--project=$projectid \
--zone=us-central1-a \
--machine-type=e2-medium \
--subnet=database-subnet-us-central1 \
--no-address \
--image=projects/ubuntu-os-cloud/global/images/ubuntu-2304-lunar-amd64-v20230621 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt -y install postgresql postgresql-client postgresql-contrib -y"
फ़ायरवॉल के नियम बनाएं
आईएपी को अपने वीएम इंस्टेंस से कनेक्ट करने की अनुमति देने के लिए, फ़ायरवॉल का ऐसा नियम बनाएं जो:
- यह उन सभी वीएम इंस्टेंस पर लागू होता है जिन्हें आपको आईएपी का इस्तेमाल करके ऐक्सेस करना है.
- 35.235.240.0/20 आईपी रेंज से आने वाले ट्रैफ़िक को अनुमति देता है. इस रेंज में वे सभी आईपी पते शामिल होते हैं जिनका इस्तेमाल IAP, टीसीपी फ़ॉरवर्डिंग के लिए करता है.
Cloud Shell से
gcloud compute firewall-rules create on-prem-ssh \
--network on-prem-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
4. निजी सेवा का ऐक्सेस
निजी सेवाओं का ऐक्सेस, आपके VPC नेटवर्क और Google या तीसरे पक्ष के मालिकाना हक वाले नेटवर्क के बीच एक निजी कनेक्शन होता है. Google या तीसरे पक्ष की ऐसी इकाइयां जो सेवाएं देती हैं, उन्हें सेवा प्रोड्यूसर भी कहा जाता है. Looker Cloud Core, सेवा देने वाली कंपनी है.
निजी कनेक्शन, आपके VPC नेटवर्क में वीएम इंस्टेंस को चालू करता है. साथ ही, यह उन सेवाओं को भी चालू करता है जिनका ऐक्सेस आपके पास इंटरनल आईपी पतों का इस्तेमाल करके, खास तौर पर बातचीत करने के लिए होता है.
निजी सेवाओं के ऐक्सेस का इस्तेमाल करने के लिए, आपको अपने VPC नेटवर्क में आईपी पते की सीमा (सीआईडीआर ब्लॉक) अलॉकेट करनी होगी. इसके बाद, सेवा देने वाली कंपनी के साथ निजी कनेक्शन बनाना होगा.
सेवाओं के लिए आईपी पते की सीमा तय करना
निजी कनेक्शन बनाने से पहले, आपको आईपीवी4 पते की एक रेंज को ऐलोकेट करना होगा. इसका इस्तेमाल, सेवा देने वाली कंपनी के वीपीसी नेटवर्क के लिए किया जाएगा. इससे यह पक्का होता है कि आपके VPC नेटवर्क और सेवा प्रोड्यूसर के नेटवर्क के बीच कोई आईपी पता एक जैसा नहीं है.
VPC नेटवर्क में कोई रेंज तय करने पर, उस रेंज को कस्टम स्टैटिक रूट के सबनेट और डेस्टिनेशन (प्राइमरी और सेकंडरी रेंज) के लिए अनुमति नहीं मिलती.
निजी सेवाओं के ऐक्सेस के साथ IPv6 आईपी पते की सीमाओं का इस्तेमाल नहीं किया जा सकता.
Google Cloud Console में अपने प्रोजेक्ट के लिए, Service Networking API चालू करें. एपीआई को चालू करते समय, हो सकता है कि आपको कंसोल पेज को रीफ़्रेश करके इस बात की पुष्टि करनी पड़े कि एपीआई चालू हो गया है.
आईपी ऐलोकेशन बनाना
पते की रेंज और प्रीफ़िक्स की लंबाई (सबनेट मास्क) तय करने के लिए, पतों और प्रीफ़िक्स की लंबाई के फ़्लैग का इस्तेमाल करें. उदाहरण के लिए, सीआईडीआर ब्लॉक 192.168.0.0/22 को बांटने के लिए, पते के लिए 192.168.0.0 और प्रीफ़िक्स की लंबाई के लिए 22 तय करें.
Cloud Shell में, Looker के लिए आईपी पता तय करें.
gcloud compute addresses create psa-range-looker \
--global \
--purpose=VPC_PEERING \
--addresses=192.168.0.0 \
--prefix-length=22 \
--description="psa range for looker" \
--network=analytics-vpc
Cloud Shell में, आईपी ऐलोकेशन की पुष्टि करें.
gcloud compute addresses list --global --filter="purpose=VPC_PEERING"
उदाहरण:
userl@cloudshell$ gcloud compute addresses list --global --filter="purpose=VPC_PEERING"
NAME: psa-range-looker
ADDRESS/RANGE: 192.168.0.0/22
TYPE: INTERNAL
PURPOSE: VPC_PEERING
NETWORK: analytics-vpc
REGION:
SUBNET:
STATUS: RESERVED
निजी कनेक्शन बनाना
तय की गई रेंज बनाने के बाद, सेवा देने वाली कंपनी, Looker Cloud Core से निजी कनेक्शन बनाया जा सकता है. Looker इंस्टेंस बनने के बाद, निजी कनेक्शन आपके VPC नेटवर्क और सेवा प्रोड्यूसर के नेटवर्क के बीच VPC नेटवर्क पीयरिंग कनेक्शन बनाता है.
निजी कनेक्शन, आपके VPC नेटवर्क और सेवा देने वाली कंपनी के बीच एक-से-एक संबंध होते हैं. अगर सेवा देने वाला एक प्रोड्यूसर कई सेवाएं देती है, तो आपको प्रोड्यूसर की सभी सेवाओं के लिए सिर्फ़ एक निजी कनेक्शन की ज़रूरत होगी.
अगर एक से ज़्यादा सेवा देने वाली कंपनियों से कनेक्ट किया जाता है, तो हर सेवा देने वाली कंपनी के लिए यूनीक ऐलोकेशन का इस्तेमाल करें. इस तरीके से, हर सेवा देने वाले के लिए नेटवर्क की सेटिंग मैनेज की जा सकती हैं. जैसे, रूट और फ़ायरवॉल के नियम.
Cloud Shell में, निजी कनेक्शन बनाएं और ऑपरेशन के नाम को नोट करें.
gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=psa-range-looker \
--network=analytics-vpc
उदाहरण:
user@cloudshell$ gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=psa-range-looker \
--network=analytics-vpc
Operation "operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea" finished successfully.
Cloud Shell के अंदर, देखें कि कार्रवाई पूरी हुई या नहीं. OPERATION_NAME को पिछले चरण में जनरेट किए गए नाम से बदलें.
gcloud services vpc-peerings operations describe \
--name=OPERATION_NAME
उदाहरण:
user@cloudshell$ gcloud services vpc-peerings operations describe \
--name=operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea
Operation "operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea" finished successfully.
5. Looker (Google Cloud Core) इंस्टेंस बनाना
शुरू करने से पहले
Google Cloud Console में, अपने प्रोजेक्ट के लिए Looker API को चालू करें. ऐसा हो सकता है कि एपीआई को चालू करते समय, आपको कंसोल पेज को रीफ़्रेश करके इस बात की पुष्टि करनी पड़े कि एपीआई चालू हो गया है.
इंस्टेंस की पुष्टि करने और उसे ऐक्सेस करने के लिए, OAuth क्लाइंट सेट अप करें.
नीचे दिए गए सेक्शन में, आपको Looker इंस्टेंस बनाने के लिए OAuth क्लाइंट आईडी और सीक्रेट का इस्तेमाल करना होगा.
अनुमति वाले JavaScript ऑरिजिन और रीडायरेक्ट यूआरआई की ज़रूरत नहीं है.
दिए गए स्क्रीनशॉट के आधार पर, Cloud Console में इंस्टेंस बनाएं.
LOOKER → इंस्टेंस बनाएं पर जाएं
पहले से बनाए गए OAuth क्लाइंट आईडी और सीक्रेट को पॉप्युलेट करें.
बनाएं को चुनें
इंस्टेंस बनने के दौरान, आपको कंसोल में इंस्टेंस पेज पर रीडायरेक्ट कर दिया जाएगा. अपने नए इंस्टेंस की स्थिति देखने के लिए, आपको पेज को रीफ़्रेश करना पड़ सकता है. Google Cloud कंसोल के मेन्यू में सूचना आइकॉन पर क्लिक करके, इंस्टेंस बनाने से जुड़ी गतिविधि देखी जा सकती है. इंस्टेंस बनने के दौरान, Google Cloud Console के मेन्यू में सूचनाओं के आइकॉन के चारों ओर लोडिंग आइकॉन दिखेगा.
Looker इंस्टेंस बनने के बाद, एक इंस्टेंस यूआरएल जनरेट होता है. यूआरएल को नोट कर लें.
6. OAuth 2.0 क्लाइंट आईडी अपडेट करना
नीचे दिए गए सेक्शन में, आपको इंस्टेंस यूआरएल में /oauth2callback जोड़कर, पहले बनाए गए OAuth क्लाइंट आईडी अनुमति वाले रीडायरेक्ट यूआरआई को अपडेट करना होगा.
इसके बाद, Looker के यूज़र इंटरफ़ेस (यूआई) में लॉग इन करने के लिए, इंस्टेंस यूआरएल का इस्तेमाल किया जा सकता है.
Cloud Console में, एपीआई और सेवाएं → क्रेडेंशियल पर जाएं
अपना OAuth 2.0 क्लाइंट आईडी चुनें और अपने इंस्टेंस यूआरएल को अपडेट करें. उदाहरण यहां दिया गया है:
7. Looker ऐक्सेस की पुष्टि करें
Cloud Console में, Looker पर जाएं और अपने इंस्टेंस यूआरएल को चुनें. इससे Looker यूज़र इंटरफ़ेस (यूआई) खुलेगा.
लॉन्च होने के बाद, आपको नीचे दिए गए स्क्रीनशॉट के मुताबिक लैंडिंग पेज दिखेगा. इससे Looker Cloud Core के ऐक्सेस की पुष्टि होगी.
8. हाइब्रिड कनेक्टिविटी
नीचे दिए गए सेक्शन में, एक क्लाउड राऊटर बनाया जाएगा. इसकी मदद से, बॉर्डर गेटवे प्रोटोकॉल (बीजीपी) का इस्तेमाल करके, अपने वर्चुअल प्राइवेट क्लाउड (वीपीसी) और मिलते-जुलते ऐप्लिकेशन के नेटवर्क के बीच, डाइनैमिक तरीके से रूट शेयर करने की सुविधा मिलेगी.
Cloud राऊटर में आपके नेटवर्क को कनेक्ट करने के लिए, Cloud VPN टनल पर बीजीपी सेशन सेट अप किया जा सकता है. यह नए सबनेट आईपी पते की रेंज को अपने-आप पहचानकर, आपके मिलते-जुलते ऐप्लिकेशन को उनके बारे में बताता है.
ट्यूटोरियल में, Looker पर निजी कनेक्टिविटी के बारे में जानकारी देने के लिए, analytics-vpc और on-prem-vpc के बीच एचए वीपीएन को डिप्लॉय किया जाएगा.
analytics-vpc के लिए, एचए वीपीएन जीडब्ल्यू बनाएं
हर गेटवे बनाने पर, दो बाहरी IPv4 पते अपने-आप असाइन हो जाते हैं. इनमें से एक पता हर गेटवे इंटरफ़ेस के लिए होता है. कॉन्फ़िगरेशन के चरणों में बाद में इस्तेमाल करने के लिए, इन आईपी पतों को नोट कर लें.
Cloud Shell के अंदर, HA VPN GW बनाएं
gcloud compute vpn-gateways create analytics-vpn-gw \
--network=analytics-vpc\
--region=us-central1
ऑन-प्रीमिस वीपीसी के लिए, एचए वीपीएन जीडब्ल्यू बनाएं
हर गेटवे बनाने पर, दो बाहरी IPv4 पते अपने-आप असाइन हो जाते हैं. इनमें से एक पता हर गेटवे इंटरफ़ेस के लिए होता है. कॉन्फ़िगरेशन के चरणों में बाद में इस्तेमाल करने के लिए, इन आईपी पतों को नोट कर लें.
Cloud Shell के अंदर, HA VPN GW बनाएं.
gcloud compute vpn-gateways create on-prem-vpn-gw \
--network=on-prem-vpc\
--region=us-central1
एचए वीपीएन जीडब्ल्यू बनाने की पुष्टि करना
कंसोल का इस्तेमाल करके, HYBRID कनेक्टिविटी → वीपीएन → इसकी मदद से क्लाउड वीपीएन GATEWAYS पर जाएं.
analytics-vpc के लिए क्लाउड राउटर बनाना
Cloud Shell के अंदर, us-central1 में मौजूद Cloud राऊटर बनाएं
gcloud compute routers create analytics-cr-us-central1 \
--region=us-central1 \
--network=analytics-vpc\
--asn=65001
कंपनी की इमारत के लिए क्लाउड राऊटर बनाएं
Cloud Shell के अंदर, us-central1 में मौजूद Cloud राऊटर बनाएं
gcloud compute routers create on-prem-cr-us-central1 \
--region=us-central1 \
--network=on-prem-vpc \
--asn=65002
Analytics-vpc के लिए वीपीएन टनल बनाना
आपको हर एचए वीपीएन गेटवे पर दो वीपीएन टनल बनाने होंगे.
वीपीएन टनल0 बनाएं
Cloud Shell में, tunnel0 बनाएं:
gcloud compute vpn-tunnels create analytics-vpc-tunnel0 \
--peer-gcp-gateway on-prem-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router analytics-cr-us-central1 \
--vpn-gateway analytics-vpn-gw \
--interface 0
वीपीएन टनल1 बनाएं
Cloud Shell में, tunnel1 बनाएं:
gcloud compute vpn-tunnels create analytics-vpc-tunnel1 \
--peer-gcp-gateway on-prem-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router analytics-cr-us-central1 \
--vpn-gateway analytics-vpn-gw \
--interface 1
ऑन-प्रीम-वीपीसी के लिए वीपीएन टनल बनाना
आपको हर एचए वीपीएन गेटवे पर दो वीपीएन टनल बनाने होंगे.
वीपीएन टनल0 बनाएं
Cloud Shell में, tunnel0 बनाएं:
gcloud compute vpn-tunnels create on-prem-tunnel0 \
--peer-gcp-gateway analytics-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router on-prem-cr-us-central1 \
--vpn-gateway on-prem-vpn-gw \
--interface 0
वीपीएन टनल1 बनाएं
Cloud Shell के अंदर, टनल बनाएं1:
gcloud compute vpn-tunnels create on-prem-tunnel1 \
--peer-gcp-gateway analytics-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router on-prem-cr-us-central1 \
--vpn-gateway on-prem-vpn-gw \
--interface 1
वीपीएन टनल बनाने की पुष्टि करना
कंसोल का इस्तेमाल करके, HYBRID CONNECTIVITY → VPN → CLOUD VPN TUNNELS पर जाएं.
9. BGP नेबर सेट अप करना
BGP सेशन बनाना
इस सेक्शन में, Cloud Router इंटरफ़ेस और बीजीपी पीयर को कॉन्फ़िगर किया जाता है.
Analytics-vpc के लिए पीयरिंग और BGP इंटरफ़ेस तैयार करना
Cloud Shell में, BGP इंटरफ़ेस बनाएं:
gcloud compute routers add-interface analytics-cr-us-central1 \
--interface-name if-tunnel0-to-onprem \
--ip-address 169.254.1.1 \
--mask-length 30 \
--vpn-tunnel analytics-vpc-tunnel0 \
--region us-central1
Cloud Shell के अंदर, BGP पीयर बनाएं:
gcloud compute routers add-bgp-peer analytics-cr-us-central1 \
--peer-name bgp-on-premises-tunnel0 \
--interface if-tunnel1-to-onprem \
--peer-ip-address 169.254.1.2 \
--peer-asn 65002 \
--region us-central1
Cloud Shell में, BGP इंटरफ़ेस बनाएं:
gcloud compute routers add-interface analytics-cr-us-central1 \
--interface-name if-tunnel1-to-onprem \
--ip-address 169.254.2.1 \
--mask-length 30 \
--vpn-tunnel analytics-vpc-tunnel1 \
--region us-central1
Cloud Shell में, BGP पीयर बनाएं:
gcloud compute routers add-bgp-peer analytics-cr-us-central1 \
--peer-name bgp-on-premises-tunnel1 \
--interface if-tunnel2-to-onprem \
--peer-ip-address 169.254.2.2 \
--peer-asn 65002 \
--region us-central1
BGP इंटरफ़ेस बनाएं और कंपनी की इमारत के लिए पीयरिंग करें
Cloud Shell के अंदर, BGP इंटरफ़ेस बनाएं:
gcloud compute routers add-interface on-prem-cr-us-central1 \
--interface-name if-tunnel0-to-analytics-vpc \
--ip-address 169.254.1.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel0 \
--region us-central1
Cloud Shell के अंदर, BGP पीयर बनाएं:
gcloud compute routers add-bgp-peer on-prem-cr-us-central1 \
--peer-name bgp-analytics-vpc-tunnel0 \
--interface if-tunnel1-to-analytics-vpc \
--peer-ip-address 169.254.1.1 \
--peer-asn 65001 \
--region us-central1
Cloud Shell में, BGP इंटरफ़ेस बनाएं:
gcloud compute routers add-interface on-prem-cr-us-central1 \
--interface-name if-tunnel1-to-analytics-vpc \
--ip-address 169.254.2.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel1 \
--region us-central1
Cloud Shell में, BGP पियर बनाएं:
gcloud compute routers add-bgp-peer on-prem-cr-us-central1 \
--peer-name bgp-analytics-vpc-tunnel1\
--interface if-tunnel2-to-analytics-vpc \
--peer-ip-address 169.254.2.1 \
--peer-asn 65001 \
--region us-central1
वीपीएन टनल की जानकारी देखने के लिए, हाइब्रिड कनेक्टिविटी → वीपीएन पर जाएं.
एचए वीपीएन पर, Analytics-vpc के सीखे गए रूट की पुष्टि करें
एचए वीपीएन टनल और बीजीपी सेशन एक साथ सेट हो चुके हैं. इसलिए, वीडियो की ऑन-प्रेम-वीपीसी से रूट करने के लिए, Analytics-vPC से डेटा इकट्ठा किया जाता है. कंसोल का इस्तेमाल करके, VPC नेटवर्क → VPC नेटवर्क → analytics-vpc → रूट → क्षेत्र → us-central1 → व्यू पर जाएं
देखें कि analytics-vpc ने on-prem-vpc database-subnet-us-central1 172.16.10.0/27 से रूट सीख लिए हैं
पुष्टि करें कि ऑन-प्रीमिस वीपीसी ने एचए वीपीएन के ज़रिए रूट नहीं सीखे हैं
analytics-vpc में कोई सबनेट नहीं है. इसलिए, Cloud Router, on-prem-vpc को किसी भी सबनेट का विज्ञापन नहीं दिखाएगा. कंसोल का इस्तेमाल करके, VPC नेटवर्क → VPC नेटवर्क → on-prem-vpc → ROUTES → Region → us-central1 → VIEW पर जाएं
10. ऑन-प्रीमिस में Looker सबनेट का विज्ञापन देना
analytics-cr-us-central1 क्लाउड राउटर, Looker निजी सेवा ऐक्सेस (पीएसए) सबनेट का अपने-आप विज्ञापन नहीं करता, क्योंकि सबनेट को VPC के बजाय पीएसए को असाइन किया गया है.
आपको PSA सबनेट 192.168.0.0/22 (psa-range-looker) के लिए, analytics-cr-central1 से कस्टम रूट विज्ञापन बनाना होगा. इस विज्ञापन का इस्तेमाल, ऑन-प्राइमिस एनवायरमेंट में किया जाएगा. साथ ही, Looker को ऐक्सेस करने के लिए, वर्कलोड इसका इस्तेमाल करेंगे.
कंसोल से, HYBRID कनेक्टिविटी → क्लाउड राऊटर → analytics-cr-us-central1 पर जाएं. इसके बाद, बदलाव करें को चुनें.
विज्ञापन वाले रूट सेक्शन में, कस्टम रूट बनाएं विकल्प चुनें. इसके बाद, नीचे दिए गए उदाहरण के आधार पर फ़ील्ड अपडेट करें. इसके बाद, हो गया चुनें और सेव करें पर क्लिक करें.
11. पुष्टि करना कि कंपनी की इमारत के vpc ने Looker सबनेट को समझ लिया है
on-prem-vpc अब Looker PSA सबनेट को ऐक्सेस कर पाएगा, क्योंकि इसे कस्टम रूट विज्ञापन के तौर पर analytics-cr-us-central1 से विज्ञापन दिया गया है.
कंसोल का इस्तेमाल करके, VPC NETWORK → VPC NETWORKS → on-prem-vpc → ROUTES → Region → us-central1 → VIEW पर जाएं
analytics-vpc से विज्ञापन में दिखाए गए Looker रूट को देखें:
12. मौजूदा VPC पीयरिंग की पुष्टि करें
Looker Cloud Core और analytics-vpc के बीच का कनेक्शन, वीपीएन पीयरिंग की मदद से होता है. इससे, बीजीपी के ज़रिए सीखे गए कस्टम रूट का एक्सचेंज किया जा सकता है. ट्यूटोरियल में, analytics-vpc को उन रूट को Looker पर पब्लिश करना होगा जिनके बारे में कंपनी की ऑन-प्रेम-वीपीसी से सीखी गई थी. इस सुविधा को चालू करने के लिए, वीपीसी पीयरिंग को कस्टम रूट एक्सपोर्ट करने के लिए अपडेट करना ज़रूरी है.
इंपोर्ट और एक्सपोर्ट किए गए मौजूदा रूट की पुष्टि करें.
VPC नेटवर्क → VPC NETWORK PEERING → servicenetworking-googleapis-com पर जाएं
नीचे दिए गए स्क्रीनशॉट में बताया गया है कि Google की ओर से मैनेज किए जाने वाले पीयर्ड vpc नेटवर्किंग, servicesnetworking से psa-range-looker को इंपोर्ट करने के बारे में जानकारी देने वाला analytics-vpc.
चुने गए एक्सपोर्ट किए गए रूट, पीयर किए गए VPC नेटवर्क में एक्सपोर्ट किए गए किसी भी रूट का पता नहीं लगाते 1) सबनेट, analytics-vpc में कॉन्फ़िगर नहीं किए गए हैं 2) कस्टम रूट एक्सपोर्ट करने का विकल्प नहीं चुना गया
13. VPC पीयरिंग अपडेट करना
VPC नेटवर्क → VPC NETWORK PEERING → servicenetworking-googleapis-com → EDIT पर जाएं
कस्टम रूट एक्सपोर्ट करें → सेव करें को चुनें
14. अपडेट किए गए VPC पीयरिंग की पुष्टि करना
एक्सपोर्ट किए गए रूट की पुष्टि करें.
VPC नेटवर्क → VPC NETWORK PEERING → servicenetworking-googleapis-com पर जाएं
एक्सपोर्ट किए गए चुनिंदा रूट से पता चलता है कि Analytics-vpc की मदद से, कंपनी की इमारत में मौजूद वीपीसी रूट (डेटाबेस सबनेट 172.16.10.0/27) को पीयर किए गए VPC नेटवर्किंग में होस्ट करने वाले Looker में एक्सपोर्ट किया जाता है.
15. Looker postgres-database creation
नीचे दिए गए सेक्शन में, आपको Cloud Shell का इस्तेमाल करके postgres-database vm में एसएसएच करना होगा.
Cloud Shell के अंदर, postgres-database इंस्टेंस** के लिए ssh चलाएं.**
gcloud compute ssh --zone "us-central1-a" "postgres-database" --project "$projectid"
ओएस के अंदर, postgres-database इंस्टेंस के आईपी पते (ens4) की पहचान करें और उसे नोट करें.
ip a
उदाहरण:
user@postgres-database:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc mq state UP group default qlen 1000
link/ether 42:01:ac:10:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 172.16.10.2/32 metric 100 scope global dynamic ens4
valid_lft 84592sec preferred_lft 84592sec
inet6 fe80::4001:acff:fe10:a02/64 scope link
valid_lft forever preferred_lft forever
ओएस के अंदर, postgresql में लॉग इन करें.
sudo -u postgres psql postgres
ओएस में, पासवर्ड डालने के लिए कहा गया प्रॉम्प्ट डालें.
\password postgres
ओएस के अंदर, पासवर्ड को postgres पर सेट करें (एक ही पासवर्ड दो बार डालें)
postgres
उदाहरण:
user@postgres-database:~$ sudo -u postgres psql postgres
\password postgres
psql (13.11 (Debian 13.11-0+deb11u1))
Type "help" for help.
postgres=# \password postgres
Enter new password for user "postgres":
Enter it again:
ओएस में, postgres से बाहर निकलें.
\q
उदाहरण:
postgres=# \q
user@postgres-database:~$
नीचे दिए गए सेक्शन में, आपको अपने postgres-database इंस्टेंस का आईपी पता और Looker के निजी Google ऐक्सेस सबनेट (192.168.0.0/22) को, pg_hba.conf फ़ाइल में IPv4 लोकल कनेक्शन के तहत डालना होगा. इसके लिए, नीचे दिए गए स्क्रीनशॉट का पालन करें:
sudo nano /etc/postgresql/15/main/pg_hba.conf
नीचे दिए गए सेक्शन में, postgresql.conf से टिप्पणी हटाएं, ताकि नीचे दिए गए स्क्रीनशॉट के मुताबिक, सभी ‘*' आईपी पतों को सुना जा सके:
sudo nano /etc/postgresql/15/main/postgresql.conf
पहले:
बाद में:
ओएस के अंदर, postgresql सेवा को रीस्टार्ट करें.
sudo service postgresql restart
ओएस में, postgresql के स्टेटस की पुष्टि करें कि वह चालू है.
sudo service postgresql status
उदाहरण:
ओएस में, postgresql के स्टेटस की पुष्टि करें कि वह चालू है.
user@postgres-database$ sudo service postgresql status
● postgresql.service - PostgreSQL RDBMS
Loaded: loaded (/lib/systemd/system/postgresql.service; enabled; preset: enabled)
Active: active (exited) since Sat 2023-07-01 23:40:59 UTC; 7s ago
Process: 4073 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 4073 (code=exited, status=0/SUCCESS)
CPU: 2ms
Jul 01 23:40:59 postgres-database systemd[1]: Starting postgresql.service - PostgreSQL RDBMS...
Jul 01 23:40:59 postgres-database systemd[1]: Finished postgresql.service - PostgreSQL RDBMS.
16. पोस्टग्रेज़ डेटाबेस बनाएं
नीचे दिए गए सेक्शन में, आपको postgres_looker नाम का एक PostgreSQL डेटाबेस और स्कीमा looker_schema बनाना होगा. इसका इस्तेमाल, ऑन-प्राइमिस कनेक्शन के लिए Looker की पुष्टि करने के लिए किया जाता है.
ओएस में, postgres में लॉग इन करें.
sudo -u postgres psql postgres
ओएस में डेटाबेस बनाएं.
create database postgres_looker;
ओएस के अंदर, डेटाबेस की जानकारी दें.
\l
ओएस के अंदर, पासवर्ड लुकर की मदद से उपयोगकर्ता लुकर बनाएं
create user postgres_looker with password 'postgreslooker';
ओएस में, डेटाबेस से कनेक्ट करें.
\c postgres_looker;
ओएस में, स्कीमा looker-schema बनाएं और Cloud Shell प्रॉम्प्ट से बाहर निकलें.
create schema looker_schema;
create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
exit
उदाहरण:
user@postgres-database$ sudo -u postgres psql postgres
psql (15.3 (Ubuntu 15.3-0ubuntu0.23.04.1))
Type "help" for help.
postgres=# create database postgres_looker;
CREATE DATABASE
postgres=# \l
List of databases
Name | Owner | Encoding | Collate | Ctype | ICU Locale | Locale Provider | Access privileges
-----------------+----------+----------+---------+---------+------------+-----------------+-----------------------
postgres | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
postgres_looker | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
template0 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
template1 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
(4 rows)
postgres=# create user postgres_looker with password 'postgreslooker';
CREATE ROLE
postgres=# \c postgres_looker;
You are now connected to database "postgres_looker" as user "postgres".
postgres_looker=# create schema looker_schema;
CREATE SCHEMA
postgres_looker=# create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
CREATE TABLE
postgres_looker=# exit
ओएस से बाहर निकलें और आपको क्लाउड शेल पर वापस भेज दें.
\q
exit
17. कंपनी की इमारत में फ़ायरवॉल बनाएं
नीचे दिए गए सेक्शन में, लॉगिंग के साथ एक इन्ग्रेस फ़ायरवॉल बनाएं. इसकी मदद से, Looker सबनेट कम्यूनिकेशन को पोस्टग्रे-डेटाबेस इंस्टेंस में करने की अनुमति मिलती है.
Cloud Shell में, ऑन-प्रीमिस-वीपीसी फ़ायरवॉल बनाएं.
gcloud compute --project=$projectid firewall-rules create looker-access-to-postgres --direction=INGRESS --priority=1000 --network=on-prem-vpc --action=ALLOW --rules=all --source-ranges=192.168.0.0/22 --enable-logging
18. analytics-vpc में निजी डीएनएस बनाना
Looker को Google की ओर से मैनेज किए जाने वाले VPC में डिप्लॉय किया जाता है, लेकिन Analytics-vpc निजी डीएनएस का ऐक्सेस, सेवाओं के नेटवर्किंग के साथ पीयरिंग के ज़रिए किया जा सकता है.
नीचे दिए गए सेक्शन में, आपको analytics-vpc में एक निजी डीएनएस ज़ोन बनाना होगा. इसमें पोस्टग्रे-डेटाबेस इंस्टेंस, पूरी तरह क्वालिफ़ाइड डोमेन नेम (postgres.analytics.com)और आईपी पता) का A रिकॉर्ड शामिल होगा.
Cloud Shell में, निजी ज़ोन analytics.com बनाएं.
gcloud dns --project=$projectid managed-zones create gcp-private-zone --description="" --dns-name="analytics.com." --visibility="private" --networks="https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/analytics-vpc"
Cloud Shell में, postgres-database इंस्टेंस के आईपी पते की पहचान करें.
gcloud compute instances describe postgres-database --zone=us-central1-a | grep networkIP:
उदाहरण:
user@cloudshell$ gcloud compute instances describe postgres-database --zone=us-central1-a | grep networkIP:
networkIP: 172.16.10.2
Cloud Shell में, A रिकॉर्ड बनाएं. पक्का करें कि आपने पहले पहचाना गया आईपी पता जोड़ा हो.
gcloud dns --project=$projectid record-sets create postgres.analytics.com. --zone="gcp-private-zone" --type="A" --ttl="300" --rrdatas="your-postgres-database-ip"
उदाहरण:
user@cloudshell$ gcloud dns --project=$projectid record-sets create postgres.analytics.com. --zone="gcp-private-zone" --type="A" --ttl="300" --rrdatas="172.16.10.2"
NAME: postgres.analytics.com.
TYPE: A
TTL: 300
DATA: 172.16.10.2
Cloud Shell से, dns-suffix analytics.com. तक की सेवाओं की नेटवर्किंग साइट पर जाएं. इससे Looker को analytics-vpc प्राइवेट ज़ोन का ऐक्सेस मिल जाता है.
gcloud services peered-dns-domains create looker-com --network=analytics-vpc --service=servicenetworking.googleapis.com --dns-suffix=analytics.com.
19. Looker को Postgres postgres-database के साथ इंटिग्रेट करना
नीचे दिए गए सेक्शन में, आपको कंपनी की इमारत में मौजूद पोस्टग्रे-डेटाबेस इंस्टेंस से डेटाबेस कनेक्शन बनाने के लिए, Cloud Console का इस्तेमाल करना होगा.
Cloud Console में, Looker पर जाएं और अपने इंस्टेंस यूआरएल को चुनें. इससे Looker यूज़र इंटरफ़ेस (यूआई) खुलेगा.
लॉन्च करने के बाद, आपको नीचे दिए गए स्क्रीनशॉट के मुताबिक लैंडिंग पेज दिखेगा.
एडमिन → डेटाबेस → कनेक्शन → पर जाएं, कनेक्शन जोड़ें को चुनें
नीचे दिए गए स्क्रीनशॉट के मुताबिक, कनेक्शन की जानकारी भरें और कनेक्ट करें को चुनें
कनेक्शन अब हो गया है
20. Looker की कनेक्टिविटी की पुष्टि करना
नीचे दिए गए सेक्शन में, Looker ‘टेस्ट’ ऐक्शन और टीसीपीडीयूएमपी का इस्तेमाल करके, कंपनी की इमारत में सर्वर के पोस्टग्रेट डेटाबेस में, Looker कनेक्टिविटी की पुष्टि करने का तरीका बताया गया है.
अगर सेशन का टाइम आउट हो गया है, तो Cloud Shell से postgres-database में लॉग इन करें.
Cloud Shell में, ये काम करें:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
gcloud compute ssh --zone "us-central1-a" "postgres-database" --project "$projectid"
ओएस से, psa-range-looker सबनेट 192.168.0.0/22 की मदद से, TLSDUMP फ़िल्टर बनाएं
sudo tcpdump -i any net 192.168.0.0/22 -nn
डेटा कनेक्शन पर जाएं एडमिन → डेटाबेस → कनेक्शन → चुनें → टेस्ट
टेस्ट को चुनने के बाद, Looker पोस्टग्रेट डेटाबेस से कनेक्ट हो जाएगा, जैसा कि नीचे बताया गया है:
ओएस टर्मिनल पर वापस जाएं और इस बात की पुष्टि करें कि TCPDUMP को यह पता चला है कि psc-range-looker, कंपनी की इमारत में मौजूद पोस्टग्रे-डेटाबेस इंस्टेंस से कनेक्ट हो रहा है.
एक नोट जोड़ें कि पीएसए रेंज का कोई भी आईपी, Looker से दिखेगा
user@postgres-database$ sudo tcpdump -i any net 192.168.0.0/22 -nn
tcpdump: data link type LINUX_SLL2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
00:16:55.121631 ens4 In IP 192.168.1.24.46892 > 172.16.10.2.5432: Flags [S], seq 2221858189, win 42600, options [mss 1366,sackOK,TS val 4045928414 ecr 0,nop,wscale 7], length 0
00:16:55.121683 ens4 Out IP 172.16.10.2.5432 > 192.168.1.24.46892: Flags [S.], seq 1464964586, ack 2221858190, win 64768, options [mss 1420,sackOK,TS val 368503074 ecr 4045928414,nop,wscale 7], length 0
21. सुरक्षा से जुड़े सुझाव
Looker और Postgres डेटाबेस को सुरक्षित रखने के लिए, सुरक्षा से जुड़े कुछ सुझाव और सबसे सही तरीके दिए गए हैं. इनमें ये शामिल हैं:
- Looker के लिए, डेटाबेस खाते की कम से कम अनुमतियां सेट अप करना, ताकि वह ज़रूरी फ़ंक्शन कर सके.
- TLS 1.2+ का इस्तेमाल करके एन्क्रिप्ट (सुरक्षित) किए गए डेटा में, क्लाइंट और Looker यूज़र इंटरफ़ेस (यूआई) और Looker के बीच ट्रांज़िशन के दौरान डेटाबेस में डेटा
- इनऐक्टिव डेटा को डिफ़ॉल्ट रूप से एन्क्रिप्ट (सुरक्षित) किया जाता है. ग्राहक, Looker इंस्टेंस ( https://cloud.google.com/looker/docs/looker-core-cmek) और पोस्टग्रे ( https://cloud.google.com/sql/docs/postgres/configure-cmek) के लिए सीएमईके का इस्तेमाल कर सकते हैं
- Looker का ऐक्सेस कंट्रोल - Looker एडमिन, कॉन्टेंट का ऐक्सेस, डेटा का ऐक्सेस, और सुविधा का ऐक्सेस देकर यह कंट्रोल कर सकते हैं कि कोई प्रिंसिपल या उपयोगकर्ताओं का ग्रुप, Looker में क्या देख सकता है और क्या कर सकता है. इन विकल्पों की मदद से, Looker एडमिन कुछ खास भूमिकाएं तय कर सकता है. इनमें मॉडल और अनुमति सेट जैसी भूमिकाएं शामिल होती हैं. साथ ही, यह डेटा के लिए सटीक ऐक्सेस कंट्रोल बना सकता है.
- Looker में ऑडिट लॉग और डेटा ऐक्सेस लॉग, दोनों का इस्तेमाल किया जा सकता है. यह जानकारी इकट्ठा करती है कि किसने क्या कब और कहां किया. ऑडिट लॉग डिफ़ॉल्ट रूप से चालू होते हैं, जबकि डेटा ऐक्सेस लॉग को साफ़ तौर पर चालू किया जाना चाहिए.
- फ़िलहाल, VPC-SC उन एंटरप्राइज़ और एम्बेड इंस्टेंस के साथ काम करता है जिन्हें सिर्फ़ निजी आईपी से कॉन्फ़िगर किया गया हो
22. व्यवस्थित करें
Looker Cloud Core इंस्टेंस मिटाने के लिए, यहां जाएं:
LOOKER → looker-tutorial → मिटाएं
Cloud Shell में, ट्यूटोरियल के कॉम्पोनेंट मिटाएं.
gcloud compute vpn-tunnels delete analytics-vpc-tunnel0 analytics-vpc-tunnel1 on-prem-tunnel0 on-prem-tunnel1 --region=us-central1 --quiet
gcloud compute vpn-gateways delete analytics-vpn-gw on-prem-vpn-gw --region=us-central1 --quiet
gcloud compute routers delete analytics-cr-us-central1 on-prem-cr-us-central1 on-prem-cr-us-central1-nat --region=us-central1 --quiet
gcloud compute instances delete postgres-database --zone=us-central1-a --quiet
gcloud compute networks subnets delete database-subnet-us-central1 --region=us-central1 --quiet
gcloud compute firewall-rules delete looker-access-to-postgres on-prem-ssh --quiet
gcloud dns record-sets delete postgres.analytics.com. --type=A --zone=gcp-private-zone
gcloud dns managed-zones delete gcp-private-zone
gcloud compute networks delete on-prem-vpc --quiet
gcloud compute addresses delete psa-range-looker --global --quiet
gcloud compute networks delete analytics-vpc --quiet
23. बधाई हो
बधाई हो, आपने हाइब्रिड नेटवर्किंग पर Looker की कनेक्टिविटी को कॉन्फ़िगर और पुष्टि कर ली है. इससे, ऑन-प्राइमिस और कई क्लाउड एनवायरमेंट में डेटा कम्यूनिकेशन की सुविधा चालू हो गई है.
पोस्टग्रे-डेटाबेस इंस्टेंस में Looker कनेक्ट 'टेस्ट' टूल और टीसीपीDUMP का इस्तेमाल करके, postgres-database से Looker Cloud Core की कनेक्टिविटी की जांच की जा सकती है.
Cosmopup को लगता है कि ट्यूटोरियल शानदार हैं!!
आगे पढ़ना और वीडियो
- पेश है Looker का नया वर्शन
- क्या आपको GCP पर माइग्रेट करना है? सबसे ज़रूरी चीज़ें सबसे पहले: VPC
- क्लाउड राऊटर के साथ डाइनैमिक रूटिंग
पहचान फ़ाइलें
- Looker (Google Cloud का कोर) का दस्तावेज़
- Looker (Google Cloud का कोर) इंस्टेंस बनाना
- Looker (Google Cloud का कोर) के लिए निजी आईपी कनेक्शन बनाना
- Google Cloud नेटवर्क के बीच एचए वीपीएन
- Cloud NA की मदद से नेटवर्क के पते का अनुवाद करने की सुविधा को सेट अप और मैनेज करें
- डाइनैमिक रूट एक्सचेंज करने के विकल्प