1. บทนำ
Looker (Google Cloud Core) ช่วยให้การจัดสรร การกำหนดค่า และการจัดการอินสแตนซ์ Looker จากคอนโซล Google Cloud เป็นเรื่องง่ายและมีประสิทธิภาพ นอกจากนี้ คุณยังดำเนินการดูแลระบบอินสแตนซ์บางอย่างจากคอนโซลได้ด้วย
การกำหนดค่าเครือข่ายที่ใช้ได้สำหรับอินสแตนซ์ Looker (Google Cloud Core) มี 3 แบบ ดังนี้
- สาธารณะ: การเชื่อมต่อเครือข่ายใช้ที่อยู่ IP ภายนอกที่เข้าถึงได้จากอินเทอร์เน็ต
- ส่วนตัว: การเชื่อมต่อเครือข่ายใช้ที่อยู่ IP ของ Virtual Private Cloud (VPC) ภายในที่ Google โฮสต์
- สาธารณะและส่วนตัว: การเชื่อมต่อเครือข่ายใช้ทั้งที่อยู่ IP สาธารณะและที่อยู่ IP ส่วนตัว โดยระบบจะกำหนดเส้นทางการรับส่งข้อมูลขาเข้าผ่าน IP สาธารณะ และกำหนดเส้นทางการรับส่งข้อมูลขาออกผ่าน IP ส่วนตัว
ในบทแนะนำนี้ คุณจะได้ติดตั้งใช้งานเครือข่ายส่วนตัว แบบครบวงจรเพื่อรองรับการเชื่อมต่อ Looker กับ VPC ภายในองค์กรผ่าน HA VPN ที่สามารถจำลองแบบเพื่อให้ตรงกับข้อกำหนดในการเชื่อมต่อแบบหลายระบบคลาวด์และภายในองค์กร
Looker (Google Cloud Core) รองรับ IP ส่วนตัวสำหรับอินสแตนซ์ที่มีคุณสมบัติตรงตามเกณฑ์ต่อไปนี้
- รุ่นอินสแตนซ์ต้องเป็น Enterprise หรือ Embed
สิ่งที่คุณจะสร้าง
ในบทแนะนำนี้ คุณจะได้สร้างการติดตั้งใช้งานเครือข่าย Looker ส่วนตัวที่ครอบคลุมใน VPC แบบสแตนด์อโลนที่มีการเชื่อมต่อแบบไฮบริดกับมัลติคลาวด์และภายในองค์กร
คุณจะตั้งค่าเครือข่าย VPC ที่ชื่อ on-prem-vpc เพื่อแสดงถึงสภาพแวดล้อมในองค์กร สำหรับการติดตั้งใช้งานของคุณ VPC ในองค์กรจะไม่มีอยู่ แต่จะใช้การเชื่อมต่อเครือข่ายแบบไฮบริดกับศูนย์ข้อมูลในองค์กรหรือผู้ให้บริการคลาวด์แทน
ขั้นตอนหลักๆ ของบทแนะนำมีดังนี้
- สร้าง VPC แบบสแตนด์อโลนใน us-central1
- จัดสรรเครือข่ายย่อย IP ให้กับการเข้าถึงบริการส่วนตัว
- ติดตั้งใช้งานอินสแตนซ์ Looker ใน VPC แบบสแตนด์อโลน
- สร้างเครือข่าย VPC ในองค์กรและเครือข่ายแบบไฮบริด
- ประกาศและตรวจสอบช่วง IP ของ Looker ผ่าน BGP
- ผสานรวมและตรวจสอบการสื่อสารข้อมูล Looker และ Postgresql
Figure1
สิ่งที่คุณจะได้เรียนรู้
- วิธีสร้าง VPC และเครือข่ายแบบผสมที่เชื่อมโยง
- วิธีติดตั้งใช้งาน Looker ใน VPC แบบสแตนด์อโลน
- วิธีสร้าง on-prem-vpc และการเชื่อมต่อเครือข่ายแบบไฮบริดที่เกี่ยวข้อง
- เชื่อมต่อ on-prem-vpc กับ analytics-vps ผ่าน HA VPN
- วิธีโฆษณาซับเน็ต Looker ผ่านเครือข่ายแบบไฮบริด
- วิธีตรวจสอบโครงสร้างพื้นฐานของเครือข่ายแบบไฮบริด
- วิธีผสานรวมฐานข้อมูล Postgresql กับ Looker Cloud Core
สิ่งที่คุณต้องมี
- โปรเจ็กต์ Google Cloud
สิทธิ์ IAM
2. ก่อนเริ่มต้น
อัปเดตโปรเจ็กต์เพื่อรองรับบทแนะนำ
บทแนะนำนี้ใช้ $variables เพื่อช่วยในการติดตั้งใช้งานการกำหนดค่า gcloud ใน Cloud Shell
ใน Cloud Shell ให้ทำดังนี้
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. การตั้งค่า VPC
สร้าง analytics-vpc
ใน Cloud Shell ให้ทำดังนี้
gcloud compute networks create analytics-vpc --project=$projectid --subnet-mode=custom
สร้าง on-prem-vpc
ใน Cloud Shell ให้ทำดังนี้
gcloud compute networks create on-prem-vpc --project=$projectid --subnet-mode=custom
สร้างซับเน็ตฐานข้อมูล Postgresql
ใน Cloud Shell ให้ทำดังนี้
gcloud compute networks subnets create database-subnet-us-central1 --project=$projectid --range=172.16.10.0/27 --network=on-prem-vpc --region=us-central1
การกำหนดค่า Cloud Router และ NAT
บทแนะนำนี้ใช้ Cloud NAT ในการติดตั้งแพ็กเกจซอฟต์แวร์เนื่องจากอินสแตนซ์ VM ของฐานข้อมูลไม่มีที่อยู่ IP ภายนอก
สร้าง Cloud Router ภายใน Cloud Shell
gcloud compute routers create on-prem-cr-us-central1-nat --network on-prem-vpc --region us-central1
สร้างเกตเวย์ NAT ภายใน Cloud Shell
gcloud compute routers nats create on-prem-nat-us-central1 --router=on-prem-cr-us-central1-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
สร้างอินสแตนซ์ทดสอบฐานข้อมูล
สร้างอินสแตนซ์ฐานข้อมูล Postgres ที่จะใช้เพื่อทดสอบและตรวจสอบการเชื่อมต่อกับ Looker
สร้างอินสแตนซ์ภายใน Cloud Shell
gcloud compute instances create postgres-database \
--project=$projectid \
--zone=us-central1-a \
--machine-type=e2-medium \
--subnet=database-subnet-us-central1 \
--no-address \
--image=projects/ubuntu-os-cloud/global/images/ubuntu-2304-lunar-amd64-v20230621 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt -y install postgresql postgresql-client postgresql-contrib -y"
สร้างกฎไฟร์วอลล์
หากต้องการอนุญาตให้ IAP เชื่อมต่อกับอินสแตนซ์ VM ให้สร้างกฎไฟร์วอลล์ที่มีลักษณะดังนี้
- มีผลกับอินสแตนซ์ VM ทั้งหมดที่คุณต้องการให้เข้าถึงได้โดยใช้ IAP
- อนุญาตการรับส่งข้อมูลขาเข้าจากช่วง IP 35.235.240.0/20 ช่วงนี้มีที่อยู่ IP ทั้งหมดที่ IAP ใช้สำหรับการส่งต่อ TCP
จาก Cloud Shell
gcloud compute firewall-rules create on-prem-ssh \
--network on-prem-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
4. การเข้าถึงบริการส่วนตัว
การเข้าถึงบริการส่วนตัวคือการเชื่อมต่อส่วนตัวระหว่างเครือข่าย VPC กับเครือข่ายที่ Google หรือบุคคลที่สามเป็นเจ้าของ Google หรือบุคคลที่สามซึ่งเป็นนิติบุคคลที่ให้บริการเรียกอีกอย่างว่าผู้ผลิตบริการ Looker Cloud Core เป็นผู้ให้บริการ
การเชื่อมต่อส่วนตัวช่วยให้อินสแตนซ์ VM ในเครือข่าย VPC และบริการที่คุณเข้าถึงสื่อสารกันโดยเฉพาะได้โดยใช้ที่อยู่ IP ภายใน
โดยรวมแล้ว หากต้องการใช้การเข้าถึงบริการส่วนตัว คุณต้องจัดสรรช่วงที่อยู่ IP (บล็อก CIDR) ในเครือข่าย VPC แล้วสร้างการเชื่อมต่อส่วนตัวกับผู้ให้บริการ
จัดสรรช่วงที่อยู่ IP สำหรับบริการ
ก่อนสร้างการเชื่อมต่อส่วนตัว คุณต้องจัดสรรช่วงที่อยู่ IPv4 ให้เครือข่าย VPC ของผู้ให้บริการใช้ ซึ่งช่วยให้มั่นใจได้ว่าจะไม่มีการชนกันของที่อยู่ IP ระหว่างเครือข่าย VPC กับเครือข่ายของผู้ให้บริการ
เมื่อจัดสรรช่วงในเครือข่าย VPC ช่วงดังกล่าวจะไม่มีสิทธิ์สำหรับซับเน็ต (ช่วงหลักและช่วงรอง) และปลายทางของเส้นทางแบบคงที่ที่กำหนดเอง
ไม่รองรับการใช้ช่วงที่อยู่ IPv6 กับการเข้าถึงบริการส่วนตัว
เปิดใช้ Service Networking API สำหรับโปรเจ็กต์ใน Google Cloud Console เมื่อเปิดใช้ API คุณอาจต้องรีเฟรชหน้าคอนโซลเพื่อยืนยันว่าได้เปิดใช้ API แล้ว
สร้างการจัดสรร IP
หากต้องการระบุช่วงที่อยู่และความยาวของคำนำหน้า (ซับเน็ตมาสก์) ให้ใช้ค่าสถานะ addresses และ prefix-length เช่น หากต้องการจัดสรรบล็อก CIDR 192.168.0.0/22 ให้ระบุ 192.168.0.0 สำหรับที่อยู่และ 22 สำหรับความยาวของคำนำหน้า
สร้างการจัดสรร IP สำหรับ Looker ภายใน Cloud Shell
gcloud compute addresses create psa-range-looker \
--global \
--purpose=VPC_PEERING \
--addresses=192.168.0.0 \
--prefix-length=22 \
--description="psa range for looker" \
--network=analytics-vpc
ตรวจสอบการจัดสรร IP ภายใน Cloud Shell
gcloud compute addresses list --global --filter="purpose=VPC_PEERING"
ตัวอย่าง
userl@cloudshell$ gcloud compute addresses list --global --filter="purpose=VPC_PEERING"
NAME: psa-range-looker
ADDRESS/RANGE: 192.168.0.0/22
TYPE: INTERNAL
PURPOSE: VPC_PEERING
NETWORK: analytics-vpc
REGION:
SUBNET:
STATUS: RESERVED
สร้างการเชื่อมต่อส่วนตัว
หลังจากสร้างช่วงที่จัดสรรแล้ว คุณจะสร้างการเชื่อมต่อส่วนตัวกับผู้ผลิตบริการ Looker Cloud Core ได้ การเชื่อมต่อส่วนตัวจะสร้างการเชื่อมต่อ VPC Network Peering ระหว่างเครือข่าย VPC ของคุณกับเครือข่ายของผู้ให้บริการเมื่อสร้างอินสแตนซ์ Looker แล้ว
การเชื่อมต่อส่วนตัวคือความสัมพันธ์แบบหนึ่งต่อหนึ่งระหว่างเครือข่าย VPC กับผู้ผลิตบริการ หากผู้ผลิตบริการรายเดียวมีบริการหลายอย่าง คุณจะต้องมีการเชื่อมต่อส่วนตัวเพียงรายการเดียวสำหรับบริการทั้งหมดของผู้ผลิต
หากเชื่อมต่อกับผู้ผลิตบริการหลายราย ให้ใช้การจัดสรรที่ไม่ซ้ำกันสำหรับผู้ผลิตบริการแต่ละราย แนวทางปฏิบัตินี้ช่วยให้คุณจัดการการตั้งค่าเครือข่าย เช่น เส้นทางและกฎไฟร์วอลล์ สำหรับผู้ผลิตบริการแต่ละรายได้
สร้างการเชื่อมต่อส่วนตัวภายใน Cloud Shell และจดชื่อการดำเนินการ
gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=psa-range-looker \
--network=analytics-vpc
ตัวอย่าง
user@cloudshell$ gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=psa-range-looker \
--network=analytics-vpc
Operation "operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea" finished successfully.
ใน Cloud Shell ให้ตรวจสอบว่าการดำเนินการสำเร็จหรือไม่ โดยแทนที่ OPERATION_NAME ด้วยชื่อที่สร้างขึ้นในขั้นตอนก่อนหน้า
gcloud services vpc-peerings operations describe \
--name=OPERATION_NAME
ตัวอย่าง
user@cloudshell$ gcloud services vpc-peerings operations describe \
--name=operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea
Operation "operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea" finished successfully.
5. สร้างอินสแตนซ์ Looker (Google Cloud Core)
ก่อนเริ่มต้น
เปิดใช้ Looker API สำหรับโปรเจ็กต์ใน Google Cloud Console เมื่อเปิดใช้ API คุณอาจต้องรีเฟรชหน้าคอนโซลเพื่อยืนยันว่าได้เปิดใช้ API แล้ว
ตั้งค่าไคลเอ็นต์ OAuth เพื่อตรวจสอบสิทธิ์และเข้าถึงอินสแตนซ์
ในส่วนต่อไปนี้ คุณจะต้องใช้รหัสไคลเอ็นต์และรหัสลับ OAuth เพื่อสร้างอินสแตนซ์ Looker
ไม่จำเป็นต้องระบุต้นทางของ JavaScript ที่ได้รับอนุญาตและ URI การเปลี่ยนเส้นทาง
สร้างอินสแตนซ์ใน Cloud Console ตามภาพหน้าจอที่ให้ไว้
ไปที่ LOOKER → สร้างอินสแตนซ์
ป้อนรหัสไคลเอ็นต์และรหัสลับ OAuth ที่สร้างไว้ก่อนหน้านี้
เลือกสร้าง
ขณะที่ระบบกำลังสร้างอินสแตนซ์ ระบบจะเปลี่ยนเส้นทางคุณไปยังหน้าอินสแตนซ์ภายในคอนโซล คุณอาจต้องรีเฟรชหน้าเว็บเพื่อดูสถานะของอินสแตนซ์ใหม่ นอกจากนี้ คุณยังดูกิจกรรมการสร้างอินสแตนซ์ได้โดยคลิกไอคอนการแจ้งเตือนในเมนู Google Cloud Console ขณะที่ระบบกำลังสร้างอินสแตนซ์ ไอคอนการแจ้งเตือนในเมนูคอนโซล Google Cloud จะมีไอคอนการโหลดล้อมรอบ
หลังจากสร้างอินสแตนซ์ Looker แล้ว ระบบจะสร้าง URL ของอินสแตนซ์ จด URL
6. อัปเดตรหัสไคลเอ็นต์ OAuth 2.0
ในส่วนต่อไปนี้ คุณจะต้องอัปเดตรหัสไคลเอ็นต์ OAuth ที่สร้างไว้ก่อนหน้านี้ URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต โดยการต่อ /oauth2callback เข้ากับ URL ของอินสแตนซ์
เมื่อดำเนินการเสร็จแล้ว คุณจะใช้ URL ของอินสแตนซ์เพื่อเข้าสู่ระบบ UI ของ Looker ได้
ใน Cloud Console ให้ไปที่ API และบริการ → ข้อมูลเข้าสู่ระบบ
เลือกรหัสไคลเอ็นต์ OAuth 2.0 และอัปเดต URL ของอินสแตนซ์ ตัวอย่างด้านล่าง
7. ตรวจสอบสิทธิ์เข้าถึง Looker
ใน Cloud Console ให้ไปที่ Looker แล้วเลือก URL ของอินสแตนซ์ที่จะเปิด UI ของ Looker
เมื่อเปิดตัวแล้ว คุณจะเห็นหน้า Landing Page ตามภาพหน้าจอด้านล่าง ซึ่งยืนยันสิทธิ์เข้าถึง Looker Cloud Core
8. การเชื่อมต่อแบบผสม
ในส่วนต่อไปนี้ คุณจะสร้าง Cloud Router ที่ช่วยให้แลกเปลี่ยนเส้นทางแบบไดนามิกระหว่าง Virtual Private Cloud (VPC) กับเครือข่ายเพียร์ได้โดยใช้ Border Gateway Protocol (BGP)
เราเตอร์ Cloud สามารถตั้งค่าเซสชัน BGP ผ่านอุโมงค์ Cloud VPN เพื่อเชื่อมต่อเครือข่าย โดยจะเรียนรู้ช่วงที่อยู่ IP ของซับเน็ตใหม่โดยอัตโนมัติและประกาศช่วงดังกล่าวไปยังเครือข่ายเพียร์
ในบทแนะนำนี้ คุณจะติดตั้งใช้งาน VPN ความพร้อมใช้งานสูงระหว่าง analytics-vpc กับ on-prem-vpc เพื่อแสดงการเชื่อมต่อส่วนตัวกับ Looker
สร้าง HA VPN GW สำหรับ analytics-vpc
เมื่อสร้างเกตเวย์แต่ละรายการ ระบบจะจัดสรรที่อยู่ IPv4 ภายนอก 2 รายการโดยอัตโนมัติ ซึ่งรายการหนึ่งจะใช้กับอินเทอร์เฟซของเกตเวย์แต่ละรายการ จดที่อยู่ IP เหล่านี้ไว้เพื่อใช้ในขั้นตอนการกำหนดค่าในภายหลัง
สร้าง HA VPN GW ภายใน Cloud Shell
gcloud compute vpn-gateways create analytics-vpn-gw \
--network=analytics-vpc\
--region=us-central1
สร้าง HA VPN GW สำหรับ on-prem-vpc
เมื่อสร้างเกตเวย์แต่ละรายการ ระบบจะจัดสรรที่อยู่ IPv4 ภายนอก 2 รายการโดยอัตโนมัติ ซึ่งรายการหนึ่งจะใช้กับอินเทอร์เฟซของเกตเวย์แต่ละรายการ จดที่อยู่ IP เหล่านี้ไว้เพื่อใช้ในขั้นตอนการกำหนดค่าในภายหลัง
สร้าง HA VPN GW ภายใน Cloud Shell
gcloud compute vpn-gateways create on-prem-vpn-gw \
--network=on-prem-vpc\
--region=us-central1
ตรวจสอบการสร้าง HA VPN GW
ใช้คอนโซลเพื่อไปที่การเชื่อมต่อแบบไฮบริด → VPN → เกตเวย์ Cloud VPN
สร้าง Cloud Router สำหรับ analytics-vpc
สร้าง Cloud Router ที่อยู่ใน us-central1 ภายใน Cloud Shell
gcloud compute routers create analytics-cr-us-central1 \
--region=us-central1 \
--network=analytics-vpc\
--asn=65001
สร้าง Cloud Router สำหรับ on-prem-vpc
สร้าง Cloud Router ที่อยู่ใน us-central1 ภายใน Cloud Shell
gcloud compute routers create on-prem-cr-us-central1 \
--region=us-central1 \
--network=on-prem-vpc \
--asn=65002
สร้างอุโมงค์ข้อมูล VPN สำหรับ analytics-vpc
คุณจะสร้างอุโมงค์ข้อมูล VPN 2 รายการในเกตเวย์ HA VPN แต่ละรายการ
สร้างอุโมงค์ข้อมูล VPN0
สร้าง tunnel0 ภายใน Cloud Shell โดยใช้คำสั่งต่อไปนี้
gcloud compute vpn-tunnels create analytics-vpc-tunnel0 \
--peer-gcp-gateway on-prem-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router analytics-cr-us-central1 \
--vpn-gateway analytics-vpn-gw \
--interface 0
สร้างอุโมงค์ข้อมูล VPN1
สร้าง tunnel1 ภายใน Cloud Shell โดยใช้คำสั่งต่อไปนี้
gcloud compute vpn-tunnels create analytics-vpc-tunnel1 \
--peer-gcp-gateway on-prem-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router analytics-cr-us-central1 \
--vpn-gateway analytics-vpn-gw \
--interface 1
สร้างอุโมงค์ข้อมูล VPN สำหรับ on-prem-vpc
คุณจะสร้างอุโมงค์ข้อมูล VPN 2 รายการในเกตเวย์ HA VPN แต่ละรายการ
สร้างอุโมงค์ข้อมูล VPN0
สร้าง tunnel0 ภายใน Cloud Shell โดยใช้คำสั่งต่อไปนี้
gcloud compute vpn-tunnels create on-prem-tunnel0 \
--peer-gcp-gateway analytics-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router on-prem-cr-us-central1 \
--vpn-gateway on-prem-vpn-gw \
--interface 0
สร้างอุโมงค์ข้อมูล VPN1
สร้าง tunnel1 ภายใน Cloud Shell โดยใช้คำสั่งต่อไปนี้
gcloud compute vpn-tunnels create on-prem-tunnel1 \
--peer-gcp-gateway analytics-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router on-prem-cr-us-central1 \
--vpn-gateway on-prem-vpn-gw \
--interface 1
ตรวจสอบการสร้างอุโมงค์ข้อมูล VPN
ใช้คอนโซลเพื่อไปที่การเชื่อมต่อแบบไฮบริด → VPN → อุโมงค์ข้อมูล Cloud VPN
9. สร้างเพื่อนบ้าน BGP
สร้างเซสชัน BGP
ในส่วนนี้ คุณจะกำหนดค่าอินเทอร์เฟซ Cloud Router และเพียร์ BGP
สร้างอินเทอร์เฟซ BGP และการ Peering สำหรับ analytics-vpc
สร้างอินเทอร์เฟซ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-interface analytics-cr-us-central1 \
--interface-name if-tunnel0-to-onprem \
--ip-address 169.254.1.1 \
--mask-length 30 \
--vpn-tunnel analytics-vpc-tunnel0 \
--region us-central1
สร้างเพียร์ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-bgp-peer analytics-cr-us-central1 \
--peer-name bgp-on-premises-tunnel0 \
--interface if-tunnel1-to-onprem \
--peer-ip-address 169.254.1.2 \
--peer-asn 65002 \
--region us-central1
สร้างอินเทอร์เฟซ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-interface analytics-cr-us-central1 \
--interface-name if-tunnel1-to-onprem \
--ip-address 169.254.2.1 \
--mask-length 30 \
--vpn-tunnel analytics-vpc-tunnel1 \
--region us-central1
สร้างเพียร์ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-bgp-peer analytics-cr-us-central1 \
--peer-name bgp-on-premises-tunnel1 \
--interface if-tunnel2-to-onprem \
--peer-ip-address 169.254.2.2 \
--peer-asn 65002 \
--region us-central1
สร้างอินเทอร์เฟซ BGP และการ Peering สำหรับ on-prem-vpc
สร้างอินเทอร์เฟซ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-interface on-prem-cr-us-central1 \
--interface-name if-tunnel0-to-analytics-vpc \
--ip-address 169.254.1.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel0 \
--region us-central1
สร้างเพียร์ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-bgp-peer on-prem-cr-us-central1 \
--peer-name bgp-analytics-vpc-tunnel0 \
--interface if-tunnel1-to-analytics-vpc \
--peer-ip-address 169.254.1.1 \
--peer-asn 65001 \
--region us-central1
สร้างอินเทอร์เฟซ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-interface on-prem-cr-us-central1 \
--interface-name if-tunnel1-to-analytics-vpc \
--ip-address 169.254.2.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel1 \
--region us-central1
สร้างเพียร์ BGP ใน Cloud Shell โดยทำดังนี้
gcloud compute routers add-bgp-peer on-prem-cr-us-central1 \
--peer-name bgp-analytics-vpc-tunnel1\
--interface if-tunnel2-to-analytics-vpc \
--peer-ip-address 169.254.2.1 \
--peer-asn 65001 \
--region us-central1
ไปที่การเชื่อมต่อแบบไฮบริด → VPN เพื่อดูรายละเอียดอุโมงค์ข้อมูล VPN
ตรวจสอบเส้นทางที่เรียนรู้ของ analytics-vpc ผ่าน HA VPN
เนื่องจากมีการสร้างอุโมงค์ HA VPN และเซสชัน BGP แล้ว ระบบจึงเรียนรู้เส้นทางจาก on-prem-vpc จาก analytics-vpc ใช้คอนโซลเพื่อไปยังเครือข่าย VPC → เครือข่าย VPC → analytics-vpc → เส้นทาง → ภูมิภาค → us-central1 → ดู
สังเกตว่า analytics-vpc ได้เรียนรู้เส้นทางจาก on-prem-vpc database-subnet-us-central1 172.16.10.0/27
ตรวจสอบว่า on-prem-vpc ไม่ได้เรียนรู้เส้นทางผ่าน HA VPN
analytics-vpc ไม่มีซับเน็ต ดังนั้น Cloud Router จะไม่กระจายข้อมูลซับเน็ตไปยัง on-prem-vpc ใช้คอนโซลเพื่อไปที่เครือข่าย VPC → เครือข่าย VPC → on-prem-vpc → เส้นทาง → ภูมิภาค → us-central1 → ดู
10. โฆษณาซับเน็ต Looker ไปยังระบบในองค์กร
เราเตอร์ระบบคลาวด์ analytics-cr-us-central1 จะไม่โฆษณาซับเน็ต Private Service Access (PSA) ของ Looker โดยอัตโนมัติเนื่องจากมีการกำหนดซับเน็ตให้กับ PSA ไม่ใช่ VPC
คุณจะต้องสร้างการประกาศเส้นทางที่กำหนดเองจาก analytics-cr-central1 สำหรับเครือข่ายย่อย PSA 192.168.0.0/22 (psa-range-looker) ซึ่งจะได้รับการโฆษณาไปยังสภาพแวดล้อมในองค์กรและใช้โดยเวิร์กโหลดเพื่อเข้าถึง Looker
จากคอนโซล ให้ไปที่การเชื่อมต่อแบบไฮบริด → เราเตอร์ระบบคลาวด์ → analytics-cr-us-central1 แล้วเลือกแก้ไข
ในส่วนเส้นทางที่โฆษณา ให้เลือกตัวเลือกสร้างเส้นทางที่กำหนดเอง อัปเดตช่องตามตัวอย่างด้านล่าง เลือกเสร็จสิ้น แล้วคลิกบันทึก
11. ตรวจสอบว่า on-prem-vpc ได้เรียนรู้ซับเน็ต Looker แล้ว
ตอนนี้ on-prem-vpc จะเข้าถึงซับเน็ต PSA ของ Looker ได้แล้วเนื่องจากมีการโฆษณาจาก analytics-cr-us-central1 เป็นการโฆษณาเส้นทางที่กำหนดเอง
ใช้คอนโซลเพื่อไปที่เครือข่าย VPC → เครือข่าย VPC → on-prem-vpc → เส้นทาง → ภูมิภาค → us-central1 → ดู
ดูเส้นทาง Looker ที่ประกาศจาก analytics-vpc
12. ตรวจสอบการเพียร์ VPC ปัจจุบัน
การเชื่อมต่อระหว่าง Looker Cloud Core กับ analytics-vpc จะผ่านการเพียร์ VPC ซึ่งอนุญาตให้แลกเปลี่ยนเส้นทางที่กำหนดเองที่เรียนรู้ผ่าน BGP ในบทแนะนำนี้ analytics-vpc จะต้องเผยแพร่เส้นทางที่ on-prem-vpc เรียนรู้ไปยัง Looker หากต้องการเปิดใช้ฟังก์ชันนี้ การเชื่อมต่อ VPC แบบเพียร์ต้องมีการอัปเดตเพื่อส่งออกเส้นทางที่กำหนดเอง
ตรวจสอบเส้นทางที่นำเข้าและส่งออกในปัจจุบัน
ไปที่ VPC NETWORK → VPC NETWORK PEERING → servicenetworking-googleapis-com
ภาพหน้าจอด้านล่างแสดงรายละเอียดการนำเข้า analytics-vpc ซึ่งนำเข้า psa-range-looker จากเครือข่าย VPC ที่มีการเชื่อมต่อแบบเพียร์ที่ Google จัดการ servicesnetworking
การเลือกเส้นทางที่ส่งออกไม่แสดงเส้นทางที่ส่งออกไปยังเครือข่าย VPC ที่เพียร์เนื่องจาก 1) ไม่ได้กำหนดค่าซับเน็ตใน analytics-vpc 2) ไม่ได้เลือก "ส่งออกเส้นทางที่กำหนดเอง"
13. อัปเดตการเพียร์ VPC
ไปที่เครือข่าย VPC → การเพียร์เครือข่าย VPC → servicenetworking-googleapis-com → แก้ไข
เลือกส่งออกเส้นทางที่กำหนดเอง → บันทึก
14. ตรวจสอบการเพียร์ VPC ที่อัปเดต
ตรวจสอบเส้นทางที่ส่งออก
ไปที่ VPC NETWORK → VPC NETWORK PEERING → servicenetworking-googleapis-com
เลือกเส้นทางที่ส่งออกจะแสดงเส้นทางในองค์กรไปยัง VPC (ซับเน็ตฐานข้อมูล 172.16.10.0/27) ที่ส่งออกไปยังเครือข่าย VPC ที่เพียร์กันซึ่งโฮสต์ Looker โดย analytics-vpc
15. การสร้างฐานข้อมูล Postgres ของ Looker
ในส่วนต่อไปนี้ คุณจะ SSH ไปยัง VM ฐานข้อมูล Postgres โดยใช้ Cloud Shell
ภายใน Cloud Shell ให้ใช้ SSH ไปยังอินสแตนซ์ postgres-database**
gcloud compute ssh --zone "us-central1-a" "postgres-database" --project "$projectid"
ในระบบปฏิบัติการ ให้ระบุและจดที่อยู่ IP (ens4) ของอินสแตนซ์ postgres-database
ip a
ตัวอย่าง
user@postgres-database:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc mq state UP group default qlen 1000
link/ether 42:01:ac:10:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 172.16.10.2/32 metric 100 scope global dynamic ens4
valid_lft 84592sec preferred_lft 84592sec
inet6 fe80::4001:acff:fe10:a02/64 scope link
valid_lft forever preferred_lft forever
เข้าสู่ระบบ postgresql ในระบบปฏิบัติการ
sudo -u postgres psql postgres
ป้อนพรอมต์รหัสผ่านภายในระบบปฏิบัติการ
\password postgres
ตั้งรหัสผ่านเป็น postgres ในระบบปฏิบัติการ (ป้อนรหัสผ่านเดียวกัน 2 ครั้ง)
postgres
ตัวอย่าง
user@postgres-database:~$ sudo -u postgres psql postgres
\password postgres
psql (13.11 (Debian 13.11-0+deb11u1))
Type "help" for help.
postgres=# \password postgres
Enter new password for user "postgres":
Enter it again:
ออกจาก postgres ในระบบปฏิบัติการ
\q
ตัวอย่าง
postgres=# \q
user@postgres-database:~$
ในส่วนต่อไปนี้ คุณจะแทรกที่อยู่ IP ของอินสแตนซ์ postgres-database และซับเน็ต Private Google Access ของ Looker (192.168.0.0/22) ในไฟล์ pg_hba.conf ภายใต้การเชื่อมต่อภายใน IPv4 ตามภาพหน้าจอด้านล่าง
sudo nano /etc/postgresql/15/main/pg_hba.conf
ในส่วนต่อไปนี้ ให้ยกเลิกการแสดงความคิดเห็นใน postgresql.conf เพื่อฟังที่อยู่ IP ทั้งหมด "*" ตามภาพหน้าจอด้านล่าง
sudo nano /etc/postgresql/15/main/postgresql.conf
ก่อน:
หลัง:
รีสตาร์ทบริการ postgresql ในระบบปฏิบัติการ
sudo service postgresql restart
ตรวจสอบสถานะ postgresql ว่าใช้งานอยู่ภายในระบบปฏิบัติการ
sudo service postgresql status
ตัวอย่าง
ตรวจสอบสถานะ postgresql ว่าใช้งานอยู่ภายในระบบปฏิบัติการ
user@postgres-database$ sudo service postgresql status
● postgresql.service - PostgreSQL RDBMS
Loaded: loaded (/lib/systemd/system/postgresql.service; enabled; preset: enabled)
Active: active (exited) since Sat 2023-07-01 23:40:59 UTC; 7s ago
Process: 4073 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 4073 (code=exited, status=0/SUCCESS)
CPU: 2ms
Jul 01 23:40:59 postgres-database systemd[1]: Starting postgresql.service - PostgreSQL RDBMS...
Jul 01 23:40:59 postgres-database systemd[1]: Finished postgresql.service - PostgreSQL RDBMS.
16. สร้างฐานข้อมูล Postgres
ในส่วนต่อไปนี้ คุณจะสร้างฐานข้อมูล Postgres ชื่อ postgres_looker และสคีมา looker_schema ที่ใช้เพื่อตรวจสอบการเชื่อมต่อ Looker กับการเชื่อมต่อในองค์กร
เข้าสู่ระบบ postgres ใน OS
sudo -u postgres psql postgres
สร้างฐานข้อมูลภายในระบบปฏิบัติการ
create database postgres_looker;
แสดงรายการฐานข้อมูลภายในระบบปฏิบัติการ
\l
สร้างผู้ใช้ Looker ด้วยรหัสผ่าน Looker ภายในระบบปฏิบัติการ
create user postgres_looker with password 'postgreslooker';
เชื่อมต่อกับฐานข้อมูลภายในระบบปฏิบัติการ
\c postgres_looker;
สร้างสคีมา looker-schema ภายในระบบปฏิบัติการ แล้วออกไปยังพรอมต์ของ Cloud Shell
create schema looker_schema;
create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
exit
ตัวอย่าง
user@postgres-database$ sudo -u postgres psql postgres
psql (15.3 (Ubuntu 15.3-0ubuntu0.23.04.1))
Type "help" for help.
postgres=# create database postgres_looker;
CREATE DATABASE
postgres=# \l
List of databases
Name | Owner | Encoding | Collate | Ctype | ICU Locale | Locale Provider | Access privileges
-----------------+----------+----------+---------+---------+------------+-----------------+-----------------------
postgres | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
postgres_looker | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
template0 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
template1 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
(4 rows)
postgres=# create user postgres_looker with password 'postgreslooker';
CREATE ROLE
postgres=# \c postgres_looker;
You are now connected to database "postgres_looker" as user "postgres".
postgres_looker=# create schema looker_schema;
CREATE SCHEMA
postgres_looker=# create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
CREATE TABLE
postgres_looker=# exit
ออกจากระบบปฏิบัติการเพื่อกลับไปยัง Cloud Shell
\q
exit
17. สร้างไฟร์วอลล์ใน on-prem-vpc
ในส่วนต่อไปนี้ ให้สร้างไฟร์วอลล์ขาเข้าที่มีการบันทึกซึ่งอนุญาตให้การสื่อสารของเครือข่ายย่อย Looker ไปยังอินสแตนซ์ postgres-database
สร้างไฟร์วอลล์ on-prem-vpc จาก Cloud Shell
gcloud compute --project=$projectid firewall-rules create looker-access-to-postgres --direction=INGRESS --priority=1000 --network=on-prem-vpc --action=ALLOW --rules=all --source-ranges=192.168.0.0/22 --enable-logging
18. สร้าง DNS ส่วนตัวใน analytics-vpc
แม้ว่า Looker จะได้รับการติดตั้งใช้งานใน VPC ที่ Google จัดการ แต่ระบบก็รองรับการเข้าถึง DNS ส่วนตัวของ analytics-vpc ผ่านการเพียร์กับเครือข่ายบริการ
ในส่วนต่อไปนี้ คุณจะสร้างโซน DNS ส่วนตัวใน analytics-vpc ซึ่งประกอบด้วยระเบียน A ของชื่อโดเมนแบบเต็ม (postgres.analytics.com)Fully Qualified Domain Name) ของอินสแตนซ์ postgres-database และที่อยู่ IP
สร้างโซนส่วนตัว analytics.com จาก Cloud Shell
gcloud dns --project=$projectid managed-zones create gcp-private-zone --description="" --dns-name="analytics.com." --visibility="private" --networks="https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/analytics-vpc"
จาก Cloud Shell ให้ระบุที่อยู่ IP ของอินสแตนซ์ postgres-database
gcloud compute instances describe postgres-database --zone=us-central1-a | grep networkIP:
ตัวอย่าง
user@cloudshell$ gcloud compute instances describe postgres-database --zone=us-central1-a | grep networkIP:
networkIP: 172.16.10.2
สร้างระเบียน A จาก Cloud Shell และตรวจสอบว่าได้เพิ่มที่อยู่ IP ที่ระบุไว้ก่อนหน้านี้
gcloud dns --project=$projectid record-sets create postgres.analytics.com. --zone="gcp-private-zone" --type="A" --ttl="300" --rrdatas="your-postgres-database-ip"
ตัวอย่าง
user@cloudshell$ gcloud dns --project=$projectid record-sets create postgres.analytics.com. --zone="gcp-private-zone" --type="A" --ttl="300" --rrdatas="172.16.10.2"
NAME: postgres.analytics.com.
TYPE: A
TTL: 300
DATA: 172.16.10.2
จาก Cloud Shell ให้เพียร์ dns-suffix analytics.com กับเครือข่ายบริการเพื่อให้ Looker เข้าถึงโซนส่วนตัว analytics-vpc ได้
gcloud services peered-dns-domains create looker-com --network=analytics-vpc --service=servicenetworking.googleapis.com --dns-suffix=analytics.com.
19. ผสานรวม Looker กับฐานข้อมูล Postgres
ในส่วนต่อไปนี้ คุณจะใช้ Cloud Console เพื่อสร้างการเชื่อมต่อฐานข้อมูลกับอินสแตนซ์ postgres-database ในองค์กร
ใน Cloud Console ให้ไปที่ Looker แล้วเลือก URL ของอินสแตนซ์ที่จะเปิด UI ของ Looker
เมื่อเปิดตัวแล้ว คุณจะเห็นหน้า Landing Page ตามภาพหน้าจอด้านล่าง
ไปที่ผู้ดูแลระบบ → ฐานข้อมูล → การเชื่อมต่อ → เลือกเพิ่มการเชื่อมต่อ
กรอกรายละเอียดการเชื่อมต่อตามภาพหน้าจอด้านล่าง แล้วเลือกเชื่อมต่อ
ตอนนี้การเชื่อมต่อสำเร็จแล้ว
20. ตรวจสอบการเชื่อมต่อ Looker
ในส่วนต่อไปนี้ คุณจะได้เรียนรู้วิธีตรวจสอบการเชื่อมต่อ Looker กับฐานข้อมูล Postgres ใน VPC ในองค์กรโดยใช้การดำเนินการ "ทดสอบ" ของ Looker และ TCPDUMP
จาก Cloud Shell ให้เข้าสู่ระบบฐานข้อมูล postgres หากเซสชันหมดเวลา
ใน Cloud Shell ให้ทำดังนี้
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
gcloud compute ssh --zone "us-central1-a" "postgres-database" --project "$projectid"
สร้างตัวกรอง TCPDUMP จากระบบปฏิบัติการด้วยซับเน็ต psa-range-looker 192.168.0.0/22
sudo tcpdump -i any net 192.168.0.0/22 -nn
ไปที่การเชื่อมต่อข้อมูล ADMIN → DATABASE → CONNECTIONS → Select → Test
เมื่อเลือก "ทดสอบ" แล้ว Looker จะเชื่อมต่อกับฐานข้อมูล Postgres ได้สำเร็จตามที่ระบุไว้ด้านล่าง
กลับไปที่เทอร์มินัลของระบบปฏิบัติการ แล้วตรวจสอบว่า TCPDUMP ระบุว่า psc-range-looker เชื่อมต่อกับอินสแตนซ์ postgres-database ในองค์กร
เพิ่มหมายเหตุว่า IP จากช่วง PSA จะแสดงจาก Looker
user@postgres-database$ sudo tcpdump -i any net 192.168.0.0/22 -nn
tcpdump: data link type LINUX_SLL2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
00:16:55.121631 ens4 In IP 192.168.1.24.46892 > 172.16.10.2.5432: Flags [S], seq 2221858189, win 42600, options [mss 1366,sackOK,TS val 4045928414 ecr 0,nop,wscale 7], length 0
00:16:55.121683 ens4 Out IP 172.16.10.2.5432 > 192.168.1.24.46892: Flags [S.], seq 1464964586, ack 2221858190, win 64768, options [mss 1420,sackOK,TS val 368503074 ecr 4045928414,nop,wscale 7], length 0
21. คำแนะนำเกี่ยวกับความปลอดภัย
มีคำแนะนำด้านความปลอดภัยและแนวทางปฏิบัติแนะนำบางอย่างที่เกี่ยวข้องกับการรักษาความปลอดภัยของ Looker และฐานข้อมูล Postgres ซึ่งรวมถึง
- การตั้งค่าสิทธิ์บัญชีฐานข้อมูลที่มีสิทธิ์น้อยที่สุดสำหรับ Looker ซึ่งยังคงอนุญาตให้ดำเนินการฟังก์ชันที่จำเป็นได้
- ระบบจะเข้ารหัสข้อมูลที่รับส่งระหว่าง UI ของไคลเอ็นต์และ Looker รวมถึง Looker กับฐานข้อมูลโดยใช้ TLS 1.2 ขึ้นไป
- ระบบจะเข้ารหัสข้อมูลที่พักไว้โดยค่าเริ่มต้น ลูกค้ายังใช้ประโยชน์จาก CMEK สำหรับอินสแตนซ์ Looker ( https://cloud.google.com/looker/docs/looker-core-cmek) และสำหรับ Postgres ( https://cloud.google.com/sql/docs/postgres/configure-cmek) ได้ด้วย
- การควบคุมการเข้าถึง Looker - ผู้ดูแลระบบ Looker สามารถควบคุมสิ่งที่ผู้ใช้หลักหรือกลุ่มผู้ใช้สามารถดูและทำใน Looker ได้โดยการให้สิทธิ์เข้าถึงเนื้อหา สิทธิ์เข้าถึงข้อมูล และสิทธิ์เข้าถึงฟีเจอร์ ตัวเลือกเหล่านี้ช่วยให้ผู้ดูแลระบบ Looker กําหนดบทบาทที่เฉพาะเจาะจงซึ่งรวมถึงโมเดลและชุดสิทธิ์ รวมถึงสร้างการควบคุมการเข้าถึงข้อมูลแบบละเอียดได้
- Looker รองรับทั้งบันทึกการตรวจสอบและบันทึกการเข้าถึงข้อมูล ซึ่งจะบันทึกว่าใครทำอะไร เมื่อใด และที่ไหน บันทึกการตรวจสอบจะเปิดใช้โดยค่าเริ่มต้น ส่วนบันทึกการเข้าถึงข้อมูลต้องเปิดใช้โดยชัดแจ้ง
- ปัจจุบัน VPC-SC รองรับอินสแตนซ์ Enterprise และ Embed ที่กำหนดค่าด้วย IP ส่วนตัวเท่านั้น
22. ล้างข้อมูล
ลบอินสแตนซ์ Looker Cloud Core โดยไปที่
LOOKER → looker-tutorial → DELETE
ลบคอมโพเนนต์ของบทแนะนำจาก Cloud Shell
gcloud compute vpn-tunnels delete analytics-vpc-tunnel0 analytics-vpc-tunnel1 on-prem-tunnel0 on-prem-tunnel1 --region=us-central1 --quiet
gcloud compute vpn-gateways delete analytics-vpn-gw on-prem-vpn-gw --region=us-central1 --quiet
gcloud compute routers delete analytics-cr-us-central1 on-prem-cr-us-central1 on-prem-cr-us-central1-nat --region=us-central1 --quiet
gcloud compute instances delete postgres-database --zone=us-central1-a --quiet
gcloud compute networks subnets delete database-subnet-us-central1 --region=us-central1 --quiet
gcloud compute firewall-rules delete looker-access-to-postgres on-prem-ssh --quiet
gcloud dns record-sets delete postgres.analytics.com. --type=A --zone=gcp-private-zone
gcloud dns managed-zones delete gcp-private-zone
gcloud compute networks delete on-prem-vpc --quiet
gcloud compute addresses delete psa-range-looker --global --quiet
gcloud compute networks delete analytics-vpc --quiet
23. ขอแสดงความยินดี
ขอแสดงความยินดี คุณกำหนดค่าและตรวจสอบการเชื่อมต่อ Looker ผ่านเครือข่ายแบบไฮบริดเรียบร้อยแล้ว ซึ่งช่วยให้การสื่อสารข้อมูลในสภาพแวดล้อมภายในองค์กรและมัลติคลาวด์เป็นไปได้
นอกจากนี้ คุณยังทดสอบการเชื่อมต่อ Looker Cloud Core กับฐานข้อมูล Postgres ได้สำเร็จโดยใช้เครื่องมือ "ทดสอบ" ของ Lookers Connect และ TCPDUMP ในอินสแตนซ์ฐานข้อมูล Postgres
Cosmopup คิดว่าบทแนะนำนั้นยอดเยี่ยมมาก!!
อ่านเพิ่มเติมและวิดีโอ
- ขอแนะนำ Looker รุ่นถัดไป
- หากย้ายข้อมูลไปยัง GCP สิ่งแรกที่ต้องทำ: VPC
- การกำหนดเส้นทางแบบไดนามิกด้วย Cloud Router