1. Giriş
Looker (Google Cloud Core), Google Cloud Console'dan Looker örneği için temel hazırlık, yapılandırma ve yönetim işlemlerini basitleştirilmiş ve basit hale getirir. Bazı örnek yönetimi görevleri konsoldan da gerçekleştirilebilir.
Looker (Google Cloud Core) örnekleri için üç ağ yapılandırması mevcuttur:
- Herkese açık: Ağ bağlantısı, internete erişilebilen harici bir IP adresi kullanır.
- Gizli: Ağ bağlantısı, Google tarafından barındırılan dahili bir Sanal Özel Bulut (VPC) IP adresi kullanır.
- Genel ve özel: Ağ bağlantısında hem genel IP adresi hem de özel IP adresi kullanılır. Burada gelen trafik genel IP üzerinden, giden trafik ise özel IP üzerinden yönlendirilir.
Eğitimde, Looker'ın HA VPN üzerinden şirket içi VPC'ye bağlanmasını desteklemek için kapsamlı bir uçtan uca özel ağ dağıtacaksınız. Bu ağ, çok bulut ve şirket içi bağlantıyla ilgili gereksinimlerinizi karşılamak için çoğaltılabilir.
Looker (Google Cloud çekirdeği), aşağıdaki ölçütleri karşılayan örnekler için özel IP'yi destekler:
- Örnek sürümleri Enterprise veya Embed olmalıdır.
Oluşturacaklarınız
Bu eğiticide, çoklu buluta ve şirket içine karma bağlantıya sahip olan bağımsız bir VPC'de kapsamlı bir özel Looker ağ dağıtımı oluşturacaksınız.
Şirket içi ortamı temsil etmesi için on-prem-vpc adında bir VPC ağı oluşturacaksınız. Dağıtımınız için şirket içi VPC platformu yerine şirket içi veri merkezinize veya bulut sağlayıcınıza karma ağ kullanılır.
Eğiticinin temel adımları
- us-central1 bölgesinde bağımsız bir VPC oluşturma
- Özel Hizmet Erişimine IP alt ağı ayırma
- Looker örneğini bağımsız VPC'de dağıtma
- Yerleşik VPC ve karma ağ oluşturma
- BGP üzerinden Looker IP aralığını tanıtın ve doğrulayın
- Looker ve Postgresql veri iletişimini entegre etme ve doğrulama
Figure1
Neler öğreneceksiniz?
- VPC ve ilişkili karma ağ iletişimi oluşturma
- Looker'ı bağımsız bir VPC'de dağıtma
- Şirket içi VPC ve ilişkili karma ağ oluşturma
- Şirket içi VPC'yi HA VPN üzerinden analytics-vps'ye bağlama
- Karma ağ üzerinden Looker alt ağlarının reklamını yapma
- Karma ağ iletişimi altyapısını izleme
- Postgresql veritabanını Looker Cloud Core ile entegre etme
Gerekenler
- Google Cloud projesi
IAM İzinleri
2. Başlamadan önce
Projeyi, eğiticiyi destekleyecek şekilde güncelleme
Bu eğiticide, Cloud Shell'de gcloud yapılandırması uygulamasına yardımcı olmak için $variables kullanımı açıklanmaktadır.
Cloud Shell'in içinde aşağıdaki işlemleri gerçekleştirin:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. VPC Kurulumu
analytics-vpc'yi oluşturma
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks create analytics-vpc --project=$projectid --subnet-mode=custom
Şirket içi VPC'yi oluşturma
Cloud Shell'in içinde aşağıdaki işlemleri gerçekleştirin:
gcloud compute networks create on-prem-vpc --project=$projectid --subnet-mode=custom
Postgresql veritabanı alt ağını oluşturma
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks subnets create database-subnet-us-central1 --project=$projectid --range=172.16.10.0/27 --network=on-prem-vpc --region=us-central1
Cloud Router ve NAT yapılandırması
Veritabanı sanal makine örneğinin harici bir IP adresi olmadığından, yazılım paketi yükleme eğitiminde Cloud NAT kullanılır.
Cloud Shell'in içinde Cloud Router'ı oluşturun.
gcloud compute routers create on-prem-cr-us-central1-nat --network on-prem-vpc --region us-central1
Cloud Shell'in içinde NAT ağ geçidini oluşturun.
gcloud compute routers nats create on-prem-nat-us-central1 --router=on-prem-cr-us-central1-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
Veritabanı test örneğini oluşturma
Looker bağlantısını test etmek ve doğrulamak için kullanılacak bir postgres-database örneği oluşturun.
Cloud Shell'in içinde örneği oluşturun.
gcloud compute instances create postgres-database \
--project=$projectid \
--zone=us-central1-a \
--machine-type=e2-medium \
--subnet=database-subnet-us-central1 \
--no-address \
--image=projects/ubuntu-os-cloud/global/images/ubuntu-2304-lunar-amd64-v20230621 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt -y install postgresql postgresql-client postgresql-contrib -y"
Güvenlik Duvarı Kuralları Oluşturma
IAP'nin sanal makine örneklerinize bağlanmasına izin vermek için aşağıdaki şartları yerine getiren bir güvenlik duvarı kuralı oluşturun:
- IAP kullanarak erişilmesini istediğiniz tüm sanal makine örnekleri için geçerlidir.
- 35.235.240.0/20 IP aralığından giriş trafiğine izin verir. Bu aralık, IAP'nin TCP yönlendirme için kullandığı tüm IP adreslerini içerir.
Cloud Shell'den
gcloud compute firewall-rules create on-prem-ssh \
--network on-prem-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
4. Özel Hizmet Erişimi
Özel hizmetler erişimi, VPC ağınız ile Google'a veya üçüncü bir tarafa ait bir ağ arasında özel bir bağlantıdır. Google veya üçüncü taraf, hizmet sunan tüzel kişiler, hizmet üreticisi olarak da bilinir. Looker Cloud Core, hizmet üreticisidir.
Özel bağlantı, VPC ağınızdaki sanal makine örneklerinin ve eriştiğiniz hizmetlerin yalnızca dahili IP adreslerini kullanarak iletişim kurmasını sağlar.
Üst düzeyde, özel hizmet erişimini kullanmak için VPC ağınızda bir IP adresi aralığı (CIDR bloğu) ayırmanız ve ardından hizmet üreticisine özel bir bağlantı oluşturmanız gerekir.
Hizmetler için IP adresi aralığı ayırma
Özel bağlantı oluşturmadan önce, hizmet üreticisinin VPC ağı tarafından kullanılacak bir IPv4 adres aralığı ayırmanız gerekir. Bu, VPC ağınız ile hizmet üreticinin ağı arasında IP adresi çakışması olmamasına olanak tanır.
VPC ağınızdaki bir aralığı ayırdığınızda bu aralık, alt ağlar (birincil ve ikincil aralıklar) ve özel statik rotaların hedefleri için uygun olmaz.
Özel hizmet erişimi ile IPv6 adres aralıkları kullanılması desteklenmez.
Google Cloud Console'da projeniz için Service Networking API'yi etkinleştirin. API'yi etkinleştirirken, API'nin etkinleştirildiğini doğrulamak için konsol sayfasını yenilemeniz gerekebilir.
IP tahsisi oluşturma
Bir adres aralığı ve önek uzunluğu (alt ağ maskesi) belirtmek için adresleri ve önek uzunluğu işaretlerini kullanın. Örneğin, 192.168.0.0/22 CIDR bloğunu ayırmak için adres için 192.168.0.0 ve önek uzunluğu için 22'yi belirtin.
Cloud Shell'in içinde Looker için IP tahsisini oluşturun.
gcloud compute addresses create psa-range-looker \
--global \
--purpose=VPC_PEERING \
--addresses=192.168.0.0 \
--prefix-length=22 \
--description="psa range for looker" \
--network=analytics-vpc
Cloud Shell'in içinde IP ayırmayı doğrulayın.
gcloud compute addresses list --global --filter="purpose=VPC_PEERING"
Örnek:
userl@cloudshell$ gcloud compute addresses list --global --filter="purpose=VPC_PEERING"
NAME: psa-range-looker
ADDRESS/RANGE: 192.168.0.0/22
TYPE: INTERNAL
PURPOSE: VPC_PEERING
NETWORK: analytics-vpc
REGION:
SUBNET:
STATUS: RESERVED
Özel Bağlantı Oluşturun
Ayrılmış aralık oluşturduktan sonra, bir hizmet üreticisi olan Looker Cloud Core ile özel bir bağlantı oluşturabilirsiniz. Özel bağlantı, Looker örneği oluşturulduktan sonra VPC ağınız ile hizmet üreticinin ağı arasında bir VPC Ağ Eşleme bağlantısı oluşturur.
Özel bağlantılar, VPC ağınız ile bir hizmet üreticisi arasında bire bir ilişkidir. Tek bir hizmet üreticisi birden fazla hizmet sunuyorsa üreticinin tüm hizmetleri için yalnızca bir özel bağlantıya ihtiyacınız vardır.
Birden fazla hizmet üreticiye bağlanıyorsanız her hizmet üretici için benzersiz bir tahsis kullanın. Bu uygulama, her hizmet üretici için rotalar ve güvenlik duvarı kuralları gibi ağ ayarlarınızı yönetmenize yardımcı olur.
Cloud Shell'in içinde gizli bir bağlantı oluşturun ve işlem adını not edin.
gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=psa-range-looker \
--network=analytics-vpc
Örnek:
user@cloudshell$ gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=psa-range-looker \
--network=analytics-vpc
Operation "operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea" finished successfully.
Cloud Shell'de işlemin başarılı olup olmadığını kontrol edin. OPERATION_NAME bölümünü önceki adımda oluşturulan adla değiştirin.
gcloud services vpc-peerings operations describe \
--name=OPERATION_NAME
Örnek:
user@cloudshell$ gcloud services vpc-peerings operations describe \
--name=operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea
Operation "operations/pssn.p24-1049481044803-f16d61ba-7db0-4516-b525-cd0be063d4ea" finished successfully.
5. Looker (Google Cloud core) örneği oluşturma
Başlamadan önce
Google Cloud Console'da projeniz için Looker API'yi etkinleştirin. API'yi etkinleştirirken, API'nin etkinleştirildiğini doğrulamak için konsol sayfasını yenilemeniz gerekebilir.
Örneğe erişmek ve kimlik doğrulaması yapmak için bir OAuth istemcisi oluşturun.
Aşağıdaki bölümde, Looker örneğini oluşturmak için OAuth Client-ID ve Sırrını kullanmanız gerekir.
Yetkilendirilmiş JavaScript kaynakları ve yönlendirme URI'leri gerekli değildir.
Cloud Console'un içinde, sağlanan ekran görüntülerine dayalı bir örnek oluşturun.
LOOKER → CREATE AN INSTANCE (GÖSTERGE → ÖRNEK OLUŞTUR) bölümüne gidin.
Önceden oluşturulan OAuth İstemci Kimliği ve Sırrını doldurun.
OLUŞTUR'u seçin.
Örnek oluşturulurken konsoldaki Örnekler sayfasına yönlendirilirsiniz. Yeni örneğinizin durumunu görmek için sayfayı yenilemeniz gerekebilir. Google Cloud Console menüsündeki bildirimler simgesini tıklayarak da örnek oluşturma etkinliğinizi görebilirsiniz. Örneğiniz oluşturulurken Google Cloud Console menüsündeki bildirimler simgesi bir yükleme simgesiyle daire içine alınır.
Looker örneği oluşturulduktan sonra bir örnek URL'si oluşturulur. URL'yi not edin.
6. OAuth 2.0 istemci kimliğini güncelleme
Aşağıdaki bölümde, Örnek URL'sine /oauth2callback ekleyerek daha önce oluşturulan OAuth istemci kimliği Yetkili yönlendirme URI'sini güncellemeniz gerekir.
İşlem tamamlandıktan sonra Looker kullanıcı arayüzüne giriş yapmak için örnek URL'sini kullanabilirsiniz.
Cloud Console'da API'LER VE HİZMETLER → KİMLİĞİ BİLGİLERİ'ne gidin.
Oauth 2.0 istemci kimliğinizi seçin ve örnekteki gibi örnek URL'nizi güncelleyin:
7. Looker Erişimini Doğrula
Cloud Console'da Looker'a gidin ve Looker kullanıcı arayüzünü açacak örnek URL'nizi seçin.
Özellik kullanıma sunulduktan sonra, aşağıdaki ekran görüntüsüne uygun şekilde, Looker Cloud Core'a erişiminizi onaylayan açılış sayfası gösterilir.
8. Karma bağlantı
Aşağıdaki bölümde Sınır Ağ Geçidi Protokolü'nü (BGP) kullanarak sanal özel bulutunuz (VPC) ve eş ağınız arasında dinamik olarak rota değişimi yapmanızı sağlayan bir Cloud Router oluşturacaksınız.
Cloud Yönlendirici, ağlarınızı bağlamak için Cloud VPN tüneli üzerinden BGP oturumu oluşturabilir. Yeni alt ağın IP adresi aralıklarını otomatik olarak öğrenir ve eş ağınıza duyurur.
Bu eğitimde, Looker ile gizli bağlantıyı göstermek için analytics-vpc ve on-prem-vpc arasında HA VPN'yi dağıtacaksınız.
analytics-vpc için HA VPN GW'yu oluşturma
Her ağ geçidi oluşturulduğunda, her ağ geçidi arayüzü için bir tane olmak üzere iki harici IPv4 adresi otomatik olarak ayrılır. Yapılandırma adımlarında daha sonra kullanmak üzere bu IP adreslerini not edin.
Cloud Shell'de HA VPN GW'yi oluşturun
gcloud compute vpn-gateways create analytics-vpn-gw \
--network=analytics-vpc\
--region=us-central1
on-prem-vpc için HA VPN GW'yu oluşturma
Her ağ geçidi oluşturulduğunda, her ağ geçidi arayüzü için bir tane olmak üzere iki harici IPv4 adresi otomatik olarak ayrılır. Daha sonra yapılandırma adımlarında kullanmak üzere bu IP adreslerini not edin.
Cloud Shell'de HA VPN GW'yi oluşturun.
gcloud compute vpn-gateways create on-prem-vpn-gw \
--network=on-prem-vpc\
--region=us-central1
HA VPN GW oluşturmayı doğrulama
Konsolu kullanarak HYBRID CONNECTIVITY → VPN → CLOUD VPN GATEWAYS'a gidin.
analytics-vpc için Cloud Router oluşturma
Cloud Shell'in içinde us-central1 bölgesinde bulunan Cloud Router'ı oluşturun
gcloud compute routers create analytics-cr-us-central1 \
--region=us-central1 \
--network=analytics-vpc\
--asn=65001
Şirket içi VPC için Cloud Router oluşturma
Cloud Shell'in içinde us-central1 bölgesinde bulunan Cloud Router'ı oluşturun
gcloud compute routers create on-prem-cr-us-central1 \
--region=us-central1 \
--network=on-prem-vpc \
--asn=65002
analytics-vpc için VPN tünellerini oluşturma
Her HA VPN ağ geçidinde iki VPN tüneli oluşturursunuz.
VPN tüneli oluştur0
Cloud Shell'in içinde tünel 0 oluşturun:
gcloud compute vpn-tunnels create analytics-vpc-tunnel0 \
--peer-gcp-gateway on-prem-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router analytics-cr-us-central1 \
--vpn-gateway analytics-vpn-gw \
--interface 0
VPN tüneli1'i oluşturma
Cloud Shell'de tunnel1 adlı bir tünel oluşturun:
gcloud compute vpn-tunnels create analytics-vpc-tunnel1 \
--peer-gcp-gateway on-prem-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router analytics-cr-us-central1 \
--vpn-gateway analytics-vpn-gw \
--interface 1
Şirket içi VPC için VPN tünelleri oluşturma
Her HA VPN ağ geçidinde iki VPN tüneli oluşturacaksınız.
VPN tüneli oluştur0
Cloud Shell'in içinde tünel 0 oluşturun:
gcloud compute vpn-tunnels create on-prem-tunnel0 \
--peer-gcp-gateway analytics-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router on-prem-cr-us-central1 \
--vpn-gateway on-prem-vpn-gw \
--interface 0
VPN tüneli1'i oluşturma
Cloud Shell'de tunnel1 adlı bir tünel oluşturun:
gcloud compute vpn-tunnels create on-prem-tunnel1 \
--peer-gcp-gateway analytics-vpn-gw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router on-prem-cr-us-central1 \
--vpn-gateway on-prem-vpn-gw \
--interface 1
VPN tüneli oluşturmayı doğrulayın
Konsolu kullanarak HYBRID CONNECTIVITY → VPN → CLOUD VPN GOOGLES'A gidin.
9. BGP komşuları oluşturma
BGP oturumları oluşturma
Bu bölümde, Cloud Router arayüzlerini ve BGP eşlemelerini yapılandıracaksınız.
BGP arayüzü ve analytics-vpc için eşleme oluşturma
Cloud Shell'in içinde BGP arayüzünü oluşturun:
gcloud compute routers add-interface analytics-cr-us-central1 \
--interface-name if-tunnel0-to-onprem \
--ip-address 169.254.1.1 \
--mask-length 30 \
--vpn-tunnel analytics-vpc-tunnel0 \
--region us-central1
Cloud Shell'de BGP eşlemesini oluşturun:
gcloud compute routers add-bgp-peer analytics-cr-us-central1 \
--peer-name bgp-on-premises-tunnel0 \
--interface if-tunnel1-to-onprem \
--peer-ip-address 169.254.1.2 \
--peer-asn 65002 \
--region us-central1
Cloud Shell'in içinde BGP arayüzünü oluşturun:
gcloud compute routers add-interface analytics-cr-us-central1 \
--interface-name if-tunnel1-to-onprem \
--ip-address 169.254.2.1 \
--mask-length 30 \
--vpn-tunnel analytics-vpc-tunnel1 \
--region us-central1
Cloud Shell'de BGP eşlemesini oluşturun:
gcloud compute routers add-bgp-peer analytics-cr-us-central1 \
--peer-name bgp-on-premises-tunnel1 \
--interface if-tunnel2-to-onprem \
--peer-ip-address 169.254.2.2 \
--peer-asn 65002 \
--region us-central1
BGP arayüzü ve şirket içi VPC arayüzü için eşleme oluşturma
Cloud Shell'in içinde BGP arayüzünü oluşturun:
gcloud compute routers add-interface on-prem-cr-us-central1 \
--interface-name if-tunnel0-to-analytics-vpc \
--ip-address 169.254.1.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel0 \
--region us-central1
Cloud Shell'de BGP eşlemesini oluşturun:
gcloud compute routers add-bgp-peer on-prem-cr-us-central1 \
--peer-name bgp-analytics-vpc-tunnel0 \
--interface if-tunnel1-to-analytics-vpc \
--peer-ip-address 169.254.1.1 \
--peer-asn 65001 \
--region us-central1
Cloud Shell'in içinde BGP arayüzünü oluşturun:
gcloud compute routers add-interface on-prem-cr-us-central1 \
--interface-name if-tunnel1-to-analytics-vpc \
--ip-address 169.254.2.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel1 \
--region us-central1
Cloud Shell'de BGP eşlemesi oluşturun:
gcloud compute routers add-bgp-peer on-prem-cr-us-central1 \
--peer-name bgp-analytics-vpc-tunnel1\
--interface if-tunnel2-to-analytics-vpc \
--peer-ip-address 169.254.2.1 \
--peer-asn 65001 \
--region us-central1
VPN tüneli ayrıntılarını görüntülemek için Karma BAĞLANTI → VPN'e gidin.
HA VPN üzerinden analytics-vpc öğrenme rotalarını doğrulama
HA VPN tünelleri ve BGP oturumları kurulduğundan, on-prem-vpc'deki rotalar analytics-vpc'den öğrenilir. Konsolu kullanarak VPC ağı → VPC ağları → analytics-vpc → ROUTES → REGION → us-central1 → VIEW'a gidin
analytics-vpc'yi gözlemleme, şirket içi-vpc veritabanı-subnet-us-central1 172.16.10.0/27 adresinden rotaları öğrenmiştir
Şirket içi VPC'nin HA VPN üzerinden rotaları öğrenmediğini doğrulayın
analytics-vpc'nin alt ağı yoktur. Bu nedenle Cloud Router, on-prem-vpc'ye herhangi bir alt ağ reklamı yapmaz. Konsolu kullanarak VPC ağı → VPC ağları → şirket içi-vpc → ROUTES → REGION → us-central1 → VIEW'a gidin
10. Looker alt ağını şirket içine tanıtın
Looker Private Service Access (PSA) alt ağı, VPC'ye değil PSA'ya atandığından analytics-cr-us-central1 bulut yönlendiricisi tarafından otomatik olarak reklamı yapılmaz.
Şirket içi ortamda tanıtılacak ve Looker'a erişmek için iş yükleri tarafından kullanılacak PSA alt ağı 192.168.0.0/22 (psa-range-looker) için analytics-cr-central1'den özel bir rota reklamı oluşturmanız gerekir.
Konsolda HYBRID CONNECTIVITY → CLOUD ROUTERS → analytics-cr-us-central1'e gidin ve DÜZENLE'yi seçin.
Tanıtılan rotalar bölümünde Özel rota oluştur seçeneğini belirleyin, aşağıdaki örneğe göre alanları güncelleyin, BİTTİ'yi seçin ve ardından KAYDET'i tıklayın.
11. on-prem-vpc'nin Looker alt ağını öğrendiğini doğrulama
Şirket içi VPC, analytics-cr-us-central1'de özel rota reklamı olarak tanıtıldığı için artık Looker PSA alt ağına erişebilecek.
Konsolu kullanarak VPC AĞI → VPC AĞLARI → on-prem-vpc → ROTALAR → BÖLGE → us-central1 → GÖSTER'e gidin.
analytics-vpc'den tanıtılan Looker rotalarını gözlemleyin:
12. Mevcut VPC Eşlemesini doğrulayın
Looker Cloud Core ile analytics-vpc arasındaki bağlantı, BGP aracılığıyla öğrenilen özel rotaların değişimine olanak tanıyan VPC eşleme aracılığıyla yapılır. Eğitimde Analytics-vpc'nin, şirket içi VPC tarafından öğrenilen rotaları Looker'da yayınlaması gerekir. Bu işlevi etkinleştirmek için VPC eşlemenin, özel rotaları dışa aktarmak üzere güncellenmesi gerekir.
İçe aktarılan ve dışa aktarılan mevcut rotaları doğrulayın.
VPC AĞI → VPC AĞ eşleme → servicenetworking-googleapis-com adresine gidin
Aşağıdaki ekran görüntüsünde, analytics-vpc'nin psa-range-looker'ı Google tarafından yönetilen eşlenmiş VPC ağı olan servicesnetworking'den içe aktarması ayrıntılı olarak gösterilmektedir.
DIŞA Aktarılan ROTALAR'ı seçtiğinizde, 1) Alt ağlar analytics-vpc'de yapılandırılmadığı ve 2) Özel rotaları dışa aktarma seçeneği belirlenmediği için eşlenen VPC ağına dışa aktarılan rota olmadığı gösterilir.
13. VPC Eşlemesini Güncelleme
VPC AĞI → VPC AĞI eşleme → servicenetworking-googleapis-com → EDIT'e gidin
ÖZEL ROTALARI DIŞA AKTAR → KAYDET'i seçin
14. Güncellenmiş VPC Eşleme'yi doğrulayın
Dışa aktarılan rotaları doğrulayın.
VPC AĞI → VPC AĞ eşleme → servicenetworking-googleapis-com adresine gidin
DIŞA Aktarılan ROTALAR'ı seçtiğinizde, on-prem-vpc rotalarının (veritabanı alt ağı 172.16.10.0/27) analytics-vpc tarafından Looker'ı barındıran eşlenmiş VPC ağına dışa aktarıldığı gösterilir.
15. Looker postgres veritabanı oluşturma
Aşağıdaki bölümde, Cloud Shell'i kullanarak postgres-database sanal makinesine SSH uygulayacaksınız.
Cloud Shell'de postgres-database örneğine ssh bağlantısı oluşturun**.**
gcloud compute ssh --zone "us-central1-a" "postgres-database" --project "$projectid"
İşletim sisteminin içinde postgres-database örneğinin IP adresini (ens4) tanımlayın ve not edin.
ip a
Örnek:
user@postgres-database:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc mq state UP group default qlen 1000
link/ether 42:01:ac:10:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 172.16.10.2/32 metric 100 scope global dynamic ens4
valid_lft 84592sec preferred_lft 84592sec
inet6 fe80::4001:acff:fe10:a02/64 scope link
valid_lft forever preferred_lft forever
İşletim sisteminin içinde postgresql'e giriş yapın.
sudo -u postgres psql postgres
İşletim sisteminde şifre istemini girin.
\password postgres
İşletim sistemi içinde şifreyi postgres olarak ayarlayın (aynı şifreyi iki kez girin)
postgres
Örnek:
user@postgres-database:~$ sudo -u postgres psql postgres
\password postgres
psql (13.11 (Debian 13.11-0+deb11u1))
Type "help" for help.
postgres=# \password postgres
Enter new password for user "postgres":
Enter it again:
İşletim sisteminde postgres'ten çıkın.
\q
Örnek:
postgres=# \q
user@postgres-database:~$
Aşağıdaki bölümde, postgres veritabanı örneğinizin IP adresini ve Looker Private Google Access alt ağını (192.168.0.0/22) aşağıdaki ekran görüntüsüne göre IPv4 yerel bağlantıları altındaki pg_hba.conf dosyasına ekleyeceğiz:
sudo nano /etc/postgresql/15/main/pg_hba.conf
Aşağıdaki bölümde, aşağıdaki ekran görüntüsüne göre tüm "*" IP adreslerini dinlemek için postgresql.conf açıklamasını kaldırın:
sudo nano /etc/postgresql/15/main/postgresql.conf
Önce:
Sonra:
İşletim sisteminin içinde postgresql hizmetini yeniden başlatın.
sudo service postgresql restart
İşletim sisteminde postgresql durumunu etkin olarak doğrulayın.
sudo service postgresql status
Örnek:
İşletim sisteminde postgresql durumunu etkin olarak doğrulayın.
user@postgres-database$ sudo service postgresql status
● postgresql.service - PostgreSQL RDBMS
Loaded: loaded (/lib/systemd/system/postgresql.service; enabled; preset: enabled)
Active: active (exited) since Sat 2023-07-01 23:40:59 UTC; 7s ago
Process: 4073 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 4073 (code=exited, status=0/SUCCESS)
CPU: 2ms
Jul 01 23:40:59 postgres-database systemd[1]: Starting postgresql.service - PostgreSQL RDBMS...
Jul 01 23:40:59 postgres-database systemd[1]: Finished postgresql.service - PostgreSQL RDBMS.
16. Postgres veritabanını oluşturma
Aşağıdaki bölümde, postgres_looker adlı bir postgres veritabanı ve Looker'ın şirket içi bağlantısını doğrulamak için kullanılan looker_schema şeması oluşturacaksınız.
İşletim sistemi içinde postgres'e giriş yapın.
sudo -u postgres psql postgres
İşletim sisteminde veritabanını oluşturun.
create database postgres_looker;
İşletim sisteminin içinde veritabanını listeleyin.
\l
İşletim sisteminde, şifre görüntüleyici ile kullanıcı görüntüleyiciyi oluşturma
create user postgres_looker with password 'postgreslooker';
İşletim sisteminin içinde veritabanına bağlanın.
\c postgres_looker;
İşletim sisteminin içinde şema görünüm şemasını oluşturun ve Cloud Shell istemine çıkın.
create schema looker_schema;
create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
exit
Örnek:
user@postgres-database$ sudo -u postgres psql postgres
psql (15.3 (Ubuntu 15.3-0ubuntu0.23.04.1))
Type "help" for help.
postgres=# create database postgres_looker;
CREATE DATABASE
postgres=# \l
List of databases
Name | Owner | Encoding | Collate | Ctype | ICU Locale | Locale Provider | Access privileges
-----------------+----------+----------+---------+---------+------------+-----------------+-----------------------
postgres | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
postgres_looker | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
template0 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
template1 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
(4 rows)
postgres=# create user postgres_looker with password 'postgreslooker';
CREATE ROLE
postgres=# \c postgres_looker;
You are now connected to database "postgres_looker" as user "postgres".
postgres_looker=# create schema looker_schema;
CREATE SCHEMA
postgres_looker=# create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
CREATE TABLE
postgres_looker=# exit
İşletim sisteminden çıkıp sizi Cloud Shell'e döndürün.
\q
exit
17. Şirket içi VPC'de güvenlik duvarı oluşturma
Aşağıdaki bölümde Looker alt ağı ile postgres-database örneğine iletişim kurulmasına olanak tanıyan günlük kaydı içeren bir Giriş güvenlik duvarı oluşturun.
Cloud Shell'den şirket içi VPC güvenlik duvarını oluşturun.
gcloud compute --project=$projectid firewall-rules create looker-access-to-postgres --direction=INGRESS --priority=1000 --network=on-prem-vpc --action=ALLOW --rules=all --source-ranges=192.168.0.0/22 --enable-logging
18. analytics-vpc'de özel DNS oluşturma
Looker, Google tarafından yönetilen bir VPC'de dağıtılsa da analytics-vpc özel DNS'sine erişim, hizmet ağı ile eşleme yoluyla desteklenir.
Aşağıdaki bölümde, analytics-vpc'de postgres-database örneğinin tam nitelikli alan adının (postgres.analytics.com)ve IP adresinin) A kaydından oluşan bir Gizli DNS Alt Bölgesi oluşturacaksınız.
Cloud Shell'den, özel alt bölge analytics.com'u oluşturun.
gcloud dns --project=$projectid managed-zones create gcp-private-zone --description="" --dns-name="analytics.com." --visibility="private" --networks="https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/analytics-vpc"
Cloud Shell'den postgres-database örneğinin IP adresini tanımlayın.
gcloud compute instances describe postgres-database --zone=us-central1-a | grep networkIP:
Örnek:
user@cloudshell$ gcloud compute instances describe postgres-database --zone=us-central1-a | grep networkIP:
networkIP: 172.16.10.2
Cloud Shell'den A kaydını oluşturun, daha önce tanımlanan IP adresini eklediğinizden emin olun.
gcloud dns --project=$projectid record-sets create postgres.analytics.com. --zone="gcp-private-zone" --type="A" --ttl="300" --rrdatas="your-postgres-database-ip"
Örnek:
user@cloudshell$ gcloud dns --project=$projectid record-sets create postgres.analytics.com. --zone="gcp-private-zone" --type="A" --ttl="300" --rrdatas="172.16.10.2"
NAME: postgres.analytics.com.
TYPE: A
TTL: 300
DATA: 172.16.10.2
Cloud Shell'den analytics.com adlı eş dns-son eki'ne uzanan ek hizmetler ağ iletişimiyle, Looker'ın analytics-vpc özel alt bölgesine erişmesine izin verilir.
gcloud services peered-dns-domains create looker-com --network=analytics-vpc --service=servicenetworking.googleapis.com --dns-suffix=analytics.com.
19. Looker'ı Postgres postgres-database ile entegre etme
Aşağıdaki bölümde, yerel postgres veritabanı örneğiyle veritabanı bağlantısı oluşturmak için Cloud Console'u kullanacaksınız.
Cloud Console'da Looker'a gidin ve Looker kullanıcı arayüzünü açacak örnek URL'nizi seçin.
Lansmandan sonra aşağıdaki ekran görüntüsünde gösterilen açılış sayfası gösterilir.
YÖNETİCİ → VERİTABANI → BAĞLANTILAR → BAĞLANTI EKLE'yi seçin.
Aşağıdaki ekran görüntüsüne göre bağlantı ayrıntılarını doldurun ve BAĞLAN'ı seçin.
Bağlantı artık başarılı
20. Looker bağlantısını doğrulayın
Aşağıdaki bölümde, Looker "test" işlemini ve TCPDUMP'u kullanarak şirket içi VPC'de postgres veritabanına Looker bağlantısını nasıl doğrulayacağınızı öğreneceksiniz.
Oturum zaman aşımına uğradıysa Cloud Shell'den postgres veritabanına giriş yapın.
Cloud Shell'in içinde aşağıdaki işlemleri gerçekleştirin:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
gcloud compute ssh --zone "us-central1-a" "postgres-database" --project "$projectid"
OS'de, psa-range-looker alt ağı 192.168.0.0/22 ile bir TCPDUMP filtresi oluşturun.
sudo tcpdump -i any net 192.168.0.0/22 -nn
Veri Bağlantısı YÖNETİCİ → VERİTABANI → BAĞLANTILAR → Seç → Test'e gidin.
Test seçildikten sonra Looker, aşağıda gösterildiği gibi postgres veritabanına başarıyla bağlanır:
OS terminaline geri dönün ve TCPDUMP'nin psc-range-looker'ın şirket içi postgres-database örneğine bağlandığını tanımladığını doğrulayın.
PSA aralığındaki tüm IP'lerin Looker'da gösterileceğini belirten bir not ekleyin.
user@postgres-database$ sudo tcpdump -i any net 192.168.0.0/22 -nn
tcpdump: data link type LINUX_SLL2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
00:16:55.121631 ens4 In IP 192.168.1.24.46892 > 172.16.10.2.5432: Flags [S], seq 2221858189, win 42600, options [mss 1366,sackOK,TS val 4045928414 ecr 0,nop,wscale 7], length 0
00:16:55.121683 ens4 Out IP 172.16.10.2.5432 > 192.168.1.24.46892: Flags [S.], seq 1464964586, ack 2221858190, win 64768, options [mss 1420,sackOK,TS val 368503074 ecr 4045928414,nop,wscale 7], length 0
21. Güvenlik Önerileri
Looker ve Postgres veritabanının güvenliğini sağlamayla ilgili birkaç güvenlik önerisi ve en iyi uygulama mevcut. Bunlardan bazıları:
- Looker için en az ayrıcalıklı veritabanı hesabı izinlerini ayarlayarak gerekli işlevleri yerine getirmesini sağlayın.
- TLS 1.2+ kullanılarak şifrelenmiş halde istemci ile Looker kullanıcı arayüzü ile Looker'dan veritabanına geçiş hâlindeki veriler
- Aktif olmayan veriler varsayılan olarak şifrelenir. Müşteri ayrıca Looker örnekleri ( https://cloud.google.com/looker/docs/looker-core-cmek) ve Postgres ( https://cloud.google.com/sql/docs/postgres/configure-cmek) için CMEK'den de yararlanabilir.
- Looker Erişim Denetimi: Looker yöneticileri; içerik erişimi, veri erişimi ve özellik erişimi vererek bir ilke veya kullanıcı grubunun Looker'da neler görebileceğini ve yapabileceğini kontrol edebilir. Bu seçenekler, Looker yöneticisinin model ve izin grubu dahil olmak üzere belirli roller tanımlamasına ve verilere ayrıntılı erişim denetimi oluşturmasına olanak tanır.
- Looker kimin ne zaman ve nerede ne yaptığını yakalayan Denetleme Günlükleri ve Veri Erişimi Günlükleri'ni destekler. Denetleme Günlükleri varsayılan olarak etkin olup Veri Erişimi günlüklerinin açık bir şekilde etkinleştirilmesi gerekir.
- VPC-SC şu anda yalnızca özel IP ile yapılandırılmış Enterprise ve Yerleşik örneklerini destekler.
22. Temizleme
Looker Cloud Core örneğini silin. Şuraya gidin:
LOOKER → looker-tutorial → DELETE
Cloud Shell'den eğitim bileşenlerini silin.
gcloud compute vpn-tunnels delete analytics-vpc-tunnel0 analytics-vpc-tunnel1 on-prem-tunnel0 on-prem-tunnel1 --region=us-central1 --quiet
gcloud compute vpn-gateways delete analytics-vpn-gw on-prem-vpn-gw --region=us-central1 --quiet
gcloud compute routers delete analytics-cr-us-central1 on-prem-cr-us-central1 on-prem-cr-us-central1-nat --region=us-central1 --quiet
gcloud compute instances delete postgres-database --zone=us-central1-a --quiet
gcloud compute networks subnets delete database-subnet-us-central1 --region=us-central1 --quiet
gcloud compute firewall-rules delete looker-access-to-postgres on-prem-ssh --quiet
gcloud dns record-sets delete postgres.analytics.com. --type=A --zone=gcp-private-zone
gcloud dns managed-zones delete gcp-private-zone
gcloud compute networks delete on-prem-vpc --quiet
gcloud compute addresses delete psa-range-looker --global --quiet
gcloud compute networks delete analytics-vpc --quiet
23. Tebrikler
Tebrikler, karma ağ iletişimi üzerinden Looker bağlantısını başarıyla yapılandırıp doğruladınız. Şirket içi ve çoklu bulut ortamlarında veri iletişimi sağladınız.
Ayrıca Looker Cloud Core ile postgres veritabanı arasındaki bağlantıyı, Lookers Connect "Test" aracını ve postgres-veritabanı örneğinde TCPDUMP'yi kullanarak test etmeyi başardınız.
Cosmopup, eğitici videoların çok iyi olduğunu düşünüyor.
Daha fazla bilgi ve videolar
- Looker'ın yeni sürümünü tanıtıyoruz
- GCP'ye mi geçiş yapıyorsunuz? Öncelikle Karşılaşılması Gereken İlk Şey: VPC'ler
- Cloud Router ile dinamik yönlendirme