Looker PSA Southbound HTTPS Internet NEG

1. Giới thiệu

Chỉ những thực thể Looker (Google Cloud core) sử dụng quyền truy cập dịch vụ riêng tư cho kết nối riêng tư mới hỗ trợ cấu hình IP riêng tư và IP công khai.

Một thực thể Looker (Google Cloud core) có cả kết nối IP riêng tư (quyền truy cập dịch vụ riêng tư) và kết nối IP công khai sẽ có một URL công khai và tất cả lưu lượng truy cập đến sẽ đi qua kết nối IP công khai. Lưu lượng truy cập đi được định tuyến thông qua VPC của bạn. Bạn có thể định cấu hình VPC để chỉ cho phép lưu lượng truy cập IP riêng tư như minh hoạ trong hình 1.

Figure1

Thông tin liên lạc đến github.com được phân giải thành một địa chỉ IP công khai, do đó, không thể truy cập được từ một thực thể Looker được triển khai dưới dạng Riêng tư hoặc Công khai + Riêng tư.

Trong lớp học lập trình này, bạn sẽ thực hiện kết nối HTTPS đi đến GitHub bằng một trình cân bằng tải proxy tcp nội bộ và nhóm điểm cuối mạng (NEG) Internet được gọi từ Looker PSA.

Kiến thức bạn sẽ học được

• Yêu cầu về mạng
• Thiết lập kết nối với GitHub từ Looker bằng cách sử dụng Kiểm tra kết nối

Bạn cần có

• Dự án trên Google Cloud có quyền Chủ sở hữu
• Tài khoản và kho lưu trữ GitHub
• Mã truy cập cá nhân GitHub (Cổ điển)
• Thực thể Looker PSA hiện có đã bật chế độ Công khai + Riêng tư hoặc chỉ Riêng tư

2. Sản phẩm bạn sẽ tạo ra

Bạn sẽ triển khai một trình cân bằng tải proxy tcp nội bộ và NEG Internet được định cấu hình bằng địa chỉ IP đã phân giải của github.com, tận dụng Cloud NAT để lưu lượng truy cập Internet đi đến các tổ chức github.com do Looker phân giải.

3. Yêu cầu về mạng

Dưới đây là bảng chi tiết về các yêu cầu về mạng:

4. Cấu trúc liên kết lớp học lập trình

5. Thiết lập và yêu cầu

Thiết lập môi trường tự định hướng

1. Đăng nhập vào Google Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. Nếu chưa có tài khoản Gmail hoặc Google Workspace, bạn phải tạo một tài khoản.

• Tên dự án là tên hiển thị cho những người tham gia dự án này. Đây là một chuỗi ký tự mà các API của Google không sử dụng. Bạn luôn có thể cập nhật tên này.
• Mã dự án là mã duy nhất trên tất cả các dự án của Google Cloud và không thể thay đổi (không thể thay đổi sau khi đã đặt). Cloud Console tự động tạo một chuỗi duy nhất; thường thì bạn không cần quan tâm đến chuỗi này. Trong hầu hết các lớp học lập trình, bạn sẽ cần tham chiếu đến Mã dự án (thường được xác định là PROJECT_ID). Nếu không thích mã đã tạo, bạn có thể tạo một mã ngẫu nhiên khác. Ngoài ra, bạn có thể thử mã của riêng mình và xem mã đó có dùng được hay không. Bạn không thể thay đổi mã này sau bước này và mã sẽ giữ nguyên trong suốt thời gian diễn ra dự án.
• Để bạn tham khảo, có một giá trị thứ ba là Số dự án mà một số API sử dụng. Tìm hiểu thêm về cả 3 giá trị này trong tài liệu.

2. Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên/API trên đám mây. Việc thực hiện lớp học lập trình này sẽ không tốn nhiều chi phí, thậm chí là không tốn chi phí. Để tắt các tài nguyên nhằm tránh phát sinh chi phí thanh toán ngoài hướng dẫn này, bạn có thể xoá các tài nguyên đã tạo hoặc xoá dự án. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí trị giá 300 USD.

Bắt đầu Cloud Shell

Mặc dù bạn có thể vận hành Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trên đám mây.

Trên Google Cloud Console, hãy nhấp vào biểu tượng Cloud Shell trên thanh công cụ ở trên cùng bên phải:

Bạn sẽ chỉ mất vài phút để cung cấp và kết nối với môi trường. Khi hoàn tất, bạn sẽ thấy một nội dung như sau:

Máy ảo này được tải sẵn tất cả các công cụ phát triển mà bạn cần. Máy ảo này cung cấp một thư mục chính liên tục có dung lượng 5 GB và chạy trên Google Cloud, giúp nâng cao đáng kể hiệu suất mạng và khả năng xác thực. Bạn có thể thực hiện tất cả công việc trong lớp học lập trình này trong một trình duyệt. Bạn không cần cài đặt bất cứ thứ gì.

6. Trước khi bắt đầu

Bật API

Trong Cloud Shell, hãy đảm bảo rằng bạn đã thiết lập mã dự án:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
vpc_network=[VPC Name]
echo $project
echo $region
echo $vpc-network

Bật tất cả các dịch vụ cần thiết:

gcloud services enable compute.googleapis.com

7. Thành phần mạng VPC

Mạng VPC

Điều kiện tiên quyết của hướng dẫn này là một Thực thể Looker PSA hiện có, do đó, VPC được liên kết đã được tạo.

Trong Cloud Shell, hãy tạo mạng con quy tắc chuyển tiếp:

gcloud compute networks subnets create psa-fr-subnet --network $vpc_network --range 172.16.20.0/28 --region $region --enable-private-ip-google-access

Trong Cloud Shell, hãy tạo mạng con chỉ dành cho proxy theo khu vực:

gcloud compute networks subnets create $region-proxyonly-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=$vpc_network \
  --range=10.10.10.0/24

Tạo cổng NAT công khai

Cổng NAT được trình cân bằng tải proxy tcp nội bộ theo khu vực sử dụng để lưu lượng truy cập Internet đi với tuỳ chọn cấu hình –endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB, do đó, cùng một NATGW sẽ không hỗ trợ lưu lượng truy cập Internet đi của GCE/GKE. Triển khai thêm một NAT GW với –endpoint-types=ENDPOINT_TYPE_VM cho lưu lượng truy cập Internet đi của GCE/GKE.

Trong Cloud Shell, hãy tạo Cloud Router:

gcloud compute routers create $vpc_network-cloud-router --network $vpc_network --region $region

Trong Cloud Shell, hãy tạo cổng Cloud NAT cho phép lưu lượng truy cập Internet đi cho trình cân bằng tải proxy tcp:

gcloud compute routers nats create $vpc_network-natgw \
  --router=$vpc_network-cloud-router \
  --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
  --nat-custom-subnet-ip-ranges=$region-proxyonly-subnet \
  --auto-allocate-nat-external-ips \
  --region=$region

Dành riêng địa chỉ IP của trình cân bằng tải

Trong Cloud Shell, hãy dành riêng một địa chỉ IP nội bộ cho trình cân bằng tải sẽ được sử dụng sau này làm bản ghi A DNS cho github.com:

gcloud compute addresses create internet-neg-lb-ip \
  --region=$region \
  --subnet=psa-fr-subnet

Trong Cloud Shell, hãy xem Địa chỉ IP đã dành riêng:

gcloud compute addresses describe internet-neg-lb-ip \
  --region=$region | grep -i address:

Ví dụ về đầu ra:

user@cloudshell$ gcloud compute addresses describe internet-neg-lb-ip   --region=$region | grep -i address:
address: 172.16.20.2

8. NEG Internet

Có 2 cách để định cấu hình điểm cuối bên ngoài mà NEG Internet tham chiếu: INTERNET_FQDN_PORT hoặc INTERNET_IP_PORT. Nếu bạn chọn định dạng INTERNET_IP_PORT (Cách 1), thì chỉ có thể sử dụng địa chỉ IP có thể định tuyến trên Internet công khai; nếu bạn chọn định dạng INTERNET_FQDN_PORT (Cách 2), thì FQDN có thể được phân giải thành địa chỉ IP có thể định tuyến trên Internet công khai hoặc thành địa chỉ IP riêng tư, tuỳ thuộc vào phạm vi của điểm cuối: theo khu vực hoặc trên toàn cầu.

Cách 1: Thiết lập NEG Internet bằng địa chỉ IP

NEG Internet yêu cầu địa chỉ IP đã phân giải của Github.com, do đó, để có hiệu suất tốt nhất, hãy mở một thiết bị đầu cuối cục bộ và thực hiện lệnh dig rồi lấy Địa chỉ IP của github.com.

Ví dụ từ một Terminal cục bộ tạo ra Địa chỉ IP đã phân giải 140.82.113.4

bash-3.2$ dig github.com
; <<>> DiG 9.10.6 <<>> github.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64801
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;github.com.                        IN        A
;; ANSWER SECTION:
github.com.                60        IN        A        140.82.113.4
;; Query time: 409 msec
;; SERVER: ::1#53(::1)
;; WHEN: Thu Sep 26 15:50:45 CDT 2024
;; MSG SIZE  rcvd: 65

Tạo một NEG Internet và đặt –network-endpoint-type thành internet_ip_port.

Trong Cloud Shell, hãy tạo một NEG Internet dùng cho github.com:

gcloud compute network-endpoint-groups create github-internet-neg \
    --network-endpoint-type=INTERNET_IP_PORT \
    --network=$vpc_network \
    --region=$region

Trong Cloud Shell, hãy cập nhật NEG Internet github-internet-neg bằng địa chỉ IP đã phân giải của github.com và cổng 443:

gcloud compute network-endpoint-groups update github-internet-neg \
    --add-endpoint="ip=[your-resolved-ip],port=443" \
    --region=$region

Ví dụ:

gcloud compute network-endpoint-groups update github-internet-neg \
    --add-endpoint="ip=140.82.113.4,port=443" \
    --region=$region

Cách 2: Thiết lập NEG Internet bằng FQDN

Nếu muốn, bạn có thể tạo một NEG Internet và đặt –network-endpoint-type thành internet_FQDN_port.

Trong Cloud Shell, hãy tạo một NEG Internet dùng cho github.com:

gcloud compute network-endpoint-groups create github-internet-neg \
    --network-endpoint-type=INTERNET_FQDN_PORT \
    --network=$vpc_network \
    --region=$region

Trong Cloud Shell, hãy cập nhật NEG Internet github-internet-neg bằng FQDN github.com:

gcloud compute network-endpoint-groups update github-internet-neg \
    --add-endpoint="fqdn=github.com,port=443" \
    --region=$region

9. Tạo dịch vụ Github

Tạo các thành phần của Trình cân bằng tải

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute backend-services create psa-backend-svc  --protocol=tcp --region=$region --load-balancing-scheme=INTERNAL_MANAGED

gcloud compute backend-services add-backend psa-backend-svc --network-endpoint-group=github-internet-neg --network-endpoint-group-region=$region --region=$region

Trong Cloud Shell, hãy tạo một proxy TCP mục tiêu để định tuyến các yêu cầu đến dịch vụ phụ trợ:

gcloud compute target-tcp-proxies create producer-lb-tcp-proxy \
      --backend-service=psa-backend-svc  \
      --region=$region

Trong cú pháp sau, hãy tạo một quy tắc chuyển tiếp (trình cân bằng tải proxy tcp nội bộ).

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute forwarding-rules create psa-github-fr \
     --load-balancing-scheme=INTERNAL_MANAGED \
     --network-tier=PREMIUM \
     --network=$vpc_network \
     --subnet=psa-fr-subnet \
     --address=internet-neg-lb-ip \
     --target-tcp-proxy=producer-lb-tcp-proxy \
     --target-tcp-proxy-region=$region \
     --region=$region \
     --ports=443

10. Vùng DNS GitHub

Trong phần sau, bạn sẽ tạo một chính sách phản hồi DNS cho GitHub.com bằng một bản ghi A bao gồm địa chỉ IP của trình cân bằng tải proxy tcp nội bộ.

Sau đó, tính năng kết nối ngang hàng DNS sẽ chia sẻ vùng github.com với Looker PSA, cho phép kết nối với github thông qua trình cân bằng tải nội bộ kết hợp với NEG Internet và Cloud NAT.

Trong Cloud Shell, hãy tạo vùng chính sách phản hồi:

gcloud dns --project=$project response-policies create github-com --description="" --networks="$vpc_network"

Trong Cloud Shell, hãy tạo bản ghi A DNS bao gồm Địa chỉ IP của trình cân bằng tải proxy tcp, [insert-your-ip-address]:

gcloud dns --project=$project response-policies rules create github --response-policy="github-com" --dns-name="github.com." --local-data=name="github.com.",type="A",ttl=300,rrdatas="[insert-your-ip-address]"

Ví dụ:

gcloud dns --project=$project response-policies rules create github --response-policy="github-com" --dns-name="github.com." --local-data=name="github.com.",type="A",ttl=300,rrdatas="172.16.20.2"

Cập nhật tính năng kết nối ngang hàng DNS

Trong phần này, bạn sẽ sử dụng cú pháp "gcloud services peered-dns-domains create" để tạo một miền DNS kết nối ngang hàng cho một kết nối dịch vụ riêng tư. Kết nối này sẽ gửi các yêu cầu về bản ghi trong một không gian tên nhất định có nguồn gốc từ mạng VPC của nhà sản xuất dịch vụ đến mạng VPC của người tiêu dùng để được phân giải.

Trong Cloud Shell, hãy tạo một miền DNS kết nối ngang hàng mà Looker sẽ truy vấn cho github.com:

gcloud services peered-dns-domains create github-com --project=$project --network=$vpc_network --dns-suffix=github.com.

11. Kiểm tra kết nối với GitHub

Trong các bước sau, bạn sẽ sử dụng Bảng điều khiển Looker để tạo một dự án nhằm xác thực kết nối HTTPS với github.com.

12. Tạo dự án mới

Bật Chế độ phát triển

Trong Bảng điều khiển Looker, hãy chuyển đến:

Bật Chế độ phát triển (trang dưới cùng bên trái). Sau khi bạn chọn, biểu ngữ "Bạn đang ở Chế độ phát triển" sẽ xuất hiện.

Tạo dự án mới

Trong Cloud Console, hãy chuyển đến:

Phát triển → Dự án

Chọn Dự án LookML mới

Nhập tên dự án, chọn Dự án trống rồi chọn Tạo dự án.

Chọn Định cấu hình Git

Định cấu hình Git

Cập nhật URL kho lưu trữ bằng thông tin chi tiết về HTTPS github, đảm bảo thêm .git vào URL rồi chọn Tiếp tục.

Ví dụ:

Cập nhật lựa chọn bằng tên người dùng GitHub và Mã truy cập cá nhân (cổ điển), sau đó chọn Kiểm tra và Hoàn tất thiết lập.

Chọn Hành động Git

Chọn Kiểm tra kết nối Git

Xác thực Kiểm tra kết nối Git

13. Dọn dẹp

Từ một thiết bị đầu cuối Cloud Shell, hãy xoá các thành phần của phòng thí nghiệm:

gcloud compute forwarding-rules delete psa-github-fr --region=$region -q

gcloud compute target-tcp-proxies delete producer-lb-tcp-proxy --region=$region -q

gcloud compute backend-services delete psa-backend-svc --region=$region -q

gcloud compute routers nats delete $vpc_network-natgw --router=$vpc_network-cloud-router --router-region=$region -q

gcloud compute routers delete $vpc_network-cloud-router --region=$region -q

gcloud compute network-endpoint-groups delete github-internet-neg --region=$region -q

gcloud compute addresses delete internet-neg-lb-ip --region=$region -q

gcloud compute networks subnets delete psa-fr-subnet $region-proxyonly-subnet --region=$region -q

gcloud services peered-dns-domains delete github-com --network=$vpc_network -q

gcloud dns --project=$project response-policies rules delete github --response-policy="github-com" -q

gcloud dns response-policies update github-com --networks= -q

gcloud dns response-policies delete github-com

14. Xin chúc mừng

Xin chúc mừng! Bạn đã định cấu hình và xác thực thành công kết nối với GitHub bằng Bảng điều khiển Looker.

Cosmopup cho rằng các lớp học lập trình rất tuyệt!!

Tiếp theo là gì?

Đọc thêm và Video

• Thiết lập và kiểm tra kết nối Git | Looker | Google Cloud

Tài liệu tham khảo

• Thiết lập một Trình cân bằng tải mạng proxy nội bộ theo khu vực có phần phụ trợ bên ngoài
• Tổng quan về Cloud NAT