1. Introduction
Dans cet atelier de programmation, vous allez établir une connexion descendante à Cloud SQL déployé avec Private Service Connect en tant que producteur de services.
Private Service Connect est une fonctionnalité de mise en réseau de Google Cloud qui permet aux clients d'accéder à des services gérés en mode privé depuis leur réseau VPC. De même, il permet aux producteurs de services gérés d'héberger ces services dans leurs propres réseaux VPC séparés et de proposer une connexion privée à leurs clients. Par exemple, lorsque vous utilisez Private Service Connect pour accéder à Looker, vous êtes le client du service et Google est le producteur de services, comme indiqué dans la figure 1.
L'accès descendant, également appelé PSC inversé, permet au client de créer un service publié en tant que producteur pour autoriser Looker à accéder aux points de terminaison sur site, dans un VPC, aux services gérés et à Internet. Les connexions descendantes peuvent être déployées dans n'importe quelle région, quel que soit l'emplacement de déploiement de Looker PSC, comme indiqué dans la figure 2.
Points abordés
- Créer un service de producteur d'instance Cloud SQL Private Service Connect
- Créer un point de terminaison Private Service Connect dans Looker en tant que client de service
Prérequis
- Projet Google Cloud avec des autorisations de propriétaire
- Instance Looker PSC existante
2. Objectifs de l'atelier
Vous allez établir une instance Cloud SQL PSC déployée en tant que producteur de services associée à Looker PSC en tant que client de service.
Les actions suivantes valident l'accès au service de producteur :
- Créer un point de terminaison PSC dans Looker associé au rattachement de service du producteur
- Utiliser la console Looker pour créer une connexion de base de données à Cloud SQL PSC
- Tester la connectivité à Cloud SQL PSC en vous authentifiant et en accédant à un schéma prédéfini
3. Topologie de l'atelier de programmation
4. Prérequis
Configuration de l'environnement au rythme de chacun
- Connectez-vous à la console Google Cloud, puis créez un projet ou réutilisez un projet existant. Si vous n'avez pas encore de compte Gmail ou Google Workspace, vous devez en créer un.
- Le nom du projet est le nom à afficher pour les participants au projet. Il s'agit d'une chaîne de caractères non utilisée par les API Google. Vous pouvez modifier ce nom à tout moment.
- L'ID du projet est unique parmi tous les projets Google Cloud et non modifiable une fois défini. La console Cloud génère automatiquement une chaîne unique (en général, vous n'y accordez d'importance particulière). Dans la plupart des ateliers de programmation, vous devrez indiquer l'ID de votre projet (généralement identifié par
PROJECT_ID). Si l'ID généré ne vous convient pas, vous pouvez en générer un autre de manière aléatoire. Vous pouvez également en spécifier un et voir s'il est disponible. Après cette étape, l'ID n'est plus modifiable et restera donc le même pour toute la durée du projet. - Pour information, il existe une troisième valeur (le numéro de projet) que certaines API utilisent. Pour en savoir plus sur ces trois valeurs, consultez la documentation.
- Vous devez ensuite activer la facturation dans la console Cloud pour utiliser les ressources/API Cloud. L'exécution de cet atelier de programmation est très peu coûteuse, voire sans frais. Pour désactiver les ressources et éviter ainsi que des frais ne vous soient facturés après ce tutoriel, vous pouvez supprimer le projet ou les ressources que vous avez créées. Les nouveaux utilisateurs de Google Cloud peuvent participer au programme d'essai sans frais pour bénéficier d'un crédit de 300 $.
Démarrer Cloud Shell
Bien que Google Cloud puisse être utilisé à distance depuis votre ordinateur portable, nous allons nous servir de Google Cloud Shell pour cet atelier de programmation, un environnement de ligne de commande exécuté dans le cloud.
Dans la console Google Cloud, cliquez sur l'icône Cloud Shell dans la barre d'outils supérieure :
Le provisionnement et la connexion à l'environnement prennent quelques instants seulement. Une fois l'opération terminée, le résultat devrait ressembler à ceci :
Cette machine virtuelle contient tous les outils de développement nécessaires. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud, ce qui améliore nettement les performances du réseau et l'authentification. Vous pouvez effectuer toutes les tâches de cet atelier de programmation dans un navigateur. Vous n'avez rien à installer.
5. Avant de commencer
Activer les API
Dans Cloud Shell, assurez-vous que l'ID de votre projet est configuré :
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Activez tous les services nécessaires :
gcloud services enable compute.googleapis.com
6. Identifier le projet Looker PSC
Pour créer une instance Cloud SQL PSC, vous devez identifier les projets PSC autorisés. Par conséquent, vous devez fournir le projet locataire Looker PSC lors de la création de l'instance Cloud SQL ou le mettre à jour si vous utilisez une instance existante.
Déterminer le projet Looker PSC à l'aide de gcloud
Dans Cloud Shell, remplacez [INSTANCE_NAME] par le nom de votre instance Looker PSC pour obtenir l'ID du projet Looker PSC :
gcloud looker instances describe [INSTANCE_NAME] --region=$region --format=json | grep -i lookerServiceAttachmentUri
Dans l'exemple de résultat, t7ec792caf2a609d1-tp correspond au projet Looker PSC :
gcloud looker instances describe looker-psc-instance --region=us-central1 --format=json | grep -i lookerServiceAttachmentUri
"lookerServiceAttachmentUri": "projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183",
Déterminer le projet Looker PSC à l'aide de la console Cloud
Dans la console Cloud, accédez à :
Looker → Instance Looker PSC
7. Créer une instance Cloud SQL de producteur
Dans la section suivante, vous allez créer une instance Cloud SQL PSC utilisée à des fins de test et déployée avec un mot de passe prédéfini spécifiant le projet Looker PSC dans la liste des projets PSC autorisés.
Création de Cloud SQL PSC
Dans Cloud Shell, créez une instance et activez Private Service Connect. Remplacez [INSTANCE_PROJECT] par l'ID de votre projet Looker PSC.
gcloud sql instances create cloud-sql-psc-demo \
--project=$project \
--region=$region \
--enable-private-service-connect \
--allowed-psc-projects=[INSTANCE_PROJECT] \
--availability-type=regional \
--no-assign-ip \
--cpu=2 --memory=4GB \
--database-version=MYSQL_8_0 \
--enable-bin-log \
--root-password=password123
Exemple :
gcloud sql instances create cloud-sql-psc-demo \
--project=$project \
--region=$region \
--enable-private-service-connect \
--allowed-psc-projects=t7ec792caf2a609d1-tp \
--availability-type=regional \
--no-assign-ip \
--cpu=2 --memory=4GB \
--database-version=MYSQL_8_0 \
--enable-bin-log \
--root-password=password123
Obtenir le rattachement de service Cloud SQL
Après avoir créé une instance Cloud SQL avec Private Service Connect activé, obtenez l'URI du rattachement de service utilisé lors d'une étape ultérieure pour créer le point de terminaison Private Service Connect dans Looker.
Dans Cloud Shell, procédez comme suit :
gcloud sql instances describe [INSTANCE_NAME] --project=$project | grep -i pscServiceAttachmentLink
L'exemple de résultat génère l'URI du rattachement de service :
projects/o6222fa10e2a50865p-tp/regions/us-central1/serviceAttachments/a-39d809aaecae-psc-service-attachment-127fc34733744155
gcloud sql instances describe cloud-sql-psc-demo --project=$project | grep -i pscServiceAttachmentLink:
pscServiceAttachmentLink: projects/o6222fa10e2a50865p-tp/regions/us-central1/serviceAttachments/a-39d809aaecae-psc-service-attachment-127fc34733744155
Dans la console Cloud, vous pouvez obtenir le rattachement de service Cloud SQL PSC :
Dans la console Cloud, accédez à :
SQL → Instance SQL → Connexions
8. Établir une connexion de point de terminaison PSC dans Looker
Dans la section suivante, vous allez associer le rattachement de service des producteurs Cloud SQL à Looker Core PSC à l'aide des options –psc-service-attachment dans Cloud Shell pour un seul domaine.
Dans Cloud Shell, créez l'association PSC en mettant à jour les paramètres suivants pour qu'ils correspondent à votre environnement :
- INSTANCE_NAME : nom de votre instance Looker (Google Cloud Core)
- DOMAIN_1: sql.database1.com
- SERVICE_ATTACHMENT_1 : URI capturé lors de la description de l'instance Cloud SQL PSC
- REGION : région dans laquelle votre instance Looker (Google Cloud Core) est hébergée
Dans Cloud Shell, procédez comme suit :
gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--region=REGION
Exemple :
gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/o6222fa10e2a50865p-tp/regions/us-central1/serviceAttachments/a-39d809aaecae-psc-service-attachment-127fc34733744155 \
--region=us-central1
Dans Cloud Shell, vérifiez que la valeur de serviceAttachments connectionStatus est "ACCEPTED". Veillez à mettre à jour avec votre INSTANCE_NAME Looker PSC :
gcloud looker instances describe [INSTANCE_NAME] --region=$region --format=json
Exemple :
gcloud looker instances describe looker-psc-instance --region=$region --format=json
Exemple :
user@cloudshell$ gcloud looker instances describe looker-psc-instance --region=$region --format=json
{
"adminSettings": {},
"createTime": "2024-08-23T00:00:45.339063195Z",
"customDomain": {
"domain": "looker.cosmopup.com",
"state": "AVAILABLE"
},
"encryptionConfig": {},
"lookerVersion": "24.14.18",
"name": "projects/project/locations/us-central1/instances/looker-psc-instance",
"platformEdition": "LOOKER_CORE_ENTERPRISE_ANNUAL",
"pscConfig": {
"allowedVpcs": [
"projects/project/global/networks/looker-psc-demo",
"projects/project/global/networks/looker-shared-vpc"
],
"lookerServiceAttachmentUri": "projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183",
"serviceAttachments": [
{
"connectionStatus": "ACCEPTED",
"localFqdn": "sql.database1.com",
"targetServiceAttachmentUri": "projects/o6222fa10e2a50865p-tp/regions/us-central1/serviceAttachments/a-39d809aaecae-psc-service-attachment-127fc34733744155"
}
]
},
"pscEnabled": true,
"state": "ACTIVE",
"updateTime": "2024-09-04T14:40:05.613026012Z"
}
Valider le point de terminaison PSC dans la console Cloud
Dans la console Cloud, vous pouvez valider la connexion PSC.
Dans la console Cloud, accédez à :
Looker → Instance Looker → Détails
9. Intégrer Looker PSC à Cloud SQL PSC
Dans la section suivante, vous allez utiliser la console Looker pour créer une connexion de base de données à l'instance Cloud SQL PSC.
Accédez à ADMIN → BASE DE DONNÉES → CONNEXIONS → sélectionnez AJOUTER UNE CONNEXION.
Renseignez les informations de connexion conformément à la capture d'écran ci-dessous, puis sélectionnez CONNECTER.
La connexion est maintenant configurée.
10. Valider la connectivité Looker
Dans la section suivante, vous allez apprendre à valider la connectivité de Looker à l'instance Cloud SQL PSC à l'aide de l'action "test" de Looker.
Accédez à la connexion de données ADMIN → BASE DE DONNÉES → CONNEXIONS → cloud-sql-psc-demo → Test.
Une fois le test sélectionné, Looker se connecte à la base de données postgres, comme indiqué ci-dessous :
Effectuer un nettoyage
Dans un seul terminal Cloud Shell, supprimez les composants de l'atelier.
gcloud sql instances delete cloud-sql-psc-demo -q
11. Félicitations
Félicitations ! Vous avez configuré et validé la connectivité à Cloud SQL PSC à l'aide de la console Looker, optimisée par Private Service Connect.
Vous avez créé des instances Cloud SQL PSC en tant que service de producteur et un point de terminaison Looker PSC qui permettait la connectivité au service de producteur.
Cosmopup pense que les ateliers de programmation sont géniaux !
Et ensuite ?
Découvrez quelques-uns des ateliers de programmation...
- Publier et consommer des services à l'aide de Private Service Connect
- Se connecter à des services sur site via un réseau hybride à l'aide de Private Service Connect et d'un équilibreur de charge de proxy TCP interne
- Accéder à tous les ateliers de programmation Private Service Connect publiés