Looker PSC Northbound Regional External L7 ALB

1. مقدمة

في هذا الدرس التطبيقي حول الترميز، ستنشئ جهاز موازنة حمل التطبيقات الإقليمي من الطبقة 7 وخلفية Private Service Connect للوصول إلى Looker من الشمال. يتطلّب الوصول إلى Looker السماح لقائمة VPC الخاصة بالمستهلك بالوصول إلى مثيل Looker PSC.

‫Private Service Connect هي إحدى إمكانات شبكة Google Cloud التي تتيح للمستهلكين الوصول إلى الخدمات المُدارة بشكل خاص من داخل شبكة السحابة الإلكترونية الخاصة الافتراضية (VPC). وبالمثل، يتيح لمقدّمي الخدمات المُدارة استضافة هذه الخدمات في شبكات VPC منفصلة وتقديم اتصال خاص للمستهلكين. على سبيل المثال، عند استخدام Private Service Connect للوصول إلى Looker، تكون أنت مستهلك الخدمة، وتكون Google هي منتِج الخدمة، كما هو موضّح في الشكل 1.

الشكل 1.

145ea4672c3a3b14.png

تتيح إمكانية الوصول الصادرة، المعروفة أيضًا باسم PSC العكسي، للمستهلك إنشاء خدمة منشورة بصفتها منتِجًا للسماح لـ Looker بالوصول إلى نقاط النهاية المحلية وفي شبكة VPC وإلى الخدمات المُدارة والإنترنت. يمكن نشر عمليات الربط المتجهة جنوبًا في أي منطقة، بغض النظر عن مكان نشر Looker PSC، كما هو موضّح في الشكل 2.

الشكل 2.

259493afd914f68b.png

ما ستتعلمه

  • متطلبات الشبكة
  • تعديل قائمة Looker المسموح بها للوصول إلى البيانات الصادرة
  • إنشاء خلفية Private Service Connect في شبكة VPC الخاصة بالمستهلك
  • الشهادات الصادرة عن Google مقابل الشهادات الموقَّعة ذاتيًا

المتطلبات

def88091b42bfe4d.png

2. ما ستنشئه

ستنشئ شبكة مستهلكين مدرَجة في القائمة المسموح بها، looker-psc-demo، لتفعيل موازن حمل خارجي إقليمي على مستوى التطبيق 7 ومجموعة NEG خلفية لخدمة Private Service Connect تتطلّب شهادة Google أو شهادة موقّعة ذاتيًا. في كلتا الطريقتين، يجب توفُّر نطاق مسجَّل يتطابق مع النطاق المخصّص المحدّد في Looker.

3- متطلبات الشبكة

في ما يلي تفاصيل متطلبات الشبكة:

المكونات

الوصف

VPC (looker-psc-demo)

شبكة VPC في الوضع المخصّص

الشبكة الفرعية لمجموعة نقاط نهاية شبكة اتصال خدمة خاصة

تُستخدَم لتخصيص عنوان IP لمجموعة نقاط نهاية الشبكة

الشبكة الفرعية للوكيل فقط

يتمّ تعيين عنوان IP داخلي لكل خادم وكيل في موازن التحميل. تحتوي الحِزم المُرسَلة من خادم وكيل إلى جهاز افتراضي أو نقطة نهاية في الخلفية على عنوان IP مصدر من الشبكة الفرعية الخاصة بالخادم الوكيل فقط.

خدمة الخلفية

تعمل خدمة الخلفية كجسر بين برنامج موازنة الحمل وموارد الخلفية. في البرنامج التعليمي، ترتبط خدمة الخلفية بمجموعة NEG الخاصة بخدمة Private Service Connect.

4. بنية الدرس التطبيقي حول الترميز

7f06f9b9876f76c4.png

5- الإعداد والمتطلبات

إعداد البيئة بالسرعة التي تناسبك

  1. سجِّل الدخول إلى Google Cloud Console وأنشِئ مشروعًا جديدًا أو أعِد استخدام مشروع حالي. إذا لم يكن لديك حساب على Gmail أو Google Workspace، عليك إنشاء حساب.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • اسم المشروع هو الاسم المعروض للمشاركين في هذا المشروع. وهي سلسلة أحرف لا تستخدمها Google APIs. ويمكنك تعديلها في أي وقت.
  • رقم تعريف المشروع هو معرّف فريد في جميع مشاريع Google Cloud ولا يمكن تغييره بعد ضبطه. تنشئ Cloud Console تلقائيًا سلسلة فريدة، ولا يهمّك عادةً ما هي. في معظم دروس البرمجة، عليك الرجوع إلى رقم تعريف مشروعك (يُشار إليه عادةً باسم PROJECT_ID). إذا لم يعجبك رقم التعريف الذي تم إنشاؤه، يمكنك إنشاء رقم تعريف عشوائي آخر. يمكنك بدلاً من ذلك تجربة اسم من اختيارك ومعرفة ما إذا كان متاحًا. لا يمكن تغيير هذا الخيار بعد هذه الخطوة وسيظل ساريًا طوال مدة المشروع.
  • للعلم، هناك قيمة ثالثة، وهي رقم المشروع، تستخدمها بعض واجهات برمجة التطبيقات. يمكنك الاطّلاع على مزيد من المعلومات عن كل هذه القيم الثلاث في المستندات.
  1. بعد ذلك، عليك تفعيل الفوترة في Cloud Console لاستخدام موارد/واجهات برمجة تطبيقات Cloud. لن تكلفك تجربة هذا الدرس التطبيقي حول الترميز الكثير، إن وُجدت أي تكلفة على الإطلاق. لإيقاف الموارد وتجنُّب تحمّل تكاليف فوترة تتجاوز هذا البرنامج التعليمي، يمكنك حذف الموارد التي أنشأتها أو حذف المشروع. يمكن لمستخدمي Google Cloud الجدد الاستفادة من برنامج الفترة التجريبية المجانية بقيمة 300 دولار أمريكي.

بدء Cloud Shell

على الرغم من إمكانية تشغيل Google Cloud عن بُعد من الكمبيوتر المحمول، ستستخدم في هذا الدرس التطبيقي حول الترميز Google Cloud Shell، وهي بيئة سطر أوامر تعمل في السحابة الإلكترونية.

من Google Cloud Console، انقر على رمز Cloud Shell في شريط الأدوات أعلى يسار الصفحة:

55efc1aaa7a4d3ad.png

لن يستغرق توفير البيئة والاتصال بها سوى بضع لحظات. عند الانتهاء، من المفترض أن يظهر لك ما يلي:

7ffe5cbb04455448.png

يتم تحميل هذه الآلة الافتراضية مزوّدة بكل أدوات التطوير التي ستحتاج إليها. توفّر هذه الخدمة دليلًا منزليًا ثابتًا بسعة 5 غيغابايت، وتعمل على Google Cloud، ما يؤدي إلى تحسين أداء الشبكة والمصادقة بشكل كبير. يمكن إكمال جميع المهام في هذا الدرس العملي ضمن المتصفّح. لست بحاجة إلى تثبيت أي تطبيق.

6. قبل البدء

تفعيل واجهات برمجة التطبيقات

داخل Cloud Shell، تأكَّد من إعداد رقم تعريف مشروعك:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region

فعِّل جميع الخدمات اللازمة:

gcloud services enable compute.googleapis.com

7. شبكة المستهلك

في القسم التالي، ستنشئ شبكة المستهلك التي سيتم تعديلها في قائمة السماح لشبكة VPC الخاصة بـ Looker PSC.

شبكة VPC

داخل Cloud Shell، اتّبِع الخطوات التالية:

gcloud compute networks create looker-psc-demo --subnet-mode custom

إنشاء شبكات فرعية

داخل Cloud Shell، أنشئ الشبكة الفرعية لمجموعة نقاط نهاية الشبكة الخاصة بالمستهلك:

gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access

داخل Cloud Shell، أنشئ الشبكة الفرعية الخاصة بخادم وكيل المنطقة الخاص بالمنتج فقط:

gcloud compute networks subnets create $region-proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=looker-psc-demo \
  --range=10.10.10.0/24

حجز عنوان IP الخاص بجهاز موازنة الحمل

داخل Cloud Shell، احجز عنوان IP خارجيًا لجهاز موازنة الحمل:

gcloud compute addresses create regional-alb-static-ip  \
   --region=$region \
   --network-tier=STANDARD

في Cloud Shell، اعرض عنوان IP المحجوز:

gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:

مثال على الناتج:

user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address: 
address: 35.208.202.244

8. إنشاء نطاق مخصّص

يجب اتّباع الخطوات التالية لإعداد نطاق مخصّص:

مثال على نطاق مخصّص

يتوفّر النطاق المخصّص looker.cosmopup.com كنطاق فرعي عام لنظام أسماء النطاقات مرتبط بسجلّ A لعناوين IP الثابتة (regional-alb-static-ip) المحدّدة سابقًا. اطّلِع على لقطة شاشة مأخوذة من نافذة طرفية للتحقّق من عملية البحث عن نظام أسماء النطاقات.

6be44a9b2536e3f4.png

بعد ذلك، أنشئ نطاق العميل باستخدام النطاق الفرعي looker.cosmopup.com.

5424ce99136d5b3a.png

مثال على OAuth

في ما يلي مثال على بيانات اعتماد OAuth للأصول المصرَّح بها وعنوان URL للردّ التلقائي للنطاق الفرعي looker.cosmopup.com.

c7e5b8c7d2cc6a01.png

9- Cloud

يمكنك إنشاء شهادات Compute Engine أو Certificate Manager. استخدِم أيًا من الطرق التالية لإنشاء شهادات باستخدام "إدارة الشهادات":

  • الشهادات الإقليمية المُدارة ذاتيًا للحصول على معلومات حول إنشاء شهادات إقليمية مُدارة ذاتيًا واستخدامها، يُرجى الاطّلاع على نشر شهادة إقليمية مُدارة ذاتيًا. خرائط الشهادات غير متاحة.
  • الشهادات التي تديرها Google على مستوى المنطقة خرائط الشهادات غير متاحة. تتيح خدمة Certificate Manager الأنواع التالية من الشهادات الإقليمية التي تديرها Google:
  • شهادات إقليمية تديرها Google مع تفويض نظام أسماء النطاقات لكل مشروع لمزيد من المعلومات، يُرجى الاطّلاع على نشر شهادة مُدارة من Google على مستوى منطقة معيّنة.
  • شهادات إقليمية تديرها Google (خاصة) باستخدام خدمة مرجع التصديق لمزيد من المعلومات، يُرجى الاطّلاع على مقالة نشر شهادة إقليمية تديرها Google باستخدام خدمة CA.

10. إضافة Looker إلى القائمة المسموح بها في شبكة VPC

عرض شبكات VPC المسموح بها

في القسم التالي، ستستخدم واجهة مستخدم Cloud Console لعرض قائمة "شبكات VPC المسموح بها" في Looker.

في Cloud Console، انتقِل إلى:

Looker → نسخة Looker → التفاصيل

في المثال أدناه، لا تتضمّن قائمة "شبكات VPC المسموح بها" أي إدخالات:

ad33177a2d721ea7.png

تعديل شبكات VPC المسموح بها

عدِّل مثيل Looker للسماح بالوصول إلى البيانات الصادرة من خلال إضافة looker-psc-demo كشبكة VPC مسموح بها.

في Cloud Console، انتقِل إلى:

Looker → نسخة Looker → تعديل

cbbc069688890b82.png

عمليات الربط → شبكات VPC المسموح بها

احرص على اختيار المشروع الذي تم نشر looker-psc-demo فيه، ثمّ شبكة VPC looker-psc-demo، ثمّ انقر على "متابعة".

dc931643e1b220a.png

3e26d16d83cceae9.png

التحقّق من صحة شبكات VPC المسموح بها

عرض قائمة "شبكات VPC المسموح بها" المعدّلة

في Cloud Console، انتقِل إلى:

Looker → نسخة Looker → التفاصيل

e34664c867929c66.png

11. إنشاء خلفية PSC

تنشئ خدمة Looker PSC بصفتها منتِج خدمة معرّف الموارد المنتظم لمرفق الخدمة الذي يستخدمه مستهلكو الخدمة لنشر نقاط النهاية والخلفيات من أجل الوصول إلى Looker من الشمال. في الخطوة التالية، ستحدّد معرّف الموارد المنتظم (URI) لمرفق خدمة Private Service Connect في Looker، ثم ستنشئ مجموعة نقاط نهاية شبكة (NEG) لخادم Private Service Connect في شبكة VPC الخاصة بالمستهلك.

تحديد مرفق خدمة PSC في Looker

في Cloud Console، انتقِل إلى معرّف الموارد المنتظم (URI) الخاص بـ "ربط الخدمة" وانسَخه:

Looker → نسخة Looker → التفاصيل

a253f94e946a1eef.png

إنشاء مجموعة نقاط نهاية الشبكة لخدمة Private Service Connect

داخل Cloud Shell، نفِّذ ما يلي مع الحرص على تعديل psc-target-service:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

مثال:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
 --psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

التحقّق من صحة إنشاء مجموعة نهاية شبكة PSC

داخل Cloud Shell، نفِّذ ما يلي، مع التأكّد من قبول pscConnectionStatus:

gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:

مثال:

user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus: 
  pscConnectionStatus: ACCEPTED

إنشاء جهاز موازنة حمل للتطبيقات على مستوى منطقة معيّنة

في الخطوات التالية، ستستخدم Cloud Console لإنشاء موازن تحميل إقليمي للتطبيقات الخارجية مع ربط الشهادات التي تم إنشاؤها بإعداد الواجهة الأمامية.

في Cloud Console، انتقِل إلى:

خدمات الشبكة → موازنة الحمل → إنشاء جهاز موازنة الحمل

e3474ca153d7c55a.png

حدِّد الخيارات التالية:

63c2e656953444f2.png

إنشاء إعدادات الواجهة الأمامية

حدِّد الخيارات التالية وخصِّص البيئة استنادًا إلى عملية النشر:

  • المنطقة المستخدَمة في نشر البنية الأساسية للشبكة
  • يتم ملء الشبكة الفرعية "الوكيل فقط" تلقائيًا استنادًا إلى منطقتك
  • يتوفّر عنوان IP ثابت تم تحديده سابقًا استنادًا إلى اختيارك للمنطقة.

a1c24bd4650b27d3.png

يؤدي اختيار "الشهادة" إلى فتح قائمة منسدلة تتضمّن خيار استخدام شهادة حالية أو جديدة:

aac196a6fa1ee3d5.png

حمِّل الشهادة والمفتاح الخاص، ثم انقر على "إنشاء":

64a390bda0c9c3f1.png

انقر على "تم" لإكمال عملية "ضبط الواجهة الأمامية":

758a1921e3020854.png

إنشاء إعدادات الواجهة الخلفية

حدِّد الخيارات التالية:

e9bf17b1277bd597.png

af3b4a59864b15bc.png

6c784cc0169c892b.png

ba3bf9fa7d3497a5.png

إنشاء قواعد التوجيه

حدِّد الخيارات التالية (الخيارات التلقائية):

8884421f10a50ce0.png

المراجعة والإنهاء

تحقَّق من الإعدادات واختَر "إنشاء":

bdf5793ba8f46bb9.png

تم تفعيل موازن الحمل الآن:

61adc0509f07ab15.png

الوصول إلى واجهة مستخدم Looker

بعد أن يصبح موازن التحميل جاهزًا للتشغيل، يمكنك الوصول إلى نطاق Looker المخصّص من خلال متصفّح ويب. من المهم ملاحظة أنّه قد تظهر لك تحذيرات حسب نوع الشهادة التي تستخدمها، مثل شهادة غير موثوق بها مقابل شهادة موثوق بها.

في ما يلي مثال (شهادة غير موثوق بها) على الوصول إلى نطاق Looker المخصّص looker.cosmopup.com الذي يتيح الوصول إلى واجهة مستخدم Looker:

ae43d0d0d7136044.png

12. تَنظيم

حذف مكوّنات المختبر من نافذة Cloud Shell واحدة

gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q

gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q

gcloud compute url-maps delete regional-external-alb --region=$region -q

gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q

gcloud compute addresses delete regional-alb-static-ip --region=$region -q

gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q

gcloud compute networks delete looker-psc-demo -q

13. تهانينا

تهانينا، لقد نجحت في إعداد عملية الربط الصادر إلى Looker والتحقّق من صحتها باستخدام نطاق عميل وجهاز موازنة حمل التطبيقات الخارجي الإقليمي.

لقد أنشأت البنية الأساسية للمستهلك، وتعرّفت على كيفية إنشاء مجموعة NEG خاصة بخدمة Private Service Connect ونطاق مخصّص، كما تعرّفت على خيارات الشهادات المختلفة. هناك الكثير من الميزات الرائعة التي ستساعدك في استخدام Looker.

تعتقد Cosmopup أنّ الدروس التطبيقية حول الترميز رائعة!!

c911c127bffdee57.jpeg

ما هي الخطوات التالية؟

اطّلِع على بعض دروس الترميز التطبيقية هذه...

مزيد من المعلومات والفيديوهات

المستندات المرجعية