1. परिचय
इस कोडलैब में, आपको Looker का नॉर्थबाउंड ऐक्सेस पाने के लिए, L7 रीजनल ऐप्लिकेशन लोड बैलेंसर और Private Service Connect बैकएंड बनाना होगा. Looker के नॉर्थबाउंड ऐक्सेस के लिए, यह ज़रूरी है कि उपभोक्ता के VPC को Looker PSC इंस्टेंस की अनुमति वाली सूची में शामिल किया गया हो.
Private Service Connect, Google Cloud नेटवर्किंग की एक सुविधा है. इसकी मदद से, उपभोक्ता अपने VPC नेटवर्क से मैनेज की जा रही सेवाओं को निजी तौर पर ऐक्सेस कर सकते हैं. इसी तरह, मैनेज की जाने वाली सेवाओं के प्रोड्यूसर, इन सेवाओं को अपने अलग वीपीएन नेटवर्क में होस्ट कर सकते हैं. साथ ही, अपने उपभोक्ताओं को निजी कनेक्शन भी दे सकते हैं. उदाहरण के लिए, Looker को ऐक्सेस करने के लिए Private Service Connect का इस्तेमाल करने पर, आप सेवा का उपभोक्ता होते हैं और Google सेवा देने वाला होता है. इसकी जानकारी, पहले चित्र में हाइलाइट की गई है.
चित्र 1.
साउथबाउंड ऐक्सेस, जिसे रिवर्स पीएससी भी कहा जाता है, की मदद से उपभोक्ता, पब्लिश की गई सेवा को प्रोड्यूसर के तौर पर बना सकता है. इससे Looker को, ऑन-प्राइमिस, VPC, मैनेज की जा रही सेवाओं, और इंटरनेट में मौजूद एंडपॉइंट को ऐक्सेस करने की अनुमति मिलती है. साउथबाउंड कनेक्शन किसी भी क्षेत्र में डिप्लॉय किए जा सकते हैं. भले ही, Looker PSC को किसी भी जगह पर डिप्लॉय किया गया हो, जैसा कि दूसरे चित्र में हाइलाइट किया गया है.
चित्र 2.
आपको इनके बारे में जानकारी मिलेगी
- नेटवर्क की ज़रूरी शर्तें
- Looker की अनुमति वाली सूची को अपडेट करना, ताकि उत्तर की ओर डेटा भेजा जा सके
- उपभोक्ता वीपीसी में Private Service Connect बैकएंड बनाना
- Google के सर्टिफ़िकेट बनाम खुद के हस्ताक्षर वाले सर्टिफ़िकेट
आपको इन चीज़ों की ज़रूरत होगी
- मालिकाना हक वाली अनुमतियों वाला Google Cloud प्रोजेक्ट
- रजिस्टर किया गया डोमेन
- मौजूदा Looker PSC इंस्टेंस
2. आपको क्या बनाना है
आपको अनुमति वाले कंज्यूमर नेटवर्क, looker-psc-demo को सेट अप करना होगा. ऐसा, रीजनल एक्सटर्नल L7 ऐप्लिकेशन लोड बैलेंसर और PSC बैकएंड एनईजी को डिप्लॉय करने के लिए करना होगा. इसके लिए, Google या खुद के हस्ताक्षर वाला सर्टिफ़िकेट ज़रूरी है. दोनों तरीकों में, रजिस्टर किया गया ऐसा डोमेन ज़रूरी है जो Looker में तय किए गए कस्टम डोमेन से मेल खाता हो.
3. नेटवर्क की ज़रूरी शर्तें
नेटवर्क से जुड़ी ज़रूरी शर्तों के बारे में यहां बताया गया है:
घटक | ब्यौरा |
VPC (looker-psc-demo) | कस्टम मोड वीपीसी |
पीएससी NEG सबनेट | नेटवर्क एंडपॉइंट ग्रुप के लिए आईपी पता असाइन करने के लिए इस्तेमाल किया जाता है |
सिर्फ़ प्रॉक्सी सबनेट | लोड बैलेंसर की हर प्रॉक्सी को एक इंटरनल आईपी पता असाइन किया जाता है. किसी प्रॉक्सी से बैकएंड वीएम या एंडपॉइंट पर भेजे गए पैकेट में, सिर्फ़ प्रॉक्सी सबनेट का सोर्स आईपी पता होता है. |
बैकएंड सेवा | बैकएंड सेवा, आपके लोड बैलेंसर और बैकएंड संसाधनों के बीच ब्रिज के तौर पर काम करती है. ट्यूटोरियल में, बैकएंड सेवा को PSC NEG से जोड़ा गया है. |
4. कोडलैब की टोपोलॉजी
5. सेटअप और ज़रूरी शर्तें
अपने हिसाब से एनवायरमेंट सेट अप करना
- Google Cloud Console में साइन इन करें और नया प्रोजेक्ट बनाएं या किसी मौजूदा प्रोजेक्ट का फिर से इस्तेमाल करें. अगर आपके पास पहले से कोई Gmail या Google Workspace खाता नहीं है, तो आपको एक खाता बनाना होगा.
- प्रोजेक्ट का नाम, इस प्रोजेक्ट में हिस्सा लेने वाले लोगों के लिए डिसप्ले नेम होता है. यह एक वर्ण स्ट्रिंग है, जिसका इस्तेमाल Google API नहीं करते. इसे कभी भी अपडेट किया जा सकता है.
- प्रोजेक्ट आईडी, Google Cloud के सभी प्रोजेक्ट के लिए यूनीक होता है. साथ ही, इसे सेट करने के बाद बदला नहीं जा सकता. Cloud Console, अपने-आप एक यूनीक स्ट्रिंग जनरेट करता है. आम तौर पर, आपको यह जानने की ज़रूरत नहीं होती कि यह स्ट्रिंग क्या है. ज़्यादातर कोडलैब में, आपको अपने प्रोजेक्ट आईडी का रेफ़रंस देना होगा. आम तौर पर, इसे
PROJECT_IDके तौर पर पहचाना जाता है. अगर आपको जनरेट किया गया आईडी पसंद नहीं आता है, तो कोई दूसरा आईडी जनरेट किया जा सकता है. इसके अलावा, आपके पास खुद का कोई दूसरा नाम चुनने का विकल्प भी है. इस चरण के बाद, इसे बदला नहीं जा सकता. यह प्रोजेक्ट के दौरान बना रहता है. - आपकी जानकारी के लिए बता दें कि तीसरी वैल्यू, प्रोजेक्ट नंबर होती है. इसका इस्तेमाल कुछ एपीआई करते हैं. दस्तावेज़ में इन तीनों वैल्यू के बारे में ज़्यादा जानें.
- इसके बाद, आपको Cloud के संसाधनों/एपीआई का इस्तेमाल करने के लिए, Cloud Console में बिलिंग की सुविधा चालू करनी होगी. इस कोडलैब को चलाने के लिए, आपसे कोई शुल्क नहीं लिया जाएगा. इस ट्यूटोरियल के बाद बिलिंग से बचने के लिए, बनाए गए संसाधनों को बंद किया जा सकता है या प्रोजेक्ट को मिटाया जा सकता है. Google Cloud के नए उपयोगकर्ता, 300 डॉलर के मुफ़्त ट्रायल वाले कार्यक्रम में शामिल हो सकते हैं.
Cloud Shell शुरू करना
Google Cloud को आपके लैपटॉप से रिमोट तौर पर इस्तेमाल किया जा सकता है. हालांकि, इस कोडलैब में आपको Google Cloud Shell का इस्तेमाल करना होगा. यह Cloud में चलने वाला कमांड-लाइन एनवायरमेंट है.
Google Cloud Console में, सबसे ऊपर दाएं टूलबार में मौजूद Cloud Shell आइकॉन पर क्लिक करें:
एनवायरमेंट से कनेक्ट होने और उसे प्रोवाइड करने में सिर्फ़ कुछ मिनट लगेंगे. इसके पूरा होने पर, आपको कुछ ऐसा दिखेगा:
इस वर्चुअल मशीन में, डेवलपमेंट के लिए ज़रूरी सभी टूल लोड होते हैं. यह 5 जीबी की होम डायरेक्ट्री उपलब्ध कराता है. यह Google Cloud पर चलता है, जिससे नेटवर्क की परफ़ॉर्मेंस और पुष्टि करने की सुविधा बेहतर होती है. इस कोडलैब में, सारा काम ब्राउज़र में किया जा सकता है. आपको कुछ भी इंस्टॉल करने की ज़रूरत नहीं है.
6. शुरू करने से पहले
एपीआई चालू करें
Cloud Shell में, पक्का करें कि आपका प्रोजेक्ट आईडी सेट अप हो:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
सभी ज़रूरी सेवाएं चालू करें:
gcloud services enable compute.googleapis.com
7. उपभोक्ता नेटवर्क
नीचे दिए गए सेक्शन में, आपको उपभोक्ता नेटवर्किंग बनानी होगी. इसे Looker PSC VPC की अनुमति वाली सूची में अपडेट किया जाएगा.
VPC नेटवर्क
Cloud Shell में, ये काम करें:
gcloud compute networks create looker-psc-demo --subnet-mode custom
सबनेट बनाना
Cloud Shell में, उपभोक्ता नेटवर्क एंडपॉइंट ग्रुप सबनेट बनाएं:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
Cloud Shell में, प्रोड्यूसर के लिए क्षेत्र के हिसाब से प्रॉक्सी-ओनली सबनेट बनाएं:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
लोड बैलेंसर का आईपी पता रिज़र्व करना
Cloud Shell में, लोड बैलेंसर के लिए कोई एक्सटर्नल आईपी पता रिज़र्व करें:
gcloud compute addresses create regional-alb-static-ip \
--region=$region \
--network-tier=STANDARD
Cloud Shell में, रिज़र्व किया गया आईपी पता देखें:
gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
आउटपुट का उदाहरण:
user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
address: 35.208.202.244
8. कस्टम डोमेन बनाना
कस्टम डोमेन सेट अप करने के लिए, यह तरीका अपनाएं:
कस्टम डोमेन का उदाहरण
कस्टम डोमेन looker.cosmopup.com, पहले से तय किए गए स्टैटिक आईपी पतों (regional-alb-static-ip) के A रिकॉर्ड से जुड़े सार्वजनिक डीएनएस सबडोमेन के तौर पर मौजूद है. डीएनएस लुकअप की पुष्टि करने वाले टर्मिनल से लिया गया स्क्रीनशॉट देखें.
इसके बाद, looker.cosmopup.com सबडोमेन का इस्तेमाल करके ग्राहक डोमेन बनाएं
OAuth का उदाहरण
यहां अनुमति वाले ऑरिजिन के लिए OAuth क्रेडेंशियल और सबडोमेन looker.cosmopup.com के लिए कॉलबैक का उदाहरण दिया गया है.
9. प्रमाणपत्र
आपके पास Compute Engine या Certificate Manager, दोनों में से किसी एक का सर्टिफ़िकेट बनाने का विकल्प होता है. सर्टिफ़िकेट मैनेजर का इस्तेमाल करके सर्टिफ़िकेट बनाने के लिए, इनमें से कोई एक तरीका अपनाएं:
- क्षेत्र के हिसाब से, खुद मैनेज किए जाने वाले सर्टिफ़िकेट. क्षेत्र के हिसाब से, खुद मैनेज किए जाने वाले सर्टिफ़िकेट बनाने और इस्तेमाल करने के बारे में जानने के लिए, क्षेत्र के हिसाब से, खुद मैनेज किए जाने वाले सर्टिफ़िकेट को डिप्लॉय करना लेख पढ़ें. सर्टिफ़िकेट के नक्शे इस्तेमाल नहीं किए जा सकते.
- Google की तरफ़ से मैनेज किए जाने वाले क्षेत्रीय सर्टिफ़िकेट. सर्टिफ़िकेट के नक्शे इस्तेमाल नहीं किए जा सकते. Certificate Manager में, Google की तरफ़ से मैनेज किए जाने वाले क्षेत्रीय सर्टिफ़िकेट के ये टाइप काम करते हैं:
- Google की ओर से मैनेज किए जाने वाले क्षेत्रीय सर्टिफ़िकेट, जिनमें हर प्रोजेक्ट के लिए डीएनएस की अनुमति होती है. ज़्यादा जानकारी के लिए, Google के मैनेज किए जाने वाले क्षेत्रीय सर्टिफ़िकेट को डिप्लॉय करना लेख पढ़ें.
- सर्टिफ़िकेट देने वाली संस्था की सेवा के साथ, Google की तरफ़ से मैनेज किए जाने वाले क्षेत्रीय (निजी) सर्टिफ़िकेट. ज़्यादा जानकारी के लिए, सीए सेवा की मदद से, Google के मैनेज किए जा रहे रीजनल सर्टिफ़िकेट को डिप्लॉय करना लेख पढ़ें.
10. Looker VPC की अनुमति वाली सूची
अनुमति वाले वीपीसी देखना
नीचे दिए गए सेक्शन में, आपको Cloud Console के यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके, Looker के साथ काम करने वाले वीपीसी की सूची देखनी होगी.
Cloud Console में, यहां जाएं:
Looker → Looker इंस्टेंस → जानकारी
यहां दिए गए उदाहरण में, अनुमति वाले वीपीसी की सूची में कोई एंट्री नहीं है:
अनुमति वाले वीपीसी अपडेट करना
Looker-psc-demo को अनुमति वाले वीपीसी के तौर पर जोड़कर, अपने Looker इंस्टेंस को नॉर्थबाउंड ऐक्सेस के साथ काम करने के लिए अपडेट करें.
Cloud Console में, यहां जाएं:
Looker → Looker इंस्टेंस → बदलाव करें
कनेक्शन → अनुमति वाले वीपीसी
पक्का करें कि आपने वह प्रोजेक्ट चुना हो जहां looker-psc-demo डिप्लॉय किया गया है. इसके बाद, VPC looker-psc-demo चुनें और फिर 'जारी रखें' पर क्लिक करें.
अनुमति वाले वीपीसी की पुष्टि करना
अपडेट की गई, अनुमति वाले वीपीसी की सूची देखना
Cloud Console में, यहां जाएं:
Looker → Looker इंस्टेंस → जानकारी
11. पीएससी बैकएंड बनाना
सेवा देने वाली कंपनी के तौर पर Looker पीएससी, सेवा अटैचमेंट यूआरआई जनरेट करता है. सेवा का इस्तेमाल करने वाले लोग, Looker का नॉर्थबाउंड ऐक्सेस पाने के लिए, एंडपॉइंट और बैकएंड को डिप्लॉय करने के लिए इस यूआरआई का इस्तेमाल करते हैं. अगले चरण में, आपको Looker PSC सेवा अटैचमेंट यूआरआई की पहचान करनी होगी. इसके बाद, उपभोक्ता VPC में Private Service Connect नेटवर्क एंडपॉइंट ग्रुप (एनईजी) बैकएंड बनाना होगा.
Looker PSC सेवा अटैचमेंट की पहचान करना
Cloud Console में, सेवा अटैचमेंट यूआरआई पर जाएं और उसे कॉपी करें:
Looker → Looker इंस्टेंस → जानकारी
पीएससी नेटवर्क एंडपॉइंट ग्रुप बनाना
Cloud Shell में, psc-target-service को अपडेट करने के लिए यह तरीका अपनाएं:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
उदाहरण:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
पीएससी नेटवर्क के आखिरी ग्रुप के बनने की पुष्टि करना
Cloud Shell में, यह तरीका अपनाएं और पक्का करें कि pscConnectionStatus स्वीकार किया गया हो:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
उदाहरण:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
रीजनल ऐप्लिकेशन लोड बैलेंसर बनाना
यहां दिए गए चरणों में, आपको क्षेत्र के हिसाब से बाहरी ऐप्लिकेशन लोड बैलेंसर बनाने के लिए, Cloud Console का इस्तेमाल करना होगा. साथ ही, जनरेट किए गए सर्टिफ़िकेट को फ़्रंट एंड कॉन्फ़िगरेशन से जोड़ना होगा.
Cloud Console में, यहां जाएं:
नेटवर्क सेवाएं → लोड बैलेंसिंग → लोड बैलेंसर बनाएं
ये विकल्प चुनें:
फ़्रंटएंड कॉन्फ़िगरेशन बनाना
यहां दिए गए विकल्प चुनें और अपने डेप्लॉयमेंट के हिसाब से एनवायरमेंट को पसंद के मुताबिक बनाएं:
- नेटवर्क इन्फ़्रास्ट्रक्चर को डिप्लॉय करने के लिए इस्तेमाल किया गया क्षेत्र
- आपके इलाके के हिसाब से, सिर्फ़ प्रॉक्सी वाले सबनेट की जानकारी अपने-आप भर जाती है
- आपके चुने गए इलाके के आधार पर, पहले से तय किया गया स्टैटिक आईपी उपलब्ध है
सर्टिफ़िकेट चुनने पर, किसी मौजूदा या नए सर्टिफ़िकेट का इस्तेमाल करने का विकल्प दिखता है:
अपना सर्टिफ़िकेट और निजी पासकोड अपलोड करें. इसके बाद, बनाएं को चुनें:
फ़्रंटएंड कॉन्फ़िगरेशन पूरा करने के लिए, 'हो गया' चुनें:
बैकएंड कॉन्फ़िगरेशन बनाना
ये विकल्प चुनें:
रूटिंग नियम बनाना
ये विकल्प चुनें (डिफ़ॉल्ट विकल्प):
समीक्षा करना और फ़ाइनल करना
कॉन्फ़िगरेशन की पुष्टि करें और 'बनाएं' चुनें:
लोड बैलेंसर अब चालू है:
Looker यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करना
लोड बैलेंसर चालू होने के बाद, वेब ब्राउज़र से अपने कस्टम Looker डोमेन को ऐक्सेस किया जा सकता है. यह ध्यान रखना ज़रूरी है कि इस्तेमाल किए जा रहे सर्टिफ़िकेट के टाइप के आधार पर, आपको चेतावनी मिल सकती है. जैसे, भरोसेमंद सर्टिफ़िकेट बनाम अविश्वसनीय सर्टिफ़िकेट.
यहां Looker के कस्टम डोमेन looker.cosmopup.com को ऐक्सेस करने का उदाहरण (भरोसेमंद सर्टिफ़िकेट नहीं) दिया गया है. इससे Looker यूज़र इंटरफ़ेस का नॉर्थबाउंड ऐक्सेस मिलता है:
12. व्यवस्थित करें
Cloud Shell के किसी एक टर्मिनल से, लैब के कॉम्पोनेंट मिटाना
gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-external-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
13. बधाई हो
बधाई हो, आपने ग्राहक के डोमेन और क्षेत्र के बाहरी ऐप्लिकेशन लोड बैलेंसर का इस्तेमाल करके, Looker के साथ नॉर्थबाउंड कनेक्टिविटी को कॉन्फ़िगर और पुष्टि कर ली है.
आपने उपभोक्ता इन्फ़्रास्ट्रक्चर बनाया, पीएससी एनईजी और कस्टम डोमेन बनाने का तरीका जाना, और सर्टिफ़िकेट के अलग-अलग विकल्पों के बारे में जाना. Looker की मदद से, कई रोमांचक काम किए जा सकते हैं.
Cosmopup को लगता है कि कोडलैब शानदार हैं!!
आगे क्या करना है?
इनमें से कुछ कोडलैब देखें...
- सेवाओं को पब्लिश और इस्तेमाल करने के लिए, Private Service Connect का इस्तेमाल करना
- Private Service Connect और किसी इंटरनल टीसीपी प्रॉक्सी लोड बैलेंसर का इस्तेमाल करके, हाइब्रिड नेटवर्किंग की मदद से ऑन-प्रीमिस सेवाओं से कनेक्ट करना
- पब्लिश किए गए सभी Private Service Connect कोडलैब का ऐक्सेस
ज़्यादा पढ़ने के लिए लेख और वीडियो
रेफ़रंस दस्तावेज़
- खुद से मैनेज किए जाने वाले एसएसएल सर्टिफ़िकेट का इस्तेमाल करना | लोड बैलेंसिंग | Google Cloud
- Google की तरफ़ से मैनेज किया जाने वाला क्षेत्रीय सर्टिफ़िकेट डिप्लॉय करना
- Private Service Connect बैकएंड बनाना | VPC | Google Cloud
- Private Service Connect बैकएंड बनाना | VPC | Google Cloud
- Looker (Google Cloud Core) का Private Service Connect इंस्टेंस बनाना
- Private Service Connect का इस्तेमाल करके, सेवा को पब्लिश करने का तरीका