1. Pengantar
Dalam codelab ini, Anda akan membuat Backend Private Service Connect & Load Balancer Aplikasi Regional L7 untuk mendapatkan akses ke Looker. Akses Northbound ke Looker memerlukan VPC Konsumen yang diizinkan ke instance Looker PSC.
Private Service Connect adalah kemampuan jaringan Google Cloud yang memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC mereka. Demikian pula, hal ini memungkinkan produsen layanan terkelola untuk menghosting layanan ini di jaringan VPC masing-masing yang terpisah dan menawarkan koneksi pribadi kepada konsumen mereka. Misalnya, saat Anda menggunakan Private Service Connect untuk mengakses Looker, Anda adalah konsumen layanan, dan Google adalah produsen layanan, seperti yang ditunjukkan pada Gambar 1.
Gambar 1.
Akses ke arah selatan, juga dikenal sebagai PSC terbalik, memungkinkan Konsumen membuat Layanan yang Dipublikasikan sebagai Produsen untuk mengizinkan akses Looker ke endpoint di lokal, di VPC, ke layanan terkelola, dan ke Internet. Koneksi ke selatan dapat di-deploy di region mana pun, terlepas dari tempat Looker PSC di-deploy, seperti yang ditunjukkan pada Gambar 2.
Gambar 2.
Yang akan Anda pelajari
- Persyaratan jaringan
- Memperbarui daftar yang diizinkan Looker untuk akses ke utara
- Membuat backend Private Service Connect di VPC Konsumen
- Sertifikat yang Ditandatangani Sendiri vs. Sertifikat Google
Yang Anda butuhkan
- Project Google Cloud dengan izin Pemilik
- Domain Terdaftar
- Instance PSC Looker yang Ada
2. Yang akan Anda build
Anda akan membuat jaringan Konsumen yang diizinkan, looker-psc-demo, untuk men-deploy load balancer aplikasi L7 eksternal regional dan NEG backend PSC yang memerlukan sertifikat Google atau sertifikat yang ditandatangani sendiri. Dengan metode apa pun, domain terdaftar yang cocok dengan domain kustom yang ditentukan di Looker diperlukan.
3. Persyaratan jaringan
Berikut adalah perincian persyaratan jaringan:
Komponen | Deskripsi |
VPC (looker-psc-demo) | VPC mode kustom |
Subnet NEG PSC | Digunakan untuk mengalokasikan alamat IP untuk Network Endpoint Group |
Subnet Khusus Proxy | Setiap proxy load balancer diberi alamat IP internal. Paket yang dikirim dari proxy ke VM backend atau endpoint memiliki alamat IP sumber dari subnet khusus proxy. |
Layanan Backend | Layanan backend bertindak sebagai jembatan antara load balancer dan resource backend Anda. Dalam tutorial ini, layanan backend dikaitkan dengan PSC NEG. |
4. Topologi codelab
5. Penyiapan dan Persyaratan
Penyiapan lingkungan mandiri
- Login ke Google Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. Jika belum memiliki akun Gmail atau Google Workspace, Anda harus membuatnya.
- Project name adalah nama tampilan untuk peserta project ini. String ini adalah string karakter yang tidak digunakan oleh Google API. Anda dapat memperbaruinya kapan saja.
- Project ID bersifat unik di semua project Google Cloud dan tidak dapat diubah (tidak dapat diubah setelah ditetapkan). Cloud Console otomatis membuat string unik; biasanya Anda tidak mementingkan kata-katanya. Di sebagian besar codelab, Anda harus merujuk Project ID-nya (umumnya diidentifikasi sebagai
PROJECT_ID). Jika tidak suka dengan ID yang dibuat, Anda dapat membuat ID acak lainnya. Atau, Anda dapat mencobanya sendiri, dan lihat apakah ID tersebut tersedia. ID tidak dapat diubah setelah langkah ini dan tersedia selama durasi project. - Sebagai informasi, ada nilai ketiga, Project Number, yang digunakan oleh beberapa API. Pelajari lebih lanjut ketiga nilai ini di dokumentasi.
- Selanjutnya, Anda harus mengaktifkan penagihan di Konsol Cloud untuk menggunakan resource/API Cloud. Menjalankan operasi dalam codelab ini tidak akan memakan banyak biaya, bahkan mungkin tidak sama sekali. Guna mematikan resource agar tidak menimbulkan penagihan di luar tutorial ini, Anda dapat menghapus resource yang dibuat atau menghapus project-nya. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.
Mulai Cloud Shell
Meskipun Google Cloud dapat dioperasikan dari jarak jauh menggunakan laptop Anda, dalam codelab ini, Anda akan menggunakan Google Cloud Shell, lingkungan command line yang berjalan di Cloud.
Dari Google Cloud Console, klik ikon Cloud Shell di toolbar kanan atas:
Hanya perlu waktu beberapa saat untuk penyediaan dan terhubung ke lingkungan. Jika sudah selesai, Anda akan melihat tampilan seperti ini:
Mesin virtual ini berisi semua alat pengembangan yang Anda perlukan. Layanan ini menawarkan direktori beranda tetap sebesar 5 GB dan beroperasi di Google Cloud, sehingga sangat meningkatkan performa dan autentikasi jaringan. Semua pekerjaan Anda dalam codelab ini dapat dilakukan di browser. Anda tidak perlu menginstal apa pun.
6. Sebelum memulai
Mengaktifkan API
Di dalam Cloud Shell, pastikan project ID Anda sudah disiapkan:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Aktifkan semua layanan yang diperlukan:
gcloud services enable compute.googleapis.com
7. Jaringan konsumen
Di bagian berikutnya, Anda akan membuat jaringan konsumen yang akan diperbarui dalam daftar yang diizinkan VPC PSC Looker.
Jaringan VPC
Di dalam Cloud Shell, lakukan hal berikut:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Buat Subnet
Di dalam Cloud Shell, buat subnet grup endpoint jaringan konsumen:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
Di dalam Cloud Shell, buat subnet khusus proxy regional produsen:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
Mencadangkan alamat IP load balancer
Di dalam Cloud Shell, cadangkan alamat IP eksternal untuk load balancer:
gcloud compute addresses create regional-alb-static-ip \
--region=$region \
--network-tier=STANDARD
Di dalam Cloud Shell, lihat Alamat IP yang dicadangkan:
gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
Contoh output:
user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
address: 35.208.202.244
8. Membuat Domain Kustom
Langkah-langkah berikut diperlukan untuk membuat domain kustom:
Contoh domain kustom
Domain kustom looker.cosmopup.com ada sebagai subdomain DNS publik yang terkait dengan rekaman A alamat IP statis (regional-alb-static-ip) yang ditentukan sebelumnya. Lihat screenshot yang diambil dari terminal yang memvalidasi pencarian DNS.
Selanjutnya, buat domain pelanggan menggunakan subdomain looker.cosmopup.com
Contoh OAuth
Di bawah ini adalah contoh kredensial OAuth untuk Asal yang diizinkan dan callback untuk subdomain looker.cosmopup.com.
9. Sertifikat
Anda dapat membuat sertifikat Compute Engine atau Certificate Manager. Gunakan salah satu metode berikut untuk membuat sertifikat menggunakan Certificate Manager:
- Sertifikat yang dikelola sendiri secara regional. Untuk mengetahui informasi tentang cara membuat dan menggunakan sertifikat yang dikelola sendiri regional, lihat men-deploy sertifikat yang dikelola sendiri regional. Peta sertifikat tidak didukung.
- Sertifikat yang dikelola Google regional. Peta sertifikat tidak didukung. Jenis sertifikat yang dikelola Google regional berikut didukung oleh Certificate Manager:
- Sertifikat regional yang dikelola Google dengan otorisasi DNS per project. Untuk mengetahui informasi selengkapnya, lihat Men-deploy sertifikat yang dikelola Google regional.
- Sertifikat regional yang dikelola Google (pribadi) dengan Certificate Authority Service. Untuk mengetahui informasi selengkapnya, lihat Men-deploy sertifikat yang dikelola Google regional dengan Layanan CA.
10. Daftar yang disetujui VPC Looker
Melihat VPC yang Diizinkan
Di bagian berikut, Anda akan menggunakan UI Konsol Cloud untuk melihat daftar VPC yang Diizinkan Looker.
Di Konsol Cloud, buka:
Looker → Instance Looker → Detail
Contoh di bawah, tidak ada entri dalam daftar VPC yang Diizinkan:
Perbarui VPC yang Diizinkan
Perbarui instance Looker Anda untuk mendukung akses northbound dengan menambahkan looker-psc-demo sebagai VPC yang Diizinkan.
Di Konsol Cloud, buka:
Looker → Instance Looker → Edit
Koneksi → VPC yang Diizinkan
Pastikan untuk memilih project tempat looker-psc-demo di-deploy, diikuti dengan VPC looker-psc-demo, lalu klik Continue.
Memvalidasi VPC yang Diizinkan
Melihat daftar VPC yang Diizinkan untuk pembaruan
Di Konsol Cloud, buka:
Looker → Instance Looker → Detail
11. Buat Backend PSC
Looker PSC sebagai Produsen Layanan menghasilkan URI Lampiran Layanan yang digunakan oleh Konsumen Layanan untuk men-deploy endpoint dan backend guna mendapatkan akses ke Looker. Pada langkah berikutnya, Anda akan mengidentifikasi URI Lampiran Layanan PSC Looker, lalu membuat backend Grup Endpoint Jaringan (NEG) Private Service Connect di VPC Konsumen.
Mengidentifikasi Lampiran Layanan PSC Looker
Di Konsol Cloud, buka dan salin URI Lampiran Layanan:
Looker → Instance Looker → Detail
Buat grup endpoint jaringan PSC
Di dalam Cloud Shell, lakukan hal berikut dan pastikan untuk memperbarui psc-target-service:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Contoh:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Memvalidasi pembuatan grup endpoint jaringan PSC
Di dalam Cloud Shell, lakukan hal berikut, pastikan pscConnectionStatus diterima:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
Contoh:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
Membuat load balancer aplikasi regional
Pada langkah-langkah berikut, Anda akan menggunakan Konsol Cloud untuk membuat load balancer aplikasi eksternal regional sambil mengaitkan sertifikat yang dihasilkan ke konfigurasi front-end.
Di Konsol Cloud, buka:
Network Services → Load Balancing → Create Load Balancer
Pilih opsi berikut:
Buat konfigurasi frontend
Pilih opsi berikut dan sesuaikan lingkungan berdasarkan deployment Anda:
- Region yang digunakan dalam men-deploy infrastruktur jaringan
- Subnet Khusus Proxy diisi otomatis berdasarkan region Anda
- IP statis yang ditentukan sebelumnya tersedia berdasarkan pilihan wilayah Anda
Memilih Sertifikat akan menampilkan opsi untuk menggunakan sertifikat yang ada atau yang baru:
Upload Sertifikat dan Kunci Pribadi Anda, lalu pilih BUAT:
Pilih SELESAI untuk menyelesaikan Konfigurasi Frontend:
Buat konfigurasi backend
Pilih opsi berikut:
Buat aturan perutean
Pilih opsi berikut (opsi default):
Tinjau dan selesaikan
Verifikasi konfigurasi, lalu pilih BUAT:
Load balancer kini diaktifkan:
Mengakses UI Looker
Setelah load balancer beroperasi, Anda dapat mengakses domain Looker kustom melalui browser web. Penting untuk diperhatikan bahwa Anda mungkin akan melihat peringatan, bergantung pada jenis sertifikat yang Anda gunakan, misalnya sertifikat tidak tepercaya vs. tepercaya.
Di bawah ini adalah contoh (sertifikat tidak tepercaya) untuk mengakses domain kustom Looker looker.cosmopup.com yang mendapatkan akses ke utara ke UI Looker:
12. Pembersihan
Menghapus komponen lab dari satu terminal Cloud Shell
gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-external-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
13. Selamat
Selamat, Anda telah berhasil mengonfigurasi dan memvalidasi konektivitas ke Looker dari utara menggunakan domain pelanggan dan load balancer aplikasi eksternal regional.
Anda telah membuat infrastruktur konsumen, mempelajari cara membuat NEG PSC, domain kustom, dan mengetahui berbagai opsi sertifikat. Ada banyak hal menarik untuk memulai penggunaan Looker.
Cosmopup menganggap codelab itu luar biasa!!
Apa selanjutnya?
Lihat beberapa codelab ini...
- Menggunakan Private Service Connect untuk memublikasikan dan menggunakan layanan
- Menghubungkan ke layanan lokal melalui Jaringan Hybrid menggunakan Private Service Connect dan load balancer Proxy TCP internal
- Akses ke semua codelab Private Service Connect yang dipublikasikan
Bacaan lebih lanjut & Video
Dokumen referensi
- Menggunakan sertifikat SSL yang dikelola sendiri | Load Balancing | Google Cloud
- Men-deploy sertifikat yang dikelola Google regional
- Membuat backend Private Service Connect | VPC | Google Cloud
- Membuat backend Private Service Connect | VPC | Google Cloud
- Membuat instance Private Service Connect Looker (Google Cloud core)
- Cara memublikasikan layanan menggunakan Private Service Connect