1. Introduzione
In questo codelab creerai un bilanciatore del carico delle applicazioni L7 a livello di regione e un backend Private Service Connect per ottenere l'accesso northbound a Looker. L'accesso in direzione nord a Looker richiede che il VPC consumer sia inserito nella lista consentita per l'istanza PSC di Looker.
Private Service Connect è una funzionalità della rete di Google Cloud che consente ai consumer di accedere ai servizi gestiti in privato dall'interno della loro rete VPC. Analogamente, consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti VPC separate e di offrire una connessione privata ai loro consumer. Ad esempio, quando utilizzi Private Service Connect per accedere a Looker, sei il consumer di servizi e Google è il producer di servizi, come evidenziato nella Figura 1.
Figura 1.
L'accesso in uscita, noto anche come PSC inverso, consente al consumer di creare un servizio pubblicato come produttore per consentire a Looker di accedere agli endpoint on-premise, in un VPC, ai servizi gestiti e a internet. Le connessioni in uscita possono essere implementate in qualsiasi regione, indipendentemente da dove è implementato Looker PSC, come evidenziato nella Figura 2.
Figura 2.
Cosa imparerai a fare
- Requisiti di rete
- Aggiorna la lista consentita di Looker per l'accesso in uscita
- Crea un backend Private Service Connect nel VPC consumer
- Confronto tra certificati Google e autofirmati
Che cosa ti serve
- Progetto Google Cloud con autorizzazioni di proprietario
- Dominio registrato
- Istanza Looker PSC esistente
2. Cosa creerai
Stabilirai una rete consumer inclusa nella lista consentita, looker-psc-demo, per eseguire il deployment di un bilanciatore del carico delle applicazioni L7 esterno regionale e di un NEG backend PSC che richiede un certificato Google o autofirmato. In entrambi i metodi è necessario un dominio registrato che corrisponda al dominio personalizzato definito in Looker.
3. Requisiti di rete
Di seguito sono riportati i requisiti di rete in dettaglio:
Componenti | Descrizione |
VPC (looker-psc-demo) | VPC modalità personalizzata |
Subnet NEG PSC | Utilizzato per allocare un indirizzo IP per il gruppo di endpoint di rete |
Subnet solo proxy | A ciascuno dei proxy del bilanciatore del carico viene assegnato un indirizzo IP interno. I pacchetti inviati da un proxy a una VM o a un endpoint di backend hanno un indirizzo IP di origine della subnet solo proxy. |
Servizio di backend | Un servizio di backend funge da ponte tra il bilanciatore del carico e le risorse di backend. Nel tutorial, il servizio di backend è associato al NEG PSC. |
4. Topologia del codelab
5. Configurazione e requisiti
Configurazione dell'ambiente a tuo ritmo
- Accedi alla console Google Cloud e crea un nuovo progetto o riutilizzane uno esistente. Se non hai ancora un account Gmail o Google Workspace, devi crearne uno.
- Il Nome progetto è il nome visualizzato dei partecipanti del progetto. Si tratta di una stringa di caratteri non utilizzata dalle API di Google. Puoi sempre aggiornarla.
- L'ID progetto è univoco in tutti i progetti Google Cloud ed è immutabile (non può essere modificato dopo essere stato impostato). La console Cloud genera automaticamente una stringa univoca; di solito non ti interessa quale sia. Nella maggior parte dei codelab, dovrai fare riferimento al tuo ID progetto (in genere identificato come
PROJECT_ID). Se l'ID generato non ti piace, puoi generarne un altro casuale. In alternativa, puoi provarne una personalizzata per verificare se è disponibile. Non può essere modificato dopo questo passaggio e rimane invariato per tutta la durata del progetto. - Per tua informazione, esiste un terzo valore, un Numero progetto, utilizzato da alcune API. Scopri di più su tutti e tre questi valori nella documentazione.
- Successivamente, dovrai abilitare la fatturazione nella console Cloud per utilizzare le API/risorse Cloud. L'esecuzione di questo codelab non ha alcun costo. Per arrestare le risorse ed evitare di incorrere in fatturazione dopo questo tutorial, puoi eliminare le risorse che hai creato o eliminare il progetto. I nuovi utenti di Google Cloud sono idonei al programma prova senza costi di 300$.
Avvia Cloud Shell
Sebbene Google Cloud possa essere utilizzato da remoto dal tuo laptop, in questo codelab utilizzerai Google Cloud Shell, un ambiente a riga di comando in esecuzione nel cloud.
Dalla console Google Cloud, fai clic sull'icona di Cloud Shell nella barra degli strumenti in alto a destra:
Dovrebbe richiedere solo qualche istante per eseguire il provisioning e connettersi all'ambiente. Al termine, dovresti vedere qualcosa di simile a questo:
Questa macchina virtuale viene caricata con tutti gli strumenti di sviluppo necessari. Offre una home directory permanente da 5 GB e viene eseguita su Google Cloud, migliorando notevolmente le prestazioni e l'autenticazione di rete. Tutto il lavoro in questo codelab può essere svolto all'interno di un browser. Non devi installare nulla.
6. Prima di iniziare
Abilita API
In Cloud Shell, assicurati che l'ID progetto sia configurato:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Attiva tutti i servizi necessari:
gcloud services enable compute.googleapis.com
7. Rete consumer
Nella sezione seguente, creerai la rete di consumo che verrà aggiornata nella lista consentita VPC di Looker PSC.
Rete VPC
All'interno di Cloud Shell, esegui queste operazioni:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Crea subnet
In Cloud Shell, crea la subnet del gruppo di endpoint di rete del consumatore:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
In Cloud Shell, crea la subnet solo proxy a livello di regione del producer:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
Prenota l'indirizzo IP del bilanciatore del carico
In Cloud Shell, prenota un indirizzo IP esterno per il bilanciatore del carico:
gcloud compute addresses create regional-alb-static-ip \
--region=$region \
--network-tier=STANDARD
In Cloud Shell, visualizza l'indirizzo IP riservato:
gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
Output di esempio:
user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
address: 35.208.202.244
8. Crea un dominio personalizzato
Per stabilire un dominio personalizzato sono necessari i seguenti passaggi:
Esempio di dominio personalizzato
Il dominio personalizzato looker.cosmopup.com esiste come sottodominio DNS pubblico associato a un record A degli indirizzi IP statici (regional-alb-static-ip) definiti in precedenza. Visualizza lo screenshot acquisito da un terminale che convalida la ricerca DNS.
Successivamente, crea il dominio del cliente utilizzando il sottodominio looker.cosmopup.com.
Esempio di OAuth
Di seguito è riportato un esempio di credenziali OAuth per origini autorizzate e callback per il sottodominio looker.cosmopup.com.
9. Certificati
Puoi creare certificati Compute Engine o Certificate Manager. Utilizza uno dei seguenti metodi per creare certificati utilizzando Certificate Manager:
- Certificati autogestiti a livello di regione. Per informazioni sulla creazione e sull'utilizzo dei certificati autogestiti a livello di regione, vedi Eseguire il deployment di un certificato autogestito a livello di regione. Le mappe di certificati non sono supportate.
- Certificati regionali gestiti da Google. Le mappe dei certificati non sono supportate. Gestore certificati supporta i seguenti tipi di certificati gestiti da Google a livello di regione:
- Certificati gestiti a livello di regione da Google con autorizzazione DNS per progetto. Per ulteriori informazioni, vedi Eseguire il deployment di un certificato gestito da Google a livello di regione.
- Certificati regionali gestiti da Google (privati) con Certificate Authority Service. Per saperne di più, vedi Eseguire il deployment di un certificato a livello di regione gestito da Google con il servizio CA.
10. Lista consentita VPC di Looker
Visualizzare le VPC consentite
Nella sezione seguente, utilizzerai l'interfaccia utente della console Cloud per visualizzare l'elenco delle VPC consentite da Looker.
In Cloud Console, vai a:
Looker → Istanza Looker → Dettagli
Nell'esempio seguente, non sono presenti voci nell'elenco VPC consentiti:
Aggiorna i VPC consentiti
Aggiorna l'istanza Looker per supportare l'accesso in uscita aggiungendo looker-psc-demo come VPC consentito.
In Cloud Console, vai a:
Looker → Istanza Looker → Modifica
Connessioni → VPC consentiti
Assicurati di selezionare il progetto in cui viene eseguito il deployment di looker-psc-demo, seguito dal VPC looker-psc-demo, quindi da Continua.
Convalida dei VPC consentiti
Visualizza l'elenco di aggiornamento dei VPC consentiti
Nella console Cloud, vai a:
Looker → Istanza Looker → Dettagli
11. Crea backend PSC
Looker PSC come produttore di servizi genera un URI di collegamento del servizio utilizzato dai consumer di servizi per eseguire il deployment di endpoint e backend al fine di ottenere l'accesso northbound a Looker. Nel passaggio successivo, dovrai identificare l'URI del collegamento di servizio PSC di Looker, quindi creare un backend del gruppo di endpoint di rete (NEG) Private Service Connect nella VPC consumer.
Identifica il collegamento del servizio PSC di Looker
Nella console Cloud, naviga e copia l'URI del collegamento al servizio:
Looker → Istanza Looker → Dettagli
Crea il gruppo di endpoint di rete PSC
All'interno di Cloud Shell, esegui quanto segue per aggiornare psc-target-service:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Esempio:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Convalidare la creazione del gruppo finale della rete PSC
All'interno di Cloud Shell, esegui quanto segue, facendo in modo che sia accettato pscConnectionStatus:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
Esempio:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
Crea un bilanciatore del carico delle applicazioni a livello di regione
Nei passaggi seguenti, utilizzerai Cloud Console per creare il bilanciatore del carico delle applicazioni esterno regionale e associare i certificati generati alla configurazione del front-end.
Nella console Cloud, vai a:
Servizi di rete → Bilanciamento del carico → Crea bilanciatore del carico
Seleziona le seguenti opzioni:
Creare la configurazione del frontend
Seleziona le opzioni seguenti e personalizza l'ambiente in base al tuo deployment:
- Regione utilizzata per il deployment dell'infrastruttura di rete
- La subnet solo proxy viene compilata automaticamente in base alla regione
- L'IP statico definito in precedenza è disponibile in base alla regione selezionata
Se selezioni il certificato, viene visualizzata l'opzione per utilizzare un certificato esistente o nuovo:
Carica il certificato e la chiave privata, quindi seleziona CREA:
Seleziona FINE per completare la configurazione del frontend:
Crea la configurazione del backend
Seleziona le seguenti opzioni:
Crea le regole di routing
Seleziona le seguenti opzioni (opzioni predefinite):
Esamina e finalizza
Verifica la configurazione e seleziona CREA:
Il bilanciatore del carico è ora abilitato:
Accedi all'UI di Looker
Ora che il bilanciatore del carico è operativo, puoi accedere al tuo dominio Looker personalizzato tramite un browser web. È importante notare che potresti visualizzare un avviso a seconda del tipo di certificato utilizzato, ad esempio certificato non attendibile o attendibile.
Di seguito è riportato un esempio (certificato non attendibile) di accesso al dominio personalizzato di Looker looker.cosmopup.com che ottiene l'accesso northbound all'interfaccia utente di Looker:
12. Esegui la pulizia
Eliminare i componenti del lab da un singolo terminale Cloud Shell
gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-external-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
13. Complimenti
Congratulazioni, hai configurato e convalidato correttamente la connettività northbound a Looker utilizzando un dominio cliente e un bilanciatore del carico delle applicazioni esterno regionale.
Hai creato l'infrastruttura per i consumatori, hai imparato a creare un NEG PSC, un dominio personalizzato e hai conosciuto le diverse opzioni di certificato. Tante cose interessanti per iniziare a utilizzare Looker.
Cosmopup pensa che i codelab siano fantastici.
Passaggi successivi
Dai un'occhiata ad alcuni di questi codelab…
- Utilizzo di Private Service Connect per pubblicare e utilizzare servizi
- Connettiti ai servizi on-prem su una rete ibrida utilizzando Private Service Connect e un bilanciatore del carico proxy TCP interno
- Accesso a tutti i codelab di Private Service Connect pubblicati
Per approfondire Video
Documentazione di riferimento
- Utilizzare certificati SSL autogestiti | Load Balancing | Google Cloud
- Eseguire il deployment di un certificato gestito da Google a livello di regione
- Crea un backend Private Service Connect | VPC | Google Cloud
- Crea un backend Private Service Connect | VPC | Google Cloud
- Crea un'istanza Private Service Connect di Looker (Google Cloud core)
- Come pubblicare un servizio utilizzando Private Service Connect