1. Wprowadzenie
W tym laboratorium kodu utworzysz regionalny system równoważenia obciążenia aplikacji L7 i backend usługi Private Service Connect, aby uzyskać dostęp do Lookera. Dostęp z poziomu Lookera do usługi VPC wymaga dodania konsumenta do listy dozwolonych w instancji PSC Lookera.
Private Service Connect to funkcja sieci Google Cloud, która umożliwia użytkownikom dostęp do usług zarządzanych z poziomu ich sieci VPC. Podobnie pozwala producentom usług zarządzanych hostować te usługi w swoich własnych oddzielnych sieciach VPC i oferować prywatne połączenie swoim klientom. Jeśli na przykład używasz Private Service Connect, aby uzyskać dostęp do Lookera, to Ty jesteś konsumentem usługi, a Google jest producentem usługi, jak pokazano na rysunku 1.
Rysunek 1.
Dostęp z południa, zwany też odwrotnym PSC, umożliwia konsumentowi utworzenie opublikowanej usługi jako producenta, aby umożliwić dostęp do punktów końcowych w sieci lokalnej, w sieci VPC, do usług zarządzanych i do Internetu. Połączenia wychodzące można wdrażać w dowolnym regionie, niezależnie od tego, gdzie wdrożono usługę Looker PSC, jak pokazano na rysunku 2.
Rysunek 2.
Czego się nauczysz
- Wymagania związane z siecią
- Zaktualizuj listę dozwolonych Lookera na potrzeby dostępu w dół
- Tworzenie zaplecza Private Service Connect w sieci VPC konsumenta
- Certyfikaty Google a certyfikaty podpisane samodzielnie
Czego potrzebujesz
- Projekt Google Cloud z uprawnieniami właściciela
- Zarejestrowana domena
- Istniejące wystąpienie PSC Lookera
2. Co utworzysz
Utworzysz sieć dla konsumentów na liście dozwolonych, looker-psc-demo, aby wdrożyć regionalny zewnętrzny system równoważenia obciążenia aplikacji L7 i backend NEG PSC, który wymaga certyfikatu Google lub samopodpisanego. W obu przypadkach wymagana jest zarejestrowana domena, która odpowiada domenie niestandardowej zdefiniowanej w Lookerze.
3. Wymagania związane z siecią
Poniżej znajdziesz zestawienie wymagań dotyczących sieci:
Komponenty | Opis |
VPC (looker-psc-demo) | Sieć VPC w trybie niestandardowym |
Podsieć grupy punktów końcowych sieci PSC | Służy do przydzielania adresu IP grupie punktów końcowych sieci. |
Podsieć tylko-proxy | Każdemu proxy systemu równoważenia obciążenia przypisany jest wewnętrzny adres IP. Pakiety wysyłane z serwera proxy do maszyny wirtualnej lub punktu końcowego backendu mają źródłowy adres IP z podsieci tylko-proxy. |
Usługa backendu | Usługa backendu pełni funkcję łącznika między systemem równoważenia obciążenia a zasobami backendu. W samouczku usługa backendu jest powiązana z NEG PSC. |
4. Topologia ćwiczeń z programowania
5. Konfiguracja i wymagania
Konfiguracja środowiska w samodzielnym tempie
- Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub użyj istniejącego. Jeśli nie masz jeszcze konta Gmail ani Google Workspace, musisz je utworzyć.
- Nazwa projektu to wyświetlana nazwa uczestników tego projektu. Jest to ciąg znaków, którego nie używają interfejsy API Google. Zawsze możesz ją zaktualizować.
- Identyfikator projektu jest niepowtarzalny w ramach wszystkich projektów Google Cloud i nie można go zmienić (po ustawieniu). Konsola Cloud automatycznie generuje unikalny ciąg znaków. Zwykle nie ma znaczenia, jaki to ciąg. W większości laboratoriów z kodem musisz podać identyfikator projektu (zwykle oznaczony jako
PROJECT_ID). Jeśli nie podoba Ci się wygenerowany identyfikator, możesz wygenerować inny losowy. Możesz też spróbować użyć własnego adresu e-mail, aby sprawdzić, czy jest on dostępny. Nie można go zmienić po wykonaniu tego kroku. Pozostanie on do końca projektu. - Informacyjnie: istnieje jeszcze 3 wartość, numer projektu, której używają niektóre interfejsy API. Więcej informacji o wszystkich 3 wartościach znajdziesz w dokumentacji.
- Następnie musisz włączyć rozliczenia w konsoli Cloud, aby korzystać z zasobów i interfejsów API Cloud. Przejście przez ten samouczek nie będzie kosztowne, a być może nawet bezpłatne. Aby wyłączyć zasoby i uniknąć obciążenia opłatami po zakończeniu samouczka, możesz usunąć utworzone zasoby lub usunąć projekt. Nowi użytkownicy Google Cloud mogą skorzystać z bezpłatnego okresu próbnego, w którym mają do dyspozycji środki w wysokości 300 USD.
Uruchamianie Cloud Shell
Google Cloud można obsługiwać zdalnie z laptopa, ale w tym ćwiczeniu będziesz używać Google Cloud Shell, czyli środowiska wiersza poleceń działającego w chmurze.
W konsoli Google Cloud kliknij ikonę Cloud Shell na pasku narzędzi w prawym górnym rogu:
Uzyskanie dostępu do środowiska i połączenie się z nim powinno zająć tylko kilka chwil. Po jego zakończeniu powinno wyświetlić się coś takiego:
Ta maszyna wirtualna zawiera wszystkie potrzebne narzędzia dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud, co znacznie poprawia wydajność sieci i uwierzytelnianie. Wszystkie zadania w tym CodeLab możesz wykonać w przeglądarce. Nie musisz niczego instalować.
6. Zanim zaczniesz
Włącz interfejsy API
W Cloud Shell sprawdź, czy identyfikator projektu jest skonfigurowany:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Włącz wszystkie niezbędne usługi:
gcloud services enable compute.googleapis.com
7. Sieć konsumentów
W następnej sekcji utworzysz sieć dla konsumentów, która będzie aktualizowana na liście dozwolonych sieci VPC w Looker PSC.
Sieć VPC
W Cloud Shell wykonaj te czynności:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Tworzenie podsieci
W Cloud Shell utwórz podsieć grupy punktów końcowych sieci dla konsumentów:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
W Cloud Shell utwórz regionalną podrzędną sieć tylko-proxy dla producenta:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
Rezerwowanie adresu IP systemu równoważenia obciążenia
W Cloud Shell zarezerwuj zewnętrzny adres IP dla systemu równoważenia obciążenia:
gcloud compute addresses create regional-alb-static-ip \
--region=$region \
--network-tier=STANDARD
W Cloud Shell wyświetl zarezerwowany adres IP:
gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
Przykładowe dane wyjściowe:
user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
address: 35.208.202.244
8. Tworzenie domeny niestandardowej
Aby utworzyć domenę niestandardową, wykonaj te czynności:
Przykład domeny niestandardowej
Niestandardowa domena looker.cosmopup.com istnieje jako publiczny poddomena DNS powiązana z rekordem A adresów IP statycznych (regional-alb-static-ip) zdefiniowanych wcześniej. Zrzut ekranu z terminala potwierdzający sprawdzanie wyszukiwania DNS.
Następnie utwórz domenę klienta za pomocą subdomeny looker.cosmopup.com.
Przykład OAuth
Poniżej znajdziesz przykład danych uwierzytelniających OAuth dla autoryzowanych źródeł i wywołania zwrotnego dla subdomeny looker.cosmopup.com.
9. Certyfikaty
Możesz utworzyć certyfikaty Compute Engine lub certyfikaty menedżera certyfikatów. Aby utworzyć certyfikaty za pomocą Menedżera certyfikatów, użyj dowolnej z tych metod:
- regionalne certyfikaty zarządzane samodzielnie, Informacje o tworzeniu i używaniu regionalnych certyfikatów zarządzanych samodzielnie znajdziesz w artykule Wdrażanie regionalnego certyfikatu zarządzanego samodzielnie. Mapy certyfikatów nie są obsługiwane.
- regionalne certyfikaty zarządzane przez Google. Mapy certyfikatów nie są obsługiwane. Menedżer certyfikatów obsługuje te typy regionalnych certyfikatów zarządzanych przez Google:
- regionalne certyfikaty zarządzane przez Google z autoryzacją DNS na poziomie projektu. Więcej informacji znajdziesz w artykule Wdrażanie regionalnego certyfikatu zarządzanego przez Google.
- Regionalne certyfikaty zarządzane przez Google (prywatne) z usługą urzędu certyfikacji. Więcej informacji znajdziesz w artykule Wdrażanie regionalnego certyfikatu zarządzanego przez Google za pomocą usługi CA.
10. Dodawanie sieci VPC do listy dozwolonych przez Looker
Wyświetlanie dozwolonych sieci VPC
W następnej sekcji za pomocą interfejsu Cloud Console wyświetlisz listę dozwolonych VPC w Looker.
W Cloud Console:
Looker → Instancja Lookera → Szczegóły
W przykładzie poniżej na liście dozwolonych sieci VPC nie ma żadnych wpisów:
Zaktualizuj listę dozwolonych VPC
Zaktualizuj instancję Lookera, aby obsługiwała dostęp z poziomu klienta, dodając looker-psc-demo jako dozwoloną sieć VPC.
W Cloud Console:
Looker → Instancja Lookera → Edytuj
Połączenia → Dozwolone sieci VPC
Upewnij się, że wybrano projekt, w którym zaimplementowano looker-psc-demo, a następnie VPC looker-psc-demo, a następnie Dalej.
Weryfikowanie dozwolonych sieci VPC
Wyświetlanie zaktualizowanej listy dozwolonych sieci VPC
W Cloud Console:
Looker → Instancja Lookera → Szczegóły
11. Tworzenie backendu PSC
Looker PSC jako producent usług generuje identyfikator URI przyłącza usługi, który jest używany przez konsumentów usług do wdrażania punktów końcowych i backendów w celu uzyskania dostępu do Lookera. W następnym kroku określisz identyfikator URI załącznika usługi PSC Looker, a następnie utworzysz backend grupy punktów końcowych sieci w usłudze Private Service Connect (NEG) w sieci VPC konsumenta.
Identyfikowanie załącznika usługi PSC Looker
W Cloud Console przejdź do URI załącznika usługi i skopiuj go:
Looker → Instancja Lookera → Szczegóły
Utwórz grupę punktów końcowych sieci PSC
W Cloud Shell wykonaj te czynności, pamiętając o zaktualizowaniu psc-target-service:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Przykład:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Sprawdzanie tworzenia grupy końca sieci PSC
W Cloud Shell wykonaj te czynności, upewniając się, że pscConnectionStatus jest akceptowany:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
Przykład:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
Tworzenie regionalnego systemu równoważenia obciążenia aplikacji
W kolejnych krokach użyjesz konsoli Cloud do utworzenia regionalnego zewnętrznego systemu równoważenia obciążenia aplikacji, powiązania wygenerowanych certyfikatów z konfiguracją front-endu.
W Cloud Console:
Usługi sieciowe → Równoważenie obciążenia → Utwórz system równoważenia obciążenia
Wybierz te opcje:
Tworzenie konfiguracji frontendu
Wybierz te opcje i dostosuj środowisko do swoich potrzeb wdrożenia:
- Region używany do wdrażania infrastruktury sieciowej
- Podsieć tylko-proxy jest wypełniana automatycznie na podstawie Twojego regionu.
- Wcześniej zdefiniowany adres IP statyczny jest dostępny na podstawie wybranego regionu
Po wybraniu opcji Certyfikat pojawi się opcja użycia istniejącego lub nowego certyfikatu:
Prześlij certyfikat i klucz prywatny, a następnie wybierz UTWÓRZ:
Aby zakończyć konfigurację frontendu, kliknij GOTOWE:
Tworzenie konfiguracji backendu
Wybierz te opcje:
Tworzenie reguł routingu
Wybierz te opcje (domyślne):
Przejrzyj i zakończ
Sprawdź konfigurację i kliknij UTWÓRZ:
System równoważenia obciążenia jest teraz włączony:
Otwieranie interfejsu Looker
Teraz, gdy system równoważenia obciążenia działa, możesz uzyskać dostęp do niestandardowej domeny Looker w przeglądarce. Pamiętaj, że w zależności od typu używanego certyfikatu (np. zaufanego lub nie zaufanego) może pojawić się ostrzeżenie.
Poniżej znajdziesz przykład (niezaufanego certyfikatu) dostępu do domeny niestandardowej Lookera looker.cosmopup.com, która uzyskuje dostęp do interfejsu Lookera:
12. Czyszczenie danych
Usuwanie komponentów laboratorium z jednego terminala Cloud Shell
gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-external-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
13. Gratulacje
Gratulacje! Konfiguracja i weryfikacja połączeń wychodzących z serwerem Looker za pomocą domeny klienta i regionalnego zewnętrznego systemu równoważenia obciążenia aplikacji przebiegły pomyślnie.
Utworzyliśmy infrastrukturę dla konsumentów, dowiedzieliśmy się, jak tworzyć PSC NEG i domenę niestandardową, a także poznaliśmy różne opcje certyfikatów. W Lookerze znajdziesz mnóstwo ciekawych funkcji.
Cosmopup uważa, że ćwiczenia z programowania są niesamowite.
Co dalej?
Zapoznaj się z tymi ćwiczeniami z programowania
- Używanie Private Service Connect do publikowania i korzystania z usług
- Łączenie z usługami lokalnymi za pomocą Hybrid Networking przy użyciu Private Service Connect i wewnętrznego systemu równoważenia obciążenia serwera proxy TCP
- Dostęp do wszystkich opublikowanych laboratoriów kodu Private Service Connect
Więcej informacji i filmy
Dokumenty referencyjne
- Korzystanie z certyfikatów SSL zarządzanych samodzielnie | Równoważenie obciążenia | Google Cloud
- Wdrażanie regionalnego certyfikatu zarządzanego przez Google
- Tworzenie backendu Private Service Connect | VPC | Google Cloud
- Tworzenie backendu Private Service Connect | VPC | Google Cloud
- Tworzenie instancji Lookera (podstawowej usługi Google Cloud) w ramach usługi Private Service Connect
- Jak opublikować usługę za pomocą Private Service Connect