Looker PSC Northbound Regional External L7 ALB

1. Wprowadzenie

W tym laboratorium kodu utworzysz regionalny system równoważenia obciążenia aplikacji L7 i backend usługi Private Service Connect, aby uzyskać dostęp do Lookera. Dostęp do Lookera w kierunku północnym wymaga, aby sieć VPC konsumenta została dodana do instancji PSC Lookera.

Private Service Connect to funkcja sieci Google Cloud, która umożliwia klientom prywatny dostęp do usług zarządzanych z wewnątrz sieci VPC. Podobnie pozwala producentom usług zarządzanych hostować te usługi we własnych osobnych sieciach VPC i oferować połączenia prywatne dla klientów. Jeśli na przykład używasz Private Service Connect, aby uzyskać dostęp do Lookera, to Ty jesteś konsumentem usługi, a Google jest producentem usługi, jak pokazano na rysunku 1.

Rysunek 1.

Dostęp południowy, nazywany również odwrotnym PSC, umożliwia konsumentowi utworzenie opublikowanej usługi jako producent, co umożliwia Lookerowi dostęp do punktów końcowych lokalnie w sieci VPC, do usług zarządzanych i internetu. Połączenia południowe można wdrażać w dowolnym regionie, niezależnie od tego, gdzie wdrożono PSC Lookera, jak przedstawiono na rys. 2.

Rysunek 2.

Czego się nauczysz

• Wymagania związane z siecią
• Zaktualizuj listę dozwolonych Lookera na potrzeby dostępu w dół
• Tworzenie backendu usługi Private Service Connect w sieci VPC konsumenta
• Certyfikaty Google a certyfikaty podpisane samodzielnie

Czego potrzebujesz

• Projekt Google Cloud z uprawnieniami właściciela
• Zarejestrowana domena
• istniejąca instancja PSC Lookera,

2. Co utworzysz

Ustanowisz listę dozwolonych sieci konsumenta o nazwie Looker-psc-demo, aby wdrożyć regionalny zewnętrzny system równoważenia obciążenia aplikacji L7 i backendową grupę punktów końcowych sieci PSC, która wymaga certyfikatu Google lub samodzielnie podpisanego certyfikatu. W każdej z tych metod wymagana jest zarejestrowana domena zgodna z domeną niestandardową zdefiniowaną w Lookerze.

3. Wymagania związane z siecią

Poniżej znajdziesz zestawienie wymagań dotyczących sieci:

4. Topologia ćwiczeń z programowania

5. Konfiguracja i wymagania

Konfiguracja środowiska w samodzielnym tempie

1. Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub użyj istniejącego. Jeśli nie masz jeszcze konta Gmail ani Google Workspace, musisz je utworzyć.

• Nazwa projektu jest wyświetlaną nazwą uczestników tego projektu. Jest to ciąg znaków, którego nie używają interfejsy API Google. Zawsze możesz ją zaktualizować.
• Identyfikator projektu jest unikalny we wszystkich projektach Google Cloud i nie można go zmienić (po jego ustawieniu nie można go zmienić). Konsola Cloud automatycznie generuje unikalny ciąg znaków. Zwykle nie ma znaczenia, jaki to ciąg. W większości laboratoriów z kodem trzeba podać identyfikator projektu (zwykle oznaczony jako PROJECT_ID). Jeśli nie podoba Ci się wygenerowany identyfikator, możesz wygenerować inny losowy. Możesz też spróbować użyć własnego adresu e-mail, aby sprawdzić, czy jest on dostępny. Nie można go zmienić po wykonaniu tego kroku. Pozostanie on do końca projektu.
• Jest jeszcze trzecia wartość, numer projektu, z którego korzystają niektóre interfejsy API. Więcej informacji o wszystkich 3 wartościach znajdziesz w dokumentacji.

2. Następnie musisz włączyć rozliczenia w konsoli Cloud, aby korzystać z zasobów i interfejsów API Cloud. Ukończenie tego ćwiczenia z programowania nic nie kosztuje. Aby wyłączyć zasoby w celu uniknięcia naliczania opłat po zakończeniu tego samouczka, możesz usunąć utworzone zasoby lub projekt. Nowi użytkownicy Google Cloud mogą skorzystać z bezpłatnego okresu próbnego, w którym mają do dyspozycji środki w wysokości 300 USD.

Uruchamianie Cloud Shell

Google Cloud można obsługiwać zdalnie z laptopa, ale w ramach tego ćwiczenia z programowania wykorzystasz Google Cloud Shell – środowisko wiersza poleceń działające w chmurze.

W konsoli Google Cloud kliknij ikonę Cloud Shell na górnym pasku narzędzi:

Uzyskanie dostępu do środowiska i połączenie się z nim powinno zająć tylko kilka chwil. Po zakończeniu powinno pojawić się coś takiego:

Ta maszyna wirtualna ma wszystkie potrzebne narzędzia dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud, znacząco zwiększając wydajność sieci i uwierzytelnianie. Wszystkie zadania w ramach tego ćwiczenia z programowania można wykonywać w przeglądarce. Nie musisz niczego instalować.

6. Zanim zaczniesz

Włącz interfejsy API

W Cloud Shell sprawdź, czy identyfikator projektu jest skonfigurowany:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region

Włącz wszystkie niezbędne usługi:

gcloud services enable compute.googleapis.com

7. Sieć konsumenta

W następnej sekcji utworzysz sieć dla konsumentów, która będzie aktualizowana na liście dozwolonych sieci VPC w narzędziu Looker PSC.

Sieć VPC

W Cloud Shell wykonaj te czynności:

gcloud compute networks create looker-psc-demo --subnet-mode custom

Utwórz podsieci

W Cloud Shell utwórz podsieć grupy punktów końcowych sieci konsumenta:

gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access

W Cloud Shell utwórz regionalną podrzędną sieć tylko-proxy dla producenta:

gcloud compute networks subnets create $region-proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=looker-psc-demo \
  --range=10.10.10.0/24

Rezerwowanie adresu IP systemu równoważenia obciążenia

W Cloud Shell zarezerwuj zewnętrzny adres IP dla systemu równoważenia obciążenia:

gcloud compute addresses create regional-alb-static-ip  \
   --region=$region \
   --network-tier=STANDARD

W Cloud Shell wyświetl zarezerwowany adres IP:

gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:

Przykładowe dane wyjściowe:

user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address: 
address: 35.208.202.244

8. Tworzenie domeny niestandardowej

Aby utworzyć domenę niestandardową, wykonaj te czynności:

• Tworzenie domeny niestandardowej
• Aktualizowanie danych uwierzytelniających OAuth

Przykład domeny niestandardowej

Domena niestandardowa Looker.cosmopup.com istnieje jako publiczna subdomena DNS powiązana z rekordem A statycznych adresów IP (regional-alb-static-ip) zdefiniowanych wcześniej. Zobacz zrzut ekranu zrobiony za pomocą terminala weryfikującego wyszukiwanie DNS.

Następnie utwórz domenę klienta w subdomenie Looker.cosmopup.com.

Przykład OAuth

Poniżej znajdziesz przykład danych uwierzytelniających OAuth dla autoryzowanych źródeł i wywołania zwrotnego dla subdomeny looker.cosmopup.com.

9. Certyfikaty

Możesz tworzyć certyfikaty Compute Engine lub Menedżera certyfikatów. Aby utworzyć certyfikaty za pomocą Menedżera certyfikatów, użyj dowolnej z tych metod:

• Regionalne certyfikaty zarządzane samodzielnie. Informacje o tworzeniu i używaniu regionalnych certyfikatów zarządzanych samodzielnie znajdziesz w artykule Wdrażanie regionalnego certyfikatu zarządzanego samodzielnie. Mapy certyfikatów nie są obsługiwane.
• Regionalne certyfikaty zarządzane przez Google. Mapy certyfikatów nie są obsługiwane. Menedżer certyfikatów obsługuje te typy regionalnych certyfikatów zarządzanych przez Google:
• regionalne certyfikaty zarządzane przez Google z autoryzacją DNS na poziomie projektu. Więcej informacji znajdziesz w artykule Wdrażanie regionalnego certyfikatu zarządzanego przez Google.
• Regionalne certyfikaty zarządzane przez Google (prywatne) z usługą urzędu certyfikacji. Więcej informacji znajdziesz w artykule Wdrażanie regionalnego certyfikatu zarządzanego przez Google przy użyciu usługi CA.

10. Dodawanie sieci VPC do listy dozwolonych w Lookerze

Wyświetlanie dozwolonych środowisk VPC

W tej sekcji użyjesz interfejsu Cloud Console, aby wyświetlić listę dozwolonych sieci VPC w Looker.

W konsoli Cloud przejdź do:

Looker → Instancja Lookera → Szczegóły

Przykład poniżej: na liście dozwolonych sieci VPC nie ma żadnych wpisów:

Zaktualizuj listę dozwolonych VPC

Zaktualizuj instancję Lookera, aby obsługiwała dostęp w kierunku północnym, dodając Looker-psc-demo jako dozwoloną sieć VPC.

W konsoli Cloud przejdź do:

Looker → Instancja Lookera → Edytuj

Połączenia → Dozwolone sieci VPC

Wybierz projekt, w którym wdrożono Looker-psc-demo, a następnie zaznaczono środowisko VPC Looker-psc-demo, a następnie kliknij Dalej.

Weryfikowanie dozwolonych środowisk VPC

Wyświetlanie zaktualizowanej listy dozwolonych sieci VPC

W konsoli Cloud przejdź do:

Looker → Instancja Lookera → Szczegóły

11. Utwórz backend PSC

Looker PSC jako producent usługi generuje identyfikator URI przyłącza usługi używany przez konsumentów usługi do wdrażania punktów końcowych i backendów w celu uzyskania dostępu do Lookera w kierunku północnym. W następnym kroku określisz identyfikator URI załącznika usługi PSC Looker, a następnie utworzysz backend grupy punktów końcowych sieci Private Service Connect (NEG) w sieci VPC konsumenta.

Identyfikowanie przyłącza usługi PSC Lookera

W Cloud Console przejdź do URI załącznika usługi i skopiuj go:

Looker → Instancja Lookera → Szczegóły

Utwórz grupę punktów końcowych sieci PSC

W Cloud Shell wykonaj te czynności, pamiętając o zaktualizowaniu psc-target-service:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

Przykład:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
 --psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

Sprawdzanie tworzenia grupy końca sieci PSC

W Cloud Shell wykonaj te czynności, ponieważ ustawienie pscConnectionStatus jest akceptowane:

gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:

Przykład:

user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus: 
  pscConnectionStatus: ACCEPTED

Tworzenie regionalnego systemu równoważenia obciążenia aplikacji

W kolejnych krokach użyjesz konsoli Cloud do utworzenia regionalnego zewnętrznego systemu równoważenia obciążenia aplikacji, a także do powiązania wygenerowanych certyfikatów z konfiguracją front-endu.

W konsoli Cloud przejdź do:

Usługi sieciowe → Równoważenie obciążenia → Utwórz system równoważenia obciążenia

Wybierz te opcje:

Tworzenie konfiguracji frontendu

Wybierz te opcje i dostosuj środowisko w zależności od wdrożenia:

• Region używany przy wdrażaniu infrastruktury sieciowej
• Podsieć tylko-proxy jest wypełniana automatycznie na podstawie Twojego regionu
• Wcześniej zdefiniowany statyczny adres IP jest dostępny w zależności od wybranego regionu

Po wybraniu opcji Certyfikat pojawi się opcja użycia istniejącego lub nowego certyfikatu:

Prześlij certyfikat i klucz prywatny, a następnie wybierz UTWÓRZ:

Aby zakończyć konfigurację frontendu, kliknij GOTOWE:

Tworzenie konfiguracji backendu

Wybierz te opcje:

Tworzenie reguł routingu

Wybierz te opcje (domyślne):

Przejrzyj i zakończ

Sprawdź konfigurację i kliknij UTWÓRZ:

System równoważenia obciążenia jest teraz włączony:

Dostęp do interfejsu Lookera

System równoważenia obciążenia już działa, więc możesz uzyskać dostęp do niestandardowej domeny Lookera w przeglądarce. Pamiętaj, że w zależności od typu używanego certyfikatu (np. zaufanego lub nie zaufanego) może pojawić się ostrzeżenie.

Poniżej znajdziesz przykład (niezaufanego certyfikatu) dostępu do domeny niestandardowej Lookera looker.cosmopup.com, która uzyskuje dostęp do interfejsu Lookera:

12. Czyszczenie danych

Usuwanie komponentów laboratorium z jednego terminala Cloud Shell

gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q

gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q

gcloud compute url-maps delete regional-external-alb --region=$region -q

gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q

gcloud compute addresses delete regional-alb-static-ip --region=$region -q

gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q

gcloud compute networks delete looker-psc-demo -q

13. Gratulacje

Gratulacje! Udało Ci się skonfigurować i zweryfikować połączenie w kierunku północnym z Lookerem przy użyciu domeny klienta i regionalnego zewnętrznego systemu równoważenia obciążenia aplikacji.

Utworzyliśmy infrastrukturę dla konsumentów, dowiedzieliśmy się, jak tworzyć PSC NEG i domenę niestandardową, a także poznaliśmy różne opcje certyfikatów. W Lookerze znajdziesz mnóstwo ciekawych rzeczy.

Cosmopup uważa, że ćwiczenia z programowania są niesamowite.

Co dalej?

Zapoznaj się z tymi ćwiczeniami z programowania...

• Używanie usługi Private Service Connect do publikowania i używania usług
• Łącz się z usługami lokalnymi przez sieć hybrydową za pomocą usługi Private Service Connect i wewnętrznego systemu równoważenia obciążenia serwera proxy TCP
• Dostęp do wszystkich opublikowanych modułów z programowania usługi Private Service Connect

Więcej informacji i filmy

• Omówienie Private Service Connect

Dokumentacja

• Korzystanie z certyfikatów SSL zarządzanych samodzielnie | Równoważenie obciążenia | Google Cloud
• Wdrażanie regionalnego certyfikatu zarządzanego przez Google
• Tworzenie backendu Private Service Connect | VPC | Google Cloud
• Tworzenie backendu Private Service Connect | VPC | Google Cloud
• Tworzenie instancji Lookera (podstawowej usługi Google Cloud) w ramach usługi Private Service Connect
• Jak opublikować usługę za pomocą Private Service Connect