1. Giriş
Bu codelab'de, Looker'a kuzeye doğru erişim elde etmek için bir L7 bölgesel uygulama yük dengeleyici ve Private Service Connect arka ucu oluşturacaksınız. Looker'a northbound erişimi için Looker PSC örneğine tüketici VPC'sinin izin verilenler listesine eklenmesi gerekir.
Private Service Connect, tüketicilerin yönetilen hizmetlere VPC ağlarının içinden özel olarak erişmesine olanak tanıyan bir Google Cloud ağ iletişimi özelliğidir. Aynı şekilde, yönetilen hizmet üreticilerinin bu hizmetleri kendi ayrı VPC ağlarında barındırmasına ve tüketicilerine özel bir bağlantı sunmasına olanak tanır. Örneğin, Looker'a erişmek için Private Service Connect'i kullandığınızda hizmet tüketicisi siz, hizmet üreticisi ise Google olur (Şekil 1'de vurgulandığı gibi).
1. şekil
Ters PSC olarak da bilinen Southbound erişimi, tüketicinin üretici olarak bir yayınlanmış hizmet oluşturmasına olanak tanır. Böylece Looker'ın şirket içi, VPC'deki, yönetilen hizmetlerdeki ve internetteki uç noktalara erişmesine izin verilir. Şekil 2'de vurgulandığı gibi, Looker PSC'nin dağıtıldığı yerden bağımsız olarak güneye giden bağlantılar herhangi bir bölgede dağıtılabilir.
2. şekil.
Neler öğreneceksiniz?
- Ağ gereksinimleri
- Kuzeye doğru erişim için Looker izin verilenler listesini güncelleme
- Tüketici VPC'sinde bir Private Service Connect arka ucu oluşturun
- Google ve kendinden imzalı sertifikalar
Gerekenler
- Sahip izinlerine sahip Google Cloud projesi
- Kayıtlı Alan
- Mevcut Looker PSC örneği
2. Ne oluşturacaksınız?
Bölgesel harici L7 uygulama yük dengeleyici ve Google veya kendinden imzalı sertifika gerektiren PSC arka uç NEG'yi dağıtmak için izin verilenler listesine eklenmiş bir tüketici ağı (looker-psc-demo) oluşturacaksınız. Her iki yöntemde de Looker'da tanımlanan özel alanla eşleşen kayıtlı bir alan gerekir.
3. Ağ gereksinimleri
Ağ gereksinimlerinin dökümü aşağıda verilmiştir:
Bileşenler | Açıklama |
VPC (looker-psc-demo) | Özel mod VPC |
PSC NEG alt ağı | Ağ uç noktası grubu için bir IP adresi ayırmak üzere kullanılır. |
Yalnızca Proxy Alt Ağı | Yük dengeleyicinin her bir proxy'sine dahili bir IP adresi atanır. Bir proxy'den arka uç VM'sine veya uç noktasına gönderilen paketlerin kaynak IP adresi, yalnızca proxy'ye ait alt ağdan alınır. |
Arka Uç Hizmeti | Arka uç hizmeti, yük dengeleyiciniz ile arka uç kaynaklarınız arasında köprü görevi görür. Eğitimde, arka uç hizmeti PSC NEG ile ilişkilendirilir. |
4. Codelab topolojisi
5. Kurulum ve Gereksinimler
Yönlendirmesiz ortam kurulumu
- Google Cloud Console'da oturum açın ve yeni bir proje oluşturun veya mevcut bir projeyi yeniden kullanın. Gmail veya Google Workspace hesabınız yoksa hesap oluşturmanız gerekir.
- Proje adı, bu projenin katılımcıları için görünen addır. Google API'leri tarafından kullanılmayan bir karakter dizesidir. Bu bilgiyi istediğiniz zaman güncelleyebilirsiniz.
- Proje kimliği, tüm Google Cloud projelerinde benzersizdir ve sabittir (ayarlandıktan sonra değiştirilemez). Cloud Console, benzersiz bir dizeyi otomatik olarak oluşturur. Genellikle bu dizenin ne olduğuyla ilgilenmezsiniz. Çoğu codelab'de proje kimliğinize (genellikle
PROJECT_IDolarak tanımlanır) başvurmanız gerekir. Oluşturulan kimliği beğenmezseniz başka bir rastgele kimlik oluşturabilirsiniz. Dilerseniz kendi adınızı deneyerek kullanılabilir olup olmadığını kontrol edebilirsiniz. Bu adım tamamlandıktan sonra değiştirilemez ve proje süresince geçerli kalır. - Bazı API'lerin kullandığı üçüncü bir değer olan Proje Numarası da vardır. Bu üç değer hakkında daha fazla bilgiyi belgelerde bulabilirsiniz.
- Ardından, Cloud kaynaklarını/API'lerini kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir. Bu codelab'i tamamlamak neredeyse hiç maliyetli değildir. Bu eğitimin ötesinde faturalandırılmayı önlemek için kaynakları kapatmak üzere oluşturduğunuz kaynakları veya projeyi silebilirsiniz. Yeni Google Cloud kullanıcıları 300 ABD doları değerinde ücretsiz deneme programından yararlanabilir.
Cloud Shell'i başlatma
Google Cloud, dizüstü bilgisayarınızdan uzaktan çalıştırılabilir ancak bu codelab'de Cloud'da çalışan bir komut satırı ortamı olan Google Cloud Shell'i kullanacaksınız.
Google Cloud Console'da sağ üstteki araç çubuğunda Cloud Shell simgesini tıklayın:
Ortamın temel hazırlığı ve bağlanması yalnızca birkaç dakikanızı alır. İşlem tamamlandığında aşağıdakine benzer bir ekranla karşılaşırsınız:
Bu sanal makine, ihtiyaç duyacağınız tüm geliştirme araçlarını içerir. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Bu sayede ağ performansı ve kimlik doğrulama önemli ölçüde güçlenir. Bu codelab'deki tüm çalışmalarınızı tarayıcıda yapabilirsiniz. Herhangi bir şey yüklemeniz gerekmez.
6. Başlamadan önce
API'leri etkinleştir
Cloud Shell'de proje kimliğinizin ayarlandığından emin olun:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Gerekli tüm hizmetleri etkinleştirin:
gcloud services enable compute.googleapis.com
7. Tüketici ağı
Aşağıdaki bölümde, Looker PSC VPC izin verilenler listesinde güncellenecek tüketici ağını oluşturacaksınız.
VPC Ağı
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Alt Ağ Oluşturma
Cloud Shell'de tüketici ağ uç noktası grubu alt ağını oluşturun:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
Cloud Shell'de, üretici bölgesel proxy'si için yalnızca proxy alt ağı oluşturun:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
Yük dengeleyicinin IP adresini ayırma
Cloud Shell'de yük dengeleyici için harici bir IP adresi ayırın:
gcloud compute addresses create regional-alb-static-ip \
--region=$region \
--network-tier=STANDARD
Cloud Shell'de ayrılmış IP adresini görüntüleyin:
gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
Örnek çıkış:
user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
address: 35.208.202.244
8. Özel alan adı oluşturma
Özel alan oluşturmak için aşağıdaki adımlar gereklidir:
Özel alan örneği
looker.cosmopup.com özel alanı, daha önce tanımlanan statik IP adreslerinin (regional-alb-static-ip) A kaydıyla ilişkili herkese açık bir DNS alt alanı olarak mevcuttur. DNS araması doğrulayan bir terminalden alınan ekran görüntüsüne bakın.
Ardından, looker.cosmopup.com alt alan adını kullanarak müşteri alanını oluşturun.
OAuth örneği
Aşağıda, yetkili kaynaklar ve alt alan adı looker.cosmopup.com için geri çağırma ile ilgili OAuth kimlik bilgilerinin bir örneği verilmiştir.
9. Sertifikalar
Compute Engine veya Certificate Manager sertifikaları oluşturabilirsiniz. Sertifika Yöneticisi'ni kullanarak sertifika oluşturmak için aşağıdaki yöntemlerden birini kullanın:
- Bölgesel olarak kendi kendine yönetilen sertifikalar. Bölgesel olarak kendi kendine yönetilen sertifikalar oluşturma ve kullanma hakkında bilgi edinmek için bölgesel olarak kendi kendine yönetilen sertifika dağıtma başlıklı makaleyi inceleyin. Sertifika haritaları desteklenmez.
- Bölgesel Google tarafından yönetilen sertifikalar. Sertifika haritaları desteklenmez. Sertifika Yöneticisi aşağıdaki bölgesel Google tarafından yönetilen sertifika türlerini destekler:
- Proje başına DNS yetkilendirmesiyle bölgesel Google tarafından yönetilen sertifikalar. Daha fazla bilgi için Bölgesel Google tarafından yönetilen sertifika dağıtma başlıklı makaleyi inceleyin.
- Certificate Authority Service ile bölgesel Google tarafından yönetilen (özel) sertifikalar. Daha fazla bilgi için CA Service ile bölgesel Google tarafından yönetilen sertifika dağıtma başlıklı makaleyi inceleyin.
10. Looker VPC izin verilenler listesine ekleme
İzin Verilen VPC'leri Görüntüleme
Aşağıdaki bölümde, Looker'ın izin verilen VPC'ler listesini görüntülemek için Cloud Console kullanıcı arayüzünü kullanacaksınız.
Cloud Console'da şuraya gidin:
Looker → Looker örneği → Ayrıntılar
Aşağıdaki örnekte, İzin Verilen VPC'ler listesinde giriş yok:
İzin Verilen VPC'leri Güncelleme
looker-psc-demo'yu İzin Verilen VPC olarak ekleyerek Looker örneğinizi kuzeye doğru erişimi destekleyecek şekilde güncelleyin.
Cloud Console'da şuraya gidin:
Looker → Looker örneği → Düzenle
Bağlantılar → İzin verilen VPC'ler
looker-psc-demo'nun dağıtıldığı projeyi, ardından VPC looker-psc-demo'yu ve Devam'ı seçtiğinizden emin olun.
İzin verilen VPC'leri doğrulama
İzin verilen VPC'ler listesini görüntüleme
Cloud Console'da şuraya gidin:
Looker → Looker örneği → Ayrıntılar
11. PSC arka ucu oluşturma
Hizmet üreticisi olarak Looker PSC, hizmet tüketicileri tarafından uç noktaları ve arka uçları dağıtmak için kullanılan bir hizmet eki URI'si oluşturur. Bu sayede Looker'a kuzeye doğru erişim elde edilir. Sonraki adımda, Looker PSC hizmet eki URI'sini tanımlayacak ve ardından tüketici VPC'sinde bir Private Service Connect ağ uç noktası grubu (NEG) arka ucu oluşturacaksınız.
Looker PSC hizmet ekini belirleme
Cloud Console'da, hizmet eki URI'sini bulun ve kopyalayın:
Looker → Looker örneği → Ayrıntılar
PSC ağ uç noktası grubunu oluşturma
Cloud Shell'de aşağıdaki işlemleri yapın ve psc-target-service'i güncellediğinizden emin olun:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Örnek:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
PSC ağında uç nokta grubu oluşturmayı doğrulama
Cloud Shell'de aşağıdaki işlemleri yapın ve pscConnectionStatus'un kabul edildiğinden emin olun:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
Örnek:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
Bölgesel uygulama yük dengeleyicisi oluşturma
Aşağıdaki adımlarda, oluşturduğunuz sertifikaları ön uç yapılandırmasıyla ilişkilendirirken bölgesel harici uygulama yük dengeleyicisini oluşturmak için Cloud Console'u kullanacaksınız.
Cloud Console'da şuraya gidin:
Ağ Hizmetleri → Yük Dengeleme → Yük Dengeleyici Oluştur
Aşağıdaki seçenekleri belirleyin:
Ön uç yapılandırmasını oluşturma
Aşağıdaki seçenekleri belirleyin ve ortamı dağıtımınıza göre özelleştirin:
- Ağ altyapısını dağıtmak için kullanılan bölge
- Yalnızca proxy alt ağı, bölgenize göre otomatik olarak doldurulur.
- Daha önce tanımlanmış statik IP, bölge seçiminize göre kullanılabilir.
Sertifika'yı seçtiğinizde mevcut veya yeni bir sertifika kullanma seçeneği açılır:
Sertifikanızı ve özel anahtarınızı yükleyin, ardından OLUŞTUR'u seçin:
Ön uç yapılandırmasını tamamlamak için BİTTİ'yi seçin:
Arka uç yapılandırmasını oluşturma
Aşağıdaki seçenekleri belirleyin:
Yönlendirme kurallarını oluşturma
Aşağıdaki seçenekleri belirleyin (varsayılan seçenekler):
İnceleme ve sonlandırma
Yapılandırmayı doğrulayın ve OLUŞTUR'u seçin:
Yük dengeleyici artık etkin:
Looker kullanıcı arayüzüne erişme
Yük dengeleyici çalışır duruma geldiğinde, web tarayıcısı üzerinden özel Looker alanınıza erişebilirsiniz. Kullandığınız sertifika türüne (ör. güvenilmeyen sertifika ve güvenilen sertifika) bağlı olarak uyarılarla karşılaşabileceğinizi unutmayın.
Aşağıda, Looker kullanıcı arayüzüne kuzeye doğru erişim sağlayan Looker özel alan adı looker.cosmopup.com'a erişimle ilgili bir örnek (güvenilmeyen sertifika) verilmiştir:
12. Temizleme
Tek bir Cloud Shell terminalinden laboratuvar bileşenlerini silme
gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-external-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
13. Tebrikler
Tebrikler, müşteri alanı ve bölgesel harici uygulama yük dengeleyici kullanarak Looker'a kuzeye doğru bağlantıyı başarıyla yapılandırdınız ve doğruladınız.
Tüketici altyapısını oluşturdunuz, PSC NEG ve özel alan adı oluşturmayı öğrendiniz ve farklı sertifika seçeneklerini tanıdınız. Looker'ı kullanmaya başlamanıza yardımcı olacak birçok heyecan verici özellik var.
Cosmopup, codelab'lerin harika olduğunu düşünüyor.
Yapabilecekleriniz
Şu codelab'lere göz atın:
- Hizmet yayınlamak ve kullanmak için Private Service Connect'i kullanma
- Private Service Connect ve dahili TCP Proxy yük dengeleyici kullanarak karma ağ üzerinden şirket içi hizmetlere bağlanma
- Yayınlanan tüm Private Service Connect codelab'lerine erişim
Daha fazla bilgi ve videolar
Referans belgeler
- Kendi kendine yönetilen SSL sertifikalarını kullanma | Yük dengeleme | Google Cloud
- Bölgesel Google tarafından yönetilen sertifika dağıtma
- Private Service Connect arka ucu oluşturma | VPC | Google Cloud
- Private Service Connect arka ucu oluşturma | VPC | Google Cloud
- Looker (Google Cloud Core) Private Service Connect örneği oluşturma
- Private Service Connect kullanarak hizmet yayınlama