1. Giriş
Bu codelab'de, Looker'a kuzeye doğru erişim elde etmek için L7 Bölgesel Uygulama Yük Dengeleyici ve Private Service Connect Arka Uç oluşturacaksınız. Looker'a kuzeye doğru erişim için tüketici VPC'sinin Looker PSC örneğine izin verilenler listesine eklenmesi gerekir.
Özel Hizmet Bağlantısı, Google Cloud ağ iletişiminin, tüketicilerin yönetilen hizmetlere VPC ağlarının içinden özel olarak erişmesine olanak tanıyan bir özelliğidir. Benzer şekilde, yönetilen hizmet üreticilerinin bu hizmetleri kendi ayrı VPC ağlarında barındırmasına ve tüketicilerine özel bir bağlantı sunmasına olanak tanır. Örneğin, Looker'a erişmek için Private Service Connect'i kullandığınızda Şekil 1'de belirtildiği gibi hizmet tüketicisi siz olursunuz ve Google hizmet üreticisi olur.
Şekil 1.
Ters PSC olarak da bilinen Güneye doğru erişim, Tüketici'nin, Looker'ın şirket içi, VPC'de, yönetilen hizmetlere ve internete erişmesine izin vermek için Üretici olarak Yayınlanan Hizmet oluşturmasına olanak tanır. Güneye doğru bağlantılar, Şekil 2'de belirtildiği gibi Looker PSC'nin dağıtıldığı yerden bağımsız olarak herhangi bir bölgede dağıtılabilir.
Şekil 2.
Neler öğreneceksiniz?
- Ağ gereksinimleri
- Kuzeye doğru erişim için Looker izin verilenler listesini güncelleme
- Tüketici VPC'sinde Private Service Connect arka ucu oluşturma
- Google sertifikaları ve kendinden imzalı sertifikalar
Gerekenler
- Sahibi izinlerine sahip Google Cloud projesi
- Kayıtlı Alan
- Mevcut Looker PSC Örneği
2. Ne oluşturacaksınız?
Bölgesel harici L7 uygulama yük dengeleyici ve Google veya kendi kendine imzalanan sertifika gerektiren PSC arka uç NEG'i dağıtmak için izin verilenler listesine eklenen bir tüketici ağı (looker-psc-demo) oluşturursunuz. Her iki yöntemde de Looker'da tanımlanan özel alanla eşleşen kayıtlı bir alan gerekir.
3. Ağ gereksinimleri
Ağ koşullarının dökümü aşağıda verilmiştir:
Bileşenler | Açıklama |
VPC (looker-psc-demo) | Özel mod VPC |
PSC NEG alt ağı | Ağ uç noktası grubu için IP adresi ayırmak amacıyla kullanılır. |
Yalnızca Proxy Alt Ağı | Yük dengeleyicinin proxy'lerinin her birine bir dahili IP adresi atanır. Bir proxy'den arka uç sanal makinesine veya uç noktasına gönderilen paketlerin kaynak IP adresi, yalnızca proxy alt ağından alınır. |
Arka Uç Hizmeti | Arka uç hizmeti, yük dengeleyiciniz ile arka uç kaynaklarınız arasında köprü görevi görür. Eğiticide arka uç hizmeti, PSC NEG ile ilişkilendirilmiştir. |
4. Codelab topolojisi
5. Kurulum ve Gereksinimler
Kendine ait tempoda ortam oluşturma
- Google Cloud Console'da oturum açın ve yeni bir proje oluşturun veya mevcut bir projeyi yeniden kullanın. Gmail veya Google Workspace hesabınız yoksa hesap oluşturmanız gerekir.
- Proje adı, bu projenin katılımcılarının görünen adıdır. Google API'leri tarafından kullanılmayan bir karakter dizesidir. Dilediğiniz zaman güncelleyebilirsiniz.
- Proje kimliği, tüm Google Cloud projelerinde benzersizdir ve değiştirilemez (ayarlandıktan sonra değiştirilemez). Cloud Console, benzersiz bir dize otomatik olarak oluşturur. Bu dizenin ne olduğu genellikle önemli değildir. Çoğu kod laboratuvarında proje kimliğinize (genellikle
PROJECT_IDolarak tanımlanır) referans vermeniz gerekir. Oluşturulan kimliği beğenmezseniz rastgele başka bir kimlik oluşturabilirsiniz. Alternatif olarak, kendi anahtarınızı deneyerek kullanılabilir olup olmadığını görebilirsiniz. Bu adımdan sonra değiştirilemez ve proje boyunca geçerli kalır. - Bazı API'lerin kullandığı üçüncü bir değer (Proje Numarası) olduğunu belirtmek isteriz. Bu üç değer hakkında daha fazla bilgiyi dokümanlar bölümünde bulabilirsiniz.
- Ardından, Cloud kaynaklarını/API'lerini kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir. Bu codelab'i çalıştırmak çok pahalı değildir. Bu eğitimden sonra faturalandırılmamak için kaynakları kapatmak istiyorsanız oluşturduğunuz kaynakları veya projeyi silebilirsiniz. Yeni Google Cloud kullanıcıları 300 ABD doları değerindeki ücretsiz deneme programına uygundur.
Cloud Shell'i başlatma
Google Cloud, dizüstü bilgisayarınızdan uzaktan çalıştırılabilir olsa da bu kod laboratuvarında bulutta çalışan bir komut satırı ortamı olan Google Cloud Shell'i kullanacaksınız.
Google Cloud Console'da, sağ üstteki araç çubuğunda Cloud Shell simgesini tıklayın:
Ortam sağlanıp bağlantı kurulabilmesi için birkaç saniye beklemeniz gerekir. İşlem tamamlandığında aşağıdakine benzer bir ekran görürsünüz:
Bu sanal makinede ihtiyaç duyacağınız tüm geliştirme araçları yüklüdür. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Bu sayede ağ performansını ve kimlik doğrulamayı büyük ölçüde iyileştirir. Bu codelab'deki tüm çalışmalarınızı tarayıcıda yapabilirsiniz. Hiçbir şey yüklemeniz gerekmez.
6. Başlamadan önce
API'leri etkinleştir
Cloud Shell'de proje kimliğinizin ayarlandığından emin olun:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Gerekli tüm hizmetleri etkinleştirin:
gcloud services enable compute.googleapis.com
7. Tüketici ağı
Aşağıdaki bölümde, Looker PSC VPC izin verilenler listesinde güncellenecek tüketici ağını oluşturacaksınız.
VPC Ağı
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Alt ağ oluşturma
Cloud Shell'de tüketici ağ uç noktası grubu alt ağını oluşturun:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
Cloud Shell'de, üretici bölgesel yalnızca proxy alt ağını oluşturun:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
Yük dengeleyicinin IP adresini ayırma
Cloud Shell'de, yük dengeleyici için harici bir IP adresi ayırın:
gcloud compute addresses create regional-alb-static-ip \
--region=$region \
--network-tier=STANDARD
Cloud Shell'de ayrılmış IP adresini görüntüleyin:
gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
Örnek çıkış:
user@cloudshell$ gcloud compute addresses describe regional-alb-static-ip --region=us-central1 | grep -i address:
address: 35.208.202.244
8. Özel alan oluşturma
Özel alan oluşturmak için aşağıdaki adımlar gereklidir:
Özel alan adı örneği
looker.cosmopup.com özel alanı, daha önce tanımlanan statik IP adreslerinin (regional-alb-static-ip) A kaydıyla ilişkili herkese açık bir DNS alt alan adı olarak mevcuttur. DNS aramasını doğrulayan bir terminalden alınan ekran görüntüsüne bakın.
Ardından, looker.cosmopup.com alt alanını kullanarak müşteri alanını oluşturun.
OAuth örneği
Aşağıda, Authorized origins için OAuth kimlik bilgileri ve looker.cosmopup.com alt alan adı için geri çağırma örneği verilmiştir.
9. Sertifikalar
Compute Engine veya Certificate Manager sertifikaları oluşturabilirsiniz. Sertifika Yöneticisi'ni kullanarak sertifika oluşturmak için aşağıdaki yöntemlerden birini kullanın:
- Bölgesel kendi kendine yönetilen sertifikalar. Bölgesel kendi kendine yönetilen sertifikalar oluşturma ve kullanma hakkında bilgi edinmek için Bölgesel kendi kendine yönetilen sertifika dağıtma başlıklı makaleyi inceleyin. Sertifika eşlemeleri desteklenmez.
- Bölgesel Google tarafından yönetilen sertifikalar. Sertifika eşlemeleri desteklenmez. Sertifika Yöneticisi, Google tarafından yönetilen aşağıdaki bölgesel sertifika türlerini destekler:
- Proje başına DNS yetkilendirmesi olan bölgesel Google tarafından yönetilen sertifikalar. Daha fazla bilgi için Bölgesel Google tarafından yönetilen sertifika dağıtma başlıklı makaleyi inceleyin.
- Certificate Authority Service ile bölgesel Google tarafından yönetilen (özel) sertifikalar. Daha fazla bilgi için CA Hizmeti ile bölgesel Google tarafından yönetilen sertifika dağıtma başlıklı makaleyi inceleyin.
10. Looker VPC izin verilenler listesine ekleme
İzin verilen VPC'leri görüntüleme
Aşağıdaki bölümde, Looker'a İzin Verilen VPC'ler listesini görüntülemek için Cloud Console kullanıcı arayüzünü kullanacaksınız.
Cloud Console'da şuraya gidin:
Looker → Looker Örneği → Ayrıntılar
Aşağıdaki örnekte, İzin verilen VPC'ler listesinde giriş yoktur:
İzin verilen VPC'leri güncelleme
Looker-psc-demo örneğini İzin verilen VPC olarak ekleyerek Looker örneğinizi kuzeye doğru erişimi destekleyecek şekilde güncelleyin.
Cloud Console'da şuraya gidin:
Looker → Looker Örneği → Düzenle
Bağlantılar → İzin verilen VPC'ler
looker-psc-demo'nun dağıtıldığı projeyi, ardından looker-psc-demo VPC'sini ve ardından Devam'ı seçin.
İzin verilen VPC'leri doğrulama
Güncellenen İzin verilen VPC'ler listesini görüntüleme
Cloud Console'da şuraya gidin:
Looker → Looker Örneği → Ayrıntılar
11. PSC arka ucu oluşturma
Hizmet Üretici olarak Looker PSC, Looker'a kuzeye doğru erişim elde etmek için uç noktaları ve arka uçları dağıtmak üzere Hizmet Alıcılar tarafından kullanılan bir Hizmet Eki URI'si oluşturur. Sonraki adımda, Looker PSC Hizmet Eki URI'sini tanımladıktan sonra Tüketici VPC'sinde Private Service Connect Ağ Uç Noktası Grubu (NEG) arka ucu oluşturursunuz.
Looker PSC hizmet ekini belirleme
Cloud Console'da Hizmet Eki URI'sine gidin ve URI'yi kopyalayın:
Looker → Looker Örneği → Ayrıntılar
PSC ağ uç noktası grubunu oluşturma
Cloud Shell'de, psc-target-service değerini güncellediğinizden emin olarak aşağıdakileri yapın:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Örnek:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
PSC ağ sonu grubu oluşturma işlemini doğrulama
Cloud Shell'de, pscConnectionStatus değerinin kabul edildiğinden emin olarak aşağıdakileri yapın:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
Örnek:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
Bölgesel uygulama yük dengeleyici oluşturma
Aşağıdaki adımlarda, oluşturulan sertifikalarınızı ön uç yapılandırmasıyla ilişkilendirirken bölgesel harici uygulama yük dengeleyiciyi oluşturmak için Cloud Console'u kullanacaksınız.
Cloud Console'da şuraya gidin:
Ağ Hizmetleri → Yük Dengeleme → Yük Dengeleyici Oluştur
Aşağıdaki seçenekleri belirleyin:
Ön uç yapılandırmasını oluşturma
Aşağıdaki seçenekleri belirleyin ve dağıtımınıza göre ortamı özelleştirin:
- Ağ altyapısının dağıtımında kullanılan bölge
- Yalnızca proxy alt ağı, bölgenize göre otomatik olarak doldurulur
- Daha önce tanımlanmış statik IP, bölge seçiminize göre kullanılabilir.
Sertifika'yı seçtiğinizde mevcut veya yeni bir sertifika kullanma seçeneği açılır:
Sertifikanızı ve özel anahtarınızı yükleyin, ardından OLUŞTUR'u seçin:
Ön uç yapılandırmasını tamamlamak için BİTTİ'yi seçin:
Arka uç yapılandırmasını oluşturma
Aşağıdaki seçenekleri belirleyin:
Yönlendirme kurallarını oluşturma
Aşağıdaki seçenekleri (varsayılan seçenekler) belirleyin:
İnceleyin ve sonlandırın
Yapılandırmayı doğrulayın ve OLUŞTUR'u seçin:
Yük dengeleyici etkinleştirildi:
Looker kullanıcı arayüzüne erişme
Yük dengeleyici artık çalışır durumda olduğundan özel Looker alanınıza bir web tarayıcısı üzerinden erişebilirsiniz. Kullandığınız sertifika türüne (ör. güvenilmeyen sertifika ve güvenilir sertifika) bağlı olarak bir uyarıyla karşılaşabileceğinizi unutmayın.
Aşağıda, Looker kullanıcı arayüzüne kuzeye doğru erişim sağlayan Looker özel alanına (looker.cosmopup.com) erişme örneği (güvenilir olmayan sertifika) verilmiştir:
12. Temizleme
Tek bir Cloud Shell terminalinden laboratuvar bileşenlerini silme
gcloud compute forwarding-rules delete regional-external-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-external-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-external-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
13. Tebrikler
Tebrikler, müşteri alanı ve bölgesel harici uygulama yük dengeleyici kullanarak Looker'a yönelik kuzeye bakan bağlantıyı başarıyla yapılandırıp doğruladınız.
Tüketici altyapısını oluşturdunuz, PSC NEG'yi ve özel alanı nasıl oluşturacağınızı öğrendiniz ve farklı sertifika seçeneklerini tanıdınız. Looker'ı kullanmaya başlamanızı sağlayacak birçok heyecan verici özellik var.
Cosmopup, codelab'lerin harika olduğunu düşünüyor.
Sırada ne var?
Bu codelab'lerden bazılarına göz atın...
- Hizmetleri yayınlamak ve kullanmak için Private Service Connect'i kullanma
- Private Service Connect ve dahili TCP Proxy yük dengeleyici kullanarak karma ağ üzerinden şirket içi hizmetlere bağlanma
- Yayınlanan tüm Private Service Connect kod laboratuvarlarına erişim
Daha fazla bilgi ve videolar
Referans dokümanları
- Kendi kendine yönetilen SSL sertifikalarını kullanma | Yük Dengeleme | Google Cloud
- Bölgesel Google tarafından yönetilen sertifika dağıtma
- Private Service Connect arka ucu oluşturma | VPC | Google Cloud
- Private Service Connect arka ucu oluşturma | VPC | Google Cloud
- Looker (Google Cloud Core) Private Service Connect örneği oluşturma
- Private Service Connect'i kullanarak hizmet yayınlama