1. Giới thiệu
Trong lớp học lập trình này, bạn sẽ thực hiện một kết nối xuôi chiều đến cơ sở dữ liệu postgres tại cơ sở bằng H-VPN bằng cách sử dụng trình cân bằng tải proxy tcp nội bộ và nhóm điểm cuối mạng kết hợp được gọi từ Looker PSC dưới dạng Người tiêu dùng dịch vụ.
Private Service Connect là một tính năng của mạng Google Cloud, cho phép người dùng truy cập riêng tư vào các dịch vụ được quản lý từ bên trong mạng VPC của họ. Tương tự, tính năng này cho phép nhà sản xuất dịch vụ được quản lý lưu trữ các dịch vụ này trong mạng VPC riêng của họ và cung cấp kết nối riêng tư cho người tiêu dùng. Ví dụ: khi sử dụng Private Service Connect để truy cập vào Looker, bạn là người sử dụng dịch vụ và Google là nhà cung cấp dịch vụ, như minh hoạ trong Hình 1.
Hình 1.
Quyền truy cập Southbound (còn gọi là PSC đảo ngược) cho phép Người tiêu dùng tạo một Dịch vụ đã xuất bản dưới dạng Nhà sản xuất để cho phép Looker truy cập vào các điểm cuối tại chỗ, trong một VPC (đám mây riêng ảo), vào các dịch vụ được quản lý và dịch vụ kết hợp. Bạn có thể triển khai các kết nối chiều nam ở bất kỳ khu vực nào, bất kể bạn triển khai PSC của Looker ở đâu, như minh hoạ trong Hình 2.
Hình 2.
Kiến thức bạn sẽ học được
- Yêu cầu về mạng
- Tạo dịch vụ của nhà cung cấp Private Service Connect
- Tạo điểm cuối Private Service Connect trong Looker
- Thiết lập kết nối đến cơ sở dữ liệu postgres tại chỗ từ Looker bằng cách sử dụng tính năng Kiểm tra kết nối
Bạn cần có
- Dự án trên Google Cloud có quyền của chủ sở hữu
- Phiên bản PSC Looker hiện có
2. Sản phẩm bạn sẽ tạo ra
Bạn sẽ thiết lập một mạng Nhà cung cấp, looker-psc-demo, để triển khai bộ cân bằng tải proxy tcp nội bộ và Hybrid NEG được xuất bản dưới dạng một dịch vụ thông qua Private Service Connect (PSC). Để minh hoạ cơ sở dữ liệu tại chỗ, bạn sẽ triển khai một VPC tại chỗ được kết nối với VPC looker-psc-demo bằng HA-VPN.
Bạn sẽ thực hiện các thao tác sau để xác thực quyền truy cập vào dịch vụ Producer:
- Tạo một điểm cuối PSC trong Looker được liên kết với Producer Service Attachment
- Sử dụng Bảng điều khiển Looker để thực hiện quy trình xác thực kết nối với cơ sở dữ liệu postgres tại cơ sở
3. Yêu cầu về mạng
Dưới đây là thông tin chi tiết về các yêu cầu đối với mạng Producer, người dùng trong lớp học lập trình này là thực thể Looker PSC.
Thành phần | Mô tả |
VPC (looker-psc-demo) | VPC ở chế độ tuỳ chỉnh |
VPC (on-prem-demo) | VPC ở chế độ tuỳ chỉnh |
Mạng con NAT PSC | Các gói từ mạng VPC của người dùng được dịch bằng NAT nguồn (SNAT) để địa chỉ IP nguồn ban đầu của các gói được chuyển đổi thành địa chỉ IP nguồn từ mạng con NAT trong mạng VPC của nhà sản xuất. |
Mạng con quy tắc chuyển tiếp PSC | Được dùng để phân bổ địa chỉ IP cho Regional Internal TCP Proxy Load Balancer (Trình cân bằng tải proxy TCP nội bộ theo khu vực) |
Mạng con PSC NEG | Được dùng để phân bổ địa chỉ IP cho Nhóm thiết bị đầu cuối của mạng |
Chỉ mạng con proxy | Mỗi proxy của bộ cân bằng tải được chỉ định một địa chỉ IP nội bộ. Các gói được gửi từ một proxy đến một VM hoặc điểm cuối phụ trợ có địa chỉ IP nguồn từ mạng con chỉ dành cho proxy. |
NEG kết hợp | Các dịch vụ tại chỗ và các dịch vụ đám mây khác được coi như mọi máy chủ phụ trợ Cloud Load Balancing khác. Điểm khác biệt chính là bạn sử dụng một NEG kết nối kết hợp để định cấu hình các điểm cuối của những phần phụ trợ này. Các điểm cuối phải là tổ hợp IP:cổng hợp lệ mà trình cân bằng tải có thể truy cập bằng cách sử dụng các sản phẩm kết nối kết hợp như Cloud VPN hoặc Cloud Interconnect. |
Dịch vụ phụ trợ | Dịch vụ phụ trợ đóng vai trò là cầu nối giữa trình cân bằng tải và các tài nguyên phụ trợ. Trong hướng dẫn này, dịch vụ phụ trợ được liên kết với Hybrid NEG. |
Cloud Router |
|
HA-VPN | VPN có tính sẵn sàng cao giữa các mạng VPC của Google Cloud. Trong cấu trúc liên kết này, bạn có thể kết nối hai mạng VPC của Google Cloud bằng cách sử dụng một cổng HA VPN trong mỗi mạng. Các mạng VPC có thể nằm trong cùng một khu vực hoặc nhiều khu vực. |
Cloud NAT | Được VPC on-prem-demo dùng để truyền dữ liệu ra bên ngoài Internet |
4. Cấu trúc liên kết lớp học lập trình
5. Thiết lập và yêu cầu
Thiết lập môi trường theo tốc độ của riêng bạn
- Đăng nhập vào Google Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. Nếu chưa có tài khoản Gmail hoặc Google Workspace, bạn phải tạo một tài khoản.
- Tên dự án là tên hiển thị của những người tham gia dự án này. Đây là một chuỗi ký tự mà các API của Google không sử dụng. Bạn luôn có thể cập nhật thông tin này.
- Mã dự án là mã duy nhất trên tất cả các dự án trên Google Cloud và không thể thay đổi (bạn không thể thay đổi mã này sau khi đã đặt). Cloud Console sẽ tự động tạo một chuỗi duy nhất; thường thì bạn không cần quan tâm đến chuỗi này. Trong hầu hết các lớp học lập trình, bạn sẽ cần tham chiếu đến Mã dự án (thường được xác định là
PROJECT_ID). Nếu không thích mã nhận dạng được tạo, bạn có thể tạo một mã nhận dạng ngẫu nhiên khác. Hoặc bạn có thể thử tên người dùng của riêng mình để xem tên đó có được chấp nhận hay không. Bạn không thể thay đổi tên này sau bước này và tên này sẽ tồn tại trong suốt thời gian của dự án. - Để bạn nắm được thông tin, có một giá trị thứ ba là Số dự án mà một số API sử dụng. Tìm hiểu thêm về cả 3 giá trị này trong tài liệu.
- Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên/API trên Cloud. Việc thực hiện lớp học lập trình này sẽ không tốn nhiều chi phí, nếu có. Để tắt các tài nguyên nhằm tránh bị tính phí ngoài phạm vi hướng dẫn này, bạn có thể xoá các tài nguyên đã tạo hoặc xoá dự án. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí trị giá 300 USD.
Khởi động Cloud Shell
Mặc dù có thể vận hành Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trên Cloud.
Trên Bảng điều khiển Google Cloud, hãy nhấp vào biểu tượng Cloud Shell trên thanh công cụ ở trên cùng bên phải:
Quá trình này chỉ mất vài phút để cung cấp và kết nối với môi trường. Khi quá trình này kết thúc, bạn sẽ thấy như sau:
Máy ảo này được trang bị tất cả các công cụ phát triển mà bạn cần. Nó cung cấp một thư mục chính có dung lượng 5 GB và chạy trên Google Cloud, giúp tăng cường đáng kể hiệu suất mạng và hoạt động xác thực. Bạn có thể thực hiện mọi thao tác trong lớp học lập trình này trong trình duyệt. Bạn không cần cài đặt bất cứ thứ gì.
6. Trước khi bắt đầu
Bật API
Trong Cloud Shell, hãy đảm bảo rằng bạn đã thiết lập mã dự án:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
zone=[YOUR-ZONE]
echo $project
echo $region
Bật tất cả các dịch vụ cần thiết:
gcloud services enable compute.googleapis.com
7. Tạo mạng VPC của nhà sản xuất
Mạng VPC
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Tạo mạng con
Mạng con PSC sẽ được liên kết với PSC Service Attachment (Tệp đính kèm dịch vụ PSC) cho mục đích Dịch địa chỉ mạng.
Trong Cloud Shell, hãy tạo Mạng con NAT PSC:
gcloud compute networks subnets create producer-psc-nat-subnet --network looker-psc-demo --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT
Trong Cloud Shell, hãy tạo mạng con quy tắc chuyển tiếp của nhà sản xuất:
gcloud compute networks subnets create producer-psc-fr-subnet --network looker-psc-demo --range 172.16.20.0/28 --region $region --enable-private-ip-google-access
Trong Cloud Shell, hãy tạo mạng con chỉ dành cho proxy theo khu vực của nhà sản xuất:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
Dự trữ địa chỉ IP của trình cân bằng tải
Trong Cloud Shell, hãy đặt trước một địa chỉ IP nội bộ cho trình cân bằng tải:
gcloud compute addresses create hybrid-neg-lb-ip \
--region=$region \
--subnet=producer-psc-fr-subnet
Trong Cloud Shell, hãy xem địa chỉ IP dành riêng.
gcloud compute addresses describe hybrid-neg-lb-ip \
--region=$region | grep -i address:
Ví dụ về đầu ra:
gcloud compute addresses describe hybrid-neg-lb-ip --region=$region | grep -i address:
address: 172.16.20.2
Thiết lập NEG kết hợp
Tạo một NEG kết hợp và đặt –network-endpoint-type thành NON_GCP_PRIVATE_IP_PORT
Trong Cloud Shell, hãy tạo một Hybrid NEG dùng để truy cập vào cơ sở dữ liệu tại chỗ:
gcloud compute network-endpoint-groups create on-prem-hybrid-neg \
--network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
--network=looker-psc-demo \
--zone=$zone
Trong Cloud Shell, hãy cập nhật NEG kết hợp bằng IP:Cổng của cơ sở dữ liệu tại chỗ, 192.168.10.4 và Cổng 5432, được tạo ở bước sau trong hướng dẫn:
gcloud compute network-endpoint-groups update on-prem-hybrid-neg \
--add-endpoint=ip=192.168.10.4,port=5432 \
--zone=$zone
Tạo quy trình kiểm tra tình trạng sức khoẻ theo khu vực
Trong Cloud Shell, hãy tạo một quy trình kiểm tra tình trạng để kiểm tra cổng cơ sở dữ liệu tại chỗ, 5432:
gcloud compute health-checks create tcp on-prem-5432-healthcheck \
--region=$region \
--port=5432
Tạo chính sách tường lửa mạng và quy tắc tường lửa
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute network-firewall-policies create looker-psc-demo-policy --global
gcloud compute network-firewall-policies associations create --firewall-policy looker-psc-demo-policy --network looker-psc-demo --name looker-psc-demo --global-firewall-policy
Quy tắc tường lửa sau đây cho phép lưu lượng truy cập từ dải mạng con NAT PSC đến tất cả các phiên bản trong mạng.
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy looker-psc-demo-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp
8. Tạo dịch vụ nhà sản xuất
Tạo các thành phần của trình cân bằng tải
Trong Cloud Shell, hãy tạo một dịch vụ phụ trợ::
gcloud compute backend-services create producer-backend-svc --region=$region --load-balancing-scheme=INTERNAL_MANAGED --protocol=TCP --region=$region --health-checks=on-prem-5432-healthcheck --health-checks-region=$region
Trong Cloud Shell, hãy thêm phần phụ trợ Hybrid NEG vào dịch vụ phụ trợ:
gcloud compute backend-services add-backend producer-backend-svc --network-endpoint-group=on-prem-hybrid-neg --network-endpoint-group-zone=$zone --balancing-mode=CONNECTION --max-connections=100 --region=$region
Trong Cloud Shell, hãy tạo một proxy TCP mục tiêu để định tuyến các yêu cầu đến dịch vụ phụ trợ của bạn:
gcloud compute target-tcp-proxies create producer-lb-tcp-proxy \
--backend-service=producer-backend-svc \
--region=$region
Trong cú pháp sau, hãy tạo một quy tắc chuyển tiếp (trình cân bằng tải proxy tcp nội bộ).
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute forwarding-rules create producer-hybrid-neg-fr \
--load-balancing-scheme=INTERNAL_MANAGED \
--network-tier=PREMIUM \
--network=looker-psc-demo \
--subnet=producer-psc-fr-subnet \
--address=hybrid-neg-lb-ip \
--target-tcp-proxy=producer-lb-tcp-proxy \
--target-tcp-proxy-region=$region \
--region=$region \
--ports=5432
Tạo tệp đính kèm dịch vụ
Trong Cloud Shell, hãy tạo Service Attachment, onpremdatabase1-svc-attachment:
gcloud compute service-attachments create onpremdatabase1-svc-attachment --region=$region --producer-forwarding-rule=producer-hybrid-neg-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet
Tiếp theo, hãy lấy và ghi lại Service Attachment có trong URI selfLink bắt đầu bằng projects để định cấu hình điểm cuối PSC trong Looker.
selfLink: projects/<your-project-id>/regions/<your-region>/serviceAttachments/onpremdatabase1-svc-attachment
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute service-attachments describe onpremdatabase1-svc-attachment --region=$region
Ví dụ về kết quả đầu ra dự kiến:
connectionPreference: ACCEPT_AUTOMATIC
creationTimestamp: '2024-09-01T16:07:51.600-07:00'
description: ''
enableProxyProtocol: false
fingerprint: cFt9rERR1iE=
id: '2549689544315850024'
kind: compute#serviceAttachment
name: onpremdatabase1-svc-attachment
natSubnets:
- https://www.googleapis.com/compute/v1/projects/$project/regions/$region/subnetworks/producer-psc-nat-subnet
pscServiceAttachmentId:
high: '19348441121424360'
low: '2549689544315850024'
reconcileConnections: false
region: https://www.googleapis.com/compute/v1/projects/$project/regions/$region
selfLink: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/serviceAttachments/onpremdatabase1-svc-attachment
targetService: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/forwardingRules/producer-hybrid-neg-fr
Trong Cloud Console, hãy chuyển đến:
Dịch vụ mạng → Private Service Connect → Dịch vụ đã phát hành
9. Thiết lập kết nối điểm cuối PSC trong Looker
Trong phần sau, bạn sẽ liên kết Producer Service Attachment với Looker Core PSC bằng cách sử dụng cờ –psc-service-attachment trong Cloud Shell cho một miền duy nhất.
Trong Cloud Shell, hãy tạo mối liên kết psc bằng cách cập nhật các tham số sau cho phù hợp với môi trường của bạn:
- INSTANCE_NAME: Tên của thực thể Looker (Google Cloud core).
- DOMAIN_1: onprem.database1.com
- SERVICE_ATTACHMENT_1: URI được ghi lại khi tạo Service Attachment, onpremdatabase1-svc-attachment
- KHU VỰC: Vùng lưu trữ thực thể Looker (Google Cloud core) của bạn.
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--region=REGION
Ví dụ:
gcloud looker instances update looker-psc-instance --psc-service-attachment domain=onprem.database1.com,attachment=projects/$project/regions/$region/serviceAttachments/onpremdatabase1-svc-attachment --region=$region
Trong Cloud Shell, hãy xác thực connectionStatus của serviceAttachments là "ACCEPTED", cập nhật bằng tên thực thể Looker PSC của bạn:
gcloud looker instances describe [INSTANCE_NAME] --region=$region --format=json
Ví dụ:
gcloud looker instances describe looker-psc-instance --region=$region --format=json
Ví dụ:
{
"adminSettings": {},
"createTime": "2024-08-23T00:00:45.339063195Z",
"customDomain": {
"domain": "looker.cosmopup.com",
"state": "AVAILABLE"
},
"encryptionConfig": {},
"lookerVersion": "24.14.18",
"name": "projects/$project/locations/$region/instances/looker-psc-instance",
"platformEdition": "LOOKER_CORE_ENTERPRISE_ANNUAL",
"pscConfig": {
"allowedVpcs": [
"projects/$project/global/networks/looker-psc-demo",
"projects/$project/global/networks/looker-shared-vpc"
],
"lookerServiceAttachmentUri": "projects/t7ec792caf2a609d1-tp/regions/$region/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183",
"serviceAttachments": [
{
"connectionStatus": "ACCEPTED",
"localFqdn": "onprem.database1.com",
"targetServiceAttachmentUri": "projects/$project/regions/$region/serviceAttachments/onpremdatabase1-svc-attachment"
}
]
},
"pscEnabled": true,
"state": "ACTIVE",
"updateTime": "2024-09-01T23:15:07.426372901Z"
}
Xác thực điểm cuối PSC trong Bảng điều khiển Cloud
Bạn có thể xác thực Kết nối PSC trong Bảng điều khiển Cloud
Trong Cloud Console, hãy chuyển đến:
Looker → Thực thể Looker → Chi tiết
Tạo mạng VPC tại chỗ
Mạng VPC
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute networks create on-prem-demo --project=$project --subnet-mode=custom
Tạo mạng con cơ sở dữ liệu Postgresql
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute networks subnets create database-subnet --project=$project --range=192.168.10.0/28 --network=on-prem-demo --region=$region
Trong Cloud Shell, hãy đặt trước một địa chỉ IPv4 nội bộ, được dùng cho onprem.database1.com, 192.168.10.4:
gcloud compute addresses create on-prem-database1-ip --region=$region --subnet=database-subnet --addresses 192.168.10.4
Tạo Cloud Router cho VPC on-prem-demo
Cloud NAT được dùng trong hướng dẫn cài đặt gói phần mềm vì thực thể máy ảo không có địa chỉ IP ngoài.
Trong Cloud Shell, hãy tạo Cloud Router dùng với Cloud NAT và HA-VPN:
gcloud compute routers create on-prem-cr \
--region=$region \
--network=on-prem-demo \
--asn=65002
Trong Cloud Shell, hãy tạo cổng NAT:
gcloud compute routers nats create on-prem-nat --router=on-prem-cr --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region $region
Tạo phiên bản kiểm thử cơ sở dữ liệu
Tạo một thực thể postgres-database sẽ được dùng để kiểm thử và xác thực khả năng kết nối với Looker.
Trong Cloud Shell, hãy tạo thực thể:
gcloud compute instances create postgres-database \
--project=$project \
--zone=$zone \
--machine-type=e2-medium \
--subnet=database-subnet \
--no-address \
--private-network-ip 192.168.10.4 \
--image-family debian-12 \
--image-project debian-cloud \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt -y install postgresql postgresql-client postgresql-contrib -y"
Tạo chính sách tường lửa mạng và quy tắc tường lửa
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute network-firewall-policies create on-prem-demo-policy --global
gcloud compute network-firewall-policies associations create --firewall-policy on-prem-demo-policy --network on-prem-demo --name on-prem-demo --global-firewall-policy
Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa có:
- Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn có thể truy cập bằng IAP.
- Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy on-prem-demo-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
Quy tắc tường lửa sau đây cho phép lưu lượng truy cập từ dải mạng con chỉ có proxy đến tất cả các phiên bản trong mạng.
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy on-prem-demo-policy --description "allow traffic from proxy only subnet" --direction INGRESS --src-ip-ranges 10.10.10.0/24 --global-firewall-policy --layer4-configs=tcp
10. Kết nối kết hợp
Trong phần sau, bạn sẽ tạo một Cloud Router cho phép bạn trao đổi các tuyến một cách linh hoạt giữa Đám mây riêng tư ảo (VPC) và mạng ngang hàng bằng cách sử dụng Border Gateway Protocol (BGP).
Cloud Router có thể thiết lập một phiên BGP qua đường hầm Cloud VPN để kết nối các mạng của bạn. Thiết bị này tự động tìm hiểu các dải địa chỉ IP mạng con mới và thông báo cho mạng ngang hàng của bạn.
Trong các bước sau, bạn sẽ triển khai HA VPN giữa VPC looker-psc-demo và VPC on-prem-demo để minh hoạ khả năng kết nối NEG kết hợp với onprem.database1.com.
Tạo HA VPN GW cho looker-psc-demo
Khi mỗi cổng được tạo, hai địa chỉ IPv4 bên ngoài sẽ được phân bổ tự động, mỗi địa chỉ cho một giao diện cổng.
Trong Cloud Shell, hãy tạo HA VPN GW:
gcloud compute vpn-gateways create looker-psc-demo-vpn-gw \
--network=looker-psc-demo \
--region=$region
Tạo HA VPN GW cho bản minh hoạ tại chỗ
Khi mỗi cổng được tạo, hai địa chỉ IPv4 bên ngoài sẽ được phân bổ tự động, mỗi địa chỉ cho một giao diện cổng.
Trong Cloud Shell, hãy tạo HA VPN GW:
gcloud compute vpn-gateways create on-prem-vpn-gw \
--network=on-prem-demo\
--region=$region
Xác thực việc tạo HA VPN GW
Trong bảng điều khiển, hãy chuyển đến mục KẾT NỐI KẾT HỢP → VPN → CỔNG VPN TRÊN ĐÁM MÂY.
Tạo Cloud Router cho looker-psc-demo
Trong Cloud Shell, hãy tạo Cloud Router:
gcloud compute routers create looker-psc-demo-cr \
--region=$region \
--network=looker-psc-demo\
--asn=65001
Tạo đường hầm VPN cho looker-psc-demo
Bạn sẽ tạo 2 đường hầm VPN trên mỗi cổng HA VPN.
Tạo đường hầm VPN0
Trong Cloud Shell, hãy tạo tunnel0:
gcloud compute vpn-tunnels create looker-psc-demo-tunnel0 \
--peer-gcp-gateway on-prem-vpn-gw \
--region $region \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router looker-psc-demo-cr \
--vpn-gateway looker-psc-demo-vpn-gw \
--interface 0
Tạo đường hầm VPN1
Trong Cloud Shell, hãy tạo tunnel1:
gcloud compute vpn-tunnels create looker-psc-demo-tunnel1 \
--peer-gcp-gateway on-prem-vpn-gw \
--region $region \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router looker-psc-demo-cr \
--vpn-gateway looker-psc-demo-vpn-gw \
--interface 1
Tạo đường hầm VPN cho bản minh hoạ tại chỗ
Bạn sẽ tạo 2 đường hầm VPN trên mỗi cổng HA VPN.
Tạo đường hầm VPN0
Trong Cloud Shell, hãy tạo tunnel0:
gcloud compute vpn-tunnels create on-prem-tunnel0 \
--peer-gcp-gateway looker-psc-demo-vpn-gw \
--region $region \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router on-prem-cr \
--vpn-gateway on-prem-vpn-gw \
--interface 0
Tạo đường hầm VPN1
Trong Cloud Shell, hãy tạo tunnel1:
gcloud compute vpn-tunnels create on-prem-tunnel1 \
--peer-gcp-gateway looker-psc-demo-vpn-gw \
--region $region \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router on-prem-cr \
--vpn-gateway on-prem-vpn-gw \
--interface 1
Xác thực việc tạo đường hầm VPN
Sử dụng bảng điều khiển, chuyển đến mục KẾT NỐI KẾT HỢP → VPN → ĐƯỜNG HẦM CLOUD VPN.
11. Thiết lập các thiết bị lân cận BGP
Tạo giao diện BGP và thiết lập kết nối ngang hàng cho looker-psc-demo
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface looker-psc-demo-cr \
--interface-name if-tunnel0-to-onprem \
--ip-address 169.254.1.1 \
--mask-length 30 \
--vpn-tunnel looker-psc-demo-tunnel0 \
--region $region
Trong Cloud Shell, hãy tạo BGP ngang hàng:
gcloud compute routers add-bgp-peer looker-psc-demo-cr \
--peer-name bgp-on-premises-tunnel0 \
--interface if-tunnel1-to-onprem \
--peer-ip-address 169.254.1.2 \
--peer-asn 65002 \
--region $region
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface looker-psc-demo-cr \
--interface-name if-tunnel1-to-onprem \
--ip-address 169.254.2.1 \
--mask-length 30 \
--vpn-tunnel looker-psc-demo-tunnel1 \
--region $region
Trong Cloud Shell, hãy tạo BGP ngang hàng:
gcloud compute routers add-bgp-peer looker-psc-demo-cr \
--peer-name bgp-on-premises-tunnel1 \
--interface if-tunnel2-to-onprem \
--peer-ip-address 169.254.2.2 \
--peer-asn 65002 \
--region $region
Tạo giao diện BGP và thiết lập kết nối ngang hàng cho bản minh hoạ tại chỗ
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface on-prem-cr \
--interface-name if-tunnel0-to-looker-psc-demo \
--ip-address 169.254.1.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel0 \
--region $region
Trong Cloud Shell, hãy tạo BGP ngang hàng:
gcloud compute routers add-bgp-peer on-prem-cr \
--peer-name bgp-looker-psc-demo-tunnel0 \
--interface if-tunnel1-to-looker-psc-demo \
--peer-ip-address 169.254.1.1 \
--peer-asn 65001 \
--region $region
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface on-prem-cr \
--interface-name if-tunnel1-to-looker-psc-demo \
--ip-address 169.254.2.2 \
--mask-length 30 \
--vpn-tunnel on-prem-tunnel1 \
--region $region
Trong Cloud Shell, hãy tạo BGP ngang hàng:
gcloud compute routers add-bgp-peer on-prem-cr \
--peer-name bgp-looker-psc-demo-tunnel1\
--interface if-tunnel2-to-looker-psc-demo \
--peer-ip-address 169.254.2.1 \
--peer-asn 65001 \
--region $region
Chuyển đến Hybrid CONNECTIVITY → VPN (Kết nối kết hợp → VPN) để xem thông tin chi tiết về đường hầm VPN.
Xác thực các tuyến đường đã học looker-psc-demo qua HA VPN
Giờ đây, khi các đường hầm HA VPN và phiên BGP đã được thiết lập, hành vi mặc định của Cloud Router là quảng cáo các tuyến mạng con. Xem các tuyến đường đã học của looker-psc-demo.
Sử dụng bảng điều khiển, chuyển đến VPC network → VPC networks → looker-psc-demo → ROUTES → REGION → VIEW
Observe looker-psc-demo đã tìm hiểu về database-subnet 192.168.10.0/28 từ VPC on-prem-demo.
Xác thực rằng VPC on-prem-demo đã tìm hiểu các tuyến qua HA VPN
Vì hành vi mặc định của Cloud Router là quảng cáo tất cả các mạng con, nên chỉ mạng con proxy được quảng cáo qua BGP. Hybrid NEG sẽ chỉ sử dụng mạng con proxy làm địa chỉ nguồn khi giao tiếp với máy chủ onprem.database1.com.
Observe on-prem-demo đã tìm hiểu proxy-only-subnet 10.10.10.0/24 từ looker-psc-demo.
Sử dụng bảng điều khiển, chuyển đến VPC network → VPC networks → on-prem-demo → ROUTES → REGION → VIEW
12. Tạo cơ sở dữ liệu postgres của Looker
Trong phần sau, bạn sẽ thực hiện SSH vào VM postgres-database bằng Cloud Shell.
Trong Cloud Shell, hãy thực hiện thao tác ssh đến phiên bản postgres-database**:**
gcloud compute ssh --zone "$zone" "postgres-database" --project "$project"
Trong hệ điều hành, hãy xác định và ghi lại địa chỉ IP (ens4) của thực thể postgres-database:
ip a
Ví dụ:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc mq state UP group default qlen 1000
link/ether 42:01:c0:a8:0a:04 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 192.168.10.4/32 metric 100 scope global dynamic ens4
valid_lft 66779sec preferred_lft 66779sec
inet6 fe80::4001:c0ff:fea8:a04/64 scope link
valid_lft forever preferred_lft forever
Trong hệ điều hành, hãy đăng nhập vào postgresql:
sudo -u postgres psql postgres
Trong hệ điều hành, hãy nhập mật khẩu theo lời nhắc:
\password postgres
Trong hệ điều hành, hãy đặt mật khẩu thành postgres (nhập cùng một mật khẩu hai lần):
postgres
Ví dụ:
user@postgres-database:~$ sudo -u postgres psql postgres
\password postgres
psql (13.11 (Debian 13.11-0+deb11u1))
Type "help" for help.
postgres=# \password postgres
Enter new password for user "postgres":
Enter it again:
Trong hệ điều hành, hãy thoát postgres:
\q
Ví dụ:
postgres=# \q
user@postgres-database:~$
Trong phần sau, bạn sẽ chèn IP của thực thể postgres-database (192.168.10.4) và mạng con chỉ dành cho proxy (10.10.10.0/24) vào tệp pg_hba.conf trong mục IPv4 local connections (Kết nối cục bộ IPv4).
sudo nano /etc/postgresql/15/main/pg_hba.conf
Ảnh chụp màn hình bên dưới là bản cập nhật đã hoàn tất: 
Trong phần sau, hãy bỏ chú thích postgresql.conf để nghe tất cả địa chỉ IP "*" theo ảnh chụp màn hình bên dưới:
sudo nano /etc/postgresql/15/main/postgresql.conf
Trước:
Sau:
Trong hệ điều hành, hãy khởi động lại dịch vụ postgresql:
sudo service postgresql restart
Trong hệ điều hành, hãy xác thực trạng thái postgresql là đang hoạt động:
sudo service postgresql status
Ví dụ:
Trong hệ điều hành, hãy xác thực trạng thái postgresql là đang hoạt động:
user@postgres-database:/$ sudo service postgresql status
● postgresql.service - PostgreSQL RDBMS
Loaded: loaded (/lib/systemd/system/postgresql.service; enabled; preset: enabled)
Active: active (exited) since Mon 2024-09-02 12:10:10 UTC; 1min 46s ago
Process: 20486 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 20486 (code=exited, status=0/SUCCESS)
CPU: 2ms
Sep 02 12:10:10 postgres-database systemd[1]: Starting postgresql.service - PostgreSQL RDBMS...
Sep 02 12:10:10 postgres-database systemd[1]: Finished postgresql.service - PostgreSQL RDBMS.
13. Tạo cơ sở dữ liệu postgres
Trong phần sau, bạn sẽ tạo một cơ sở dữ liệu postgres có tên là postgres_looker và giản đồ looker_schema dùng để xác thực khả năng kết nối Looker với cơ sở dữ liệu tại chỗ.
Trong hệ điều hành, hãy đăng nhập vào postgres:
sudo -u postgres psql postgres
Trong hệ điều hành, hãy tạo cơ sở dữ liệu:
create database postgres_looker;
Trong hệ điều hành, hãy liệt kê cơ sở dữ liệu:
\l
Trong hệ điều hành, hãy tạo người dùng postgres_looker bằng mật khẩu postgreslooker:
create user postgres_looker with password 'postgreslooker';
Trong hệ điều hành, hãy kết nối với cơ sở dữ liệu:
\c postgres_looker;
Trong hệ điều hành, hãy tạo giản đồ looker-schema và thoát khỏi dấu nhắc Cloud Shell.
create schema looker_schema;
create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
exit
Exit from the OS, returning you to cloud shell:
\q
Ví dụ:
user@postgres-database:/$ sudo -u postgres psql postgres
psql (15.8 (Debian 15.8-0+deb12u1))
Type "help" for help.
postgres=# create database postgres_looker;
CREATE DATABASE
postgres=# \l
List of databases
Name | Owner | Encoding | Collate | Ctype | ICU Locale | Locale Provider | Access privileges
-----------------+----------+----------+---------+---------+------------+-----------------+-----------------------
postgres | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
postgres_looker | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc |
template0 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
template1 | postgres | UTF8 | C.UTF-8 | C.UTF-8 | | libc | =c/postgres +
| | | | | | | postgres=CTc/postgres
(4 rows)
postgres=# create user postgres_looker with password 'postgreslooker';
CREATE ROLE
postgres=# \c postgres_looker;
You are now connected to database "postgres_looker" as user "postgres".
postgres_looker=# create schema looker_schema;
create table looker_schema.test(firstname CHAR(15), lastname CHAR(20));
exit
CREATE SCHEMA
CREATE TABLE
postgres_looker-# \q
14. Tích hợp Looker với postgres-database Postgres
Trong phần sau, bạn sẽ sử dụng Looker Console để tạo một kết nối cơ sở dữ liệu đến phiên bản postgres-database tại cơ sở.
Chuyển đến QUẢN TRỊ → CƠ SỞ DỮ LIỆU → KẾT NỐI → Chọn THÊM KẾT NỐI
Điền thông tin chi tiết về kết nối theo ảnh chụp màn hình bên dưới, chọn KẾT NỐI
Kết nối hiện đã được định cấu hình
15. Xác thực khả năng kết nối Looker
Trong phần sau, bạn sẽ tìm hiểu cách xác thực khả năng kết nối Looker với cơ sở dữ liệu postgres trong on-prem-vpc bằng cách sử dụng thao tác "kiểm thử" của Looker và TCPDUMP.
Từ Cloud Shell, hãy đăng nhập vào postgres-database nếu phiên đã hết thời gian chờ.
Trong Cloud Shell, hãy thực hiện các bước sau:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
zone=[YOUR-ZONE]
echo $project
echo $region
gcloud compute ssh --zone "$zone" "postgres-database" --project "$project"
Từ hệ điều hành, hãy tạo bộ lọc TCPDUMP chỉ có mạng con proxy 10.10.10.0/24
sudo tcpdump -i any net 10.10.10.0/24 -nn
Chuyển đến mục Kết nối dữ liệu QUẢN TRỊ → CƠ SỞ DỮ LIỆU → KẾT NỐI → postgres-database → Kiểm thử
Sau khi bạn chọn Test (Kiểm thử), Looker sẽ kết nối với cơ sở dữ liệu postgres như minh hoạ dưới đây:
Dọn dẹp
Xoá các thành phần trong phòng thí nghiệm khỏi một thiết bị đầu cuối Cloud Shell
gcloud compute service-attachments delete onpremdatabase1-svc-attachment --region=$region -q
gcloud compute forwarding-rules delete producer-hybrid-neg-fr --region=$region -q
gcloud compute target-tcp-proxies delete producer-lb-tcp-proxy --region=$region -q
gcloud compute backend-services delete producer-backend-svc --region=$region -q
gcloud compute network-firewall-policies rules delete 2001 --firewall-policy looker-psc-demo-policy --global-firewall-policy -q
gcloud compute network-firewall-policies associations delete --firewall-policy=looker-psc-demo-policy --name=looker-psc-demo --global-firewall-policy -q
gcloud compute network-firewall-policies delete looker-psc-demo-policy --global -q
gcloud compute routers nats delete on-prem-nat --router=on-prem-cr --router-region=$region -q
gcloud compute network-endpoint-groups delete on-prem-hybrid-neg --zone=$zone -q
gcloud compute addresses delete hybrid-neg-lb-ip --region=$region -q
gcloud compute vpn-tunnels delete looker-psc-demo-tunnel0 looker-psc-demo-tunnel1 on-prem-tunnel0 on-prem-tunnel1 --region=$region -q
gcloud compute vpn-gateways delete looker-psc-demo-vpn-gw on-prem-vpn-gw --region=$region -q
gcloud compute routers delete looker-psc-demo-cr on-prem-cr --region=$region -q
gcloud compute instances delete postgres-database --zone=$zone -q
gcloud compute addresses delete on-prem-database1-ip --region=$region -q
gcloud compute networks subnets delete database-subnet --region=$region -q
gcloud compute network-firewall-policies rules delete 2001 --firewall-policy on-prem-demo-policy --global-firewall-policy -q
gcloud compute network-firewall-policies rules delete 1000 --firewall-policy on-prem-demo-policy --global-firewall-policy -q
gcloud compute network-firewall-policies associations delete --firewall-policy=on-prem-demo-policy --name=on-prem-demo --global-firewall-policy -q
gcloud compute networks subnets delete $region-proxy-only-subnet --region=$region -q
gcloud compute networks subnets delete producer-psc-nat-subnet --region=$region -q
gcloud compute networks subnets delete producer-psc-fr-subnet --region=$region -q
gcloud compute networks delete on-prem-demo -q
gcloud compute networks delete looker-psc-demo -q
16. Xin chúc mừng
Chúc mừng bạn đã định cấu hình và xác thực thành công khả năng kết nối với cơ sở dữ liệu tại chỗ qua HA-VPN bằng Looker Console dựa trên Private Service Connect.
Bạn đã tạo cơ sở hạ tầng của nhà cung cấp, tìm hiểu cách tạo một NEG kết hợp, Dịch vụ của nhà cung cấp và điểm cuối PSC của Looker cho phép khả năng kết nối với dịch vụ của nhà cung cấp.
Cosmopup cho rằng các lớp học lập trình rất tuyệt!!
Tiếp theo là gì?
Hãy xem một số lớp học lập trình này...
- Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ
- Kết nối với các dịch vụ tại chỗ qua Mạng kết hợp bằng Private Service Connect và bộ cân bằng tải TCP Proxy nội bộ
- Quyền truy cập vào tất cả các lớp học lập trình đã xuất bản về Private Service Connect