Looker PSC Northbound Regional Internal L7 ALB

1. מבוא

ב-codelab הזה תיצרו מאזן עומסים פנימי אזורי ברמה 7 ומאגר עורפי מסוג Private Service Connect כדי לקבל גישה צפונה ל-Looker. כדי לקבל גישה ל-Looker מצפון, צריך להוסיף את ה-VPC של הצרכן לרשימת ההיתרים של מכונת ה-PSC של Looker.

‫Private Service Connect היא יכולת של רשתות Google Cloud שמאפשרת לצרכנים לגשת לשירותים מנוהלים באופן פרטי מתוך רשת ה-VPC שלהם. באופן דומה, הוא מאפשר לספקי שירותים מנוהלים לארח את השירותים האלה ברשתות VPC נפרדות משלהם ולהציע חיבור פרטי לצרכנים שלהם. לדוגמה, כשמשתמשים ב-Private Service Connect כדי לגשת ל-Looker, המשתמש הוא צרכן השירות ו-Google היא בעלת השירות המנוהל, כפי שמודגש באיור 1.

Figure 1.

145ea4672c3a3b14.png

גישה מדרום לצפון, שנקראת גם PSC הפוך, מאפשרת לצרכן ליצור שירות שפורסם בתור ספק, כדי לאפשר ל-Looker גישה לנקודות קצה מקומיות, ב-VPC, לשירותים מנוהלים ולאינטרנט. אפשר לפרוס חיבורים יוצאים בכל אזור, בלי קשר למיקום הפריסה של Looker PSC, כפי שמודגש באיור 2.

איור 2.

3edfcc67e195d082.png

מה תלמדו

  • דרישות רשת
  • עדכון רשימת ההיתרים של Looker לגישה צפונה
  • יצירת קצה עורפי של Private Service Connect ב-VPC של הצרכן
  • אישורים של Google לעומת אישורים בחתימה עצמית

מה תצטרכו

def88091b42bfe4d.png

2. מה תפַתחו

תקימו רשת צרכנים ברשימת ההיתרים, looker-psc-demo, כדי לפרוס מאזן עומסים של אפליקציות (ALB) פנימי אזורי של L7 וקצה עורפי של NEG ב-PSC שנדרש לו אישור של Google או אישור בניהול עצמי. לפרטים נוספים, אפשר לעיין בדף הסיכום של מאזן העומסים והאישור.

3. דרישות רשת

בהמשך מפורטות דרישות הרשת:

רכיבים

תיאור

VPC (looker-psc-demo)

מצב מותאם אישית של VPC

PSC NEG Subnet

משמש להקצאת כתובת IP לקבוצת נקודות קצה ברשת

Proxy Only Subnet

לכל אחד מהפרוקסי של מאזן העומסים מוקצית כתובת IP פנימית. למנות שנשלחות משרת proxy למכונה וירטואלית או לנקודת קצה בקצה העורפי יש כתובת IP של מקור מרשת המשנה של ה-proxy בלבד.

שירות לקצה העורפי

שירות לקצה העורפי משמש כגשר בין מאזן העומסים לבין משאבי הקצה העורפי. במדריך, שירות הקצה העורפי משויך ל-NEG מסוג PSC.

4. טופולוגיית Codelab

2f6bb87ef0e139b2.png

5. הגדרה ודרישות

הגדרת סביבה בקצב אישי

  1. נכנסים ל-מסוף Google Cloud ויוצרים פרויקט חדש או משתמשים בפרויקט קיים. אם עדיין אין לכם חשבון Gmail או Google Workspace, אתם צריכים ליצור חשבון.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • שם הפרויקט הוא השם המוצג של הפרויקט הזה למשתתפים. זו מחרוזת תווים שלא נמצאת בשימוש ב-Google APIs. תמיד אפשר לעדכן את המיקום.
  • מזהה הפרויקט הוא ייחודי לכל הפרויקטים ב-Google Cloud ואי אפשר לשנות אותו אחרי שהוא מוגדר. מסוף Cloud יוצר באופן אוטומטי מחרוזת ייחודית, ובדרך כלל לא צריך לדעת מה היא. ברוב ה-Codelabs, תצטרכו להפנות למזהה הפרויקט (בדרך כלל מסומן כ-PROJECT_ID). אם אתם לא אוהבים את המזהה שנוצר, אתם יכולים ליצור מזהה אקראי אחר. אפשר גם לנסות שם משתמש משלכם ולבדוק אם הוא זמין. אי אפשר לשנות את ההגדרה הזו אחרי השלב הזה, והיא תישאר לאורך הפרויקט.
  • לידיעתכם, יש ערך שלישי, מספר פרויקט, שחלק מממשקי ה-API משתמשים בו. במאמרי העזרה מפורט מידע נוסף על שלושת הערכים האלה.
  1. בשלב הבא, תצטרכו להפעיל את החיוב במסוף Cloud כדי להשתמש במשאבי Cloud או בממשקי API של Cloud. השלמת ה-codelab הזה לא תעלה לכם הרבה, אם בכלל. כדי להשבית את המשאבים ולמנוע חיובים נוספים אחרי שתסיימו את המדריך הזה, תוכלו למחוק את המשאבים שיצרתם או למחוק את הפרויקט. משתמשים חדשים ב-Google Cloud זכאים לתוכנית תקופת ניסיון בחינם בשווי 300$.

מפעילים את Cloud Shell

אפשר להפעיל את Google Cloud מרחוק מהמחשב הנייד, אבל ב-codelab הזה תשתמשו ב-Google Cloud Shell, סביבת שורת פקודה שפועלת בענן.

ב-מסוף Google Cloud, לוחצים על סמל Cloud Shell בסרגל הכלים שבפינה הימנית העליונה:

55efc1aaa7a4d3ad.png

יחלפו כמה רגעים עד שההקצאה והחיבור לסביבת העבודה יושלמו. בסיום התהליך, אמור להופיע משהו כזה:

7ffe5cbb04455448.png

המכונה הווירטואלית הזו כוללת את כל הכלים שדרושים למפתחים. יש בה ספריית בית בנפח מתמיד של 5GB והיא פועלת ב-Google Cloud, מה שמשפר מאוד את הביצועים והאימות ברשת. אפשר לבצע את כל העבודה ב-codelab הזה בדפדפן. לא צריך להתקין שום דבר.

6. לפני שמתחילים

הפעלת ממשקי ה-API

ב-Cloud Shell, מוודאים שמזהה הפרויקט מוגדר:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region

מפעילים את כל השירותים הנדרשים:

gcloud services enable compute.googleapis.com

7. רשת צרכנים

בקטע הבא תיצרו את הרשת של הצרכן שתעודכן ברשימת ההיתרים של Looker PSC VPC.

רשת VPC

ב-Cloud Shell, מבצעים את הפעולות הבאות:

gcloud compute networks create looker-psc-demo --subnet-mode custom

יצירת תת-רשתות

ב-Cloud Shell, יוצרים את תת-הרשת של קבוצת נקודות הקצה ברשת הצרכנים:

gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access

ב-Cloud Shell, יוצרים את רשת המשנה של מאזן העומסים של אפליקציות (ALB) הפנימי:

gcloud compute networks subnets create consumer-ilb-subnet --network looker-psc-demo --range 172.16.40.0/28 --region $region --enable-private-ip-google-access

ב-Cloud Shell, יוצרים את תת-הרשת של ה-proxy האזורי של היצרן בלבד:

gcloud compute networks subnets create $region-proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=looker-psc-demo \
  --range=10.10.10.0/24

8. יצירת דומיין מותאם אישית

כדי להגדיר דומיין מותאם אישית, צריך לבצע את השלבים הבאים:

בדוגמה שלמטה, looker.cosmopup.com הוא הדומיין המותאם אישית

5424ce99136d5b3a.png

דוגמה ל-OAuth

למטה מופיעה דוגמה לפרטי כניסה ל-OAuth למקורות מורשים ולקריאה חוזרת לתת-הדומיין looker.cosmopup.com.

c7e5b8c7d2cc6a01.png

9. אישורים

אתם יכולים ליצור אישורים של Compute Engine או של Certificate Manager. אפשר להשתמש בכל אחת מהשיטות הבאות כדי ליצור אישורים באמצעות Certificate Manager:

  • אישורים אזוריים בניהול עצמי. מידע על יצירה ושימוש באישורים אזוריים בניהול עצמי זמין במאמר בנושא פריסת אישור אזורי בניהול עצמי. מפות אישורים לא אפשריות.
  • אישורים אזוריים שמנוהלים על ידי Google. מפות אישורים לא אפשריות. מנהל האישורים תומך בסוגים הבאים של אישורים אזוריים בניהול Google:
  • אישורים אזוריים שמנוהלים על ידי Google עם הרשאת DNS לכל פרויקט. מידע נוסף זמין במאמר בנושא פריסת אישור אזורי בניהול Google.
  • אישורים אזוריים שמנוהלים על ידי Google (פרטיים) באמצעות Certificate Authority Service. מידע נוסף זמין במאמר בנושא פריסת אישור אזורי שמנוהל על ידי Google באמצעות CA Service.

10. הוספה לרשימת ההיתרים ב-VPC של Looker

הצגת רשתות VPC מותרות

בקטע הבא נשתמש בממשק המשתמש של מסוף Cloud כדי להציג את רשימת ה-VPC המותרים של Looker.

ב-Cloud Console, עוברים אל:

‫Looker ‏→ מכונת Looker ‏→ פרטים

בדוגמה שלמטה, אין רשומות ברשימת ה-VPC המותרים:

ad33177a2d721ea7.png

עדכון של רשתות VPC מותרות

כדי לעדכן את מופע Looker כך שיתמוך בגישה צפונה, צריך להוסיף את looker-psc-demo כ-Allowed VPC.

ב-Cloud Console, עוברים אל:

‫Looker → מופע Looker → עריכה

cbbc069688890b82.png

חיבורים ← רשתות VPC מותרות

בוחרים את הפרויקט שבו נפרס looker-psc-demo, ואז את ה-VPC looker-psc-demo ולוחצים על Continue (המשך).

dc931643e1b220a.png

3e26d16d83cceae9.png

אימות של רשתות VPC מותרות

הצגת הרשימה המעודכנת של רשתות ה-VPC המותרות

ב-Cloud Console, עוברים אל:

‫Looker ‏→ מכונת Looker ‏→ פרטים

e34664c867929c66.png

11. יצירת קצה עורפי של PSC

‫Looker PSC כבעלים של שירות מנוהל יוצר URI של קובץ מצורף לשירות, שמשמש את צרכני השירות לפריסת נקודות קצה ושרתי קצה כדי לקבל גישה צפונה ל-Looker. בשלב הבא, תזהו את ה-URI של קובץ השירות של Looker PSC ותיצרו קצה עורפי של קבוצת נקודות קצה ברשת (NEG) מסוג Private Service Connect ב-VPC של הצרכן.

זיהוי של Looker PSC Service Attachment

במסוף Cloud, עוברים אל ה-URI של קובץ השירות ומעתיקים אותו:

‫Looker ‏→ מכונת Looker ‏→ פרטים

a253f94e946a1eef.png

יצירת קבוצת נקודות קצה ברשת PSC

ב-Cloud Shell, מבצעים את הפעולות הבאות ודואגים לעדכן את psc-target-service:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

דוגמה:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
 --psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

אימות של יצירת קבוצת נקודות קצה ברשת PSC

ב-Cloud Shell, מבצעים את הפעולות הבאות ומוודאים שהסטטוס של pscConnectionStatus הוא accepted:

gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:

דוגמה:

user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus: 
  pscConnectionStatus: ACCEPTED

יצירת מאזן עומסים פנימי אזורי של אפליקציות (ALB)

בשלבים הבאים, תשתמשו במסוף Cloud כדי ליצור מאזן עומסים אזורי פנימי של אפליקציות (ALB), ותקשרו את האישורים שנוצרו להגדרת ממשק הקצה.

ב-Cloud Console, עוברים אל:

שירותי רשת → איזון עומסים → יצירת מאזן עומסים

e3474ca153d7c55a.png

בוחרים את האפשרויות הבאות:

c80afa6a28b6d922.png

יצירת התצורה של הקצה העורפי

בוחרים באפשרויות הבאות ומתאימים אישית את הסביבה בהתאם לפריסה:

  • האזור שבו נעשה שימוש לפריסת תשתית הרשת
  • רשת: looker-psc-demo
  • רשת המשנה Proxy-Only מאוכלסת באופן אוטומטי על סמך האזור והרשת שלכם

115627dc54d7a582.png

b3eaa88dd02a95c1.png

cf519145f0259061.png

530527bc9273e002.png

כללי ניתוב

לא נדרשת הגדרה

53a80d74b3c7dd56.png

Frontend configuration

29faa25397025fb4.png

538da2b4930d243b.png

bbc13e921681dd65.png

מוודאים שמאזן העומסים מופעל ומקבלים את כתובת ה-IP.

ב-Cloud Console → Network Services → Load Balancing → looker-ilb-alb

abc7d02b4c951c73.png

12. רזולוציית DNS

פענוח ה-DNS לדומיין המותאם אישית יכול להיות סמכותי בשרת מקומי או ב-Cloud DNS. במדריך הזה נגדיר את Cloud DNS כשרת הסמכותי לדומיין המותאם אישית של Looker. כדי להפעיל פענוח DNS מ-on-premise ל-GCP DNS, צריך להפעיל את מדיניות השרתים הנכנסים. כשיוצרים מדיניות שרת נכנסת, Cloud DNS יוצר נקודות כניסה למדיניות השרת הנכנסת ברשת ה-VPC שאליה מוחלת מדיניות השרת. נקודות הכניסה למדיניות השרתים לתעבורה נכנסת הן כתובות IPv4 פנימיות שמקורן בטווח הכתובות הראשי של IPv4 בכל רשת משנה ברשת ה-VPC הרלוונטית, למעט רשתות משנה של Proxy בלבד.

בקטע הבא, נוצר תחום DNS פרטי לדומיין המותאם אישית של Looker, ‏ looker.cosmopup.com ורשומת A שכוללת את כתובת ה-IP של מאזן העומסים.

13. יצירת תחום DNS פרטי

ב-Cloud Shell, יוצרים את התחום הפרטי ב-Cloud DNS.

gcloud dns --project=$projectid managed-zones create looker-cosmopup-dns --description="" --dns-name="looker.cosmopup.com." --visibility="private" --networks="https://compute.googleapis.com/compute/v1/projects/$projectid/global/networks/looker-psc-demo"

ב-Cloud Shell, יוצרים את רשומת ה-A שכוללת את כתובת ה-IP של מאזן העומסים, שהתקבלה בשלב הקודם.

gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="<insert-your-ip>"

דוגמה:

gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="172.16.20.7"

לאחר מכן, צריך להגדיר רשת היברידית (למשל Interconnect, ‏ HA-VPN) בין ה-VPC של looker-psc-demo לבין הרשת המקומית כדי לאפשר קישוריות.

כדי ליצור קישוריות היברידית של NEG לשרת מקומי, צריך לבצע את השלבים הבאים:

  • בחירת מוצרים של Network Connectivity | Google Cloud
  • בארכיטקטורת רכזת וחישורים עם קישור בין רשתות VPC שכנות (peering), ה-NEG ההיברידי פרוס באותו VPC כמו Cloud Router (הרכזת).
  • חשוב לוודא שחומות האש המקומיות מעודכנות כך שיכללו את טווח רשת המשנה של שרת ה-proxy בלבד, כי רשת המשנה הזו משמשת ככתובת ה-IP של המקור לתקשורת עם עומסי עבודה מקומיים.
  • עדכון DNS מקומי עם כתובת ה-IP להעברה נכנסת כמפענח DNS עבור looker.cosomopup.com

גישה לממשק המשתמש של Looker

עכשיו מאזן העומסים פועל, ואפשר לגשת לדומיין Looker המותאם אישית דרך דפדפן אינטרנט. חשוב לציין שאולי תוצג אזהרה בהתאם לסוג האישור שבו אתם משתמשים, למשל אישור לא מהימן לעומת אישור מהימן.

למטה מופיעה דוגמה (אישור לא מהימן) לגישה לדומיין המותאם אישית של Looker,‏ looker.cosmopup.com, שמאפשר גישה צפונה לממשק המשתמש של Looker:

ae43d0d0d7136044.png

14. הסרת המשאבים

ממסוף Cloud Shell יחיד, מוחקים את רכיבי המעבדה:

gcloud compute forwarding-rules delete regional-internal-alb-fr --region=$region -q

gcloud compute target-https-proxies delete regional-internal-alb-target-proxy --region=$region -q

gcloud compute url-maps delete regional-internal-alb --region=$region -q

gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q

gcloud compute addresses delete regional-alb-static-ip --region=$region -q

gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q

gcloud compute networks delete looker-psc-demo -q

15. מזל טוב

ברכות, הגדרתם ואימתתם בהצלחה את הקישוריות צפונה ל-Looker באמצעות דומיין של לקוח ומאזן עומסים פנימי אזורי של אפליקציות.

יצרתם את תשתית הצרכן, למדתם איך ליצור NEG של PSC, דומיין בהתאמה אישית והכרתם את אפשרויות האישורים השונות. יש כל כך הרבה דברים מעניינים שיעזרו לכם להתחיל להשתמש ב-Looker.

‫Cosmopup חושב ש-codelabs הם מדהימים!!

c911c127bffdee57.jpeg

מה השלב הבא?

כדאי לעיין ב-Codelabs הבאים…

קריאה נוספת וסרטונים

מאמרי עזרה