Looker PSC Kuzeye Yönelik Bölgesel Dahili L7 ALB

1. Giriş

Bu codelab'de, Looker'a kuzeye doğru erişim elde etmek için bir L7 bölgesel dahili uygulama yük dengeleyici ve Private Service Connect arka ucu oluşturacaksınız. Looker'a kuzey yönlü erişim için tüketici VPC'sinin Looker PSC örneği için izin verilenler listesine eklenmesi gerekir.

Private Service Connect, tüketicilerin yönetilen hizmetlere VPC ağlarının içinden özel olarak erişmesine olanak tanıyan bir Google Cloud ağ iletişimi özelliğidir. Aynı şekilde, yönetilen hizmet üreticilerinin bu hizmetleri kendi ayrı VPC ağlarında barındırmasına ve tüketicilerine özel bir bağlantı sunmasına olanak tanır. Örneğin, Looker'a erişmek için Private Service Connect'i kullandığınızda, Şekil 1'de vurgulandığı gibi hizmet tüketicisi siz, hizmet üreticisi ise Google olur.

1. şekil

145ea4672c3a3b14.png

Ters PSC olarak da bilinen güney yönlü erişim, tüketicinin üretici olarak yayınlanmış bir hizmet oluşturmasına olanak tanır. Bu sayede Looker'ın şirket içi, VPC'deki, yönetilen hizmetlerdeki ve internetteki uç noktalara erişmesine izin verilir. Şekil 2'de vurgulandığı gibi, Looker PSC'nin dağıtıldığı yerden bağımsız olarak güneye giden bağlantılar herhangi bir bölgede dağıtılabilir.

2. şekil.

3edfcc67e195d082.png

Neler öğreneceksiniz?

  • Ağ gereksinimleri
  • Kuzeye doğru erişim için Looker izin verilenler listesini güncelleme
  • Tüketici VPC'sinde bir Private Service Connect arka ucu oluşturun
  • Google ve kendinden imzalı sertifikalar

Gerekenler

def88091b42bfe4d.png

2. Ne oluşturacaksınız?

Bölgesel bir dahili L7 uygulama yük dengeleyicisi ve Google veya kendi kendine yönetilen bir sertifika gerektiren PSC arka uç NEG'si dağıtmak için izin verilenler listesine eklenmiş bir tüketici ağı (looker-psc-demo) oluşturacaksınız. Daha fazla bilgi için yük dengeleyici ve sertifika özeti sayfasını inceleyin.

3. Ağ gereksinimleri

Ağ gereksinimlerinin dökümü aşağıda verilmiştir:

Bileşenler

Açıklama

VPC (looker-psc-demo)

Özel mod VPC

PSC NEG alt ağı

Ağ uç noktası grubu için bir IP adresi ayırmak üzere kullanılır.

Yalnızca Proxy Alt Ağı

Yük dengeleyicinin her bir proxy'sine dahili bir IP adresi atanır. Bir proxy'den arka uç VM'sine veya uç noktasına gönderilen paketlerin kaynak IP adresi, yalnızca proxy'ye ait alt ağdan alınır.

Arka Uç Hizmeti

Arka uç hizmeti, yük dengeleyiciniz ile arka uç kaynaklarınız arasında köprü görevi görür. Eğitimde, arka uç hizmeti PSC NEG ile ilişkilendirilir.

4. Codelab topolojisi

2f6bb87ef0e139b2.png

5. Kurulum ve Gereksinimler

Yönlendirmesiz ortam kurulumu

  1. Google Cloud Console'da oturum açın ve yeni bir proje oluşturun veya mevcut bir projeyi yeniden kullanın. Gmail veya Google Workspace hesabınız yoksa hesap oluşturmanız gerekir.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • Proje adı, bu projenin katılımcıları için görünen addır. Google API'leri tarafından kullanılmayan bir karakter dizesidir. Bu bilgiyi istediğiniz zaman güncelleyebilirsiniz.
  • Proje kimliği, tüm Google Cloud projelerinde benzersizdir ve sabittir (ayarlandıktan sonra değiştirilemez). Cloud Console, benzersiz bir dizeyi otomatik olarak oluşturur. Genellikle bu dizenin ne olduğuyla ilgilenmezsiniz. Çoğu codelab'de proje kimliğinize (genellikle PROJECT_ID olarak tanımlanır) başvurmanız gerekir. Oluşturulan kimliği beğenmezseniz başka bir rastgele kimlik oluşturabilirsiniz. Dilerseniz kendi adınızı deneyerek kullanılabilir olup olmadığını kontrol edebilirsiniz. Bu adım tamamlandıktan sonra değiştirilemez ve proje süresince geçerli kalır.
  • Bazı API'lerin kullandığı üçüncü bir değer olan Proje Numarası da vardır. Bu üç değer hakkında daha fazla bilgiyi belgelerde bulabilirsiniz.
  1. Ardından, Cloud kaynaklarını/API'lerini kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir. Bu codelab'i tamamlamak neredeyse hiç maliyetli değildir. Bu eğitimin ötesinde faturalandırılmayı önlemek için kaynakları kapatmak üzere oluşturduğunuz kaynakları veya projeyi silebilirsiniz. Yeni Google Cloud kullanıcıları 300 ABD doları değerinde ücretsiz deneme programından yararlanabilir.

Cloud Shell'i başlatma

Google Cloud, dizüstü bilgisayarınızdan uzaktan çalıştırılabilir. Ancak bu codelab'de, Cloud'da çalışan bir komut satırı ortamı olan Google Cloud Shell'i kullanacaksınız.

Google Cloud Console'da sağ üstteki araç çubuğunda Cloud Shell simgesini tıklayın:

55efc1aaa7a4d3ad.png

Ortamın temel hazırlığı ve bağlanması yalnızca birkaç dakikanızı alır. İşlem tamamlandığında aşağıdakine benzer bir sonuç görürsünüz:

7ffe5cbb04455448.png

Bu sanal makine, ihtiyaç duyacağınız tüm geliştirme araçlarını içerir. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Bu sayede ağ performansı ve kimlik doğrulama önemli ölçüde güçlenir. Bu codelab'deki tüm çalışmalarınızı tarayıcıda yapabilirsiniz. Herhangi bir şey yüklemeniz gerekmez.

6. Başlamadan önce

API'leri etkinleştir

Cloud Shell'de proje kimliğinizin ayarlandığından emin olun:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region

Gerekli tüm hizmetleri etkinleştirin:

gcloud services enable compute.googleapis.com

7. Tüketici ağı

Aşağıdaki bölümde, Looker PSC VPC izin verilenler listesinde güncellenecek tüketici ağını oluşturacaksınız.

VPC Ağı

Cloud Shell'de aşağıdakileri yapın:

gcloud compute networks create looker-psc-demo --subnet-mode custom

Alt Ağ Oluşturma

Cloud Shell'de tüketici ağ uç noktası grubu alt ağını oluşturun:

gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access

Cloud Shell'de dahili uygulama yük dengeleyici alt ağını oluşturun:

gcloud compute networks subnets create consumer-ilb-subnet --network looker-psc-demo --range 172.16.40.0/28 --region $region --enable-private-ip-google-access

Cloud Shell'de, üretici bölgesel proxy'si için yalnızca proxy alt ağı oluşturun:

gcloud compute networks subnets create $region-proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=looker-psc-demo \
  --range=10.10.10.0/24

8. Özel alan adı oluşturma

Özel alan oluşturmak için aşağıdaki adımlar gereklidir:

Aşağıdaki örnekte, looker.cosmopup.com özel alan adıdır.

5424ce99136d5b3a.png

OAuth örneği

Aşağıda, yetkili kaynaklar ve alt alan adı looker.cosmopup.com için geri çağırma ile ilgili OAuth kimlik bilgilerinin bir örneği verilmiştir.

c7e5b8c7d2cc6a01.png

9. Sertifikalar

Compute Engine veya Certificate Manager sertifikaları oluşturabilirsiniz. Sertifika Yöneticisi'ni kullanarak sertifika oluşturmak için aşağıdaki yöntemlerden birini kullanın:

10. Looker VPC izin verilenler listesine ekleme

İzin Verilen VPC'leri Görüntüleme

Aşağıdaki bölümde, Looker'ın izin verilen VPC'ler listesini görüntülemek için Cloud Console kullanıcı arayüzünü kullanacaksınız.

Cloud Console'da şuraya gidin:

Looker → Looker örneği → Ayrıntılar

Aşağıdaki örnekte, İzin Verilen VPC'ler listesinde giriş yok:

ad33177a2d721ea7.png

İzin Verilen VPC'leri Güncelleme

looker-psc-demo'yu İzin Verilen VPC olarak ekleyerek Looker örneğinizi kuzeye doğru erişimi destekleyecek şekilde güncelleyin.

Cloud Console'da şuraya gidin:

Looker → Looker örneği → Düzenle

cbbc069688890b82.png

Bağlantılar → İzin verilen VPC'ler

looker-psc-demo'nun dağıtıldığı projeyi, ardından VPC looker-psc-demo'yu ve Devam'ı seçtiğinizden emin olun.

dc931643e1b220a.png

3e26d16d83cceae9.png

İzin verilen VPC'leri doğrulama

İzin verilen VPC'ler listesini görüntüleme

Cloud Console'da şuraya gidin:

Looker → Looker örneği → Ayrıntılar

e34664c867929c66.png

11. PSC arka ucu oluşturma

Hizmet üreticisi olarak Looker PSC, hizmet tüketicileri tarafından uç noktaları ve arka uçları dağıtmak için kullanılan bir hizmet eki URI'si oluşturur. Bu URI, Looker'a kuzeye doğru erişim sağlamak için kullanılır. Sonraki adımda, Looker PSC hizmet eki URI'sini tanımlayacak ve ardından tüketici VPC'sinde bir Private Service Connect ağ uç noktası grubu (NEG) arka ucu oluşturacaksınız.

Looker PSC hizmet ekini belirleme

Cloud Console'da gezinerek hizmet eki URI'sini kopyalayın:

Looker → Looker örneği → Ayrıntılar

a253f94e946a1eef.png

PSC ağ uç noktası grubunu oluşturma

Cloud Shell'de aşağıdaki işlemleri yapın ve psc-target-service'i güncellediğinizden emin olun:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

Örnek:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
 --psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

PSC ağında uç nokta grubu oluşturmayı doğrulama

Cloud Shell'de aşağıdaki işlemleri yapın ve pscConnectionStatus'un kabul edildiğinden emin olun:

gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:

Örnek:

user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus: 
  pscConnectionStatus: ACCEPTED

Bölgesel dahili uygulama yük dengeleyicisi oluşturma

Aşağıdaki adımlarda, oluşturulan sertifikalarınızı ön uç yapılandırmasıyla ilişkilendirirken bölgesel dahili uygulama yük dengeleyicisini oluşturmak için Cloud Console'u kullanacaksınız.

Cloud Console'da şuraya gidin:

Ağ Hizmetleri → Yük Dengeleme → Yük Dengeleyici Oluştur

e3474ca153d7c55a.png

Aşağıdaki seçenekleri belirleyin:

c80afa6a28b6d922.png

Arka uç yapılandırmasını oluşturma

Aşağıdaki seçenekleri belirleyin ve ortamı dağıtımınıza göre özelleştirin:

  • Ağ altyapısını dağıtmak için kullanılan bölge
  • Ağ: looker-psc-demo
  • Yalnızca proxy alt ağı, bölgenize ve ağınıza göre otomatik olarak doldurulur.

115627dc54d7a582.png

b3eaa88dd02a95c1.png

cf519145f0259061.png

530527bc9273e002.png

Yönlendirme Kuralları

Yapılandırma gerekmez

53a80d74b3c7dd56.png

Ön uç yapılandırması

29faa25397025fb4.png

538da2b4930d243b.png

bbc13e921681dd65.png

Yük dengeleyicinin etkin olduğundan emin olun ve IP adresini alın.

Cloud Console → Network Services → Load Balancing → looker-ilb-alb

abc7d02b4c951c73.png

12. DNS çözümleme

Özel alan adının DNS çözümlemesi, yetkili şirket içi veya Cloud DNS olabilir. Eğitimde, Cloud DNS'i Looker özel alanı için yetkili sunucu olarak tanımlayacağız. Şirket içi DNS çözümlemesinin GCP DNS çözümlemesi için etkinleştirilmesi Gelen sunucu politikalarının etkinleştirilmesini gerektirir. Bir gelen sunucu politikası oluşturduğunuzda Cloud DNS, sunucu politikasının uygulandığı VPC ağında gelen sunucu politikası giriş noktaları oluşturur. Gelen sunucu politikası giriş noktaları, yalnızca proxy alt ağları hariç olmak üzere, geçerli VPC ağındaki her alt ağın birincil IPv4 adres aralığından alınan dahili IPv4 adresleridir.

Aşağıdaki bölümde, yük dengeleyici IP adresinden oluşan Looker özel alanı, looker.cosmopup.com ve A kaydı için özel bir DNS bölgesi oluşturulur.

13. Gizli DNS alt bölgesi oluşturma

Cloud Shell'de Cloud DNS özel alt bölgesini oluşturun.

gcloud dns --project=$projectid managed-zones create looker-cosmopup-dns --description="" --dns-name="looker.cosmopup.com." --visibility="private" --networks="https://compute.googleapis.com/compute/v1/projects/$projectid/global/networks/looker-psc-demo"

Cloud Shell'de, önceki adımda elde edilen yük dengeleyici IP adresinden oluşan A kaydını oluşturun.

gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="<insert-your-ip>"

Örnek:

gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="172.16.20.7"

Ardından, bağlantıyı etkinleştirmek için looker-psc-demo VPC ile şirket içi ağ arasında karma ağ iletişimi (ör. Interconnect, HA-VPN) yapılandırılmalıdır.

Aşağıda, şirket içi ile karma NEG bağlantısı oluşturmak için gereken adımlar verilmiştir:

Looker kullanıcı arayüzüne erişme

Yük dengeleyici çalışır duruma geldiğinde, web tarayıcısı üzerinden özel Looker alanınıza erişebilirsiniz. Kullandığınız sertifikanın türüne (ör. güvenilmeyen sertifika ve güvenilen sertifika) bağlı olarak uyarılarla karşılaşabileceğinizi unutmayın.

Aşağıda, Looker kullanıcı arayüzüne kuzeye doğru erişim sağlayan Looker özel alan adı looker.cosmopup.com'a erişimle ilgili bir örnek (güvenilmeyen sertifika) verilmiştir:

ae43d0d0d7136044.png

14. Temizleme

Tek bir Cloud Shell terminalinden laboratuvar bileşenlerini silin:

gcloud compute forwarding-rules delete regional-internal-alb-fr --region=$region -q

gcloud compute target-https-proxies delete regional-internal-alb-target-proxy --region=$region -q

gcloud compute url-maps delete regional-internal-alb --region=$region -q

gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q

gcloud compute addresses delete regional-alb-static-ip --region=$region -q

gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q

gcloud compute networks delete looker-psc-demo -q

15. Tebrikler

Tebrikler, bir müşteri alanı ve bölgesel dahili uygulama yük dengeleyicisi kullanarak Looker'a kuzeye doğru bağlantıyı başarıyla yapılandırdınız ve doğruladınız.

Tüketici altyapısını oluşturdunuz, PSC NEG ve özel alan adı oluşturmayı öğrendiniz ve farklı sertifika seçeneklerini tanıdınız. Looker'ı kullanmaya başlamanıza yardımcı olacak birçok heyecan verici özellik var.

Cosmopup, codelab'lerin harika olduğunu düşünüyor.

c911c127bffdee57.jpeg

Yapabilecekleriniz

Şu codelab'lere göz atın:

Daha fazla bilgi ve videolar

Referans belgeler