1. Giriş
Bu codelab'de, Looker'a kuzeye doğru erişim elde etmek için L7 Bölgesel Dahili Uygulama Yük Dengeleyici ve Özel Service Connect Arka Uç oluşturacaksınız. Looker'a kuzeye doğru erişim için tüketici VPC'sinin Looker PSC örneğine izin verilenler listesine eklenmesi gerekir.
Özel Hizmet Bağlantısı, Google Cloud ağ iletişiminin, tüketicilerin yönetilen hizmetlere VPC ağlarının içinden özel olarak erişmesine olanak tanıyan bir özelliğidir. Benzer şekilde, yönetilen hizmet üreticilerinin bu hizmetleri kendi ayrı VPC ağlarında barındırmasına ve tüketicilerine özel bir bağlantı sunmasına olanak tanır. Örneğin, Looker'a erişmek için Private Service Connect'i kullandığınızda Şekil 1'de belirtildiği gibi hizmet tüketicisi siz olursunuz ve Google hizmet üreticisi olur.
Şekil 1.
Ters PSC olarak da bilinen Güneye doğru erişim, Tüketici'nin, Looker'ın şirket içi, VPC'de, yönetilen hizmetlere ve internete erişmesine izin vermek için Üretici olarak Yayınlanan Hizmet oluşturmasına olanak tanır. Güneye doğru bağlantılar, Şekil 2'de belirtildiği gibi Looker PSC'nin dağıtıldığı yerden bağımsız olarak herhangi bir bölgede dağıtılabilir.
Şekil 2.
Neler öğreneceksiniz?
- Ağ gereksinimleri
- Kuzeye doğru erişim için Looker izin verilenler listesini güncelleme
- Tüketici VPC'sinde Private Service Connect arka ucu oluşturma
- Google sertifikaları ve kendinden imzalı sertifikalar
Gerekenler
- Sahibi izinlerine sahip Google Cloud projesi
- Kayıtlı Alan
- Mevcut Looker PSC Örneği
2. Ne oluşturacaksınız?
Bölgesel dahili L7 uygulama yük dengeleyici ve Google veya kendi kendine yönetilen sertifika gerektiren PSC arka uç NEG dağıtmak için izin verilenler listesinde bir tüketici ağı (looker-psc-demo) oluşturursunuz. Daha fazla bilgi için yük dengeleyici ve sertifika özet sayfasını inceleyin.
3. Ağ gereksinimleri
Ağ koşullarının dökümü aşağıda verilmiştir:
Bileşenler | Açıklama |
VPC (looker-psc-demo) | Özel mod VPC |
PSC NEG alt ağı | Ağ uç noktası grubu için IP adresi tahsis etmek üzere kullanılır. |
Yalnızca Proxy Alt Ağı | Yük dengeleyicinin proxy'lerinin her birine bir dahili IP adresi atanır. Bir proxy'den arka uç sanal makinesine veya uç noktasına gönderilen paketlerin kaynak IP adresi, yalnızca proxy alt ağından alınır. |
Arka Uç Hizmeti | Arka uç hizmeti, yük dengeleyiciniz ile arka uç kaynaklarınız arasında köprü görevi görür. Eğitimde arka uç hizmeti, PSC NEG ile ilişkilendirilmiştir. |
4. Codelab topolojisi
5. Kurulum ve Gereksinimler
Kendine ait tempoda ortam kurulumu
- Google Cloud Console'da oturum açın ve yeni bir proje oluşturun veya mevcut bir projeyi yeniden kullanın. Gmail veya Google Workspace hesabınız yoksa hesap oluşturmanız gerekir.
- Proje adı, bu projenin katılımcılarının görünen adıdır. Google API'leri tarafından kullanılmayan bir karakter dizesidir. Dilediğiniz zaman güncelleyebilirsiniz.
- Proje kimliği, tüm Google Cloud projelerinde benzersizdir ve değiştirilemez (ayarlandıktan sonra değiştirilemez). Cloud Console, benzersiz bir dize otomatik olarak oluşturur. Bu dizenin ne olduğu genellikle önemli değildir. Çoğu kod laboratuvarında proje kimliğinize (genellikle
PROJECT_IDolarak tanımlanır) referans vermeniz gerekir. Oluşturulan kimliği beğenmezseniz rastgele başka bir kimlik oluşturabilirsiniz. Alternatif olarak, kendi anahtarınızı deneyerek kullanılabilir olup olmadığını görebilirsiniz. Bu adımdan sonra değiştirilemez ve proje boyunca geçerli kalır. - Bazı API'lerin kullandığı üçüncü bir değer (Proje Numarası) olduğunu belirtmek isteriz. Bu değerlerin üçü hakkında daha fazla bilgiyi dokümanlar bölümünde bulabilirsiniz.
- Ardından, Cloud kaynaklarını/API'lerini kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir. Bu codelab'i çalıştırmak çok pahalı değildir. Bu eğitimden sonra faturalandırılmamak için kaynakları kapatmak istiyorsanız oluşturduğunuz kaynakları veya projeyi silebilirsiniz. Yeni Google Cloud kullanıcıları 300 ABD doları değerinde ücretsiz deneme programına uygundur.
Cloud Shell'i başlatma
Google Cloud, dizüstü bilgisayarınızdan uzaktan çalıştırılabilir. Ancak bu kod laboratuvarında, Cloud'da çalışan bir komut satırı ortamı olan Google Cloud Shell'i kullanacaksınız.
Google Cloud Console'da, sağ üstteki araç çubuğunda Cloud Shell simgesini tıklayın:
Ortam sağlanıp bağlantı kurulabilmesi için birkaç saniye beklemeniz gerekir. İşlem tamamlandığında aşağıdakine benzer bir ekran görürsünüz:
Bu sanal makinede ihtiyacınız olan tüm geliştirme araçları yüklüdür. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Bu sayede ağ performansını ve kimlik doğrulamayı büyük ölçüde iyileştirir. Bu codelab'deki tüm çalışmalarınızı tarayıcıda yapabilirsiniz. Hiçbir şey yüklemeniz gerekmez.
6. Başlamadan önce
API'leri etkinleştir
Cloud Shell'de proje kimliğinizin ayarlandığından emin olun:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Gerekli tüm hizmetleri etkinleştirin:
gcloud services enable compute.googleapis.com
7. Tüketici ağı
Aşağıdaki bölümde, Looker PSC VPC izin verilenler listesinde güncellenecek tüketici ağını oluşturacaksınız.
VPC Ağı
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Alt ağ oluşturma
Cloud Shell'de tüketici ağ uç noktası grubu alt ağını oluşturun:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
Cloud Shell'de dahili uygulama yük dengeleyici alt ağını oluşturun:
gcloud compute networks subnets create consumer-ilb-subnet --network looker-psc-demo --range 172.16.40.0/28 --region $region --enable-private-ip-google-access
Cloud Shell'de, üretici bölgesel yalnızca proxy alt ağını oluşturun:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
8. Özel alan oluşturma
Özel alan oluşturmak için aşağıdaki adımlar gereklidir:
Aşağıdaki örnekte looker.cosmopup.com özel alan adıdır.
OAuth örneği
Aşağıda, Authorized origins için OAuth kimlik bilgileri ve looker.cosmopup.com alt alan adı için geri çağırma örneği verilmiştir.
9. Sertifikalar
Compute Engine veya Certificate Manager sertifikaları oluşturabilirsiniz. Sertifika Yöneticisi'ni kullanarak sertifika oluşturmak için aşağıdaki yöntemlerden birini kullanın:
- Bölgesel kendi kendine yönetilen sertifikalar. Bölgesel kendi kendine yönetilen sertifikalar oluşturma ve kullanma hakkında bilgi edinmek için Bölgesel kendi kendine yönetilen sertifika dağıtma başlıklı makaleyi inceleyin. Sertifika haritaları desteklenmez.
- Bölgesel Google tarafından yönetilen sertifikalar. Sertifika haritaları desteklenmez. Sertifika Yöneticisi, Google tarafından yönetilen aşağıdaki bölgesel sertifika türlerini destekler:
- Proje başına DNS yetkilendirmesi olan bölgesel Google tarafından yönetilen sertifikalar. Daha fazla bilgi için Bölgesel Google tarafından yönetilen sertifika dağıtma başlıklı makaleyi inceleyin.
- Certificate Authority Service ile bölgesel Google tarafından yönetilen (özel) sertifikalar. Daha fazla bilgi için CA Hizmeti ile bölgesel bir Google tarafından yönetilen sertifika dağıtma başlıklı makaleyi inceleyin.
10. Looker VPC izin verilenler listesine ekleme
İzin verilen VPC'leri görüntüleme
Aşağıdaki bölümde, Looker'a İzin Verilen VPC'ler listesini görüntülemek için Cloud Console kullanıcı arayüzünü kullanacaksınız.
Cloud Console'da şuraya gidin:
Looker → Looker Örneği → Ayrıntılar
Aşağıdaki örnekte, İzin verilen VPC'ler listesinde giriş yoktur:
İzin verilen VPC'leri güncelleme
Looker-psc-demo örneğini İzin verilen VPC olarak ekleyerek Looker örneğinizi kuzeye doğru erişimi destekleyecek şekilde güncelleyin.
Cloud Console'da şuraya gidin:
Looker → Looker Örneği → Düzenle
Bağlantılar → İzin verilen VPC'ler
looker-psc-demo'nun dağıtıldığı projeyi, ardından looker-psc-demo VPC'sini ve ardından Devam'ı seçin.
İzin verilen VPC'leri doğrulama
Güncellenen İzin verilen VPC'ler listesini görüntüleme
Cloud Console'da şuraya gidin:
Looker → Looker Örneği → Ayrıntılar
11. PSC arka ucu oluşturma
Hizmet Üretici olarak Looker PSC, Looker'a kuzeye doğru erişim elde etmek için uç noktaları ve arka uçları dağıtmak üzere Hizmet Alıcılar tarafından kullanılan bir Hizmet Eki URI'si oluşturur. Sonraki adımda, Looker PSC Hizmet Eki URI'sini tanımladıktan sonra Tüketici VPC'sinde Private Service Connect Ağ Uç Noktası Grubu (NEG) arka ucu oluşturursunuz.
Looker PSC hizmet ekini belirleme
Cloud Console'da Hizmet Eki URI'sine gidin ve URI'yi kopyalayın:
Looker → Looker Örneği → Ayrıntılar
PSC ağ uç noktası grubunu oluşturma
Cloud Shell'de, psc-target-service değerini güncellediğinizden emin olarak aşağıdakileri yapın:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Örnek:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
PSC ağ sonu grubu oluşturma işlemini doğrulama
Cloud Shell'de, pscConnectionStatus değerinin kabul edildiğinden emin olarak aşağıdakileri yapın:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
Örnek:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
Bölgesel dahili uygulama yük dengeleyicisi oluşturma
Aşağıdaki adımlarda, oluşturulan sertifikalarınızı ön uç yapılandırmasıyla ilişkilendirirken bölgesel dahili uygulama yük dengeleyiciyi oluşturmak için Cloud Console'u kullanacaksınız.
Cloud Console'da şuraya gidin:
Ağ Hizmetleri → Yük Dengeleme → Yük Dengeleyici Oluştur
Aşağıdaki seçenekleri belirleyin:
Arka uç yapılandırmasını oluşturma
Aşağıdaki seçenekleri belirleyin ve dağıtımınıza göre ortamı özelleştirin:
- Ağ altyapısının dağıtımında kullanılan bölge
- Ağ: looker-psc-demo
- Yalnızca proxy alt ağı, bölgenize ve ağınıza göre otomatik olarak doldurulur
Yönlendirme Kuralları
Yapılandırma gerekmez
Ön uç yapılandırması
Yük dengeleyicinin etkinleştirildiğinden emin olun ve IP adresini alın.
Cloud Console → Network Services → Load Balancing → looker-ilb-alb
12. DNS çözümleme
Özel alan için DNS çözümlemesi, yetkili şirket içi veya Cloud DNS olabilir. Bu eğitimde, Cloud DNS'yi Looker özel alanı için yetkili sunucu olarak tanımlayacağız. Şirket içi GCP DNS çözümlemesini etkinleştirmek için Giriş Sunucusu politikalarının etkinleştirilmesi gerekir. Giden sunucu politikası oluşturduğunuzda Cloud DNS, sunucu politikasının uygulandığı VPC ağında gelen sunucu politikası giriş noktaları oluşturur. Giden sunucu politikası giriş noktaları, yalnızca proxy alt ağları hariç olmak üzere geçerli VPC ağındaki her alt ağ için birincil IPv4 adres aralığından alınan dahili IPv4 adresleridir.
Aşağıdaki bölümde, Looker özel alanı (looker.cosmopup.com) için özel bir DNS alt bölgesi ve yük dengeleyici IP adresinden oluşan bir A kaydı oluşturulur.
13. Gizli DNS Alt Bölgesi Oluşturma
Cloud Shell'de Cloud DNS özel alanını oluşturun.
gcloud dns --project=$projectid managed-zones create looker-cosmopup-dns --description="" --dns-name="looker.cosmopup.com." --visibility="private" --networks="https://compute.googleapis.com/compute/v1/projects/$projectid/global/networks/looker-psc-demo"
Cloud Shell'de, önceki adımda elde edilen yük dengeleyici IP adresinden oluşan A kaydını oluşturun.
gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="<insert-your-ip>"
Örnek:
gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="172.16.20.7"
Ardından, bağlantıyı etkinleştirmek için looker-psc-demo VPC ile şirket içi ağ arasında karma ağ iletişimi (ör. Interconnect, HA-VPN) yapılandırılmalıdır.
Şirket içi karma NEG bağlantısı oluşturmak için gereken adımlar aşağıda verilmiştir:
- Ağ Bağlantısı ürünü seçme | Google Cloud
- VPC eşlemesi içeren bir merkez ve konuşmalı ağ mimarisinde karma NEG, Cloud Router ile aynı VPC'ye (hub) dağıtılır.
- Bu alt ağ, şirket içi iş yükleriyle iletişim için kaynak IP adresi olarak hizmet ettiğinden şirket içi güvenlik duvarlarının yalnızca proxy alt ağı aralığına uygun şekilde güncellendiğinden emin olun.
- Yerleşik DNS'yi, looker.cosomopup.com için DNS çözümleyici olarak gelen yönlendirme IP adresiyle güncelleme
Looker kullanıcı arayüzüne erişme
Yük dengeleyici artık çalışır durumda olduğundan özel Looker alanınıza bir web tarayıcısı üzerinden erişebilirsiniz. Kullandığınız sertifika türüne (ör. güvenilmeyen sertifika ve güvenilir sertifika) bağlı olarak bir uyarıyla karşılaşabileceğinizi unutmayın.
Aşağıda, Looker kullanıcı arayüzüne kuzeye doğru erişim sağlayan Looker özel alanına (looker.cosmopup.com) erişme örneği (güvenilir olmayan sertifika) verilmiştir:
14. Temizleme
Tek bir Cloud Shell terminalinden laboratuvar bileşenlerini silin:
gcloud compute forwarding-rules delete regional-internal-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-internal-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-internal-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
15. Tebrikler
Tebrikler, müşteri alanı ve bölgesel dahili uygulama yük dengeleyici kullanarak Looker'a yönelik kuzeye bakan bağlantıyı başarıyla yapılandırıp doğruladınız.
Tüketici altyapısını oluşturdunuz, PSC NEG'yi ve özel alanı nasıl oluşturacağınızı öğrendiniz ve farklı sertifika seçeneklerini tanıdınız. Looker'ı kullanmaya başlamanızı sağlayacak birçok heyecan verici özellik var.
Cosmopup, codelab'lerin harika olduğunu düşünüyor.
Sırada ne var?
Bu codelab'lerden bazılarına göz atın...
- Hizmetleri yayınlamak ve kullanmak için Private Service Connect'i kullanma
- Private Service Connect ve dahili TCP Proxy yük dengeleyici kullanarak karma ağ üzerinden şirket içi hizmetlere bağlanma
- Yayınlanan tüm Private Service Connect kod laboratuvarlarına erişim
Daha fazla bilgi ve videolar
Referans dokümanları
- Kendi kendine yönetilen SSL sertifikalarını kullanma | Yük Dengeleme | Google Cloud
- Bölgesel Google tarafından yönetilen sertifika dağıtma
- Private Service Connect arka ucu oluşturma | VPC | Google Cloud
- Private Service Connect arka ucu oluşturma | VPC | Google Cloud
- Looker (Google Cloud Core) Private Service Connect örneği oluşturma
- Private Service Connect'i kullanarak hizmet yayınlama