1. مقدمة
في هذا الدرس التطبيقي حول الرموز البرمجية، ستُنشئ اتصالاً من جهة الجنوب بخدمة SMTP في Looker باستخدام موازن تحميل داخلي للطلبات يعمل كوكيل وبروتوكول TCP ومجموعة نقاط نهاية لشبكة الإنترنت (NEG) باستخدام FQDN notifications-pa.googleapis.com الذي تمّ استدعاؤه من Looker PSC كمستهلك خدمة.
Private Service Connect هي إحدى ميزات شبكة Google Cloud التي تتيح للمستهلكين الوصول إلى الخدمات المُدارة بشكل خاص من داخل شبكة VPC. وبالمثل، تسمح هذه الميزة لمطوّري الخدمات المُدارة باستضافة هذه الخدمات في شبكات VPC منفصلة خاصة بهم وتوفير اتصال خاص للمستهلكين. على سبيل المثال، عند استخدام Private Service Connect للوصول إلى Looker، تكون أنت مستهلك الخدمة وتكون Google منتج الخدمة، كما هو موضّح في الشكل 1.
الشكل 1.
يتيح الوصول من جهة الجنوب، المعروف أيضًا باسم PSC العكسي، للمستهلك إنشاء خدمة منشورة بصفته منتجًا للسماح لخدمة Looker بالوصول إلى نقاط النهاية على الموقع، في VPC، إلى الخدمات المُدارة والإنترنت. يمكن نشر اتصالات الاتجاه الجنوبي في أي منطقة، بغض النظر عن مكان نشر Looker PSC، كما هو موضّح في الشكل 2.
الشكل 2.
ما ستتعرّف عليه
- متطلبات الشبكة
- إنشاء خدمة منتج في Private Service Connect
- إنشاء نقطة نهاية Private Service Connect في Looker
- إنشاء اتصال بخدمة SMTP في Lookers
المتطلبات
- مشروع Google Cloud الذي يتضمّن أذونات المالك
- مثيل Looker PSC الحالي
2. ما ستُنشئه
ستُنشئ شبكة مُنتج، وهي looker-psc-demo، لنشر موازن الحمولة الوكيل الداخلي لبروتوكول النقل المتعدّد (TCP) وNEG على الإنترنت المنشور كخدمة من خلال Private Service Connect (PSC). بعد نشر التطبيق، عليك اتّخاذ الإجراءات التالية للتحقّق من إمكانية الوصول إلى خدمة "صانع المحتوى":
- إنشاء نقطة نهاية PSC في Looker مرتبطة بمرفقات خدمة الإنتاج
- استخدام Looker Console لإنشاء إعدادات بريد SMTP
3- متطلبات الشبكة
في ما يلي تفاصيل متطلبات الشبكة لشبكة "المنتج"، والمستهلك في هذا الدليل التعليمي هو مثيل Looker PSC.
المكونات | الوصف |
VPC (looker-psc-demo) | شبكة VPC في الوضع المخصّص |
الشبكة الفرعية لـ PSC NAT | تتم ترجمة الحِزم الواردة من شبكة VPC للمستهلك باستخدام ترجمة عنوان الشبكة المصدر (SNAT) لكي يتم تحويل عناوين IP المصدر الأصلية إلى عناوين IP مصدر من الشبكة الفرعية لترجمة عنوان الشبكة في شبكة VPC الخاصة بالمنتج. |
الشبكة الفرعية لقاعدة إعادة توجيه PSC | يُستخدَم لتخصيص عنوان IP لجهاز موازنة حمل الخادم الوكيل الداخلي الإقليمي لبروتوكول TCP. |
الشبكة الفرعية لمجموعة نقاط نهاية شبكة اتصال الخدمة الخاصة | تُستخدَم لتخصيص عنوان IP لمجموعة نقاط نهاية الشبكة. |
الشبكة الفرعية للوكيل فقط | يتم تعيين عنوان IP داخلي لكلّ من الخوادم الوكيلة لجهاز موازنة الحمل. الحِزم المُرسَلة من خادم وكيل إلى جهاز افتراضي في الخلفية أو نقطة نهاية لها عنوان IP مصدر من الشبكة الفرعية للخادم الوكيل فقط. |
مجموعة نقاط نهاية الشبكة للإنترنت | مورد يُستخدَم لتحديد خلفية خارجية لجهاز موازنة الحمل لا يمكن الوصول إلى نقطة النهاية إلا من خلال Cloud VPN أو Cloud Interconnect. |
خدمة الخلفية | تعمل خدمة الخلفية كجسر بين جهاز موازنة الحمل وموارد الخلفية. في البرنامج التعليمي، تكون خدمة الخلفية مرتبطة بـ Internet NEG. |
Cloud Router | تعتمد تقنية Cloud NAT على أجهزة توجيه السحابة الإلكترونية لتوفير إمكانات مسار التحكّم، ولكن ليس لإدارة جلسات BGP. |
Cloud NAT | يستفيد NEG للإنترنت على مستوى المنطقة من Cloud NAT للخروج إلى الإنترنت. |
4. طوبولوجيا الدرس التطبيقي حول الترميز
5- الإعداد والمتطلبات
إعداد البيئة حسب السرعة التي تناسبك
- سجِّل الدخول إلى Google Cloud Console وأنشئ مشروعًا جديدًا أو أعِد استخدام مشروع حالي. إذا لم يكن لديك حساب على Gmail أو Google Workspace، عليك إنشاء حساب.
- اسم المشروع هو الاسم المعروض للمشاركين في هذا المشروع. وهي سلسلة أحرف لا تستخدمها واجهات برمجة تطبيقات Google. ويمكنك تعديلها في أي وقت.
- يكون معرّف المشروع فريدًا في جميع مشاريع Google Cloud وغير قابل للتغيير (لا يمكن تغييره بعد ضبطه). تنشئ وحدة تحكّم Cloud Console سلسلة فريدة تلقائيًا، ولا يهمّك عادةً معرفة قيمتها. في معظم ورشات عمل رموز البرامج، ستحتاج إلى الإشارة إلى معرّف المشروع (يُعرَف عادةً باسم
PROJECT_ID). إذا لم يعجبك المعرّف الذي تم إنشاؤه، يمكنك إنشاء معرّف آخر عشوائي. يمكنك بدلاً من ذلك تجربة عنوانك الخاص لمعرفة ما إذا كان متاحًا. ولا يمكن تغييره بعد هذه الخطوة ويبقى ساريًا طوال مدة المشروع. - يُرجى العِلم أنّ هناك قيمة ثالثة، وهي رقم المشروع، تستخدمها بعض واجهات برمجة التطبيقات. اطّلِع على مزيد من المعلومات عن كلّ من هذه القيم الثلاث في المستندات.
- بعد ذلك، عليك تفعيل الفوترة في Cloud Console لاستخدام موارد/واجهات برمجة تطبيقات Cloud. لن تُكلّفك المشاركة في هذا الدليل التعليمي للترميز الكثير، إن لم يكن أيّ تكلفة على الإطلاق. لإيقاف الموارد لتجنُّب تحصيل رسوم بعد انتهاء هذا الدليل التعليمي، يمكنك حذف الموارد التي أنشأتها أو حذف المشروع. يكون مستخدمو Google Cloud الجدد مؤهّلين للاستفادة من برنامج الفترة التجريبية المجانية التي تقدّم رصيدًا بقيمة 300 دولار أمريكي.
بدء Cloud Shell
على الرغم من أنّه يمكن تشغيل Google Cloud عن بُعد من الكمبيوتر المحمول، ستستخدم في هذا الدليل التعليمي Google Cloud Shell، وهي بيئة سطر أوامر تعمل في السحابة الإلكترونية.
من Google Cloud Console، انقر على رمز Cloud Shell في شريط الأدوات أعلى يسار الصفحة:
من المفترض ألا تستغرق عملية توفير البيئة والاتصال بها سوى بضع لحظات. عند الانتهاء، من المفترض أن يظهر لك ما يلي:
يتم تحميل هذه الآلة الافتراضية مزوّدة بكل أدوات التطوير التي ستحتاج إليها. ويقدّم هذا الدليل دليلاً منزليًا دائمًا بسعة 5 غيغابايت، ويتم تشغيله على Google Cloud، ما يُحسِّن بشكل كبير أداء الشبكة والمصادقة. يمكنك تنفيذ جميع أعمالك في هذا الدليل التعليمي للترميز داخل متصفّح. لست بحاجة إلى تثبيت أي تطبيق.
6- قبل البدء
تفعيل واجهات برمجة التطبيقات
في Cloud Shell، تأكَّد من إعداد رقم تعريف مشروعك:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
فعِّل جميع الخدمات اللازمة:
gcloud services enable compute.googleapis.com
7- إنشاء شبكة VPC لصانع المحتوى
شبكة VPC
في Cloud Shell، نفِّذ ما يلي:
gcloud compute networks create looker-psc-demo --subnet-mode custom
إنشاء شبكات فرعية
سيتم ربط الشبكة الفرعية لـ PSC بمرفق خدمة PSC بغرض ترجمة عناوين الشبكة.
داخل Cloud Shell، أنشئ شبكة فرعية لترجمة عنوان بروتوكول الإنترنت (NAT) في PSC:
gcloud compute networks subnets create producer-psc-nat-subnet --network looker-psc-demo --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT
داخل Cloud Shell، أنشئ الشبكة الفرعية لقاعدة إعادة توجيه المنتج:
gcloud compute networks subnets create producer-psc-fr-subnet --network looker-psc-demo --range 172.16.20.0/28 --region $region --enable-private-ip-google-access
داخل Cloud Shell، أنشئ الشبكة الفرعية للوكيل الإقليمي فقط لنشر الأخبار:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
إنشاء بوابة NAT العامة
يستخدم موازن الحمولة الوكيل الداخلي لبروتوكول النقل المتعدّد للمخطّطات (TCP) في المنطقة بوابة NAT للخروج إلى الإنترنت باستخدام خيار الضبط -endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB، وبالتالي لن تتوافق بوابة NATGW نفسها مع الخروج إلى الإنترنت في Google Compute Engine/Google Kubernetes Engine. يمكنك نشر بوابة NAT إضافية باستخدام الخيار –endpoint-types=ENDPOINT_TYPE_VM للخروج إلى الإنترنت في GCE/GKE.
داخل Cloud Shell، أنشئ "راوتر السحابة":
gcloud compute routers create looker-psc-demo-cloud-router --network looker-psc-demo --region $region
داخل Cloud Shell، أنشئ بوابة Cloud NAT التي تتيح الخروج إلى الإنترنت لجهاز موازنة الحمولة الوكيل لبروتوكول النقل المتعدّد للمخطّطات (TCP):
gcloud compute routers nats create looker-psc-demo-natgw \
--router=looker-psc-demo-cloud-router \
--endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
--nat-custom-subnet-ip-ranges=$region-proxy-only-subnet \
--auto-allocate-nat-external-ips \
--region=$region
حجز عنوان IP الخاص بجهاز موازنة الحمل
في Cloud Shell، احجز عنوان IP داخليًا لجهاز موازنة الحمل:
gcloud compute addresses create internet-neg-lb-ip \
--region=$region \
--subnet=producer-psc-fr-subnet
في Cloud Shell، اطّلِع على عنوان IP المحجوز.
gcloud compute addresses describe internet-neg-lb-ip \
--region=$region | grep -i address:
مثال على الإخراج:
user@cloudshell$ gcloud compute addresses describe internet-neg-lb-ip --region=$region | grep -i address:
address: 172.16.20.2
إعداد مجموعة نقاط نهاية الشبكة للإنترنت
أنشئ NEG على الإنترنت، واضبط –network-endpoint-type على internet-fqdn-port (اسم المضيف والمنفذ حيث يمكن الوصول إلى الخلفية الخارجية).
داخل Cloud Shell، أنشئ NEG على الإنترنت يُستخدَم لموقع github.com.
gcloud compute network-endpoint-groups create smtp-internet-neg \
--network-endpoint-type=INTERNET_FQDN_PORT \
--network=looker-psc-demo \
--region=$region
داخل Cloud Shell، عدِّل Internet NEG smtp-internet-neg باستخدام FQDN notifications-pa.googleapis.com والمنفذ 443.
gcloud compute network-endpoint-groups update smtp-internet-neg \
--add-endpoint="fqdn=notifications-pa.googleapis.com,port=443" \
--region=$region
إنشاء سياسة جدار حماية الشبكة وقواعد جدار الحماية
في Cloud Shell، نفِّذ ما يلي:
gcloud compute network-firewall-policies create looker-psc-demo-policy --global
gcloud compute network-firewall-policies associations create --firewall-policy looker-psc-demo-policy --network looker-psc-demo --name looker-psc-demo --global-firewall-policy
تسمح قاعدة جدار الحماية التالية بمرور الزيارات من نطاق الشبكة الفرعية لبروتوكول ترجمة عنوان الشبكة (NAT) في وحدة التحكّم في حدود الجلسة إلى جميع المثيلات في الشبكة.
في Cloud Shell، نفِّذ ما يلي:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy looker-psc-demo-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp
8. إنشاء خدمة منتج
إنشاء مكوّنات جهاز موازنة الحمل
في Cloud Shell، نفِّذ ما يلي:
gcloud compute backend-services create producer-backend-svc --protocol=tcp --region=$region --load-balancing-scheme=INTERNAL_MANAGED
gcloud compute backend-services add-backend producer-backend-svc --network-endpoint-group=smtp-internet-neg --network-endpoint-group-region=$region --region=$region
في Cloud Shell، أنشئ خادمًا وكيلاً لبروتوكول النقل المتعدّد (TCP) المستهدَف لتوجيه الطلبات إلى خدمة الخلفية:
gcloud compute target-tcp-proxies create producer-lb-tcp-proxy \
--backend-service=producer-backend-svc \
--region=$region
في البنية التالية، أنشئ قاعدة إعادة توجيه (جهاز موازنة حمل داخلي لبروتوكول TCP).
في Cloud Shell، نفِّذ ما يلي:
gcloud compute forwarding-rules create producer-smtp-fr \
--load-balancing-scheme=INTERNAL_MANAGED \
--network-tier=PREMIUM \
--network=looker-psc-demo \
--subnet=producer-psc-fr-subnet \
--address=internet-neg-lb-ip \
--target-tcp-proxy=producer-lb-tcp-proxy \
--target-tcp-proxy-region=$region \
--region=$region \
--ports=443
إنشاء مرفق الخدمة
داخل Cloud Shell، أنشئ مرفق الخدمة smtp-svc-attachment:
gcloud compute service-attachments create smtp-svc-attachment --region=$region --producer-forwarding-rule=producer-smtp-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet
بعد ذلك، احصل على مرفق الخدمة المدرَج في عنوان URL الخاص برابط الخدمة الذاتي، واحرص على تدوينه، بدءًا من المشاريع لضبط نقطة نهاية PSC في Looker.
selfLink: projects/<your-project-id>/regions/<your-region>/serviceAttachments/github-svc-attachment-https
في Cloud Shell، نفِّذ ما يلي:
gcloud compute service-attachments describe smtp-svc-attachment --region=$region
مثال:
connectionPreference: ACCEPT_AUTOMATIC
creationTimestamp: '2024-10-04T14:56:50.409-07:00'
description: ''
enableProxyProtocol: false
fingerprint: KUPXTZjrGkw=
id: '8947818105173563981'
kind: compute#serviceAttachment
name: smtp-svc-attachment
natSubnets:
- https://www.googleapis.com/compute/v1/projects/$project/regions/$region/subnetworks/producer-psc-nat-subnet
pscServiceAttachmentId:
high: '23100082169578472'
low: '8947818105173563981'
reconcileConnections: false
region: https://www.googleapis.com/compute/v1/projects/$project/regions/$region
selfLink: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/serviceAttachments/smtp-svc-attachment
targetService: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/forwardingRules/producer-smtp-fr
في Cloud Console، انتقِل إلى:
خدمات الشبكة → Private Service Connect → الخدمات المنشورة
9. إنشاء اتصال بنقطة نهاية PSC في Looker
في القسم التالي، ستربط "مرفق خدمة المنتجين" بخدمة Private Service Connect في Looker Core من خلال استخدام علامات –psc-service-attachment في Cloud Shell لنطاق واحد.
داخل Cloud Shell، أنشئ عملية ربط psc من خلال تعديل المَعلمات التالية لتتطابق مع بيئتك:
- INSTANCE_NAME: اسم مثيل Looker (Google Cloud core)
- DOMAIN_1: notifications-pa.googleapis.com
- SERVICE_ATTACHMENT_1: عنوان URL تم تسجيله عند وصف مرفق الخدمة، smtp-svc-attachment
- REGION: المنطقة التي تتم فيها استضافة نسخة Looker (Google Cloud core)
في Cloud Shell، نفِّذ ما يلي:
gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--region=REGION
مثال:
gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=notifications-pa.googleapis.com,attachment=projects/$project/regions/$region/serviceAttachments/smtp-svc-attachment \
--region=$region
داخل Cloud Shell، تحقّق من أنّ حالة اتصال serviceAttachments هي "مقبول"، وعدِّلها باستخدام INSTANCE_NAME لـ Looker PSC.
gcloud looker instances describe [INSTANCE_NAME] --region=$region --format=json
مثال:
gcloud looker instances describe looker-psc-instance --region=$region --format=json
مثال:
{
...........................
"serviceAttachments": [
{
"connectionStatus": "ACCEPTED",
"localFqdn": "notifications-pa.googleapis.com",
"targetServiceAttachmentUri": "projects/$project/regions/$region/serviceAttachments/smtp-svc-attachment"
}
]
},
"pscEnabled": true,
"state": "ACTIVE",
"updateTime": "2024-10-04T22:02:31.445761128Z"
}
التحقّق من نقطة نهاية PSC في Cloud Console
من Cloud Console، يمكنك التحقّق من صحة اتصال PSC.
في Cloud Console، انتقِل إلى:
Looker → نسخة Looker → التفاصيل
10. اختبار اتصال SMTP
في الخطوات التالية، ستستخدم Looker Console للتحقّق من إمكانية الاتصال بـ SMTP من خلال إنشاء اختبار SMTP وإعداد تقرير عنه.
الرسالة الإلكترونية الاختبارية
تُرسِل Looker الرسائل الإلكترونية باستخدام خادم SMTP التلقائي notifications-pa.googleapis.com. ولا يلزم اتّخاذ أي خطوات إضافية في هذه الحالة. إذا كنت تريد استخدام خادم SMTP مختلف للإشعارات، يُرجى الرجوع إلى قسم إعدادات SMTP المخصّصة.
افتح Looker Console وانتقِل إلى ما يلي:
المشرف → المنصة → بروتوكول SMTP → اختيار "إرسال رسالة اختبارية"
في ما يلي الرسالة الإلكترونية التجريبية التي تم الحصول عليها من Looker:
الرسالة الإلكترونية التي تتضمّن التقرير الذي تم إنشاؤه
انتقِل إلى ما يلي:
استكشاف → نشاط النظام → استخدام واجهة برمجة التطبيقات → نوع طلب البحث في واجهة برمجة التطبيقات → تشغيل
مثال على الإخراج:
لإرسال النتائج إلى بريدك الإلكتروني، انقر على رمز الترس.
انقر على "إرسال" لفتح نافذة جديدة.
أدخِل عنوان بريدك الإلكتروني وانقر على "إرسال".
في ما يلي الرسالة الإلكترونية التجريبية التي تم الحصول عليها من Looker:
11. إعدادات SMTP المخصّصة
في هذا الدليل التعليمي، يتم استخدام خادم SMTP في Looker لإرسال إشعارات عبر البريد الإلكتروني من خلال اسم النطاق المؤهَّل بالكامل notifications-pa.googleapis.com وCloud NAT الذي يُجري عملية الخروج إلى الإنترنت. لاستخدام خادم SMTP الخاص بك، أنشئ مرفق خدمة جديدًا مع التعديلات التالية:
عدِّل NEG للإنترنت باستخدام الاسم الكامل المؤهل لخادم SMTP:
gcloud compute network-endpoint-groups update smtp-internet-neg \
--add-endpoint="fqdn=<your SMTP FQDN>,port=443" \
--region=$region
حدِّد نطاق SMTP عند تعديل مثيل Looker PSC:
- INSTANCE_NAME: اسم مثيل Looker (Google Cloud core)
- DOMAIN_1: <FQDN لخادم SMTP>
- SERVICE_ATTACHMENT_1: عنوان URL تم تسجيله عند وصف مرفق الخدمة، smtp-svc-attachment
- المنطقة: المنطقة التي تتم فيها استضافة نسخة Looker (Google Cloud core).
gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--region=REGION
لاستخدام خدمة بريد إلكتروني مختلفة، اختَر استخدام إعدادات بريد إلكتروني مخصّصة.
12. تَنظيم
حذف مكوّنات المختبر من محطة طرفية واحدة في Cloud Shell
gcloud compute service-attachments delete smtp-svc-attachment --region=$region -q
gcloud compute forwarding-rules delete producer-smtp-fr --region=$region -q
gcloud compute target-tcp-proxies delete producer-lb-tcp-proxy --region=$region -q
gcloud compute backend-services delete producer-backend-svc --region=$region -q
gcloud compute network-firewall-policies rules delete 2001 --firewall-policy looker-psc-demo-policy --global-firewall-policy -q
gcloud compute network-firewall-policies associations delete --firewall-policy=looker-psc-demo-policy --name=looker-psc-demo --global-firewall-policy -q
gcloud compute network-firewall-policies delete looker-psc-demo-policy --global -q
gcloud compute routers nats delete looker-psc-demo-natgw --router=looker-psc-demo-cloud-router --router-region=$region -q
gcloud compute routers delete looker-psc-demo-cloud-router --region=$region -q
gcloud compute network-endpoint-groups delete smtp-internet-neg --region=$region -q
gcloud compute addresses delete internet-neg-lb-ip --region=$region -q
gcloud compute networks subnets delete producer-psc-fr-subnet producer-psc-nat-subnet $region-proxy-only-subnet --region=$region -q
gcloud compute networks delete looker-psc-demo -q
13. تهانينا
نبارك لك على نجاحك في ضبط إعدادات الاتصال بخدمة SMTP في Looker والتحقّق منها باستخدام Looker Console المستندة إلى Private Service Connect.
لقد أنشأت البنية الأساسية للمنتج، وتعرّفت على كيفية إنشاء نقطة نهاية NEG للإنترنت ونقطة نهاية PSC لخدمة Producer وLooker التي تتيح الاتصال بخدمة Producer.
يعتقد Cosmopup أنّ الدروس التطبيقية حول الترميز رائعة.
الخطوة التالية
اطّلِع على بعض هذه الدروس التطبيقية حول الترميز...
- استخدام Private Service Connect لنشر الخدمات واستخدامها
- الاتصال بالخدمات المستضافة على الموقع باستخدام "الشبكات المختلطة" باستخدام Private Service Connect وجهاز موازنة تحميل وكيل TCP داخلي
- الوصول إلى جميع مجموعات رموز Private Service Connect المنشورة