NEG de Internet de SSH de PSC de Looker

1. Introducción

En este codelab, realizarás una conexión SSH de norte a sur a GitHub con un balanceador de cargas de proxy TCP interno y un grupo de extremos de red de Internet invocado desde el PSC de Looker como consumidor de servicios.

Private Service Connect es una función de las herramientas de redes de Google Cloud que permite a los consumidores acceder a los servicios administrados de forma privada desde su red de VPC. Del mismo modo, permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada a sus consumidores. Por ejemplo, cuando usas Private Service Connect para acceder a Looker, tú eres el consumidor del servicio y Google es el productor del servicio, como se destaca en la Figura 1.

Figura 1:

145ea4672c3a3b14.png

El acceso de sur a norte, también conocido como PSC inverso, permite que el consumidor cree un servicio publicado como productor para permitir que Looker acceda a extremos locales, en una VPC, a servicios administrados y a Internet. Las conexiones de salida se pueden implementar en cualquier región, independientemente de dónde se implemente el PSC de Looker, como se destaca en la Figura 2.

Figura 2:

259493afd914f68b.png

Qué aprenderás

  • Requisitos de red
  • Crea un servicio de productor de Private Service Connect
  • Crea un extremo de Private Service Connect en Looker
  • Establece la conectividad a GitHub desde Looker con una conexión de prueba

Requisitos

def88091b42bfe4d.png

2. Qué compilarás

Establecerás una red de productor, looker-psc-demo, para implementar el balanceador de cargas de proxy TCP interno y el NEG de Internet publicado como servicio a través de Private Service Connect (PSC). Una vez que se publique, realizarás las siguientes acciones para validar el acceso al servicio de productor:

  • Crea un extremo de PSC en Looker asociado con el adjunto de servicio del productor
  • Usa Looker Console para crear un proyecto nuevo y prueba la conectividad de SSH a GitHub.com con el procedimiento Cómo conectarse a Git con SSH.

3. Requisitos de red

A continuación, se muestra el desglose de los requisitos de red para la red de productor. El consumidor en este codelab es la instancia de PSC de Looker.

Red del productor

Componentes

Descripción

VPC (looker-psc-demo)

VPC en modo personalizado

Subred de NAT de PSC

Los paquetes de la red de VPC del consumidor se traducen mediante NAT de origen (SNAT) para que sus direcciones IP de origen originales se conviertan en direcciones IP de origen de la subred NAT en la red de VPC del productor.

Subred de la regla de reenvío de PSC

Se usa para asignar una dirección IP al balanceador de cargas de proxy TCP regional interno.

Subred del PSC NEG

Se usa para asignar una dirección IP al grupo de extremos de red.

Subred de solo proxy

A cada uno de los proxies del balanceador de cargas se le asigna una dirección IP interna. Los paquetes enviados desde un proxy a una VM o un extremo de backend tienen una dirección IP de origen de la subred de solo proxy.

NEG de Internet

Es un recurso que se usa para definir un backend externo para el balanceador de cargas. No se puede acceder al extremo solo desde Cloud VPN o Cloud Interconnect.

Servicio de backend

Un servicio de backend actúa como un puente entre el balanceador de cargas y tus recursos de backend. En el instructivo, el servicio de backend está asociado con el NEG de Internet.

Cloud Router

Cloud NAT se basa en Cloud Routers para las funciones del plano de control, pero no para la administración de sesiones de BGP.

Cloud NAT

El NEG de Internet regional aprovecha Cloud NAT para la salida a Internet.

4. Topología del codelab

dfa4dd1d681a66da.png

5. Configuración y requisitos

Configuración del entorno de autoaprendizaje

  1. Accede a Google Cloud Console y crea un proyecto nuevo o reutiliza uno existente. Si aún no tienes una cuenta de Gmail o de Google Workspace, debes crear una.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • El Nombre del proyecto es el nombre visible de los participantes de este proyecto. Es una cadena de caracteres que no se utiliza en las APIs de Google. Puedes actualizarla cuando quieras.
  • El ID del proyecto es único en todos los proyectos de Google Cloud y es inmutable (no se puede cambiar después de configurarlo). La consola de Cloud genera automáticamente una cadena única. Por lo general, no importa cuál sea. En la mayoría de los codelabs, deberás hacer referencia al ID de tu proyecto (suele identificarse como PROJECT_ID). Si no te gusta el ID que se generó, podrías generar otro aleatorio. También puedes probar uno propio y ver si está disponible. No se puede cambiar después de este paso y se usa el mismo durante todo el proyecto.
  • Recuerda que hay un tercer valor, un número de proyecto, que usan algunas APIs. Obtén más información sobre estos tres valores en la documentación.
  1. A continuación, deberás habilitar la facturación en la consola de Cloud para usar las APIs o los recursos de Cloud. Ejecutar este codelab no costará mucho, tal vez nada. Para cerrar recursos y evitar que se generen cobros más allá de este instructivo, puedes borrar los recursos que creaste o borrar el proyecto. Los usuarios nuevos de Google Cloud son aptos para participar en el programa Prueba gratuita de $300.

Inicia Cloud Shell

Si bien Google Cloud y Spanner se pueden operar de manera remota desde tu laptop, en este codelab usarás Google Cloud Shell, un entorno de línea de comandos que se ejecuta en la nube.

En Google Cloud Console, haz clic en el ícono de Cloud Shell en la barra de herramientas en la parte superior derecha:

55efc1aaa7a4d3ad.png

El aprovisionamiento y la conexión al entorno deberían tomar solo unos minutos. Cuando termine el proceso, debería ver algo como lo siguiente:

7ffe5cbb04455448.png

Esta máquina virtual está cargada con todas las herramientas de desarrollo que necesitarás. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud, lo que permite mejorar considerablemente el rendimiento de la red y la autenticación. Todo tu trabajo en este codelab se puede hacer en un navegador. No es necesario que instales nada.

6. Antes de comenzar

Habilita las APIs

En Cloud Shell, asegúrate de que tu ID del proyecto esté configurado:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region

Habilita todos los servicios necesarios con el siguiente comando:

gcloud services enable compute.googleapis.com

7. Crea la red de VPC del productor

Red de VPC

En Cloud Shell, haz lo siguiente:

gcloud compute networks create looker-psc-demo --subnet-mode custom

Crea subredes

La subred de PSC se asociará con el adjunto de servicio de PSC para la traducción de direcciones de red.

En Cloud Shell, crea la subred de NAT de PSC:

gcloud compute networks subnets create producer-psc-nat-subnet --network looker-psc-demo --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT

En Cloud Shell, crea la subred de la regla de reenvío del productor:

gcloud compute networks subnets create producer-psc-fr-subnet --network looker-psc-demo --range 172.16.20.0/28 --region $region --enable-private-ip-google-access

En Cloud Shell, crea la subred de solo proxy regional del productor:

gcloud compute networks subnets create $region-proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=looker-psc-demo \
  --range=10.10.10.0/24

Crea la puerta de enlace de NAT pública

El balanceador de cargas de proxy TCP interno regional usa la puerta de enlace de NAT para la salida a Internet con la opción de configuración –endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB, por lo que la misma NATGW no admitirá la salida a Internet de GCE/GKE. Implementa una puerta de enlace de NAT adicional con el parámetro –endpoint-types=ENDPOINT_TYPE_VM para la salida a Internet de GCE/GKE.

En Cloud Shell, crea el Cloud Router:

gcloud compute routers create looker-psc-demo-cloud-router --network looker-psc-demo --region $region

En Cloud Shell, crea la puerta de enlace de Cloud NAT para habilitar la salida a Internet del balanceador de cargas de proxy TCP:

gcloud compute routers nats create looker-psc-demo-natgw \
  --router=looker-psc-demo-cloud-router \
  --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
  --nat-custom-subnet-ip-ranges=$region-proxy-only-subnet \
  --auto-allocate-nat-external-ips \
  --region=$region

Reserva la dirección IP del balanceador de cargas

En Cloud Shell, reserva una dirección IP interna para el balanceador de cargas:

gcloud compute addresses create internet-neg-lb-ip \
  --region=$region \
  --subnet=producer-psc-fr-subnet

En Cloud Shell, consulta la dirección IP reservada.

gcloud compute addresses describe internet-neg-lb-ip \
  --region=$region | grep -i address:

Ejemplo:

user@cloudshell$ gcloud compute addresses describe internet-neg-lb-ip   --region=$region | grep -i address:
address: 172.16.20.2

Configura el NEG de Internet

Crea un NEG de Internet y establece el tipo de extremo de red en internet-fqdn-port (el nombre de host y el puerto en el que se encuentra el backend externo).

En Cloud Shell, crea un NEG de Internet que se use para github.com

gcloud compute network-endpoint-groups create github-internet-neg-ssh \
    --network-endpoint-type=INTERNET_FQDN_PORT \
    --network=looker-psc-demo \
    --region=$region

En Cloud Shell, actualiza el NEG de Internet github-internet-neg-ssh con el FQDN github.com y el puerto 22.

gcloud compute network-endpoint-groups update github-internet-neg-ssh \
    --add-endpoint="fqdn=github.com,port=22" \
    --region=$region

Crea una política de firewall de red y reglas de firewall

En Cloud Shell, haz lo siguiente:

gcloud compute network-firewall-policies create looker-psc-demo-policy --global

gcloud compute network-firewall-policies associations create --firewall-policy looker-psc-demo-policy --network looker-psc-demo --name looker-psc-demo --global-firewall-policy

La siguiente regla de firewall permite el tráfico del rango de subred de NAT de PSC a todas las instancias de la red.

En Cloud Shell, haz lo siguiente:

gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy looker-psc-demo-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp

8. Crea un servicio de productor

Crea componentes del balanceador de cargas

En Cloud Shell, haz lo siguiente:

gcloud compute backend-services create producer-backend-svc  --protocol=tcp --region=$region --load-balancing-scheme=INTERNAL_MANAGED

gcloud compute backend-services add-backend producer-backend-svc --network-endpoint-group=github-internet-neg-ssh --network-endpoint-group-region=$region --region=$region

En Cloud Shell, crea un proxy TCP de destino para enrutar las solicitudes a tu servicio de backend:

gcloud compute target-tcp-proxies create producer-lb-tcp-proxy \
      --backend-service=producer-backend-svc  \
      --region=$region

En la siguiente sintaxis, crea una regla de reenvío (balanceador de cargas de proxy TCP interno).

En Cloud Shell, haz lo siguiente:

gcloud compute forwarding-rules create producer-github-fr \
     --load-balancing-scheme=INTERNAL_MANAGED \
     --network-tier=PREMIUM \
     --network=looker-psc-demo \
     --subnet=producer-psc-fr-subnet \
     --address=internet-neg-lb-ip \
     --target-tcp-proxy=producer-lb-tcp-proxy \
     --target-tcp-proxy-region=$region \
     --region=$region \
     --ports=22

Cómo crear un archivo adjunto de servicio

En Cloud Shell, crea el archivo adjunto de servicio github-svc-attachment-ssh:

gcloud compute service-attachments create github-svc-attachment-ssh --region=$region --producer-forwarding-rule=producer-github-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet

A continuación, obtén y anota el archivo adjunto de servicio que aparece en el URI de selfLink que comienza con proyectos para configurar el extremo de PSC en Looker.

selfLink: projects/<your-project-id>/regions/<your-region>/serviceAttachments/github-svc-attachment-ssh

En Cloud Shell, haz lo siguiente:

gcloud compute service-attachments describe github-svc-attachment-ssh --region=$region

Ejemplo de resultado esperado

connectionPreference: ACCEPT_AUTOMATIC
creationTimestamp: '2024-08-31T13:43:07.078-07:00'
description: ''
enableProxyProtocol: false
fingerprint: O5OtqHR33v4=
id: '7557641709467614900'
kind: compute#serviceAttachment
name: github-svc-attachment-ssh
natSubnets:
- https://www.googleapis.com/compute/v1/projects/$project/regions/$region/subnetworks/producer-psc-nat-subnet
pscServiceAttachmentId:
  high: '19348441121424360'
  low: '7557641709467614900'
reconcileConnections: false
region: https://www.googleapis.com/compute/v1/projects/$project/regions/$region
selfLink: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/serviceAttachments/github-svc-attachment-ssh
targetService: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/forwardingRules/producer-github-fr

En la consola de Cloud, navega a:

Servicios de red → Private Service Connect → Servicios publicados

30b1a280966b1f06.png

4eafe698193f5f44.png

9. Establece una conexión de extremo de PSC en Looker

En la siguiente sección, asociarás el archivo adjunto de servicio de productores con el PSC de Looker Core mediante el uso de marcas –psc-service-attachment en Cloud Shell para un solo dominio.

En Cloud Shell, crea la asociación de psc actualizando los siguientes parámetros para que coincidan con tu entorno:

  • INSTANCE_NAME: Es el nombre de tu instancia de Looker (Google Cloud Core).
  • DOMAIN_1: githubssh.com
  • SERVICE_ATTACHMENT_1: Es el URI capturado cuando se describe el archivo adjunto de servicio, github-svc-attachment-ssh.
  • REGION: Es la región en la que se aloja tu instancia de Looker (Google Cloud Core).

En Cloud Shell, haz lo siguiente:

gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment  domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--region=REGION

Ejemplo:

gcloud looker instances update looker-psc-instance \
--psc-service-attachment  domain=githubssh.com,attachment=projects/$project/regions/$region/serviceAttachments/github-svc-attachment-ssh \
--region=$region

En Cloud Shell, valida que el estado de conexión de serviceAttachments sea “ACCEPTED”. Actualiza con tu INSTANCE_NAME de PSC de Looker.

gcloud looker instances describe [INSTANCE_NAME] --region=$region --format=json

Ejemplo:

gcloud looker instances describe looker-psc-instance --region=$region --format=json

Ejemplo:

{
  "adminSettings": {},
  "createTime": "2024-08-23T00:00:45.339063195Z",
  "customDomain": {
    "domain": "cosmopup.com",
    "state": "AVAILABLE"
  },
  "encryptionConfig": {},
  "lookerVersion": "24.14.18",
  "name": "projects/$project/locations/$region/instances/looker-psc-instance",
  "platformEdition": "LOOKER_CORE_ENTERPRISE_ANNUAL",
  "pscConfig": {
    "allowedVpcs": [
      "projects/$project/global/networks/looker-psc-demo",
      "projects/$project/global/networks/looker-shared-vpc"
    ],
    "lookerServiceAttachmentUri": "projects/t7ec792caf2a609d1-tp/regions/$region/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183",
    "serviceAttachments": [
      {
        "connectionStatus": "ACCEPTED",
        "localFqdn": "githubssh.com",
        "targetServiceAttachmentUri": "projects/$project/regions/$region/serviceAttachments/github-svc-attachment-ssh"
      }
    ]
  },
  "pscEnabled": true,
  "state": "ACTIVE",
  "updateTime": "2024-08-31T20:53:04.824018122Z"
}

Cómo validar el extremo de PSC en la consola de Cloud

Desde la consola de Cloud, puedes validar la conexión de PSC.

En la consola de Cloud, navega a:

Looker → Instancia de Looker → Detalles

2d4684d722d31e4b.png

db670bb008ea3fc4.png

10. Prueba la conectividad a GitHub

En los siguientes pasos, usarás Looker Console para crear un proyecto que valide la conectividad de SSH a GitHub.com. Para ello, actualizarás el dominio github.com a githubssh.com en la IU de Looker. Esta acción solo es necesaria para las conexiones SSH a GitHub.

11. Crea un proyecto nuevo

Habilita el modo de desarrollo

En Looker Console, navega a:

Habilita el modo de desarrollo (página inferior izquierda). Una vez que lo hagas, aparecerá el banner "Estás en modo de desarrollo".

70c9ded749decfbe.png

Crea un proyecto nuevo

En la consola de Cloud, navega a:

Desarrollar → Proyectos

e8ae11e0392a776d.png

Selecciona Nuevo proyecto de LookML

65a3c2573e97e1e9.png

Proporciona un nombre para el proyecto, selecciona Proyecto en blanco y, luego, Crear proyecto.

dbb890960291aa84.png

Selecciona Configurar Git.

42f5e51ce70642ad.png

Configura Git

3962a1fe7ac8da77.png

Una vez que selecciones Continuar, se te pedirá que valides la URL del repositorio y el servicio de hosting de Git.

743e5d963cfe6f82.png

Agrega la clave de implementación a tu repositorio de GitHub. Asegúrate de permitir el acceso de escritura. Una vez que se actualice, selecciona Probar y finalizar la configuración.

4894e0af6421802e.png

Selecciona Acciones de Git

e87931dbf7e265f3.png

Selecciona Probar conexión de Git.

73d90adf267120af.png

Valida la prueba de conexión de Git

f69bc63b9c595aa1.png

12. Limpia

Borra componentes del lab desde una sola terminal de Cloud Shell

gcloud compute service-attachments delete github-svc-attachment-ssh --region=$region -q

gcloud compute forwarding-rules delete producer-github-fr --region=$region -q

gcloud compute target-tcp-proxies delete producer-lb-tcp-proxy --region=$region -q

gcloud compute backend-services delete producer-backend-svc --region=$region -q

gcloud compute network-firewall-policies rules delete 2001 --firewall-policy looker-psc-demo-policy --global-firewall-policy -q

gcloud compute network-firewall-policies associations delete --firewall-policy=looker-psc-demo-policy  --name=looker-psc-demo --global-firewall-policy -q

gcloud compute network-firewall-policies delete looker-psc-demo-policy --global -q

gcloud compute routers nats delete looker-psc-demo-natgw --router=looker-psc-demo-cloud-router --router-region=$region -q

gcloud compute routers delete looker-psc-demo-cloud-router --region=$region -q

gcloud compute addresses delete internet-neg-lb-ip --region=$region -q

gcloud compute network-endpoint-groups delete github-internet-neg-ssh --region=$region -q

gcloud compute networks subnets delete producer-psc-fr-subnet producer-psc-nat-subnet $region-proxy-only-subnet --region=$region -q

gcloud compute networks delete looker-psc-demo -q

13. Felicitaciones

¡Felicitaciones! Configuraste y validaste correctamente la conectividad a GitHub con Looker Console con Private Service Connect.

Creaste la infraestructura del productor y aprendiste a crear un NEG de Internet, un servicio de productor y un extremo de PSC de Looker que permitieron la conectividad al servicio de productor.

Cosmopup piensa que los codelabs son geniales.

c911c127bffdee57.jpeg

¿Qué sigue?

Consulta algunos codelabs sobre los siguientes temas:

Lecturas y videos adicionales

Documentos de referencia