1. Giriş
Otomatik DNS yapılandırmasıyla Private Service Connect, tüketici Private Service Connect uç noktası IP adresleriyle programlanmış DNS kayıtlarını otomatik olarak oluşturmak için Hizmet Dizini ve Cloud DNS'yi kullanır.
Ne oluşturacaksınız?
Bu codelab'de, Şekil 1'de gösterildiği gibi otomatik DNS kullanımını gösteren kapsamlı bir Private Service Connect mimarisi oluşturacaksınız.
Otomatik DNS'nin kullanılabilmesini sağlayanlar:
- Üretici hizmet eki, Private Service Connect hizmet eki oluşturulurken "–domain-names" işaretiyle sahip olunan bir ortak alan adı sağlayarak otomatik DNS oluşturur.
- Tüketici bir uç nokta adı tanımlar.
- Otomatik DNS, tüketici uç nokta adından oluşan bir Hizmet Dizini girişinin yanı sıra hem DNS alt bölgesi goog-psc-default-us-central1 hem de DNS adı cosmopup.net oluşturur.
Otomatik DNS'nin avantajı, son kullanıcının DNS aracılığıyla tüketici uç noktasıyla iletişim kurabildiği (4) numaralı resimde gösterilmektedir. FQDN stargazer.cosmopup.net.
Şekil 1
Neler öğreneceksiniz?
- Dahili HTTP(S) yük dengeleyici oluşturma
- Otomatik DNS ile hizmet eki oluşturma
- Private Service Connect üretici hizmeti oluşturma
- Otomatik DNS kullanarak tüketici uç noktasına erişme
Gerekenler
- Google Cloud projesi
- Sahibi olduğunuz bir kamu alanı
2. Başlamadan önce
Projeyi Codelab'i destekleyecek şekilde güncelleme
Bu Codelab, Cloud Shell'de gcloud yapılandırma uygulamasını kolaylaştırmak için $variables kullanır.
Cloud Shell'de aşağıdakileri yapın:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname
3. Producer kurulumu
Üretici VPC'sini oluşturma
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks create producer-vpc --project=$projectname --subnet-mode=custom
Üretici alt ağlarını oluşturma
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks subnets create gce-subnet --project=$projectname --range=172.16.20.0/28 --network=producer-vpc --region=us-central1
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks subnets create load-balancer-subnet --project=$projectname --range=172.16.10.0/28 --network=producer-vpc --region=us-central1
Dahili yük dengeleyici için bir IP adresi ayırma
Cloud Shell'de aşağıdakileri yapın:
gcloud compute addresses create lb-ip \
--region=us-central1 \
--subnet=load-balancer-subnet \
--purpose=GCE_ENDPOINT
Ayrılan IP adresini görüntüleme
Ayrılan IP adresini görüntülemek için compute addresses describe command komutunu kullanın.
gcloud compute addresses describe lb-ip --region=us-central1 | grep address:
Bölgesel proxy alt ağlarını oluşturma
Proxy ayırma, yük dengeleyici düzeyinde değil VPC ağı düzeyinde yapılır. Envoy tabanlı yük dengeleyicileri kullandığınız bir sanal ağın (VPC) her bölgesinde bir yalnızca proxy alt ağı oluşturmanız gerekir. Aynı bölgede ve aynı VPC ağında birden fazla yük dengeleyici dağıtırsanız bunlar, yük dengeleme için aynı yalnızca proxy alt ağını paylaşır.
- Bir istemci, yük dengeleyicinin iletim kuralının IP adresine ve bağlantı noktasına bağlantı kurar.
- Her proxy, ilgili yük dengeleyicinin iletim kuralı tarafından belirtilen IP adresini ve bağlantı noktasını dinler. Proxy'lerden biri, istemcinin ağ bağlantısını alır ve sonlandırır.
- Proxy, yük dengeleyicinin URL eşlemesi ve arka uç hizmetleri tarafından belirlenen uygun arka uç VM'sine bağlantı kurar.
VPC ağınızın otomatik modda veya özel modda olup olmadığına bakılmaksızın yalnızca proxy alt ağları oluşturmanız gerekir. Yalnızca proxy kullanılan alt ağda en az 64 IP adresi sağlanmalıdır. Bunun karşılık geldiği ön ek uzunluğu /26 veya daha azdır. Önerilen alt ağ boyutu /23'tür (512 yalnızca proxy adresi).
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks subnets create proxy-subnet-us-central \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=us-central1 \
--network=producer-vpc \
--range=172.16.0.0/23
Private Service Connect NAT alt ağlarını oluşturma
Private Service Connect ile kullanmak için bir veya daha fazla özel alt ağ oluşturun. Hizmet yayınlamak için Google Cloud Console'u kullanıyorsanız bu işlem sırasında alt ağları oluşturabilirsiniz. Alt ağı, hizmetin yük dengeleyicisiyle aynı bölgede oluşturun. Normal bir alt ağı Private Service Connect alt ağına dönüştüremezsiniz.
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks subnets create psc-nat-subnet \
--project $projectname \
--network producer-vpc \
--region us-central1 \
--range 100.100.10.0/24 \
--purpose PRIVATE_SERVICE_CONNECT
Üretici güvenlik duvarı kurallarını oluşturma
Private Service Connect NAT alt ağı ile ILB proxy'si yalnızca alt ağı arasındaki trafiğe izin verecek şekilde güvenlik duvarı kurallarını yapılandırın.
Cloud Shell'de aşağıdakileri yapın:
gcloud compute --project=$projectname firewall-rules create allow-to-ingress-nat-subnet --direction=INGRESS --priority=1000 --network=producer-vpc --action=ALLOW --rules=all --source-ranges=100.100.10.0/24
Cloud Shell'de, Google Cloud durum denetimlerinin TCP bağlantı noktası 80'de üretici hizmetine (arka uç hizmeti) ulaşmasına izin vermek için fw-allow-health-check güvenlik duvarı kuralını oluşturun.
gcloud compute firewall-rules create fw-allow-health-check \
--network=producer-vpc \
--action=allow \
--direction=ingress \
--source-ranges=130.211.0.0/22,35.191.0.0/16 \
--rules=tcp:80
Yük dengeleyicinin TCP bağlantı noktası 80'de arka uç örnekleriyle iletişim kurmasına izin vermek için yalnızca proxy kullanılan alt ağda girişe izin veren bir güvenlik duvarı kuralı oluşturun.
gcloud compute firewall-rules create fw-allow-proxy-only-subnet \
--network=producer-vpc \
--action=allow \
--direction=ingress \
--source-ranges=172.16.0.0/23 \
--rules=tcp:80
Cloud Router ve NAT yapılandırması
Sanal makine örneğinde harici IP adresi olmadığından, yazılım paketi yükleme için bu kod laboratuvarında Cloud NAT kullanılır.
Cloud Shell'de bulut yönlendiricisini oluşturun.
gcloud compute routers create cloud-router-for-nat --network producer-vpc --region us-central1
Cloud Shell'de NAT ağ geçidini oluşturun.
gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
Örnek grubu yapılandırması
Aşağıdaki bölümde Compute Engine örneğini ve yönetilmeyen örnek grubunu oluşturacaksınız. Daha sonraki adımlarda örnek grubu, yük dengeleyici arka uç hizmeti olarak kullanılacaktır.
Cloud Shell'de, üretici hizmetine iletilen bölgesel durum denetimini oluşturun.
gcloud compute instances create app-server-1 \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=gce-subnet \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to App-Server-1 !!' | tee /var/www/html/index.html
EOF"
Cloud Shell'de yönetilmeyen örnek grubunu oluşturun.
gcloud compute instance-groups unmanaged create psc-instance-group --zone=us-central1-a
gcloud compute instance-groups unmanaged set-named-ports psc-instance-group --project=$projectname --zone=us-central1-a --named-ports=http:80
gcloud compute instance-groups unmanaged add-instances psc-instance-group --zone=us-central1-a --instances=app-server-1
Yük dengeleyiciyi yapılandırma
Aşağıdaki adımlarda, daha sonraki bir adımda hizmet eki olarak yayınlanacak olan dahili HTTP yük dengeleyiciyi yapılandıracaksınız.
Cloud Shell'de bölgesel durum denetimini oluşturun.
gcloud compute health-checks create http http-health-check \
--region=us-central1 \
--use-serving-port
Cloud Shell'de arka uç hizmetini oluşturun.
gcloud compute backend-services create l7-ilb-backend-service \
--load-balancing-scheme=INTERNAL_MANAGED \
--protocol=HTTP \
--health-checks=http-health-check \
--health-checks-region=us-central1 \
--region=us-central1
Cloud Shell'de arka uç hizmetine arka uçlar ekleyin.
gcloud compute backend-services add-backend l7-ilb-backend-service \
--balancing-mode=UTILIZATION \
--instance-group=psc-instance-group \
--instance-group-zone=us-central1-a \
--region=us-central1
Cloud Shell'de, gelen istekleri arka uç hizmetine yönlendirmek için URL eşlemesini oluşturun.
gcloud compute url-maps create l7-ilb-map \
--default-service l7-ilb-backend-service \
--region=us-central1
HTTP hedef proxy'sini oluşturun.
gcloud compute target-http-proxies create l7-ilb-proxy\
--url-map=l7-ilb-map \
--url-map-region=us-central1 \
--region=us-central1
Gelen istekleri proxy'ye yönlendirmek için bir iletim kuralı oluşturun. İletim kuralını oluşturmak için yalnızca proxy alt ağını kullanmayın.
gcloud compute forwarding-rules create l7-ilb-forwarding-rule \
--load-balancing-scheme=INTERNAL_MANAGED \
--network=producer-vpc \
--subnet=load-balancer-subnet \
--address=lb-ip \
--ports=80 \
--region=us-central1 \
--target-http-proxy=l7-ilb-proxy \
--target-http-proxy-region=us-central1
4. Yük dengeleyiciyi doğrulama
Cloud Console'da Network Services → Load Balancing → Load Balancers'a (Ağ Hizmetleri → Yük Dengeleme → Yük Dengeleyiciler) gidin. Arka uç hizmetine yönelik başarılı durum denetimini not edin.
"l7-ilb-map" seçildiğinde, daha önceki bir adımda greplediğiniz IP adresiyle eşleşmesi gereken ön uç IP adresi elde edilir ve arka uç hizmeti tanımlanır.
5. Private Service Connect hizmet ekini oluşturma
Hizmet ekini oluşturma
Cloud Shell'de hizmet ekini oluşturun. Alan adının sonuna "." eklediğinizden emin olun.
gcloud compute service-attachments create published-service --region=us-central1 --producer-forwarding-rule=l7-ilb-forwarding-rule --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=psc-nat-subnet --domain-names=cosmopup.net.
İsteğe bağlı: Paylaşılan VPC kullanıyorsanız hizmet ekini hizmet projesinde oluşturun.
gcloud compute service-attachments create published-service --region=us-central1 --producer-forwarding-rule=l7-ilb-forwarding-rule --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=projects/<hostproject>/regions/us-central1/subnetworks/psc-nat-subnet --domain-names=cosmopup.net.
Yeni oluşturulan hizmet ekini görüntülemek için Ağ Hizmetleri → Private Service Connect'e gidin.
published-service seçildiğinde, tüketici tarafından Private Service Connect bağlantısı oluşturmak için kullanılan hizmet eki URI'si ve alan adı da dahil olmak üzere daha fazla ayrıntı sağlanır.
Hizmet ekleme ayrıntıları:
projects/<project name>/regions/us-central1/serviceAttachments/published-service
6. Tüketici Kurulumu
Tüketici API'lerini etkinleştirme
Cloud Shell'de aşağıdakileri yapın:
gcloud services enable dns.googleapis.com
gcloud services enable servicedirectory.googleapis.com
Tüketici VPC ağı oluşturma
Cloud Shell'de aşağıdakileri yapın:
gcloud compute networks create consumer-vpc --project=$projectname --subnet-mode=custom
Tüketici alt ağlarını oluşturma
Cloud Shell'de test örneği için alt ağı oluşturun.
gcloud compute networks subnets create db1-subnet --project=$projectname --range=10.20.0.0/28 --network=consumer-vpc --region=us-central1
Cloud Shell'de tüketici uç noktası için bir alt ağ oluşturun.
gcloud compute networks subnets create consumer-ep-subnet --project=$projectname --range=10.10.0.0/28 --network=consumer-vpc --region=us-central1
Tüketici uç noktasını (yönlendirme kuralı) oluşturma
Cloud Shell'de, tüketici uç noktası için kullanılacak statik IP adresini oluşturun.
gcloud compute addresses create psc-consumer-ip-1 --region=us-central1 --subnet=consumer-ep-subnet --addresses 10.10.0.10
Tüketici uç noktasını oluşturmak için daha önce oluşturulan hizmet eki URI'sini kullanırız.
Cloud Shell'de tüketici uç noktasını oluşturun.
gcloud compute forwarding-rules create stargazer --region=us-central1 --network=consumer-vpc --address=psc-consumer-ip-1 --target-service-attachment=projects/$projectname/regions/us-central1/serviceAttachments/published-service
7. Tüketicinin VPC ağındaki bağlantıyı doğrulama
Tüketici VPC ağında Ağ Hizmetleri → Private Service Connect → Bağlı Uç Noktalar'a giderek başarılı bir Private Service Connection'ı doğrulayın. Daha önce oluşturduğumuz kurulan stargazer bağlantısını ve ilgili IP adresini not edin.
psc-consumer-1 seçildiğinde hizmet eki URI'si de dahil olmak üzere ayrıntılar sağlanır.
8. Üreticinin VPC ağındaki bağlantıyı doğrulama
Üreticinin VPC ağında Ağ Hizmetleri → Private Service Connect → Yayınlanan Hizmet'e giderek başarılı bir Private Service Connect bağlantısı olduğunu doğrulayın. Yayınlanan hizmet bağlantısının artık 1 iletim kuralı (bağlantı uç noktası) gösterdiğini unutmayın.
9. Otomatik DNS yapılandırmasını doğrulama
DNS ve Hizmet Dizini yapılandırmasını değerlendirelim.
Cloud DNS yapılandırması
Ağ Hizmetleri → Cloud DNS → Bölgeler'e gidin. goog-psc-default-us-central bölgesi ve cosmopup.net DNS adı otomatik olarak oluşturulur.
DNS ve Hizmet Dizini yapılandırmasını görüntüleme
Bölge adını seçtiğimizde Hizmet Dizini'nin Cloud DNS ile nasıl entegre edildiğini görebiliriz.
Hizmet Dizini yapılandırması
Ağ Hizmetleri → Hizmet Dizini'ne gidin.
"stargazer" tüketici uç noktası adını hatırlıyor musun? Hizmet dizininde otomatik olarak programlanır. Böylece, FQDN stargazer.goog-psc-default–us-central1 kullanılarak tüketici uç noktasına ulaşılabilir.
10. Tüketicinin üreticinin hizmetine erişimini doğrulama
Tüketicinin VPC ağından, yayınlanan hizmete bağlantıyı test etmek için tüketici uç noktası stargazer.cosmopup.net adresine erişerek bir sanal makine oluşturacağız.
Cloud Shell'de tüketici VPC'sinde test örneğini oluşturun.
gcloud compute instances create db1 \
--zone=us-central1-a \
--image-family=debian-10 \
--image-project=debian-cloud \
--subnet=db1-subnet \
--no-address
IAP'nin sanal makine örneklerinize bağlanmasına izin vermek için aşağıdaki özellikleri içeren bir güvenlik duvarı kuralı oluşturun:
- IAP kullanarak erişmek istediğiniz tüm sanal makine örnekleri için geçerlidir.
- 35.235.240.0/20 IP aralığından gelen giriş trafiğine izin verir. Bu aralık, IAP'nin TCP yönlendirme için kullandığı tüm IP adreslerini içerir.
Cloud Shell'de IAP güvenlik duvarı kuralını oluşturun.
gcloud compute firewall-rules create ssh-iap-consumer \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
Bir curl işlemi gerçekleştirerek üretici hizmetine bağlantıyı doğrulamak için Cloud Shell'de IAP kullanarak consumer-vm'ye giriş yapın. Zaman aşımı olursa tekrar deneyin.
gcloud compute ssh db1 --project=$projectname --zone=us-central1-a --tunnel-through-iap
Üretici hizmetine bağlantıyı doğrulayan bir curl işlemi gerçekleştirin. Doğrulandıktan sonra sanal makineden çıkıp Cloud Shell istemine dönün.
Cloud Shell'de özel alanınıza karşı bir curl işlemi gerçekleştirin. Örneğin, stargazer.[custom-domain.com]. Aşağıdaki çıktıda, stargazer.cosmopup.net için bir curl işlemi gerçekleştiriliyor.
user@db1:~$ curl -v stargazer.cosmopup.net
* Trying 10.10.0.10...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x55d3aa8190f0)
* Connected to stargazer.cosmopup.net (10.10.0.10) port 80 (#0)
> GET / HTTP/1.1
> Host: stargazer.cosmopup.net
> User-Agent: curl/7.64.0
> Accept: */*
>
< HTTP/1.1 200 OK
< date: Thu, 22 Dec 2022 00:16:25 GMT
< server: Apache/2.4.38 (Debian)
< last-modified: Wed, 21 Dec 2022 20:26:32 GMT
< etag: "1b-5f05c5e43a083"
< accept-ranges: bytes
< content-length: 27
< content-type: text/html
< via: 1.1 google
<
Welcome to App-Server-1 !!
Temizleme görevlerini başlatmak için Cloud Shell istemine dönerek sanal makineden çıkın.
11. Temizleme
Cloud Shell'den codelab bileşenlerini silin.
gcloud compute forwarding-rules delete stargazer --region=us-central1 --quiet
gcloud compute instances delete db1 --zone=us-central1-a --quiet
gcloud compute addresses delete psc-consumer-ip-1 --region=us-central1 --quiet
gcloud compute networks subnets delete consumer-ep-subnet db1-subnet --region=us-central1 --quiet
gcloud compute firewall-rules delete ssh-iap-consumer --quiet
gcloud compute networks delete consumer-vpc --quiet
gcloud compute service-attachments delete published-service --region=us-central1 --quiet
gcloud compute forwarding-rules delete l7-ilb-forwarding-rule --region=us-central1 --quiet
gcloud compute target-http-proxies delete l7-ilb-proxy --region=us-central1 --quiet
gcloud compute url-maps delete l7-ilb-map --region=us-central1 --quiet
gcloud compute backend-services delete l7-ilb-backend-service --region=us-central1 --quiet
gcloud compute instance-groups unmanaged delete psc-instance-group --zone=us-central1-a --quiet
gcloud compute instances delete app-server-1 --zone=us-central1-a --quiet
gcloud compute firewall-rules delete allow-to-ingress-nat-subnet fw-allow-health-check fw-allow-proxy-only-subnet --quiet
gcloud compute addresses delete lb-ip --region=us-central1 --quiet
gcloud compute networks subnets delete gce-subnet load-balancer-subnet psc-nat-subnet proxy-subnet-us-central --region=us-central1 --quiet
gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet
gcloud compute networks delete producer-vpc --quiet
12. Tebrikler
Tebrikler! Otomatik DNS yapılandırmasıyla Private Service Connect uç noktasını başarıyla yapılandırdınız ve doğruladınız.
Üretici altyapısını oluşturdunuz ve kamu alanı kaydı içeren bir hizmet eki eklediniz. Otomatik olarak oluşturulan DNS'yi kullanarak şirket içi hizmete bağlantı sağlayan tüketici VPC ağında tüketici uç noktası oluşturmayı öğrendiniz.
Cosmopup, codelab'lerin harika olduğunu düşünüyor.
Yapabilecekleriniz
Şu codelab'lere göz atın:
- GKE ile hizmet yayınlamak ve kullanmak için Private Service Connect'i kullanma
- Hizmet yayınlamak ve kullanmak için Private Service Connect'i kullanma
- Private Service Connect ve dahili TCP Proxy yük dengeleyici kullanarak karma ağ üzerinden şirket içi hizmetlere bağlanma
Daha fazla bilgi ve videolar
- Private Service Connect'e genel bakış
- Private Service Connect nedir?
- Desteklenen yük dengeleyici türleri