이 페이지에서는 gcloud CLI를 사용하여 Private Service Connect가 사용 설정된 Looker(Google Cloud 핵심 서비스) 인스턴스를 만드는 프로세스를 설명합니다.
Private Service Connect는 다음 기준을 충족하는 Looker(Google Cloud 핵심 서비스) 인스턴스에 사용 설정할 수 있습니다.
- Looker(Google Cloud 핵심 서비스) 인스턴스는 새 인스턴스여야 합니다. Private Service Connect는 인스턴스 생성 시점에만 사용 설정할 수 있습니다.
- 인스턴스에 공개 IP를 사용 설정할 수 없습니다.
- 인스턴스 버전은 엔터프라이즈(
core-enterprise-annual) 또는 임베드(core-embed-annual)여야 합니다.
시작하기 전에
Private Service Connect 인스턴스를 만들기 전에 영업 담당자로부터 프로젝트가 Private Service Connect의 허용 목록에 추가되었다는 확인을 받았는지 확인합니다.
- Google Cloud 콘솔의 프로젝트 선택기 페이지에서 Private Service Connect 인스턴스를 만들려는 프로젝트를 선택합니다.
- Google Cloud 콘솔에서 프로젝트에 Looker API를 사용 설정합니다. API를 사용 설정할 때는 API가 사용 설정되었는지 확인하기 위해 콘솔 페이지를 새로고침해야 할 수 있습니다.
- Google Cloud 콘솔에서 프로젝트의 Service Networking API를 사용 설정합니다. API를 사용 설정할 때는 API가 사용 설정되었는지 확인하기 위해 콘솔 페이지를 새로고침해야 할 수 있습니다.
- OAuth 클라이언트를 설정하고 승인 사용자 인증 정보를 만듭니다. OAuth 클라이언트를 사용하면 인스턴스를 인증하고 인스턴스에 액세스할 수 있습니다. 다른 인증 방법을 사용하여 인스턴스에 사용자를 인증하는 경우에도 Looker(Google Cloud 핵심 서비스) 인스턴스를 만들려면 OAuth를 설정해야 합니다.
- 생성 중인 Looker(Google Cloud 핵심 서비스) 인스턴스에 VPC 서비스 제어 또는 고객 관리 암호화 키(CMEK)를 사용하려면 인스턴스를 만들기 전에 추가 설정이 필요합니다. 인스턴스를 만드는 동안 추가 버전 및 네트워크 구성이 필요할 수도 있습니다.
필요한 역할
Looker(Google Cloud 핵심 서비스) 인스턴스를 만드는 데 필요한 권한을 얻으려면 관리자에게 인스턴스가 있는 프로젝트에 대한 Looker 관리자(roles/looker.admin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
VPC 서비스 제어 또는 고객 관리 암호화 키(CMEK)를 설정하려면 추가 IAM 역할이 필요할 수 있습니다. 자세한 내용은 해당 기능에 대한 문서 페이지를 참조하세요.
Private Service Connect 인스턴스 만들기
Private Service Connect 인스턴스를 만들려면 다음 플래그를 모두 사용해서 gcloud looker instances create 명령어를 실행합니다.
gcloud looker instances create INSTANCE_NAME \ --no-public-ip-enabled \ --psc-enabled \ --oauth-client-id=OAUTH_CLIENT_ID \ --oauth-client-secret=OAUTH_CLIENT_SECRET \ --region=REGION \ --edition=EDITION \ --psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS \ --async
다음을 바꿉니다.
INSTANCE_NAME: Looker(Google Cloud 핵심 서비스) 인스턴스의 이름입니다. 인스턴스 URL과 연결되어 있지 않습니다.OAUTH_CLIENT_ID및OAUTH_CLIENT_SECRET: OAuth 클라이언트를 설정할 때 만든 OAuth 클라이언트 ID 및 OAuth 암호입니다. 인스턴스가 생성되면 OAuth 클라이언트의 승인된 리디렉션 URI 섹션에 인스턴스의 URL을 입력합니다.REGION: Looker(Google Cloud 핵심 서비스) 인스턴스가 호스팅되는 리전입니다. 구독 계약의 리전에 해당하는 리전을 선택하세요. 사용 가능한 리전은 Looker(Google Cloud 핵심 서비스) 위치 문서 페이지에 나열되어 있습니다.EDITION: 인스턴스의 버전입니다. 가능한 값은core-enterprise-annual또는core-embed-annual입니다. 인스턴스를 만든 후에는 버전을 변경할 수 없습니다. 버전을 변경하려면 가져오기 및 내보내기를 사용하여 Looker(Google Cloud 핵심 서비스) 인스턴스 데이터를 다른 버전으로 구성된 새 인스턴스로 이동할 수 있습니다.ALLOWED_VPC: Looker로의 인그레스가 허용되는 VPC입니다. 인스턴스가 있는 VPC 외부에서 인스턴스에 액세스하려면 VPC를 하나 이상 나열해야 합니다. 다음 형식 중 하나를 사용하여 VPC를 지정합니다.projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
ADDITIONAL_ALLOWED_VPCS: Looker로의 인그레스가 허용되는 추가 VPC는 쉼표로 구분된 목록으로--psc-allowed-vpcs플래그에 추가할 수 있습니다.
Private Service Connect 인스턴스를 만드는 프로세스는 다음과 같은 점에서 일반 Looker(Google Cloud 핵심 서비스) 인스턴스를 만드는 프로세스와 다릅니다.
- Private Service Connect 설정에서는
--consumer-network및--reserved-range플래그가 필요하지 않습니다. - Private Service Connect 인스턴스에는
--no-public-ip-enabled및--psc-enabled라는 두 가지 추가 플래그가 필요합니다. --psc-allowed-vpcs플래그는 쉼표로 구분된 VPC 목록입니다. 목록에서 VPC를 원하는 만큼 지정할 수 있습니다.
일반 Looker(Google Cloud 핵심 서비스) 인스턴스와 마찬가지로 나머지 필드를 지정합니다.
인스턴스 상태 확인
인스턴스를 만드는 데 약 40~60분이 걸립니다. 상태를 확인하려면 gcloud looker instances describe 명령어를 사용합니다.
gcloud looker instances describe INSTANCE_NAME --region=REGION
INSTANCE_NAME을 Looker(Google Cloud 핵심 서비스) 인스턴스의 이름으로 바꿉니다.
ACTIVE 상태에 도달하면 인스턴스가 준비된 것입니다.
외부 서비스에 Private Service Connect 설정
Looker(Google Cloud 핵심 서비스) 인스턴스를 외부 서비스에 연결하려면 Private Service Connect를 사용하여 해당 외부 서비스를 게시해야 합니다. 게시하려는 서비스에 대해 Private Service Connect를 사용하여 서비스 게시 안내를 따릅니다.
서비스는 자동 승인 또는 명시적 승인으로 게시할 수 있습니다. 명시적 승인으로 게시하도록 선택한 경우 다음과 같이 서비스 연결을 구성해야 합니다.
- 네트워크가 아닌 프로젝트를 사용하도록 서비스 연결 허용 목록을 설정합니다.
- Looker 테넌트 프로젝트 ID를 허용 목록에 추가합니다.
다음 명령어를 실행하여 인스턴스가 생성된 후 Looker 테넌트 프로젝트 ID를 찾을 수 있습니다.
gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json
다음을 바꿉니다.
INSTANCE_NAME: Looker(Google Cloud 핵심 서비스) 인스턴스의 이름입니다.REGION: Looker(Google Cloud 핵심 서비스) 인스턴스가 호스팅되는 리전입니다.
명령어 결과의 looker_service_attachment_uri 필드에 Looker 테넌트 프로젝트 ID가 포함됩니다. 형식은 projects/{Looker tenant project ID}/regions/…입니다.
서비스 연결 URI
나중에 서비스에 연결하도록 Looker(Google Cloud 핵심 서비스) 인스턴스를 업데이트할 때는 전체 서비스 연결 URI가 필요합니다. URI는 서비스 연결을 만드는 데 사용한 프로젝트, 리전, 이름을 사용하여 다음과 같이 지정됩니다.
projects/{project}/regions/{region}/serviceAttachments/{name}
Looker(Google Cloud 핵심 서비스) Private Service Connect 인스턴스 업데이트
Looker(Google Cloud 핵심 서비스) Private Service Connect 인스턴스가 생성되면 다음과 같이 변경할 수 있습니다.
이그레스 연결 지정
--psc-service-attachment 플래그를 사용하여 이미 Private Service Connect를 설정한 외부 서비스에 대한 연결을 사용 설정합니다.
gcloud looker instances update INSTANCE_NAME \ --psc-service-attachment domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \ --psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \ --region=REGION
다음을 바꿉니다.
INSTANCE_NAME: Looker(Google Cloud 핵심 서비스) 인스턴스의 이름입니다.DOMAIN_1및DOMAIN_2: 공개 서비스에 연결하는 경우 해당 서비스의 도메인 이름을 사용합니다. 비공개 서비스에 연결하는 경우 원하는 정규화된 도메인 이름을 사용합니다. 도메인 이름에는 다음 제한사항이 적용됩니다.- 각 이그레스 연결은 단일 도메인을 지원합니다.
- 도메인 이름은 세 개 이상의 부분으로 구성되어야 합니다. 예를 들어
mydomain.github.com은 허용되지만github.com은 허용되지 않습니다. 이름의 마지막 부분은 다음과 같을 수 없습니다.
googleapis.comgoogle.comgcr.iopkg.dev
Looker(Google Cloud 핵심 서비스) 인스턴스 내에서 서비스에 대한 연결을 설정할 때 이 도메인을 서비스의 별칭으로 사용합니다.
SERVICE_ATTACHMENT_1및SERVICE_ATTACHMENT_2: 전체 서비스 연결 URI입니다. 각 서비스 연결 URI는 단일 도메인에서 액세스할 수 있습니다.REGION: Looker(Google Cloud 핵심 서비스) 인스턴스가 호스팅되는 리전입니다.
사용 설정해야 하는 모든 연결 포함
--psc-service-attachment 플래그를 사용하여 업데이트 명령어를 실행할 때마다 이전에 사용 설정된 연결을 포함하여 사용 설정할 모든 연결을 포함해야 합니다. 예를 들어 이전에 my-instance라는 인스턴스를 다음과 같이 www.cloud.com 도메인에 연결했다고 가정해 보겠습니다.
gcloud looker instances update my-instance --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud
다음 명령어를 실행하여 새 www.me.com 연결을 추가하면 www.cloud.com 연결이 삭제됩니다.
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
새 www.me.com 연결을 추가할 때 www.cloud.com 연결 삭제를 방지하려면 다음과 같이 업데이트 명령어 내에 기존 연결과 새 연결 모두에 대해 별도의 psc-service-attachment 플래그를 포함합니다.
gcloud looker instances update my-instance \ --psc-service-attachment domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \ --psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa
이그레스 연결 상태 확인
gcloud looker instances describe --format=json 명령어를 다시 실행하여 이그레스 연결 상태를 확인할 수 있습니다. 각 서비스 연결을 connection_status 필드로 채워야 합니다.
모든 이그레스 연결 삭제
모든 이그레스 연결을 삭제하려면 다음 명령어를 실행합니다.
gcloud looker instances update MY_INSTANCE \ --clear-psc-service-attachments \ --region=REGION
허용된 VPC 업데이트
--psc-allowed-vpcs 플래그를 사용하여 인스턴스로 인그레스할 수 있는 VPC 목록을 업데이트합니다.
허용된 VPC를 업데이트할 때는 업데이트 후에 적용할 전체 목록을 지정해야 합니다. 예를 들어 VPC ALLOWED_VPC_1이 이미 허용되어 있고 VPC ALLOWED_VPC_2를 추가하려고 한다고 가정해 보겠습니다. VPC ALLOWED_VPC_2가 계속 허용되도록 하면서 VPC ALLOWED_VPC_1을 추가하려면 다음과 같이 --psc-allowed-vpcs 플래그를 추가합니다.
gcloud looker instances update INSTANCE_NAME --psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION
다음을 바꿉니다.
INSTANCE_NAME: Looker(Google Cloud 핵심 서비스) 인스턴스의 이름입니다.ALLOWED_VPC_1및ALLOWED_VPC_2: Looker로의 인그레스가 허용되는 VPC입니다. 다음 형식 중 하나를 사용하여 허용되는 각 VPC를 지정합니다.projects/{project}/global/networks/{network}https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
REGION: Looker(Google Cloud 핵심 서비스) 인스턴스가 호스팅되는 리전입니다.
허용된 모든 VPC 삭제
허용된 모든 VPC를 삭제하려면 다음 명령어를 실행합니다.
gcloud looker instances update MY_INSTANCE \ --clear-psc-allowed-vpcs \ --region=REGION
인스턴스에 액세스
인스턴스에 액세스하려면 먼저 Looker(Google Cloud 핵심 서비스) 인스턴스에 인그레스를 허용하는 VPC 네트워크 내에서 Private Service Connect 엔드포인트 만들기 안내를 따르고 다음 가이드라인을 따르세요.
- 대상 서비스 필드(Google Cloud 콘솔의 경우) 또는
SERVICE\_ATTACHMENT변수(Google Cloud CLI 또는 API 안내를 따르는 경우)를looker_service_attachment_uri로 설정합니다. 원하는 서브넷을 사용할 수 있습니다. - 전역 액세스를 사용 설정하지 마세요.
비공개 IP 인스턴스와 마찬가지로 Private Service Connect 인스턴스에 액세스하는 한 가지 방법은 공개 IP 프록시 서버를 설정하는 것입니다. 프록시 서버 설정 안내를 따르되 다음과 같은 차이가 있습니다.
- 3단계:
NETWORK의 경우 Private Service Connect 엔드포인트를 만든 VPC 네트워크를 사용합니다. 해당 네트워크의 모든 서브넷을 사용할 수 있습니다. - 7단계:
PRIVATE\_IP\_ADDRESS의 경우 생성한 Private Service Connect 엔드포인트의 IP 주소를 사용합니다. Google Cloud 콘솔 프로젝트의 Private Service Connect 페이지로 이동하여 이를 확인할 수 있습니다.