Sie können Private Service Connect verwenden, um auf eine Looker (Google Cloud Core)-Instanz mit privater IP-Adresse zuzugreifen oder eine Looker (Google Cloud Core)-Instanz mit privater IP-Adresse mit anderen internen oder externen Diensten zu verbinden. Damit Sie Private Service Connect verwenden können, muss Ihre Looker (Google Cloud Core)-Instanz die folgenden Kriterien erfüllen:
- Instanzversionen müssen Enterprise (
core-enterprise-annual) oder Einbetten (core-embed-annual) sein. - Für die Netzwerkkonfiguration der Instanz dürfen nur private IP-Adressen verwendet werden.
- Private Service Connect muss beim Erstellen der Instanz aktiviert sein.
Mit Private Service Connect ist der Northbound-Zugriff auf Looker (Google Cloud Core) über Endpunkte oder Backends möglich. Netzwerkendpunktgruppen (NEGs), die als Private Service Connect-Dienstersteller freigegeben wurden, ermöglichen Looker (Google Cloud Core) den Zugriff auf lokale Ressourcen, Multi-Cloud-Umgebungen, VPC-Arbeitslasten oder Internetdienste.
Weitere Informationen zu Private Service Connect finden Sie in den Videos Was ist Private Service Connect? und Private Service Connect und Service Directory: Eine Revolution für die Verbindung Ihrer Anwendung in der Cloud.
Dienstanhang
Wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen, für die Private Service Connect verwendet werden kann, erstellt Looker (Google Cloud Core) automatisch einen Dienstanhang für die Instanz. Ein Dienstanhang ist ein Verknüpfungspunkt, über den VPC-Netzwerke auf die Instanz zugreifen. Der Dienstanhang hat einen URI, der zum Herstellen von Verbindungen verwendet wird. Sie finden diesen URI auf der Seite „Instanzkonfiguration“ der Google Cloud Console auf dem Tab Details.
Als Nächstes erstellen Sie einen Private Service Connect-Endpunkt oder ein Private Service Connect-Backend, über das ein anderes VPC-Netzwerk eine Verbindung zum Dienstanhang herstellt. Dadurch kann das Netzwerk auf die Looker (Google Cloud Core)-Instanz zugreifen.
Northbound-Zugriff auf Looker (Google Cloud Core) mit Private Service Connect
Der Northbound-Zugriff bezieht sich auf die Konfiguration des Routings von Clients zu Looker (Google Cloud Core). Looker (Google Cloud Core), das mit Private Service Connect bereitgestellt wird, unterstützt Endpunkt- und Back-End-Verbindungen für den Northbound-Zugriff.
Auf Private Service Connect-Instanzen von Looker (Google Cloud Core) kann über einen externen regionalen Application Load Balancer oder privat über einen Private Service Connect-Endpunkt oder ein Private Service Connect-Back-End zugegriffen werden. Looker (Google Cloud Core) unterstützt jedoch nur eine einzige benutzerdefinierte Domain. Der Downstreamzugriff auf eine Looker (Google Cloud Core)-Instanz muss also entweder öffentlich oder privat sein, nicht beides.
Endpunkte
Endpunkte werden mit Weiterleitungsregeln bereitgestellt, die dem Dienstnutzer eine IP-Adresse zur Verfügung stellen, die dem Private Service Connect-Dienst zugeordnet ist. Dieser bietet eine Durchlaufnetzwerkleistung und eine optimierte Einrichtung.
Private Service Connect-Endpunkte können eine Verbindung zu veröffentlichten Diensten in einem separaten VPC-Netzwerk oder einer separaten Organisation herstellen.
Back-Ends
Back-Ends werden mithilfe von Netzwerk-Endpunktgruppen (NEGs) bereitgestellt, mit denen Nutzer öffentlichen und privaten Traffic an ihren Load Balancer weiterleiten können, bevor der Traffic einen Private Service Connect-Dienst erreicht. Außerdem wird die Zertifikatsterminierung unterstützt. Mit einem Load Balancer bieten Back-Ends die folgenden Optionen:
- Beobachtbarkeit (jede Verbindung wird protokolliert)
- Cloud Armor-Integration
- Privates Labeling von URLs und clientseitige Zertifikate
- Anfragedekoration (Benutzerdefinierte Anfrageheader hinzufügen)
Über Private Service Connect auf Looker-Dienste (Google Cloud Core) zugreifen
Looker (Google Cloud Core) fungiert als Dienstverbraucher, wenn eine Kommunikation mit anderen Diensten in Ihrem VPC, Ihrem Multi-Cloud-Netzwerk oder dem Internet hergestellt wird. Die Verbindung zu diesen Diensten über Looker (Google Cloud Core) gilt als Southbound-Traffic.
So stellen Sie eine Verbindung zu diesen Diensten her:
- Der Dienst muss veröffentlicht sein. Bei einigen Google Cloud Diensten wird dies möglicherweise für Sie erledigt. Cloud SQL bietet beispielsweise die Möglichkeit, eine Instanz mit aktiviertem Private Service Connect zu erstellen. Andernfalls folgen Sie der Anleitung zum Veröffentlichen eines Dienstes mit Private Service Connect und lesen Sie die zusätzlichen Informationen in der Anleitung für Looker (Google Cloud Core).
- Geben Sie die ausgehende Verbindung (Egress) von Looker (Google Cloud Core) zum Dienst an.
Sie können NEGs für hybride Verbindungen oder Internet-NEGs verwenden, wenn Sie über Private Service Connect auf Dienste zugreifen:
Eine NEG für die Hybridkonnektivität bietet Zugriff auf private Endpunkte, z. B. lokale oder Multi-Cloud-Endpunkte. Eine NEG für die Hybridkonnektivität ist eine Kombination aus einer IP-Adresse und einem Port, die als Backend für einen Load Balancer konfiguriert sind. Sie wird in derselben VPC wie der Cloud Router bereitgestellt. Bei dieser Bereitstellung können Dienste in Ihrem VPC über eine Hybridkonnektivität wie Cloud VPN oder Cloud Interconnect routbare Endpunkte erreichen.
Eine Internet-NEG bietet Zugriff auf öffentliche Endpunkte, z. B. einen GitHub-Endpunkt. Eine Internet-NEG gibt ein externes Backend für den Load Balancer an. Auf dieses externe Backend, auf das von der Internet-NEG verwiesen wird, kann über das Internet zugegriffen werden.
Sie können eine Downstream-Verbindung von Looker (Google Cloud Core) zu Dienstanbietern in jeder Region herstellen. Wenn Sie beispielsweise Cloud SQL Private Service Connect-Instanzen in den Regionen us-west1 und us-east4 haben, können Sie eine Downstream-Verbindung von einer Private Service Connect-Instanz von Looker (Google Cloud Core), die in us-central1 bereitgestellt ist, erstellen.
Die beiden regionalen Dienstanhänge mit eindeutigen Domainnamen würden so angegeben: Die --region-Flags beziehen sich auf die Region der Private Service Connect-Instanz von Looker (Google Cloud Core), während die Regionen der Cloud SQL-Instanzen in den URIs der Dienstanhänge enthalten sind:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
Für den ausgehenden Zugriff auf nicht von Google verwaltete Dienste müssen Sie den globalen Zugriff auf dem Producer Load Balancer aktivieren, um die regionenübergreifende Kommunikation zu ermöglichen.
Nächste Schritte
- Private Service Connect-Instanz für Looker (Google Cloud Core) erstellen
- Über Private Service Connect auf eine Looker-Instanz (Google Cloud Core) zugreifen