您可以使用 Private Service Connect 访问专用 IP Looker (Google Cloud Core) 实例,或将专用 IP Looker (Google Cloud Core) 实例连接到其他内部或外部服务。为了使用 Private Service Connect,您的 Looker (Google Cloud Core) 实例必须满足以下条件:
- 实例版本必须是企业版 (
core-enterprise-annual) 或嵌入版 (core-embed-annual)。 - 实例网络配置必须仅使用专用 IP。
- 必须在实例创建时启用 Private Service Connect。
Private Service Connect 允许使用端点或后端对 Looker (Google Cloud Core) 进行北向访问。网络端点组 (NEG) 一经公开为 Private Service Connect 服务提供方,可让 Looker (Google Cloud Core) 访问南向的本地资源、多云环境、VPC 工作负载或互联网服务。
如需详细了解 Private Service Connect,请观看什么是 Private Service Connect?和 Private Service Connect 和 Service Directory:云端应用连接革命视频。
服务连接
当您创建启用了 Private Service Connect 的 Looker (Google Cloud Core) 实例时,Looker (Google Cloud Core) 会自动为该实例创建一个服务连接。服务连接是 VPC 网络用于访问实例的连接点。服务连接具有 URI,用于建立连接。您可以在 Google Cloud 控制台的实例配置页面的详细信息标签页上找到该 URI。
接下来,您需要创建一个 Private Service Connect 端点或后端,供另一个 VPC 网络用于连接到服务连接。这样,网络就能够访问 Looker (Google Cloud Core) 实例。
使用 Private Service Connect 向 Looker (Google Cloud Core) 的北向访问
北向访问权限涉及配置从客户端到 Looker (Google Cloud Core) 的路由。使用 Private Service Connect 部署的 Looker (Google Cloud Core) 支持用于北向访问的端点和后端连接。
服务使用方可以通过外部区域应用负载均衡器访问 Looker (Google Cloud Core) Private Service Connect 实例,也可以通过 Private Service Connect 端点或后端以私密方式访问。不过,Looker (Google Cloud Core) 仅支持单个自定义网域,因此对 Looker (Google Cloud Core) 实例的南向访问必须是公共访问或专用访问,不能同时是公共访问和专用访问。
端点
端点的部署方法为使用转发规则,为服务使用方提供映射到 Private Service Connect 服务的 IP 地址,从而提供直通式网络性能和简化的设置。
Private Service Connect 端点可以连接到单独的 VPC 网络或组织中的已发布服务。
后端
后端使用网络端点组 (NEG) 进行部署,让使用方能够在流量到达 Private Service Connect 服务之前将公共流量和专用流量定向到其负载均衡器,还提供证书终止。使用负载均衡器时,后端提供以下选项:
- 可观测性(每个连接都会记录)
- Cloud Armor 集成
- 网址私密标签和客户端证书
- 请求装饰(添加自定义请求标头)
使用 Private Service Connect 访问南向 Looker (Google Cloud Core) 服务
在与您的 VPC、多云端网络或互联网中与其他服务建立通信时,Looker (Google Cloud Core) 会充当服务使用方。从 Looker (Google Cloud Core) 连接到这些服务被视为南向流量。
如需连接到这些服务,请执行以下步骤:
- 确保服务已发布。某些 Google Cloud 服务可能会为您处理此问题;例如,Cloud SQL 提供了一种创建启用了 Private Service Connect 的实例的方法。否则,请按照使用 Private Service Connect 发布服务的说明操作,并参阅 Looker(Google Cloud 核心)说明中的其他指南。
- 指定从 Looker (Google Cloud Core) 到服务的南向(出站)连接。
通过 Private Service Connect 访问服务时,您可以使用混合连接 NEG 或互联网 NEG:
混合连接 NEG 可提供对私有端点(例如本地端点或多云端点)的访问权限。混合连接 NEG 是指配置为负载均衡器后端的 IP 地址和端口的组合。它部署在与 Cloud Router 路由器相同的 VPC 中。此部署使您的 VPC 中的服务能够通过混合连接(例如 Cloud VPN 或 Cloud Interconnect)访问可路由的端点。
互联网 NEG 可提供对公共端点(例如 GitHub 端点)的访问权限。互联网 NEG 为负载均衡器指定了外部后端。互联网 NEG 所引用的外部后端可通过互联网访问。
您可以建立从 Looker (Google Cloud Core) 到任何区域中服务提供方的南向连接。例如,如果您在区域 us-west1 和 us-east4 中有 Cloud SQL Private Service Connect 实例,则可以从部署在 us-central1 中的 Looker(Google Cloud 核心)Private Service Connect 实例创建南向连接。
两个具有唯一域名的区域级服务连接按如下方式指定。--region 标志是指 Looker (Google Cloud Core) Private Service Connect 实例所在的区域,而 Cloud SQL 实例所在的区域包含在其服务连接 URI 中:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
如需对非 Google 管理的服务进行南向访问,您需要在提供方负载均衡器上启用全球访问权限,以允许跨区域通信。
后续步骤
- 创建 Looker (Google Cloud Core) Private Service Connect 实例
- 使用 Private Service Connect 访问 Looker (Google Cloud Core) 实例