搭配 Looker (Google Cloud Core) 使用 Private Service Connect

您可以使用 Private Service Connect 存取私人連線 Looker (Google Cloud Core) 執行個體，或將私人連線 Looker (Google Cloud Core) 執行個體連線至其他內部或外部服務。如要使用 Private Service Connect，Looker (Google Cloud Core) 執行個體必須符合下列條件：

• 執行個體版本必須為 Enterprise (core-enterprise-annual) 或 Embed (core-embed-annual)。
• 建立執行個體時，必須啟用 Private Service Connect。

Private Service Connect 可讓您使用端點或後端，從外部存取 Looker (Google Cloud Core)。網路端點群組 (NEG) 成為 Private Service Connect 服務供應商後，Looker (Google Cloud Core) 就能存取傳出的地端部署資源、多雲環境、虛擬私有雲工作負載或網際網路服務。

如要進一步瞭解 Private Service Connect，請觀看「什麼是 Private Service Connect？」和「Private Service Connect 和服務目錄：雲端應用程式連線方式的重大變革」影片。

服務連結

建立 Looker (Google Cloud Core) 執行個體時，如果啟用 Private Service Connect，Looker (Google Cloud Core) 會自動為該執行個體建立服務附件。服務附件是虛擬私有雲網路用來存取執行個體的附件點。服務連結具有 URI，用於建立連線。您可以在 Google Cloud 控制台的執行個體設定頁面中，找到「詳細資料」分頁標籤。

接著，您會建立 Private Service Connect 後端，供其他虛擬私有雲網路用來連線至服務連結。這樣一來，網路就能存取 Looker (Google Cloud Core) 執行個體。

連入存取權

連入存取權問題：設定從用戶端到 Looker (Google Cloud Core) 的路由時，透過 Private Service Connect 部署的 Looker (Google Cloud Core) 支援後端連線，可供連入存取。

服務消費者可以透過外部區域應用程式負載平衡器，或透過 Private Service Connect 後端以私密方式存取 Looker (Google Cloud Core) Private Service Connect 執行個體。不過，Looker (Google Cloud Core) 僅支援單一自訂網域，因此 Looker (Google Cloud Core) 執行個體的連入存取權必須是公開或私有，不能同時為公開和私有。

後端

後端是透過網路端點群組 (NEG) 部署，可讓消費者在流量抵達 Private Service Connect 服務前，將公有和私有流量導向負載平衡器，並提供憑證終止功能。使用負載平衡器時，後端會提供下列選項：

• 可觀測性 (系統會記錄每項連線)
• Cloud Armor 整合
• 網址私人標籤和用戶端憑證
• 要求修飾 (新增自訂要求標頭)

存取外送服務

建立與虛擬私有雲、多雲網路或其他服務的通訊時，Looker (Google Cloud Core) 會做為服務消費者。從 Looker (Google Cloud Core) 連線至這些服務時，會被視為傳出流量。

如要連結這些服務，請按照下列步驟操作：

1. 確認服務已發布。部分 Google Cloud 服務可能會為您處理這項作業；舉例來說，Cloud SQL 提供建立已啟用 Private Service Connect 的執行個體的方法。否則，請按照使用 Private Service Connect 發布服務的操作說明，並參閱 Looker (Google Cloud Core) 操作說明中的其他指引。
2. 指定從 Looker (Google Cloud Core) 到服務的輸出 (輸出) 連線。

透過 Private Service Connect 存取服務時，可以使用混合式連線 NEG 或網際網路 NEG：

• 混合式連線 NEG 可存取私人端點，例如地端或多雲端端點。混合式連線 NEG 是指設定為負載平衡器後端的 IP 位址和通訊埠組合。並部署在與 Cloud Router 相同的 VPC 中。透過這項部署作業，虛擬私有雲中的服務可以透過混合式連線 (例如 Cloud VPN 或 Cloud Interconnect) 存取可轉送的端點。

• 網際網路 NEG 可存取公開端點，例如 GitHub 端點。網際網路 NEG 會指定負載平衡器的外部後端。網際網路 NEG 參照的外部後端可透過網際網路存取。

您可以從 Looker (Google Cloud Core) 建立連出連線，連至任何區域的服務生產者。舉例來說，如果您在 us-west1 和 us-east4 區域有 Cloud SQL Private Service Connect 執行個體，可以從部署在 us-central1 的 Looker (Google Cloud Core) Private Service Connect 執行個體建立輸出連線。

這兩個具有專屬網域名稱的區域服務附件會指定如下。--region 標記是指 Looker (Google Cloud Core) Private Service Connect 執行個體的區域，而 Cloud SQL 執行個體的區域則包含在服務連結 URI 中：

gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \
--psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1

如要存取非 Google 代管服務，您必須在生產者負載平衡器上啟用全域存取權，才能進行跨區域通訊。

後續步驟

• 建立 Looker (Google Cloud Core) Private Service Connect 執行個體
• 使用 Private Service Connect 存取 Looker (Google Cloud Core) 執行個體