É possível usar o Private Service Connect para acessar uma instância do Looker (Google Cloud Core) de conexões particulares ou conectar uma instância do Looker (Google Cloud Core) de conexões particulares a outros serviços internos ou externos. Para usar o Private Service Connect, sua instância do Looker (Google Cloud Core) precisa atender aos seguintes critérios:
- As edições de instância precisam ser Enterprise (
core-enterprise-annual) ou Embed (core-embed-annual). - O Private Service Connect precisa ser ativado na criação da instância.
O Private Service Connect permite o acesso de entrada ao Looker (Google Cloud Core) usando endpoints ou back-ends. Os grupos de endpoints de rede (NEGs), depois de expostos como produtores de serviços do Private Service Connect, permitem que o Looker (Google Cloud Core) acesse recursos locais de saída, ambientes multicloud, cargas de trabalho da VPC ou serviços de Internet.
Para saber mais sobre o Private Service Connect, assista aos vídeos O que é o Private Service Connect? e Private Service Connect e Diretório de serviços: uma revolução para conectar seu aplicativo na nuvem.
Anexo de serviço
Quando você cria uma instância do Looker (Google Cloud Core) que está habilitada para usar o Private Service Connect, o Looker (Google Cloud Core) cria automaticamente um anexo de serviço para a instância. Um anexo de serviço é um ponto de anexo que as redes VPC usam para acessar a instância. O anexo de serviço tem um URI, que é usado para fazer conexões. Você pode encontrar esse URI na guia Detalhes da página de configuração da instância do console Google Cloud .
Em seguida, crie um back-end do Private Service Connect que outra rede VPC usa para se conectar ao anexo de serviço. Isso permite que a rede acesse a instância do Looker (Google Cloud Core).
Acesso de entrada
Entrada: o acesso envolve a configuração do roteamento de clientes para o Looker (Google Cloud Core). O Looker (Google Cloud Core) implantado com o Private Service Connect é compatível com conexões de back-end para acesso de entrada.
As instâncias do Private Service Connect do Looker (Google Cloud Core) podem ser acessadas por consumidores de serviços usando um balanceador de carga de aplicativo regional externo ou de forma privada por um back-end do Private Service Connect. No entanto, o Looker (Google Cloud Core) é compatível com um único domínio personalizado. Portanto, o acesso de entrada a uma instância do Looker (Google Cloud Core) precisa ser público ou privado, não ambos.
Back-ends
Os back-ends são implantados usando grupos de endpoints da rede (NEGs), que permitem aos consumidores direcionar o tráfego público e particular para o balanceador de carga antes que ele alcance um serviço do Private Service Connect. Além disso, eles oferecem encerramento de certificado. Com um balanceador de carga, os back-ends oferecem as seguintes opções:
- Observabilidade (todas as conexões são registradas)
- Integração do Cloud Armor
- Certificados do lado do cliente e rotulagem privada de URL
- Decoração de solicitação (adição de cabeçalhos de solicitação personalizados)
Acessar serviços de saída
O Looker (Google Cloud Core) atua como um consumidor de serviços ao estabelecer comunicação com outros serviços na sua VPC, rede multicloud ou Internet. A conexão com esses serviços do Looker (Google Cloud Core) é considerada tráfego de saída.
Para se conectar a esses serviços, siga estas etapas:
- Verifique se o serviço está publicado. Alguns serviços Google Cloud podem cuidar disso para você. Por exemplo, o Cloud SQL oferece uma maneira de criar uma instância com o Private Service Connect ativado. Caso contrário, siga as instruções para publicar um serviço usando o Private Service Connect e consulte as orientações adicionais nas instruções do Looker (Google Cloud Core).
- Especifique a conexão de saída (egresso) do Looker (Google Cloud Core) para o serviço.
É possível usar NEGs de conectividade híbrida ou da Internet ao acessar serviços com o Private Service Connect:
Um NEG de conectividade híbrida oferece acesso a endpoints particulares, como endpoints locais ou multicloud. Um NEG de conectividade híbrida é uma combinação de um endereço IP e uma porta configurados como um back-end para um balanceador de carga. Ele é implantado na mesma VPC que o Cloud Router. Essa implantação permite que os serviços na sua VPC alcancem endpoints roteáveis por conectividade híbrida, como o Cloud VPN ou o Cloud Interconnect.
Um NEG da Internet oferece acesso a endpoints públicos, por exemplo, um endpoint do GitHub. Um NEG da Internet especifica um back-end externo para o balanceador de carga. Esse back-end externo referenciado pelo NEG da Internet é acessível pela Internet.
É possível estabelecer uma conexão de saída do Looker (Google Cloud Core) com produtores de serviços em qualquer região. Por exemplo, se você tiver instâncias do Private Service Connect do Cloud SQL nas regiões us-west1 e us-east4, poderá criar uma conexão de saída de uma instância do Private Service Connect do Looker (Google Cloud core) implantada em us-central1.
As duas vinculações de serviço regionais com nomes de domínio exclusivos seriam especificadas da seguinte maneira. As flags --region se referem à região da instância do Private Service Connect do Looker (Google Cloud Core), enquanto as regiões das instâncias do Cloud SQL estão incluídas nos URIs de anexo de serviço:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
O acesso de saída a serviços gerenciados que não são do Google exige que você ative o acesso global no balanceador de carga do produtor para permitir a comunicação entre regiões.
A seguir
- Criar uma instância do Private Service Connect do Looker (Google Cloud Core)
- Acessar uma instância do Looker (Google Cloud Core) usando o Private Service Connect