Tieni presente che stai visualizzando la documentazione di Looker. Per la documentazione di Looker Studio, visita https://support.google.com/looker-studio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare Private Service Connect con Looker (Google Cloud core)

Puoi utilizzare Private Service Connect per accedere a un'istanza di Looker (Google Cloud core) con IP privato o connettere un'istanza di Looker (Google Cloud core) con IP privato ad altri servizi interni o esterni. Per utilizzare Private Service Connect, l'istanza di Looker (Google Cloud core) deve soddisfare i seguenti criteri:

Le versioni delle istanze devono essere Enterprise (core-enterprise-annual) o Incorpora (core-embed-annual).
La configurazione di rete dell'istanza deve utilizzare solo IP privati.
Private Service Connect deve essere abilitato al momento della creazione dell'istanza.

Private Service Connect consente l'accesso in uscita a Looker (Google Cloud core) utilizzando endpoint o backend. Una volta esposti come produttori di servizi Private Service Connect, i gruppi di endpoint di rete (NEG) consentono a Looker (Google Cloud core) di accedere alle risorse on-premise southbound, agli ambienti multi-cloud, ai carichi di lavoro VPC o ai servizi internet.

Per scoprire di più su Private Service Connect, guarda i video Che cos'è Private Service Connect? e Private Service Connect e Service Directory: una rivoluzione per connettere la tua applicazione nel cloud.

Collegamento servizio

Quando crei un'istanza di Looker (Google Cloud core) abilitata all'utilizzo di Private Service Connect, Looker (Google Cloud core) crea automaticamente un allegato del servizio per l'istanza. Un collegamento di servizio è un punto di collegamento utilizzato dalle reti VPC per accedere all'istanza. Il collegamento al servizio ha un URI, che viene utilizzato per effettuare connessioni. Puoi trovare questo URI nella scheda Dettagli della pagina di configurazione dell'istanza della console Google Cloud .

Successivamente, crea un endpoint o un backend Private Service Connect utilizzato da un'altra rete VPC per connettersi al collegamento al servizio. In questo modo la rete può accedere all'istanza di Looker (Google Cloud core).

Accesso in uscita a Looker (Google Cloud core) utilizzando Private Service Connect

I problemi di accesso in uscita riguardano la configurazione del routing dai client a Looker (Google Cloud core). Looker (Google Cloud core) di cui è stato eseguito il deployment con Private Service Connect supporta le connessioni endpoint e di backend per l'accesso northbound.

Private Service Connect ti consente di inviare traffico a endpoint e backend che lo inoltrano a Looker (Google Cloud core).

I consumer di servizi possono accedere alle istanze Private Service Connect di Looker (Google Cloud core) tramite un bilanciatore del carico di applicazioni regionale esterno o in privato tramite un endpoint o un backend Private Service Connect. Tuttavia, Looker (Google Cloud core) supporta un solo dominio personalizzato, pertanto l'accesso in uscita a un'istanza di Looker (Google Cloud core) deve essere pubblico o privato, non entrambi.

Endpoint

Gli endpoint vengono implementati utilizzando regole di inoltro che forniscono al consumer di servizi un indirizzo IP mappato al servizio Private Service Connect, che offre prestazioni di rete passthrough e una configurazione semplificata.

Gli endpoint di Private Service Connect possono connettersi ai servizi pubblicati in un'organizzazione o una rete VPC separata.

Backend

I backend vengono implementati utilizzando i gruppi di endpoint di rete (NEG), che consentono ai consumer di indirizzare il traffico pubblico e privato al proprio bilanciatore del carico prima che raggiunga un servizio Private Service Connect e offrono anche la terminazione dei certificati. Con un bilanciatore del carico, i backend forniscono le seguenti opzioni:

Osservabilità (ogni connessione viene registrata)
Integrazione di Cloud Armor
Etichettatura privata dell'URL e certificati lato client
Decorazione della richiesta (aggiunta di intestazioni delle richieste personalizzate)

Accedere ai servizi di Looker (Google Cloud core) in uscita utilizzando Private Service Connect

Looker (Google Cloud core) agisce come consumatore di servizi quando stabilisce la comunicazione con altri servizi nella tua VPC, nella tua rete multi-cloud o su internet. La connessione a questi servizi da Looker (Google Cloud core) è considerata traffico in uscita.

Per connetterti a questi servizi, segui questi passaggi:

Assicurati che il servizio sia pubblicato. Alcuni servizi Google Cloud potrebbero occuparsene per te. Ad esempio, Cloud SQL offre un modo per creare un'istanza con Private Service Connect abilitato. In caso contrario, segui le istruzioni per pubblicare un servizio utilizzando Private Service Connect e consulta le indicazioni aggiuntive nelle istruzioni di Looker (componente principale di Google Cloud).
Specifica la connessione in uscita (southbound) da Looker (Google Cloud core) al servizio.

Quando accedi ai servizi con Private Service Connect, puoi utilizzare NEG di connettività ibrida o NEG di internet:

Private Service Connect connette Looker (Google Cloud core) ai servizi tramite bilanciatori del carico e NEG ibridi o di internet.

Un NEG di connettività ibrida fornisce l'accesso a endpoint privati, ad esempio endpoint on-premise o multi-cloud. Un NEG di connettività ibrida è una combinazione di un indirizzo IP e una porta configurati come backend di un bilanciatore del carico. Viene di solito implementato nella stessa VPC del router Cloud. Questo deployment consente ai servizi nella tua VPC di raggiungere endpoint routabili tramite connettività ibrida, ad esempio Cloud VPN o Cloud Interconnect.
Un NEG internet fornisce l'accesso a endpoint pubblici, ad esempio un endpoint GitHub. Un NEG internet specifica un backend esterno per il bilanciatore del carico. Questo backend esterno a cui fa riferimento il NEG internet è accessibile tramite internet.

Puoi stabilire una connessione southbound da Looker (Google Cloud core) ai produttori di servizi in qualsiasi regione. Ad esempio, se hai istanze Private Service Connect Cloud SQL nelle regioni us-west1 e us-east4, puoi creare una connessione southbound da un'istanza Private Service Connect di Looker (Google Cloud core) di cui è stato eseguito il deployment in us-central1.

I due allegati dei servizi regionali con nomi di dominio univoci verranno specificati come segue. I flag --region fanno riferimento alla regione dell'istanza Private Service Connect di Looker (Google Cloud core), mentre le regioni delle istanze Cloud SQL sono incluse nei relativi URI di collegamento a un servizio:

gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \
--psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1

L'accesso in uscita ai servizi gestiti non Google richiede l'attivazione dell'accesso globale sul bilanciatore del carico del producer per consentire la comunicazione tra regioni.