Notez que vous consultez la documentation Looker. Pour accéder à la documentation sur Looker Studio, consultez la page https://support.google.com/looker-studio.

Cette page a été traduite par l'API Cloud Translation.

Utiliser Private Service Connect avec Looker (Google Cloud Core)

Vous pouvez utiliser Private Service Connect pour accéder à une instance Looker (Google Cloud Core) avec adresse IP privée ou connecter une instance Looker (Google Cloud Core) avec une adresse IP privée à d'autres services internes ou externes. Pour que vous puissiez utiliser Private Service Connect, votre instance Looker (Google Cloud Core) doit répondre aux critères suivants:

Les éditions d'instance doivent être Enterprise (core-enterprise-annual) ou Intégration (core-embed-annual).
La configuration réseau de l'instance doit utiliser une adresse IP privée uniquement.
Private Service Connect doit être activé lors de la création de l'instance.

Private Service Connect permet un accès nord-sud à Looker (Google Cloud Core) à l'aide de points de terminaison ou de backends. Les groupes de points de terminaison du réseau (NEG), une fois exposés en tant que producteurs de services Private Service Connect, permettent à Looker (Google Cloud Core) d'accéder aux ressources sur site orientées sud, aux environnements multicloud, aux charges de travail VPC ou aux services Internet.

Pour en savoir plus sur Private Service Connect, regardez les vidéos Qu'est-ce que Private Service Connect ? et Private Service Connect et Service Directory : une révolution pour connecter votre application dans Cloud.

Rattachement de service

Lorsque vous créez une instance Looker (Google Cloud Core) qui peut utiliser Private Service Connect, Looker (Google Cloud Core) crée automatiquement un rattachement de service pour l'instance. Un rattachement de service est un point de rattachement que les réseaux VPC utilisent pour accéder à l'instance. Le rattachement de service possède un URI, qui permet d'établir des connexions. Vous trouverez cet URI dans l'onglet Détails de la page de configuration de l'instance dans la console Google Cloud.

Vous créez ensuite un point de terminaison ou un backend Private Service Connect qu'un autre réseau VPC utilise pour se connecter au rattachement de service. Cela permet au réseau d'accéder à l'instance Looker (Google Cloud Core).

Accès Northbound à Looker (Google Cloud Core) à l'aide de Private Service Connect

L'accès nord-sud concerne la configuration du routage des clients vers Looker (Google Cloud Core). Looker (Google Cloud Core) déployé avec Private Service Connect prend en charge les connexions de point de terminaison et de backend pour l'accès en direction du nord.

Private Service Connect vous permet d'envoyer du trafic vers des points de terminaison et des backends qui le transfèrent à Looker (Google Cloud Core).

Les clients des services peuvent accéder aux instances Private Service Connect de Looker (Google Cloud Core) via un équilibreur de charge d'application régional externe, ou de manière privée via un point de terminaison ou un backend Private Service Connect. Toutefois, Looker (Google Cloud Core) n'accepte qu'un seul domaine personnalisé. Par conséquent, l'accès nord-sud à une instance Looker (Google Cloud Core) doit être public ou privé, mais pas les deux.

Points de terminaison

Les points de terminaison sont déployés à l'aide de règles de transfert qui fournissent au client une adresse IP mappée au service Private Service Connect, qui offre des performances réseau en passthrough et une configuration simplifiée.

Les points de terminaison Private Service Connect peuvent se connecter à des services publiés dans une organisation ou un réseau VPC distinct.

Backends

Les backends sont déployés à l'aide de groupes de points de terminaison du réseau (NEG), qui permettent aux clients de diriger le trafic public et privé vers leur équilibreur de charge avant que le trafic n'atteigne un service Private Service Connect, et qui proposent également l'arrêt des certificats. Avec un équilibreur de charge, les backends offrent les options suivantes:

Observabilité (chaque connexion est consignée)
Intégration à Cloud Armor
Étiquetage privé des URL et certificats côté client
Décoration de la requête (ajout d'en-têtes de requête personnalisés)

Accéder aux services Looker (Google Cloud Core) northbound à l'aide de Private Service Connect

Looker (Google Cloud Core) agit en tant que consommateur de services lorsqu'il établit une communication avec d'autres services de votre VPC, de votre réseau multicloud ou d'Internet. La connexion à ces services depuis Looker (Google Cloud Core) est considérée comme du trafic "sud".

Pour vous connecter à ces services, procédez comme suit:

Assurez-vous que le service est publié. Certains services Google Cloud peuvent s'en charger à votre place. Par exemple, Cloud SQL permet de créer une instance avec Private Service Connect activé. Sinon, suivez les instructions pour publier un service à l'aide de Private Service Connect et reportez-vous aux instructions supplémentaires fournies dans les instructions de Looker (Google Cloud Core).
Spécifiez la connexion sud (sortie) de Looker (Google Cloud Core) au service.

Vous pouvez utiliser des NEG de connectivité hybride ou des NEG Internet lorsque vous accédez à des services avec Private Service Connect:

Private Service Connect connecte Looker (Google Cloud Core) aux services via des équilibreurs de charge et des NEG hybrides ou Internet.

Un NEG de connectivité hybride permet d'accéder à des points de terminaison privés, tels que des points de terminaison sur site ou multicloud. Un NEG de connectivité hybride est une combinaison d'une adresse IP et d'un port configurés en tant que backend d'un équilibreur de charge. Il est déployé dans le même VPC que le routeur Cloud Router. Ce déploiement permet aux services de votre VPC d'accéder à des points de terminaison routables via une connectivité hybride, comme Cloud VPN ou Cloud Interconnect.
Un NEG Internet permet d'accéder aux points de terminaison publics, par exemple un point de terminaison GitHub. Un NEG Internet spécifie un backend externe pour l'équilibreur de charge. Ce backend externe référencé par le NEG Internet est accessible via Internet.

Vous pouvez établir une connexion Sud de Looker (Google Cloud Core) vers les producteurs de services de n'importe quelle région. Par exemple, si vous disposez d'instances Private Service Connect Cloud SQL dans les régions us-west1 et us-east4, vous pouvez créer une connexion montante à partir d'une instance Private Service Connect Looker (Google Cloud Core) déployée dans us-central1.

Les deux rattachements de service régionaux avec des noms de domaine uniques seront spécifiés comme suit. Les options --region font référence à la région de l'instance Private Service Connect Looker (Google Cloud Core), tandis que les régions des instances Cloud SQL sont incluses dans les URI de leurs rattachements de service:

gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \
--psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1

Pour accéder aux services non gérés par Google en direction du sud, vous devez activer l'accès mondial sur l'équilibreur de charge du producteur afin de permettre la communication interrégionale.