Diese Seite wurde von der Cloud Translation API übersetzt.

Private Service Connect-Verbindungen zum neuen Dienstanhang-URI migrieren

Vor Kurzem wurde in Looker (Google Cloud Core) ein neuer Typ von Dienstanhang-URI eingeführt, der globalen Zugriff und von Google verwaltete Zertifikate mit benutzerdefinierten Domains ermöglicht.

Auf dieser Seite finden Sie eine Schritt-für-Schritt-Anleitung für die Migration Ihrer vorhandenen Private Service Connect-Endpunkte oder Back-Ends zum neuen Dienstanhang-URI für Looker (Google Cloud Core).

Wenn Ihre Looker (Google Cloud Core)-Instanz vor der Einführung der erweiterten Dienstanhänge erstellt wurde, muss sie wahrscheinlich migriert werden, um globalen Zugriff und von Google verwaltete Zertifikate zu verwenden. Prüfen Sie das Looker (Google Cloud Core)-Backend, um festzustellen, ob Sie die Instanz migrieren müssen.

Hinweise

In dieser Anleitung wird davon ausgegangen, dass Sie eine vorhandene Looker (Google Cloud Core)-Instanz mit einer privaten IP-Konfiguration haben, die Private Service Connect verwendet.

Wenn Sie herausfinden möchten, welche Art von Dienstanhang von Ihrer Instanz verwendet wird, benötigen Sie die IAM-Rolle Looker Viewer (roles/looker.viewer).

In der Private Service Connect-Dokumentation finden Sie Informationen zu Endpunkten oder Back-Ends, um zu ermitteln, welche IAM-Rolle(n) Sie zum Erstellen oder Aufrufen von Private Service Connect-Endpunkten oder zum Konfigurieren von Cloud DNS für Endpunkte benötigen.

URI des Dienstanhangs ermitteln

Zuerst müssen Sie ermitteln, welche Art von Dienstanhang Ihre Instanz verwendet.

Rufen Sie in der Google Google Cloud -Konsole die Seite Instanzen für Looker (Google Cloud Core) auf.
Klicken Sie auf den Namen Ihrer Instanz, um die Seite Details zu öffnen.
Suchen Sie im Abschnitt Instanzdetails nach dem Looker-Dienstanhang-URI.
- Wenn die URI ...looker-psc-gateway-HASHSTRING enthält und das Format projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRING hat, verwenden Sie bereits die neue erweiterte Service-Anhängung und es sind keine weiteren Maßnahmen erforderlich.
- Wenn der URI ...looker-psc-HASHSTRING enthält und das Format projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRING hat, verwenden Sie das alte Backend und sollten migrieren.

Migrationsschritte

Um Ihre PSC-Endpunkte zu migrieren, erstellen Sie einen neuen Private Service Connect-Endpunkt, der auf den neuen URI des Dienstanhangs verweist, und aktualisieren Sie dann Ihre Netzwerkkonfiguration, um den neuen Endpunkt zu verwenden.

Neuen URI des Dienstanhangs abrufen

Wenn für die Looker (Google Cloud Core)-Instanz nicht das Gateway-Back-End verwendet wird, wird der neue Dienstanhang-URI nicht in der Google Cloud Konsole angezeigt. Sie können ihn jedoch erstellen, indem Sie in Ihrem vorhandenen URI looker-psc durch looker-psc-gateway ersetzen.

Ihr alter URI könnte so aussehen:

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed

In diesem Fall würde der neue URI so aussehen:

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed

Private Service Connect-Endpunkt

So migrieren Sie einen vorhandenen Private Service Connect-Endpunkt:

Neuen Private Service Connect-Endpunkt erstellen:Ermitteln Sie Ihre vorhandenen Upstream-Verbindungen, indem Sie das Feld Zulässige VPCs in der Google Cloud Konsole prüfen. Erstellen Sie für jede zulässige Virtual Private Cloud (VPC) einen neuen Private Service Connect-Endpunkt, der auf den im vorherigen Abschnitt erstellten URI des Dienstanhangs verweist.
Erstellen Sie eine private Cloud DNS-Zone für die Domain *.private.looker.app.
Neuen Endpunkt testen:Nachdem Sie den Endpunkt erstellt haben, prüfen Sie die Verbindung zu Ihrer Looker (Google Cloud Core)-Instanz. Führen Sie den Befehl curl auf einer VM im selben VPC-Netzwerk aus und richten Sie ihn auf Ihre spezifische *.private.looker.app-Domain aus (z. B. my-instance.private.looker.app).
1. Führen Sie auf einer VM in Ihrem VPC-Netzwerk den folgenden curl-Befehl aus:
```
curl -v https://your_looker_custom_domain.private.looker.app \
    --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_address
```
  Ersetzen Sie Folgendes:
  - <your_looker_custom_domain.private.looker.app>: die tatsächliche benutzerdefinierte Domain für Ihre Looker-Instanz.
  - <psc_endpoint_ip_address>: die interne IP-Adresse des PSC-Endpunkts in Ihrer VPC.
2. Wenn der Befehl curl den Statuscode 200 zurückgibt, funktioniert der neue Endpunkt ordnungsgemäß.

Private Service Connect-Backend

Die empfohlene Konfiguration für Looker (Google Cloud Core) verwendet einen internen Application Load Balancer mit einem Private Service Connect-NEG-Backend (Netzwerk-Endpunktgruppe). Diese Architektur unterstützt benutzerdefinierte Domains und bietet TLS-Terminierung für private Verbindungen.

Wenn Sie eine vorhandene Private Service Connect-NEG zu einer migrieren möchten, die mit einem erweiterten Dienstanhang erstellt wurde, müssen Sie zuerst eine neue Private Service Connect-NEG erstellen, die auf den erweiterten Dienstanhang ausgerichtet ist. Nachdem das NEG erstellt wurde, aktualisieren Sie die Konfiguration Ihres Load-Balancers so:

Rufen Sie in der Google Cloud Console die Seite Load Balancing auf.
Klicken Sie auf den Namen des Load-Balancers und dann auf Bearbeiten.
Rufen Sie die Back-End-Konfiguration auf und wählen Sie den Back-End-Dienst aus, der mit Ihrer Looker (Google Cloud Core)-Instanz verknüpft ist.
Klicken Sie auf Backend-Dienst bearbeiten.
Wählen Sie im Abschnitt Backends die neue erweiterte Private Service Connect-NEG aus dem Drop-down-Menü aus, um die vorhandene Private Service Connect-NEG zu ersetzen.
Klicken Sie auf Fertig.
Klicken Sie auf Aktualisieren.

Neuen Endpunkt testen

Das Update des internen Application Load Balancers, das Sie vorgenommen haben, betraf den Backend-Dienst für die erweiterte Dienstanhänge. Folglich bleibt die Frontend-Konfiguration – einschließlich IP-Adresse, Cloud DNS und Zertifikate – unverändert. Nutzer können die Einrichtung jetzt validieren, indem sie über einen Browser auf die Looker (Google Cloud Core)-Instanz zugreifen.

Nächste Schritte

Nach der Migration der Private Service Connect-Endpunkte Ihrer Instanz können Sie die folgenden neuen Funktionen nutzen:

Globaler Zugriff: Sie können PSC-Endpunkte in jeder Region erstellen, unabhängig davon, wo sich Ihre Looker (Google Cloud Core)‑Instanz befindet.
Von Google verwaltete Zertifikate: Verwenden Sie die *.private.looker.app-Domain für Ihre benutzerdefinierte Domain und lassen Sie Google das SSL-Zertifikat verwalten.

Private Service Connect-Verbindungen zum neuen Dienstanhang-URI migrieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.