Migrar conexiones de Private Service Connect al nuevo URI de vinculación de servicio

Recientemente, Looker (Google Cloud core) ha lanzado un nuevo tipo de URI de acoplamiento de servicio que facilita el acceso global y los certificados gestionados por Google con dominios personalizados.

En esta página se ofrece una guía paso a paso para migrar los puntos finales o backends de Private Service Connect al nuevo URI de adjunto de servicio de Looker (servicio principal de Google Cloud).

Si tu instancia de Looker (Google Cloud core) se creó antes de que se introdujeran los archivos adjuntos de servicio mejorados, es probable que tengas que migrarla para usar el acceso global y los certificados gestionados por Google. Consulta el backend de Looker (Google Cloud Core) para determinar si tienes que migrar la instancia.

Antes de empezar

En esta guía se da por hecho que tienes una instancia de Looker (Google Cloud core) con una configuración de IP privada que usa Private Service Connect.

Para identificar qué tipo de adjunto de servicio usa tu instancia, debes tener el rol de gestión de identidades y accesos Lector de Looker (roles/looker.viewer).

Consulta la documentación de Private Service Connect sobre endpoints o backends para determinar qué rol o roles de IAM necesitas para crear o ver endpoints de Private Service Connect o configurar Cloud DNS para endpoints.

Identificar el URI de la vinculación de servicio

Primero, debe identificar qué tipo de adjunto de servicio usa su instancia.

  1. En la consola de Google Cloud, ve a la página Instancias de Looker (en la infraestructura de Google Cloud). Google Cloud
  2. Haz clic en el nombre de tu instancia para abrir su página Detalles.

  3. En la sección Instance details (Detalles de la instancia), busca el Looker Service Attachment URI (URI de adjunto de servicio de Looker).

    • Si el URI contiene ...looker-psc-gateway-HASHSTRING y tiene el formato projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRING, ya estás usando el nuevo servicio de acoplamiento mejorado y no tienes que hacer nada más.
    • Si el URI contiene ...looker-psc-HASHSTRING y tiene el formato projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRING, estás usando el backend antiguo y deberías migrar.

Pasos de la migración

Para migrar tus endpoints de PSC, crea un endpoint de Private Service Connect que apunte al nuevo URI de vinculación de servicio y, a continuación, actualiza la configuración de tu red para usar el nuevo endpoint.

Obtener el nuevo URI de archivo adjunto de servicio

Si la instancia de Looker (Google Cloud core) no usa el backend de la pasarela, el nuevo URI de adjunto de servicio no se muestra en la Google Cloud consola. Sin embargo, puedes crearla sustituyendo looker-psc por looker-psc-gateway en tu URI.

Su antiguo URI puede tener un aspecto similar al siguiente ejemplo:

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed

En ese caso, el nuevo URI sería el siguiente:

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed

Endpoint de Private Service Connect

Para migrar un punto final de Private Service Connect, sigue estos pasos:

  1. Crea un endpoint de Private Service Connect: identifica tus conexiones de salida revisando el campo VPCs permitidas en la Google Cloud consola. Por cada nube privada virtual (VPC) permitida, crea un nuevo punto final de Private Service Connect que tenga como destino el URI del adjunto de servicio creado en la sección anterior.

  2. Crea una zona de Cloud DNS privada para el dominio *.private.looker.app.

  3. Prueba el nuevo endpoint: después de crear el endpoint, verifica la conectividad con tu instancia de Looker (Google Cloud Core). Ejecuta un comando curl desde una VM ubicada en la misma red VPC, que tenga como destino tu dominio *.private.looker.app específico (por ejemplo, my-instance.private.looker.app).

    1. Desde una máquina virtual de tu red de VPC, ejecuta el siguiente comando curl:

      curl -v https://your_looker_custom_domain.private.looker.app \
    --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_address

      Haz los cambios siguientes:

      • <your_looker_custom_domain.private.looker.app>: el dominio personalizado real de tu instancia de Looker.
      • <psc_endpoint_ip_address>: la dirección IP interna del endpoint de PSC de tu VPC.

    2. Si el comando curl devuelve el código de estado 200, el nuevo endpoint funciona correctamente.

Backend de Private Service Connect

La configuración recomendada para Looker (principal de Google Cloud) usa un balanceador de carga de aplicaciones interno con un backend de grupo de endpoints de red (NEG) de Private Service Connect. Esta arquitectura admite dominios personalizados y proporciona terminación TLS para conexiones privadas.

Para migrar un NEG de Private Service Connect a uno creado con una vinculación de servicio mejorada, primero debes crear un nuevo NEG de Private Service Connect que tenga como destino la vinculación de servicio mejorada. Una vez que se haya creado el NEG, actualiza la configuración del balanceador de carga de la siguiente manera:

  1. En la Google Cloud consola, ve a la página Balanceo de carga.
  2. Haz clic en el nombre de tu balanceador de carga y, a continuación, en Editar.
  3. Ve a Configuración de backend y selecciona el servicio de backend asociado a tu instancia de Looker (Google Cloud core).
  4. Haz clic en Editar servicio de backend.
  5. En la sección Backends (Backends), selecciona el nuevo NEG de Private Service Connect mejorado en el menú desplegable para sustituir el NEG de Private Service Connect actual.
  6. Haz clic en Hecho.
  7. Haz clic en Actualizar.

Probar el nuevo endpoint

La actualización del balanceador de carga de aplicación interno que has realizado se ha dirigido al servicio de backend de la vinculación de servicio mejorada. Por lo tanto, la configuración del frontend (incluida la dirección IP, Cloud DNS y los certificados) no cambia. Ahora los usuarios pueden validar la configuración accediendo a la instancia de Looker (Google Cloud core) mediante un navegador.

Siguientes pasos

Después de migrar los endpoints de Private Service Connect de tu instancia, podrás aprovechar las siguientes funciones nuevas:

  • Acceso global: crea endpoints de PSC en cualquier región, independientemente de dónde se encuentre tu instancia de Looker (Google Cloud Core).
  • Certificados gestionados por Google: usa el dominio *.private.looker.app para tu dominio personalizado y deja que Google gestione el certificado SSL.