Baru-baru ini, Looker (inti Google Cloud) merilis jenis URI lampiran layanan baru yang memfasilitasi akses global dan sertifikat yang dikelola Google dengan domain kustom.
Halaman ini memberikan panduan langkah demi langkah untuk memigrasikan endpoint atau backend Private Service Connect yang ada ke URI lampiran layanan baru untuk Looker (Google Cloud core).
Jika instance Looker (inti Google Cloud) Anda dibuat sebelum pengenalan lampiran layanan yang ditingkatkan, instance Anda kemungkinan perlu menjalani migrasi ini untuk menggunakan akses global dan sertifikat yang dikelola Google. Periksa backend Looker (Google Cloud core) untuk menentukan apakah Anda perlu memigrasikan instance.
Sebelum memulai
Panduan ini mengasumsikan bahwa Anda memiliki instance Looker (Google Cloud core) yang sudah ada dengan konfigurasi IP pribadi yang menggunakan Private Service Connect.
Untuk mengidentifikasi jenis lampiran layanan yang digunakan instance Anda, Anda harus memiliki peran Identity and Access Management (IAM) Looker Viewer (roles/looker.viewer).
Lihat dokumentasi Private Service Connect untuk endpoint atau backend guna menentukan peran IAM yang perlu Anda buat atau lihat endpoint Private Service Connect atau konfigurasi Cloud DNS untuk endpoint.
Mengidentifikasi URI lampiran layanan Anda
Pertama, Anda perlu mengidentifikasi jenis lampiran layanan yang digunakan instance Anda.
- Di konsol Google Cloud Google, buka halaman Instances untuk Looker (Google Cloud core).
- Klik nama instance Anda untuk membuka halaman Detail.
Di bagian Instance details, cari Looker Service Attachment URI.
- Jika URI berisi
...looker-psc-gateway-HASHSTRINGdan dalam formatprojects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRING, Anda sudah menggunakan lampiran layanan yang ditingkatkan dan tidak perlu melakukan tindakan lebih lanjut. - Jika URI berisi
...looker-psc-HASHSTRINGdan dalam formatprojects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRING, Anda menggunakan backend lama dan harus bermigrasi.
- Jika URI berisi
Langkah-langkah migrasi
Untuk memigrasikan endpoint PSC, Anda akan membuat endpoint Private Service Connect baru yang mengarah ke URI lampiran layanan baru, lalu memperbarui konfigurasi jaringan untuk menggunakan endpoint baru.
Mendapatkan URI lampiran layanan baru
Jika instance Looker (inti Google Cloud) tidak menggunakan backend Gateway, URI lampiran layanan baru tidak akan ditampilkan di konsol Google Cloud . Namun, Anda dapat membuatnya dengan mengganti looker-psc dengan looker-psc-gateway di URI yang ada.
URI lama Anda mungkin terlihat seperti contoh berikut:
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed
Dalam hal ini, URI baru Anda akan terlihat seperti ini:
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed
Endpoint Private Service Connect
Untuk memigrasikan endpoint Private Service Connect yang ada, ikuti langkah-langkah berikut:
Buat endpoint Private Service Connect baru: Identifikasi koneksi northbound yang ada dengan meninjau kolom VPC yang Diizinkan di konsol Google Cloud . Untuk setiap Virtual Private Cloud (VPC) yang diizinkan, buat endpoint Private Service Connect baru yang menargetkan URI lampiran layanan yang dibuat di bagian sebelumnya.
Buat zona Cloud DNS pribadi untuk domain
*.private.looker.app.Uji endpoint baru: Setelah membuat endpoint, verifikasi konektivitas ke instance Looker (Google Cloud core) Anda. Jalankan perintah
curldari VM yang berada di jaringan VPC yang sama, yang menargetkan domain*.private.looker.apptertentu (misalnya,my-instance.private.looker.app).Dari VM di jaringan VPC Anda, jalankan perintah
curlberikut:curl -v https://your_looker_custom_domain.private.looker.app \ --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_addressGanti kode berikut:
<your_looker_custom_domain.private.looker.app>: domain kustom sebenarnya untuk instance Looker Anda.<psc_endpoint_ip_address>: alamat IP internal endpoint PSC di VPC Anda.
Jika perintah
curlmenampilkan kode status200, endpoint baru berfungsi dengan benar.
Backend Private Service Connect
Konfigurasi yang direkomendasikan untuk Looker (Google Cloud core) menggunakan Load Balancer Aplikasi Internal dengan backend grup endpoint jaringan (NEG) Private Service Connect. Arsitektur ini mendukung domain kustom dan menyediakan penghentian TLS untuk koneksi pribadi.
Untuk memigrasikan NEG Private Service Connect yang ada ke NEG yang dibuat dengan lampiran layanan yang ditingkatkan, Anda harus membuat NEG Private Service Connect baru terlebih dahulu yang menargetkan lampiran layanan yang ditingkatkan. Setelah NEG dibuat, perbarui konfigurasi load balancer Anda sebagai berikut:
- Di konsol Google Cloud , buka halaman Load balancing.
- Klik nama load balancer Anda, lalu klik Edit.
- Buka Konfigurasi backend, lalu pilih layanan backend yang terkait dengan instance Looker (Google Cloud core) Anda.
- Klik Edit backend service.
- Di bagian Backends, pilih NEG Private Service Connect yang ditingkatkan dari menu drop-down untuk menggantikan NEG Private Service Connect yang ada.
- Klik Done
- Klik Perbarui.
Menguji endpoint baru
Pembaruan Load Balancer Aplikasi Internal yang Anda lakukan menargetkan layanan backend untuk lampiran layanan yang ditingkatkan. Akibatnya, konfigurasi frontend—termasuk alamat IP, Cloud DNS, dan sertifikat—tetap tidak berubah. Pengguna kini dapat memvalidasi penyiapan dengan mengakses instance Looker (Google Cloud core) menggunakan browser.
Langkah berikutnya
Setelah memigrasikan endpoint Private Service Connect instance, Anda dapat memanfaatkan fitur baru berikut:
- Akses global: Buat endpoint PSC di region mana pun, terlepas dari lokasi instance Looker (Google Cloud core) Anda.
- Sertifikat yang dikelola Google: Gunakan domain
*.private.looker.appuntuk domain kustom Anda, dan biarkan Google mengelola sertifikat SSL.