최근 Looker (Google Cloud 핵심 서비스)에서 전역 액세스 및 커스텀 도메인이 있는 Google 관리형 인증서를 지원하는 새로운 유형의 서비스 연결 URI를 출시했습니다.
이 페이지에서는 기존 Private Service Connect 엔드포인트 또는 백엔드를 Looker (Google Cloud 핵심 서비스)의 새 서비스 연결 URI로 이전하는 방법을 단계별로 안내합니다.
향상된 서비스 연결이 도입되기 전에 Looker (Google Cloud 핵심 서비스) 인스턴스를 만든 경우 전역 액세스 및 Google 관리 인증서를 사용하려면 인스턴스를 이 방식으로 이전해야 할 수 있습니다. Looker (Google Cloud 핵심 서비스) 백엔드를 확인하여 인스턴스를 마이그레이션해야 하는지 확인합니다.
시작하기 전에
이 가이드에서는 Private Service Connect를 사용하는 비공개 IP 구성이 있는 기존 Looker (Google Cloud 핵심 서비스) 인스턴스가 있다고 가정합니다.
인스턴스에서 사용 중인 서비스 연결 유형을 확인하려면 Looker 뷰어 (roles/looker.viewer) Identity and Access Management (IAM) 역할이 있어야 합니다.
엔드포인트 또는 백엔드에 대한 Private Service Connect 문서를 참고하여 Private Service Connect 엔드포인트를 만들거나 확인하거나 엔드포인트에 대해 Cloud DNS를 구성하는 데 필요한 IAM 역할을 확인하세요.
서비스 연결 URI 식별
먼저 인스턴스에서 사용 중인 서비스 연결 유형을 확인해야 합니다.
- Google Google Cloud 콘솔에서 Looker (Google Cloud 핵심 서비스)의 인스턴스 페이지로 이동합니다.
- 인스턴스 이름을 클릭하여 세부정보 페이지를 엽니다.
인스턴스 세부정보 섹션에서 Looker 서비스 연결 URI를 찾습니다.
- URI에
...looker-psc-gateway-HASHSTRING가 포함되어 있고 형식이projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRING인 경우 이미 새로운 향상된 서비스 연결을 사용하고 있으므로 추가 조치가 필요하지 않습니다. - URI에
...looker-psc-HASHSTRING이 포함되어 있고 형식이projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRING인 경우 기존 백엔드를 사용하고 있으므로 이전해야 합니다.
- URI에
마이그레이션 단계
PSC 엔드포인트를 마이그레이션하려면 새 서비스 연결 URI를 가리키는 새 Private Service Connect 엔드포인트를 만든 다음 새 엔드포인트를 사용하도록 네트워크 구성을 업데이트합니다.
새 서비스 연결 URI 가져오기
Looker (Google Cloud 핵심 서비스) 인스턴스에서 게이트웨이 백엔드를 사용하지 않는 경우 새 서비스 연결 URI가 Google Cloud 콘솔에 표시되지 않습니다. 하지만 기존 URI에서 looker-psc을 looker-psc-gateway으로 바꿔서 구성할 수 있습니다.
이전 URI는 다음 예와 같이 표시될 수 있습니다.
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed
이 경우 새 URI는 다음과 같습니다.
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed
Private Service Connect 엔드포인트
기존 Private Service Connect 엔드포인트를 이전하려면 다음 단계를 따르세요.
새 Private Service Connect 엔드포인트 만들기: Google Cloud 콘솔에서 허용된 VPC 필드를 검토하여 기존 업스트림 연결을 확인합니다. 허용된 가상 프라이빗 클라우드 (VPC)마다 이전 섹션에서 만든 서비스 연결 URI를 타겟팅하는 새 Private Service Connect 엔드포인트를 만듭니다.
*.private.looker.app도메인의 비공개 Cloud DNS 영역을 만듭니다.새 엔드포인트 테스트: 엔드포인트를 만든 후 Looker (Google Cloud 핵심 서비스) 인스턴스에 대한 연결을 확인합니다. 동일한 VPC 네트워크에 있는 VM에서
curl명령어를 실행하여 특정*.private.looker.app도메인 (예:my-instance.private.looker.app)을 타겟팅합니다.VPC 네트워크의 VM에서 다음
curl명령어를 실행합니다.curl -v https://your_looker_custom_domain.private.looker.app \ --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_address다음을 바꿉니다.
<your_looker_custom_domain.private.looker.app>: Looker 인스턴스의 실제 커스텀 도메인입니다.<psc_endpoint_ip_address>: VPC의 PSC 엔드포인트 내부 IP 주소입니다.
curl명령어에서200상태 코드를 반환하면 새 엔드포인트가 올바르게 작동하는 것입니다.
Private Service Connect 백엔드
Looker (Google Cloud 핵심 서비스)의 권장 구성은 Private Service Connect 네트워크 엔드포인트 그룹 (NEG) 백엔드가 있는 내부 애플리케이션 부하 분산기를 사용합니다. 이 아키텍처는 커스텀 도메인을 지원하고 비공개 연결을 위한 TLS 종료를 제공합니다.
기존 Private Service Connect NEG를 향상된 서비스 연결로 만든 NEG로 이전하려면 먼저 향상된 서비스 연결을 타겟팅하는 새 Private Service Connect NEG를 만들어야 합니다. NEG가 생성되면 다음과 같이 부하 분산기 구성을 업데이트합니다.
- Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
- 부하 분산기의 이름을 클릭하고 수정을 클릭합니다.
- 백엔드 구성으로 이동하여 Looker (Google Cloud 핵심 서비스) 인스턴스와 연결된 백엔드 서비스를 선택합니다.
- 백엔드 서비스 수정을 클릭합니다.
- 백엔드 섹션의 드롭다운 메뉴에서 새로운 향상된 Private Service Connect NEG를 선택하여 기존 Private Service Connect NEG를 대체합니다.
- 완료를 클릭합니다.
- 업데이트를 클릭합니다.
새 엔드포인트 테스트
강화된 서비스 연결의 백엔드 서비스를 타겟팅한 내부 애플리케이션 부하 분산기 업데이트를 수행했습니다. 따라서 IP 주소, Cloud DNS, 인증서를 비롯한 프런트엔드 구성은 변경되지 않습니다. 이제 사용자는 브라우저를 사용하여 Looker (Google Cloud 핵심 서비스) 인스턴스에 액세스하여 설정을 검증할 수 있습니다.
다음 단계
인스턴스의 Private Service Connect 엔드포인트를 이전한 후에는 다음 새로운 기능을 활용할 수 있습니다.
- 전역 액세스: Looker (Google Cloud 핵심 서비스) 인스턴스의 위치와 관계없이 모든 리전에서 PSC 엔드포인트를 만듭니다.
- Google 관리형 인증서: 커스텀 도메인에
*.private.looker.app도메인을 사용하고 Google에서 SSL 인증서를 관리하도록 합니다.