将 Private Service Connect 连接迁移到新的服务连接 URI

最近，Looker (Google Cloud Core) 发布了一种新型服务附件 URI，可实现全局访问和使用自定义网域的 Google 管理的证书。

本页面提供了一份分步指南，用于将现有的 Private Service Connect 端点或后端迁移到 Looker (Google Cloud Core) 的新服务连接 URI。

如果您的 Looker (Google Cloud Core) 实例是在增强型服务附件推出之前创建的，则您的实例可能需要进行此迁移，才能使用全局访问权限和 Google 管理的证书。检查 Looker (Google Cloud Core) 后端，确定是否需要迁移实例。

准备工作

本指南假定您已有一个 Looker (Google Cloud Core) 实例，该实例具有使用 Private Service Connect 的专用 IP 配置。

如需确定您的实例使用的是哪种类型的服务附件，您必须具有 Looker Viewer (roles/looker.viewer) Identity and Access Management (IAM) 角色。

请参阅有关端点或后端的 Private Service Connect 文档，确定您需要哪些 IAM 角色才能创建或查看 Private Service Connect 端点，或为端点配置 Cloud DNS。

确定服务连接 URI

首先，您需要确定实例使用的是哪种类型的服务附件。

1. 在 Google Google Cloud 控制台中，前往 Looker (Google Cloud Core) 的实例页面。
2. 点击实例名称，打开其详情页面。

3. 在实例详情部分中，找到 Looker 服务连接 URI。

   • 如果 URI 包含 ...looker-psc-gateway-HASHSTRING 且采用 projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRING 格式，则表示您已在使用新的增强型服务附件，无需执行任何其他操作。
   • 如果 URI 包含 ...looker-psc-HASHSTRING 且采用 projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRING 格式，则表示您使用的是旧版后端，应进行迁移。

迁移步骤

如需迁移 PSC 端点，您需要创建一个指向新服务连接 URI 的新 Private Service Connect 端点，然后更新网络配置以使用新端点。

获取新的服务连接 URI

如果 Looker (Google Cloud Core) 实例未使用网关后端，则新的服务附件 URI 不会显示在 Google Cloud 控制台中。不过，您可以通过将现有 URI 中的 looker-psc 替换为 looker-psc-gateway 来构建该 URI。

您的旧 URI 可能如下例所示：

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed

在这种情况下，新 URI 将如下所示：

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed

Private Service Connect 端点

如需迁移现有的 Private Service Connect 端点，请按照以下步骤操作：

1. 创建新的 Private Service Connect 端点：在 Google Cloud 控制台中查看允许的 VPC 字段，确定现有的北向连接。为每个允许的虚拟私有云 (VPC) 创建一个新的 Private Service Connect 端点，该端点以在上一个部分中创建的服务连接 URI 为目标。

2. 为 *.private.looker.app 网域创建专用 Cloud DNS 可用区。

3. 测试新端点：创建端点后，验证与 Looker (Google Cloud Core) 实例的连接。从位于同一 VPC 网络中的虚拟机运行 curl 命令，以您的特定 *.private.looker.app 网域（例如 my-instance.private.looker.app）为目标。

   1. 从 VPC 网络中的虚拟机运行以下 curl 命令：

      curl -v https://your_looker_custom_domain.private.looker.app \
          --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_address
      

      替换以下内容：

      • <your_looker_custom_domain.private.looker.app>：Looker 实例的实际自定义网域。
      • <psc_endpoint_ip_address>：VPC 中 PSC 端点的内部 IP 地址。

   2. 如果 curl 命令返回 200 状态代码，则表示新端点正常运行。

Private Service Connect 后端

建议为 Looker (Google Cloud Core) 采用的配置是使用具有 Private Service Connect 网络端点组 (NEG) 后端的内部应用负载平衡器。此架构支持自定义网域，并为专用连接提供 TLS 终结。

如需将现有的 Private Service Connect NEG 迁移到使用增强型服务连接创建的 NEG，您必须先创建新的 Private Service Connect NEG，以增强型服务连接为目标。创建 NEG 后，请按如下方式更新负载均衡器配置：

1. 在 Google Cloud 控制台中，前往负载均衡页面。
2. 点击负载均衡器的名称，然后点击修改。
3. 前往后端配置，然后选择与 Looker (Google Cloud Core) 实例关联的后端服务。
4. 点击修改后端服务。
5. 在后端部分，从下拉菜单中选择新的增强型 Private Service Connect NEG，以替换现有的 Private Service Connect NEG。
6. 点击完成。
7. 点击更新。

测试新端点

您进行的内部应用负载平衡器更新针对的是增强型服务附件的后端服务。因此，前端配置（包括 IP 地址、Cloud DNS 和证书）保持不变。用户现在可以使用浏览器访问 Looker (Google Cloud Core) 实例，从而验证设置。

后续步骤

迁移实例的 Private Service Connect 端点后，您可以利用以下新功能：

• 全局访问权限：无论 Looker (Google Cloud Core) 实例位于哪个区域，都可以在任何区域中创建 PSC 端点。
• Google 管理的证书：为您的自定义网域使用 *.private.looker.app 网域，并让 Google 管理 SSL 证书。