將 Private Service Connect 連線遷移至新的服務連結 URI

Looker (Google Cloud Core) 最近發布了新型服務附件 URI,可簡化全球存取自訂網域的 Google 代管憑證

本頁面提供逐步指南,說明如何將現有的 Private Service Connect 端點或後端,遷移至 Looker (Google Cloud Core) 的新服務連結 URI。

如果您的 Looker (Google Cloud Core) 執行個體是在推出強化型服務附件之前建立,執行個體可能需要經過這項遷移作業,才能使用全域存取權和 Google 管理的憑證。檢查 Looker (Google Cloud Core) 後端,判斷是否需要遷移執行個體。

事前準備

本指南假設您已擁有使用 Private Service Connect 的私人 IP 設定 Looker (Google Cloud Core) 執行個體。

如要判斷執行個體使用的服務附件類型,您必須具備「Looker 檢視者」 (roles/looker.viewer) Identity and Access Management (IAM) 角色。

如要判斷建立或查看 Private Service Connect 端點,或是為端點設定 Cloud DNS 時需要哪些 IAM 角色,請參閱 Private Service Connect 說明文件中的端點後端

找出服務連結 URI

首先,您需要找出執行個體使用的服務附件類型。

  1. 在 Google Google Cloud 控制台中,前往 Looker (Google Cloud Core) 的「Instances」(執行個體) 頁面。
  2. 按一下執行個體名稱,開啟「詳細資料」頁面。

  3. 在「執行個體詳細資料」部分,找出「Looker 服務附件 URI」

    • 如果 URI 包含 ...looker-psc-gateway-HASHSTRING,且格式為 projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRING,表示您已使用新的強化型服務附件,不需採取任何行動。
    • 如果 URI 包含 ...looker-psc-HASHSTRING,且格式為 projects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRING,表示您使用的是舊版後端,請進行遷移。

遷移步驟

如要遷移 PSC 端點,請建立指向新服務連結 URI 的新 Private Service Connect 端點,然後更新網路設定以使用新端點。

取得新的服務連結 URI

如果 Looker (Google Cloud 核心) 執行個體未使用 Gateway 後端, Google Cloud 控制台就不會顯示新的服務附件 URI。不過,您可以在現有 URI 中將 looker-psc 取代為 looker-psc-gateway,藉此建構 URI。

舊 URI 可能類似以下範例:

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed

在這種情況下,新的 URI 會如下所示:

projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed

Private Service Connect 端點

如要遷移現有的 Private Service Connect 端點,請按照下列步驟操作:

  1. 建立新的 Private Service Connect 端點:在 Google Cloud 控制台中查看「允許的虛擬私有雲」欄位,找出現有的北向連線。針對每個允許的虛擬私有雲 (VPC),建立新的 Private Service Connect 端點,以指向上一節建立的服務附件 URI。

  2. *.private.looker.app 網域建立私人 Cloud DNS 區域

  3. 測試新端點:建立端點後,請驗證與 Looker (Google Cloud Core) 執行個體的連線。從位於相同虛擬私有雲網路的 VM 執行 curl 指令,以特定 *.private.looker.app 網域 (例如 my-instance.private.looker.app) 為目標。

    1. 從虛擬私有雲網路中的 VM 執行下列 curl 指令:

      curl -v https://your_looker_custom_domain.private.looker.app \
    --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_address

      更改下列內容:

      • <your_looker_custom_domain.private.looker.app>:Looker 執行個體的實際自訂網域。
      • <psc_endpoint_ip_address>:虛擬私有雲中 PSC 端點的內部 IP 位址。

    2. 如果 curl 指令傳回 200 狀態碼,表示新端點運作正常。

Private Service Connect 後端

建議的 Looker (Google Cloud Core) 設定是使用內部應用程式負載平衡器,並搭配 Private Service Connect 網路端點群組 (NEG) 後端。這個架構支援自訂網域,並為私人連線提供 TLS 終止功能。

如要將現有的 Private Service Connect NEG 遷移至使用強化服務連結建立的 NEG,請先建立新的 Private Service Connect NEG,並以強化服務連結為目標。建立 NEG 後,請按照下列步驟更新負載平衡器設定:

  1. 前往 Google Cloud 控制台的「Load balancing」(負載平衡) 頁面。
  2. 按一下負載平衡器的名稱,然後按一下「編輯」
  3. 前往「後端設定」,然後選取與 Looker (Google Cloud Core) 執行個體相關聯的後端服務。
  4. 按一下「編輯後端服務」
  5. 在「後端」部分,從下拉式選單選取新的強化型 Private Service Connect NEG,取代現有的 Private Service Connect NEG。
  6. 然後按一下 [完成]
  7. 按一下「Update」

測試新端點

您更新的內部應用程式負載平衡器,是針對強化型服務附件的後端服務。因此,前端設定 (包括 IP 位址、Cloud DNS 和憑證) 不會變更。使用者現在可以透過瀏覽器存取 Looker (Google Cloud Core) 執行個體,驗證設定是否正確。

後續步驟

遷移執行個體的 Private Service Connect 端點後,您可以使用下列新功能:

  • 全球存取權:無論 Looker (Google Cloud Core) 執行個體位於哪個區域,您都可以在任何區域建立 PSC 端點。
  • Google 代管憑證:使用自訂網域的 *.private.looker.app 網域,並讓 Google 管理 SSL 憑證。