您可以使用 Private Service Connect 存取私人連線 Looker (Google Cloud Core) 執行個體,或將私人連線 Looker (Google Cloud Core) 執行個體連線至其他內部或外部服務。如要使用 Private Service Connect,Looker (Google Cloud Core) 執行個體必須符合下列條件:
- 執行個體版本必須為 Enterprise (
core-enterprise-annual) 或 Embed (core-embed-annual)。 - 建立執行個體時,必須啟用 Private Service Connect。
Private Service Connect 可讓您使用端點或後端從外部存取 Looker (Google Cloud Core)。網路端點群組 (NEG) 成為 Private Service Connect 服務供應商後,Looker (Google Cloud Core) 就能存取傳出的地端部署資源、多雲環境、虛擬私有雲工作負載或網際網路服務。
如要進一步瞭解 Private Service Connect,請觀看「什麼是 Private Service Connect?」和「Private Service Connect 和服務目錄:雲端應用程式連線方式的重大變革」影片。
服務連結
建立 Looker (Google Cloud Core) 執行個體時,如果啟用 Private Service Connect,Looker (Google Cloud Core) 會自動為該執行個體建立服務附件。服務附件是虛擬私有雲網路用來存取執行個體的附件點。服務連結具有 URI,用於建立連線。您可以在 Google Cloud 控制台的執行個體設定頁面中,找到「詳細資料」分頁標籤。
接著,您會建立 Private Service Connect 後端,供其他虛擬私有雲網路用來連線至服務附件。這樣一來,網路就能存取 Looker (Google Cloud Core) 執行個體。
更新服務連結
如要啟用全域存取和 Google 代管憑證等新功能,執行個體的 Private Service Connect 傳入端點或後端必須指向更新的服務連結。如需更多資訊和操作說明,請參閱「將 Private Service Connect 連線遷移至新的服務附件 URI」說明文件頁面。
使用全域存取權
使用更新版 Private Service Connect 服務連結 URI 的 Looker (Google Cloud Core) 執行個體支援全域存取。有了全域存取權,您就能在與 Looker (Google Cloud Core) 執行個體不同的區域中,建立 Private Service Connect 端點。舉例來說,如果執行個體位於 us-central1,您可以在 us-west1 中建立採用 Private Service Connect 網路端點群組 (NEG) 的負載平衡器,藉此存取執行個體。
如要啟用這項功能,請在 Private Service Connect 後端或端點的轉送規則中,選取「啟用全域存取權」。
連入存取權
連入存取權問題:設定從用戶端到 Looker (Google Cloud Core) 的路由時,透過 Private Service Connect 部署的 Looker (Google Cloud Core) 支援後端連線,可供連入存取。
服務消費者可透過外部區域應用程式負載平衡器,或透過 Private Service Connect 後端以私密方式,存取 Looker (Google Cloud Core) Private Service Connect 執行個體。不過,Looker (Google Cloud Core) 僅支援單一自訂網域,因此 Looker (Google Cloud Core) 執行個體的連入存取權必須是公開或私有,不能同時是公開和私有。
後端
後端是透過網路端點群組 (NEG) 部署,可讓消費者在流量抵達 Private Service Connect 服務前,將公有和私有流量導向負載平衡器,並提供憑證終止功能。使用負載平衡器時,後端會提供下列選項:
- 可觀測性 (系統會記錄每項連線)
- Cloud Armor 整合
- 網址私人標籤和用戶端憑證
- 要求裝飾 (新增自訂要求標頭)
使用自訂網域搭配 Google 代管憑證
您現在可以為使用 *.private.looker.app 格式的自訂網域,使用 Google 代管的憑證。如要這麼做,請設定私人 DNS,將自訂網域 (例如 my-instance.private.looker.app) 指向 PSC 端點的 IP 位址。
*.private.looker.app 網域的憑證由 Google 管理,因此您不需要建立或管理自己的憑證。
您可以繼續使用其他自訂網域,但必須自行管理及提供這些網域的憑證。詳情請參閱「使用自訂網域和 Google 代管憑證」說明文件頁面。
存取外呼服務
建立與虛擬私有雲、多雲網路或其他服務的通訊時,Looker (Google Cloud Core) 會做為服務消費者。從 Looker (Google Cloud Core) 連線至這些服務時,會產生傳出流量。
如要連線至使用標準網路通訊協定 HTTPS 的外部服務,且該服務提供通訊埠 443 或 8443,您可以使用 Looker (Google Cloud Core) 的受控原生輸出和全域 FQDN 設定來設定連線。不過,如果外部服務使用其他通訊協定,則必須使用 Private Service Connect 發布該服務,才能透過本機 FQDN 連線至 Looker (Google Cloud Core) 執行個體。
如要連線至已發布的服務,請執行下列步驟:
- 確認服務已發布。部分 Google Cloud 服務可能會為您處理這項作業;舉例來說,Cloud SQL 提供建立已啟用 Private Service Connect 的執行個體的方法。否則,請按照使用 Private Service Connect 發布服務的操作說明,並參閱 Looker (Google Cloud Core) 操作說明中的其他指引。
- 指定從 Looker (Google Cloud Core) 到服務的輸出 (輸出) 連線。
透過 Private Service Connect 存取服務時,可以使用混合式連線 NEG 或網際網路 NEG:
混合式連線 NEG 可存取私人端點,例如地端或多雲端端點。混合式連線 NEG 是指設定為負載平衡器後端的 IP 位址和通訊埠組合。並部署在與 Cloud Router 相同的 VPC 中。透過這項部署作業,虛擬私有雲中的服務可以透過混合式連線 (例如 Cloud VPN 或 Cloud Interconnect) 存取可轉送的端點。
網際網路 NEG 可存取公開端點,例如 GitHub 端點。網際網路 NEG 會指定負載平衡器的外部後端。網際網路 NEG 參照的外部後端可透過網際網路存取。
您可以從 Looker (Google Cloud Core) 建立連出連線,連至任何區域的服務生產者。舉例來說,如果您在 us-west1 和 us-east4 區域有 Cloud SQL Private Service Connect 執行個體,可以從部署在 us-central1 的 Looker (Google Cloud Core) Private Service Connect 執行個體建立輸出連線。
這兩個具有專屬網域名稱的區域服務附件會指定如下。--region 旗標是指 Looker (Google Cloud Core) Private Service Connect 執行個體的區域,而 Cloud SQL 執行個體的區域則包含在服務連結 URI 中:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
如要存取非 Google 代管的服務,您必須在生產者負載平衡器上啟用全域存取權,才能進行跨區域通訊。
後續步驟
- 建立 Looker (Google Cloud Core) Private Service Connect 執行個體
- 使用 Private Service Connect 存取 Looker (Google Cloud Core) 執行個體