Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Private Service Connect mit Looker (Google Cloud Core) verwenden

Mit Private Service Connect können Sie auf eine Looker-Instanz (Google Cloud Core) mit privaten Verbindungen zugreifen oder eine Looker-Instanz (Google Cloud Core) mit privaten Verbindungen mit anderen internen oder externen Diensten verbinden. Damit Sie Private Service Connect verwenden können, muss Ihre Looker-Instanz (Google Cloud Core) die folgenden Kriterien erfüllen:

Instanzversionen müssen Enterprise (core-enterprise-annual) oder Embed (core-embed-annual) sein.
Private Service Connect muss beim Erstellen der Instanz aktiviert sein.

Private Service Connect ermöglicht den eingehenden Zugriff auf Looker (Google Cloud Core) über Endpunkte oder Back-Ends. Netzwerk-Endpunktgruppen (NEGs), die als Private Service Connect-Dienstanbieter bereitgestellt werden, ermöglichen Looker (Google Cloud Core) den Zugriff auf ausgehende lokale Ressourcen, Multi-Cloud-Umgebungen, VPC-Arbeitslasten oder Internetdienste.

Weitere Informationen zu Private Service Connect finden Sie in den Videos What is Private Service Connect? und Private Service Connect and Service Directory: A revolution to connect your application in Cloud.

Dienstanhang

Wenn Sie eine Looker-Instanz (Google Cloud Core) erstellen, für die Private Service Connect aktiviert ist, erstellt Looker (Google Cloud Core) automatisch einen Dienstanhang für die Instanz. Ein Dienstanhang ist ein Verknüpfungspunkt, über den VPC-Netzwerke auf die Instanz zugreifen. Der Dienstanhang hat einen URI, der für Verbindungen verwendet wird. Sie finden diesen URI in der Google Cloud Console auf der Seite mit der Instanzkonfiguration auf dem Details Tab.

Als Nächstes erstellen Sie ein Private Service Connect-Back-End, über das ein anderes VPC-Netzwerk eine Verbindung zum Dienstanhang herstellt. Dadurch kann das Netzwerk auf die Looker-Instanz (Google Cloud Core) zugreifen.

Dienstanhang aktualisieren

Damit Sie neue Funktionen wie den globalen Zugriff und von Google verwaltete Zertifikate nutzen können, müssen die eingehenden Private Service Connect-Endpunkte oder -Back-Ends Ihrer Instanz auf einen aktualisierten Dienstanhang verweisen. Weitere Informationen und eine Anleitung finden Sie auf der Dokumentationsseite Private Service Connect-Verbindungen zum neuen Dienstanhang-URI migrieren.

Globalen Zugriff verwenden

Looker-Instanzen (Google Cloud Core), die den aktualisierten Dienstanhang-URI von Private Service Connect verwenden, unterstützen den globalen Zugriff. Mit dem globalen Zugriff können Sie einen Private Service Connect-Endpunkt in einer anderen Region als Ihre Looker-Instanz (Google Cloud Core) erstellen. Wenn sich Ihre Instanz beispielsweise in us-central1 befindet, können Sie einen Load-Balancer mit einer Private Service Connect-Netzwerk-Endpunktgruppe (NEG) in us-west1 erstellen, um auf die Instanz zuzugreifen.

Wenn Sie diese Funktion aktivieren möchten, wählen Sie die Option Globalen Zugriff aktivieren in der Weiterleitungsregel für Ihr Private Service Connect-Back-End oder Ihren Endpunkt aus.

Eingehender Zugriff

Dereingehende Zugriff bezieht sich auf die Konfiguration des Routings von Clients zu Looker (Google Cloud Core). Looker (Google Cloud Core), das mit Private Service Connect bereitgestellt wird, unterstützt Back-End-Verbindungen für den eingehenden Zugriff.

Mit Private Service Connect können Sie Traffic an Endpunkte und Back-Ends senden, die den Traffic an Looker (Google Cloud Core) weiterleiten.

Auf Looker-Instanzen (Google Cloud Core) mit Private Service Connect kann von Dienstnutzern über einen externen regionalen Application Load Balancer oder privat über ein Private Service Connect-Back-End zugegriffen werden. Looker (Google Cloud Core) unterstützt jedoch nur eine benutzerdefinierte Domain. Daher muss der eingehende Zugriff auf eine Looker-Instanz (Google Cloud Core) entweder öffentlich oder privat sein, nicht beides.

Back-Ends

Back-Ends werden mithilfe von Netzwerk-Endpunktgruppen (NEGs) bereitgestellt, mit denen Nutzer öffentlichen und privaten Traffic an ihren Load-Balancer weiterleiten können, bevor der Traffic einen Private Service Connect-Dienst erreicht. Außerdem bieten sie die Zertifikatsbeendigung. Mit einem Load-Balancer bieten Back-Ends die folgenden Optionen:

Beobachtbarkeit (jede Verbindung wird protokolliert)
Cloud Armor-Integration
Private URL-Kennzeichnung und clientseitige Zertifikate
Anfrage-Dekoration (benutzerdefinierte Anfrageheader hinzufügen)

Von Google verwaltete Zertifikate mit einer benutzerdefinierten Domain verwenden

Sie können jetzt ein von Google verwaltetes Zertifikat für benutzerdefinierte Domains verwenden, die das Format *.private.looker.app verwenden. Konfigurieren Sie dazu Ihr privates DNS so, dass Ihre benutzerdefinierte Domain (z. B. my-instance.private.looker.app) auf die IP-Adresse Ihres PSC-Endpunkts verweist.

Da das Zertifikat für die Domain *.private.looker.app von Google verwaltet wird, müssen Sie keine eigenen Zertifikate erstellen oder verwalten.

Sie können weiterhin andere benutzerdefinierte Domains verwenden, müssen aber Ihre eigenen Zertifikate dafür verwalten und bereitstellen. Weitere Informationen finden Sie auf der Dokumentationsseite Benutzerdefinierte Domain mit von Google verwalteten Zertifikaten verwenden.

Auf ausgehende Dienste zugreifen

Looker (Google Cloud Core) fungiert als Dienstnutzer, wenn die Kommunikation mit anderen Diensten in Ihrer VPC, Ihrem Multi-Cloud-Netzwerk oder dem Internet hergestellt wird. Die Verbindung zu diesen Diensten von Looker (Google Cloud Core) aus wird als ausgehender Traffic bezeichnet.

Wenn Sie eine Verbindung zu einem externen Dienst herstellen möchten, der das Standard-Webprotokoll HTTPS mit den verfügbaren Ports 443 oder 8443 verwendet, können Sie den kontrollierten nativen Egress von Looker (Google Cloud Core) und die Einstellung Globaler FQDN verwenden, um die Verbindung einzurichten. Wenn der externe Dienst jedoch ein anderes Protokoll verwendet, muss dieser externe Dienst mit Private Service Connect veröffentlicht werden, damit er mit Lokaler FQDN eine Verbindung zu Ihrer Looker-Instanz (Google Cloud Core) herstellen kann.

So stellen Sie eine Verbindung zu veröffentlichten Diensten her:

Prüfen Sie, ob der Dienst veröffentlicht ist. Bei einigen Google Cloud Diensten wird dies möglicherweise für Sie erledient. Cloud SQL bietet beispielsweise die Möglichkeit, eine Instanz mit aktiviertem Private Service Connect zu erstellen. Andernfalls folgen Sie der Anleitung zum Veröffentlichen eines Dienstes mit Private Service Connect und beachten Sie die zusätzlichen Anweisungen in der Looker-Anleitung (Google Cloud Core).
Geben Sie die ausgehende (Egress-)Verbindung von Looker (Google Cloud Core) zum Dienst an.

Sie können Hybridkonnektivitäts-NEGs oder Internet-NEGs verwenden, wenn Sie mit Private Service Connect auf Dienste zugreifen:

Private Service Connect verbindet Looker (Google Cloud Core) über Load Balancer und Hybrid- oder Internet-NEGs mit Diensten.

Eine Hybridkonnektivitäts-NEG bietet Zugriff auf private Endpunkte wie lokale oder Multi-Cloud-Endpunkte. Eine Hybridkonnektivitäts-NEG ist eine Kombination aus einer IP-Adresse und einem Port, die als Back-End für einen Load-Balancer konfiguriert sind. Sie wird in derselben VPC wie der Cloud Router bereitgestellt. Diese Bereitstellung ermöglicht es Diensten in Ihrer VPC, über Hybridverbindungen wie Cloud VPN oder Cloud Interconnect erreichbare Endpunkte zu erreichen.
Eine Internet-NEG bietet Zugriff auf öffentliche Endpunkte, z. B. einen GitHub-Endpunkt. Eine Internet-NEG gibt ein externes Back-End für den Load-Balancer an. Dieses externe Back-End, auf das von der Internet-NEG verwiesen wird, ist über das Internet zugänglich.

Sie können eine ausgehende Verbindung von Looker (Google Cloud Core) zu Dienstanbietern in jeder Region herstellen. Wenn Sie beispielsweise Cloud SQL Private Service Connect-Instanzen in den Regionen us-west1 und us-east4 haben, können Sie eine ausgehende Verbindung von einer Looker-Instanz (Google Cloud Core) mit Private Service Connect erstellen, die in us-central1 bereitgestellt wird.

Die beiden regionalen Dienstanhänge mit eindeutigen Domainnamen werden so angegeben. Die Flags --region beziehen sich auf die Region der Looker-Instanz (Google Cloud Core) mit Private Service Connect, während die Regionen der Cloud SQL-Instanzen in ihren Dienstanhang-URIs enthalten sind:

gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \
--psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1

Für den ausgehenden Zugriff auf nicht von Google verwaltete Dienste müssen Sie den globalen Zugriff auf dem Load-Balancer des Anbieters aktivieren, um die Kommunikation zwischen Regionen zu ermöglichen.