Puedes usar Private Service Connect para acceder a una instancia de Looker (Google Cloud core) con conexiones privadas o conectar una instancia de Looker (Google Cloud core) con conexiones privadas a otros servicios internos o externos. Para usar Private Service Connect, tu instancia de Looker (Google Cloud core) debe cumplir los siguientes criterios:
- Las ediciones de instancia deben ser Enterprise (
core-enterprise-annual) o Embed (core-embed-annual). - Private Service Connect debe habilitarse al crear la instancia.
Private Service Connect permite el acceso entrante a Looker (Google Cloud core) mediante endpoints o backends. Los grupos de endpoints de red (NEGs), una vez expuestos como productores de servicios de Private Service Connect, permiten que Looker (Google Cloud core) acceda a recursos on-premise salientes, entornos multicloud, cargas de trabajo de VPC o servicios de Internet.
Para obtener más información sobre Private Service Connect, consulta los vídeos ¿Qué es Private Service Connect? y Private Service Connect y el Directorio de servicios: una revolución para conectar tu aplicación en la nube.
Vinculación de servicio
Cuando crea una instancia de Looker (Google Cloud core) que tiene habilitado el uso de Private Service Connect, Looker (Google Cloud core) crea automáticamente un adjunto de servicio para la instancia. Una vinculación de servicio es un punto de vinculación que usan las redes de VPC para acceder a la instancia. La vinculación de servicio tiene un URI que se usa para establecer conexiones. Puedes encontrar ese URI en la pestaña Detalles de la página de configuración de la instancia de la consola Google Cloud .
A continuación, crea un backend de Private Service Connect que otra red de VPC usa para conectarse a la vinculación de servicio. De esta forma, la red puede acceder a la instancia de Looker (Google Cloud Core).
Actualizar el adjunto de servicio
Para habilitar nuevas funciones, como el acceso global y los certificados gestionados por Google, los endpoints o los backends de Private Service Connect entrantes de tu instancia deben apuntar a un adjunto de servicio actualizado. Consulta la página de documentación Migrar conexiones de Private Service Connect al nuevo URI de adjunto de servicio para obtener más información e instrucciones.
Usar el acceso global
Las instancias de Looker (Google Cloud core) que usan el URI de vinculación de servicio de Private Service Connect actualizado admiten el acceso global. El acceso global te permite crear un endpoint de Private Service Connect en una región diferente a la de tu instancia de Looker (Google Cloud core). Por ejemplo, si tu instancia está en us-central1, puedes crear un balanceador de carga con un grupo de endpoints de red (NEG) de Private Service Connect en us-west1 para acceder a la instancia.
Para habilitar esta función, selecciona Habilitar acceso global en la regla de reenvío de tu backend o endpoint de Private Service Connect.
Acceso entrante
El acceso entrante se refiere a la configuración del enrutamiento de los clientes a Looker (Google Cloud Core). Looker (Google Cloud core) implementado con Private Service Connect admite conexiones de backend para el acceso entrante.
Los consumidores de servicios pueden acceder a las instancias de Private Service Connect de Looker (Google Cloud core) a través de un balanceador de carga de aplicaciones regional externo o de forma privada a través de un backend de Private Service Connect. Sin embargo, Looker (Google Cloud core) admite un único dominio personalizado, por lo que el acceso entrante a una instancia de Looker (Google Cloud core) debe ser público o privado, pero no ambos.
Backends
Los backends se implementan mediante grupos de endpoints de red (NEGs), que permiten a los consumidores dirigir el tráfico público y privado a su balanceador de carga antes de que llegue a un servicio de Private Service Connect. También ofrecen la finalización de certificados. Con un balanceador de carga, los backends ofrecen las siguientes opciones:
- Observabilidad (se registra cada conexión)
- Integración de Cloud Armor
- Etiquetado privado de URLs y certificados del lado del cliente
- Decoración de solicitudes (añadir encabezados de solicitud personalizados)
Usar certificados gestionados por Google con un dominio personalizado
Ahora puedes usar un certificado gestionado por Google para dominios personalizados que usen el formato *.private.looker.app. Para ello, configura tu DNS privado para que dirija tu dominio personalizado (por ejemplo, my-instance.private.looker.app) a la dirección IP de tu endpoint de PSC.
Como Google gestiona el certificado del dominio *.private.looker.app, no tienes que crear ni gestionar tus propios certificados.
Puedes seguir usando otros dominios personalizados, pero debes gestionar y proporcionar tus propios certificados. Para obtener más información, consulta la página de documentación Usar un dominio personalizado con certificados gestionados por Google.
Acceder a servicios salientes
Looker (principal de Google Cloud) actúa como consumidor de servicios al establecer la comunicación con otros servicios de tu VPC, tu red multicloud o Internet. La conexión a estos servicios desde Looker (Google Cloud core) se considera tráfico saliente.
Si quieres conectarte a un servicio externo que usa el protocolo web estándar HTTPS con los puertos 443 u 8443, puedes usar la salida nativa controlada de Looker (Google Cloud core) y el ajuste FQDN global para configurar la conexión. Sin embargo, si el servicio externo usa un protocolo diferente, debe publicarse mediante Private Service Connect para que pueda conectarse a tu instancia de Looker (Google Cloud core) mediante el FQDN local.
Para conectarte a servicios publicados, sigue estos pasos:
- Comprueba que el servicio esté publicado. Algunos Google Cloud servicios pueden encargarse de esto por ti. Por ejemplo, Cloud SQL ofrece una forma de crear una instancia con Private Service Connect habilitado. De lo contrario, sigue las instrucciones para publicar un servicio mediante Private Service Connect y consulta las directrices adicionales de las instrucciones de Looker (Google Cloud core).
- Especifica la conexión saliente de Looker (Google Cloud core) al servicio.
Puedes usar NEGs de conectividad híbrida o NEGs de Internet al acceder a servicios con Private Service Connect:
Un NEG de conectividad híbrida proporciona acceso a endpoints privados, como endpoints on-premise o multinube. Una NEG de conectividad híbrida es una combinación de una dirección IP y un puerto configurados como backend de un balanceador de carga. Se implementa en la misma VPC que Cloud Router. Esta implementación permite que los servicios de tu VPC lleguen a los endpoints enrutables a través de la conectividad híbrida, como Cloud VPN o Cloud Interconnect.
Un NEG de Internet proporciona acceso a endpoints públicos, como un endpoint de GitHub. Un NEG de Internet especifica un backend externo para el balanceador de carga. Se puede acceder a este backend externo al que hace referencia el NEG de Internet a través de Internet.
Puedes establecer una conexión saliente desde Looker (Google Cloud Core) a productores de servicios de cualquier región. Por ejemplo, si tienes instancias de Private Service Connect de Cloud SQL en las regiones us-west1 y us-east4, puedes crear una conexión saliente desde una instancia de Private Service Connect de Looker (Google Cloud core) implementada en us-central1.
Los dos adjuntos de servicio regionales con nombres de dominio únicos se especificarían de la siguiente manera. Las marcas --region hacen referencia a la región de la instancia de Private Service Connect de Looker (Google Cloud core), mientras que las regiones de las instancias de Cloud SQL se incluyen en sus URIs de adjuntos de servicio:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
Para acceder saliendo a servicios no gestionados por Google, debes habilitar el acceso global en el balanceador de carga del productor para permitir la comunicación entre regiones.
Siguientes pasos
- Crear una instancia de Private Service Connect de Looker (servicio principal de Google Cloud)
- Acceder a una instancia de Looker (Google Cloud core) mediante Private Service Connect