Anda dapat menggunakan Private Service Connect untuk mengakses instance Looker (Google Cloud core) koneksi pribadi atau menghubungkan instance Looker (Google Cloud core) koneksi pribadi ke layanan internal atau eksternal lainnya. Agar dapat menggunakan Private Service Connect, instance Looker (Google Cloud core) Anda harus memenuhi kriteria berikut:
- Edisi instance harus Enterprise (
core-enterprise-annual) atau Embed (core-embed-annual). - Private Service Connect harus diaktifkan saat pembuatan instance.
Private Service Connect memungkinkan akses masuk ke Looker (Google Cloud core) menggunakan endpoint atau backend. Grup endpoint jaringan (NEG), setelah diekspos sebagai produsen layanan Private Service Connect, memungkinkan Looker (Google Cloud core) mengakses resource lokal keluar, lingkungan multi-cloud, workload VPC, atau layanan internet.
Untuk mempelajari Private Service Connect lebih lanjut, tonton video What is Private Service Connect? dan Private Service Connect and Service Directory: A revolution to connect your application in Cloud.
Lampiran layanan
Saat Anda membuat instance Looker (Google Cloud core) yang diaktifkan untuk menggunakan Private Service Connect, Looker (Google Cloud core) akan otomatis membuat lampiran layanan untuk instance tersebut. Lampiran layanan adalah titik lampiran yang digunakan jaringan VPC untuk mengakses instance. Lampiran layanan memiliki URI, yang digunakan untuk membuat koneksi. Anda dapat menemukan URI tersebut di Details tab pada halaman konfigurasi instance di Google Cloud konsol.
Selanjutnya, Anda akan membuat backend Private Service Connect yang digunakan jaringan VPC lain untuk terhubung ke lampiran layanan. Hal ini memungkinkan jaringan untuk mengakses instance Looker (Google Cloud core).
Memperbarui lampiran layanan
Untuk mengaktifkan fitur baru seperti akses global dan sertifikat yang dikelola Google, endpoint atau backend Private Service Connect masuk instance Anda harus mengarah ke lampiran layanan yang diperbarui. Lihat halaman dokumentasi Migrating Private Service Connect connections to the new service attachment URI untuk mengetahui informasi dan petunjuk selengkapnya.
Menggunakan akses global
Instance Looker (Google Cloud core) yang menggunakan URI lampiran layanan Private Service Connect yang diperbarui mendukung akses global. Akses global memungkinkan Anda membuat endpoint Private Service Connect di region yang berbeda dari instance Looker (Google Cloud core) Anda. Misalnya, jika instance Anda berada di us-central1, Anda dapat membuat load balancer dengan grup endpoint jaringan (NEG) Private Service Connect di us-west1 untuk mengakses instance tersebut.
Untuk mengaktifkan fitur ini, pilih Enable global access pada aturan penerusan untuk backend atau endpoint Private Service Connect Anda.
Akses masuk
Aksesmasuk berkaitan dengan konfigurasi perutean dari klien ke Looker (Google Cloud core). Looker (Google Cloud core) yang di-deploy dengan Private Service Connect mendukung koneksi backend untuk akses masuk.
Instance Private Service Connect Looker (Google Cloud core) dapat diakses oleh konsumen layanan melalui load balancer aplikasi regional eksternal atau secara pribadi melalui backend Private Service Connect. Namun, Looker (Google Cloud core) mendukung satu domain kustom, sehingga akses masuk ke instance Looker (Google Cloud core) harus bersifat publik atau pribadi, bukan publik dan pribadi.
Backend
Backend di-deploy menggunakan grup endpoint jaringan (NEG), yang memungkinkan konsumen mengarahkan traffic publik dan pribadi ke load balancer mereka sebelum traffic mencapai layanan Private Service Connect, dan juga menawarkan penghentian sertifikat. Dengan load balancer, backend menyediakan opsi berikut:
- Observabilitas (setiap koneksi dicatat)
- Integrasi Cloud Armor
- Pemberian label pribadi URL dan sertifikat sisi klien
- Dekorasi permintaan (menambahkan header permintaan kustom)
Menggunakan sertifikat yang dikelola Google dengan domain kustom
Anda kini dapat menggunakan sertifikat yang dikelola Google untuk domain kustom yang menggunakan format *.private.looker.app. Untuk melakukannya, konfigurasi DNS pribadi Anda agar mengarah domain kustom Anda (misalnya, my-instance.private.looker.app) ke alamat IP endpoint PSC Anda.
Karena sertifikat untuk domain *.private.looker.app dikelola oleh Google, Anda tidak perlu membuat atau mengelola sertifikat Anda sendiri.
Anda dapat terus menggunakan domain kustom lainnya, tetapi Anda harus mengelola dan menyediakan sertifikat Anda sendiri untuk domain tersebut. Untuk mengetahui informasi selengkapnya, lihat halaman dokumentasi Menggunakan domain kustom dengan sertifikat yang dikelola Google.
Mengakses layanan keluar
Looker (Google Cloud core) bertindak sebagai konsumen layanan saat membuat komunikasi ke layanan lain di VPC, jaringan multi-cloud, atau internet. Menghubungkan ke layanan ini dari Looker (Google Cloud core) dianggap sebagai traffic keluar.
Jika ingin terhubung ke layanan eksternal yang menggunakan protokol web standar, HTTPS, dengan port 443 atau 8443 yang tersedia, Anda dapat menggunakan egress native terkontrol Looker (Google Cloud core) dan setelan Global FQDN untuk menyiapkan koneksi Anda. Namun, jika layanan eksternal menggunakan protokol yang berbeda, layanan eksternal tersebut harus dipublikasikan menggunakan Private Service Connect agar dapat terhubung ke instance Looker (Google Cloud core) Anda menggunakan Local FQDN.
Untuk terhubung ke layanan yang dipublikasikan, lakukan langkah-langkah berikut:
- Pastikan layanan dipublikasikan. Beberapa Google Cloud layanan mungkin menangani hal ini untuk Anda; misalnya, Cloud SQL menawarkan cara untuk membuat instance dengan Private Service Connect yang diaktifkan. Jika tidak, ikuti petunjuk untuk memublikasikan layanan menggunakan Private Service Connect dan lihat panduan tambahan dalam petunjuk Looker (Google Cloud core).
- Tentukan koneksi keluar (egress) dari Looker (Google Cloud core) ke layanan.
Anda dapat menggunakan NEG konektivitas hybrid atau NEG internet saat mengakses layanan dengan Private Service Connect:
NEG konektivitas hybrid menyediakan akses ke endpoint pribadi, seperti endpoint lokal atau multi-cloud. NEG konektivitas hybrid adalah kombinasi alamat IP dan port yang dikonfigurasi sebagai backend ke load balancer. NEG ini di-deploy dalam VPC yang sama dengan Cloud Router. Deployment ini memungkinkan layanan di VPC Anda menjangkau endpoint yang dapat dirutekan melalui konektivitas hybrid, seperti Cloud VPN atau Cloud Interconnect.
NEG internet menyediakan akses ke endpoint publik, misalnya, endpoint GitHub. NEG internet menentukan backend eksternal untuk load balancer. Backend eksternal yang direferensikan oleh NEG internet dapat diakses melalui internet.
Anda dapat membuat koneksi keluar dari Looker (Google Cloud core) ke produsen layanan di region mana pun. Misalnya, jika Anda memiliki instance Private Service Connect Cloud SQL di region us-west1 dan us-east4, Anda dapat membuat koneksi keluar dari instance Private Service Connect Looker (Google Cloud core) yang di-deploy di us-central1.
Dua lampiran layanan regional dengan nama domain unik akan ditentukan sebagai berikut. Flag --region mengacu pada region instance Private Service Connect Looker (Google Cloud core), sedangkan region instance Cloud SQL disertakan dalam URI lampiran layanannya:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
Akses keluar ke layanan yang tidak dikelola Google mengharuskan Anda mengaktifkan akses global di load balancer produsen untuk mengizinkan komunikasi antar-region.
Langkah berikutnya
- Membuat instance Private Service Connect Looker (Google Cloud core)
- Mengakses instance Looker (Google Cloud core) menggunakan Private Service Connect