Anda dapat menggunakan Private Service Connect untuk mengakses instance Looker (Google Cloud core) koneksi pribadi atau menghubungkan instance Looker (Google Cloud core) koneksi pribadi ke layanan internal atau eksternal lainnya. Untuk menggunakan Private Service Connect, instance Looker (Google Cloud core) Anda harus memenuhi kriteria berikut:
- Edisi instance harus berupa Enterprise (
core-enterprise-annual) atau Embed (core-embed-annual). - Private Service Connect harus diaktifkan saat pembuatan instance.
Private Service Connect memungkinkan akses masuk ke Looker (Google Cloud core) menggunakan endpoint atau backend. Grup endpoint jaringan (NEG), setelah diekspos sebagai produsen layanan Private Service Connect, memungkinkan Looker (inti Google Cloud) mengakses resource lokal keluar, lingkungan multicloud, beban kerja VPC, atau layanan internet.
Untuk mempelajari Private Service Connect lebih lanjut, tonton video What is Private Service Connect? dan Private Service Connect and Service Directory: A revolution to connect your application in Cloud.
Lampiran layanan
Saat Anda membuat instance Looker (Google Cloud core) yang diaktifkan untuk menggunakan Private Service Connect, Looker (Google Cloud core) akan otomatis membuat lampiran layanan untuk instance tersebut. Lampiran layanan adalah titik lampiran yang digunakan jaringan VPC untuk mengakses instance. Lampiran layanan memiliki URI, yang digunakan untuk membuat koneksi. Anda dapat menemukan URI tersebut di tab Detail di halaman konfigurasi instance di konsol Google Cloud .
Selanjutnya, Anda membuat backend Private Service Connect yang digunakan jaringan VPC lain untuk terhubung ke lampiran layanan. Hal ini memungkinkan jaringan untuk mengakses instance Looker (Google Cloud core).
Memperbarui lampiran layanan
Untuk mengaktifkan fitur baru seperti akses global dan sertifikat yang dikelola Google, endpoint atau backend Private Service Connect masuk instance Anda harus mengarah ke lampiran layanan yang diupdate. Lihat halaman dokumentasi Memigrasikan koneksi Private Service Connect ke URI lampiran layanan baru untuk mengetahui informasi dan petunjuk selengkapnya.
Menggunakan akses global
Instance Looker (Google Cloud core) yang menggunakan URI lampiran layanan Private Service Connect yang diperbarui mendukung akses global. Akses global memungkinkan Anda membuat endpoint Private Service Connect di region yang berbeda dari instance Looker (Google Cloud core). Misalnya, jika instance Anda berada di us-central1, Anda dapat membuat load balancer dengan grup endpoint jaringan (NEG) Private Service Connect di us-west1 untuk mengakses instance.
Untuk mengaktifkan fitur ini, pilih Aktifkan akses global pada aturan penerusan untuk backend atau endpoint Private Service Connect Anda.
Akses masuk
Inbound access berkaitan dengan konfigurasi perutean dari klien ke Looker (Google Cloud core). Looker (Google Cloud core) yang di-deploy dengan Private Service Connect mendukung koneksi backend untuk akses masuk.
Instance Private Service Connect Looker (Google Cloud core) dapat diakses oleh konsumen layanan melalui load balancer aplikasi regional eksternal atau secara pribadi melalui backend Private Service Connect. Namun, Looker (Google Cloud core) mendukung satu domain kustom, sehingga akses masuk ke instance Looker (Google Cloud core) harus bersifat publik atau pribadi, bukan publik dan pribadi.
Backend
Backend di-deploy menggunakan grup endpoint jaringan (NEG), yang memungkinkan konsumen mengarahkan traffic publik dan pribadi ke load balancer mereka sebelum traffic mencapai layanan Private Service Connect, dan juga menawarkan penghentian sertifikat. Dengan load balancer, backend menyediakan opsi berikut:
- Kemampuan observasi (setiap koneksi dicatat ke dalam log)
- Integrasi Cloud Armor
- Pelabelan pribadi URL dan sertifikat sisi klien
- Dekorasi permintaan (menambahkan header permintaan kustom)
Menggunakan sertifikat yang dikelola Google dengan domain kustom
Sekarang Anda dapat menggunakan sertifikat yang dikelola Google untuk domain kustom yang menggunakan format *.private.looker.app. Untuk melakukannya, konfigurasi DNS pribadi Anda agar mengarahkan domain kustom Anda (misalnya, my-instance.private.looker.app) ke alamat IP endpoint PSC Anda.
Karena sertifikat untuk domain *.private.looker.app dikelola oleh Google, Anda tidak perlu membuat atau mengelola sertifikat Anda sendiri.
Anda dapat terus menggunakan domain kustom lainnya, tetapi Anda harus mengelola dan menyediakan sertifikat Anda sendiri untuk domain tersebut. Untuk mengetahui informasi selengkapnya, lihat halaman dokumentasi Menggunakan domain kustom dengan sertifikat yang dikelola Google.
Mengakses layanan keluar
Looker (inti Google Cloud) bertindak sebagai konsumen layanan saat membuat komunikasi ke layanan lain di VPC, jaringan multi-cloud, atau internet Anda. Menghubungkan ke layanan ini dari Looker (Google Cloud core) dianggap sebagai traffic keluar.
Jika ingin terhubung ke layanan eksternal yang menggunakan protokol web standar, HTTPS, dengan port 443 atau 8443 yang tersedia, Anda dapat menggunakan keluar asli yang dikontrol Looker (inti Google Cloud) dan setelan FQDN Global untuk menyiapkan koneksi. Namun, jika layanan eksternal menggunakan protokol yang berbeda, layanan eksternal tersebut harus dipublikasikan menggunakan Private Service Connect agar dapat terhubung ke instance Looker (Google Cloud core) Anda menggunakan FQDN Lokal.
Untuk terhubung ke layanan yang dipublikasikan, lakukan langkah-langkah berikut:
- Pastikan layanan dipublikasikan. Beberapa layanan Google Cloud dapat menangani hal ini untuk Anda; misalnya, Cloud SQL menawarkan cara untuk membuat instance dengan Private Service Connect yang diaktifkan. Jika tidak, ikuti petunjuk untuk memublikasikan layanan menggunakan Private Service Connect dan lihat panduan tambahan dalam petunjuk Looker (Google Cloud core).
- Tentukan koneksi keluar (egress) dari Looker (Google Cloud core) ke layanan.
Anda dapat menggunakan NEG konektivitas hibrida atau NEG internet saat mengakses layanan dengan Private Service Connect:
NEG konektivitas hybrid menyediakan akses ke endpoint pribadi, seperti endpoint lokal atau multi-cloud. NEG dengan konektivitas hybrid adalah kombinasi alamat IP dan port yang dikonfigurasi sebagai backend ke load balancer. Router ini di-deploy dalam VPC yang sama dengan Cloud Router. Deployment ini memungkinkan layanan di VPC Anda menjangkau endpoint yang dapat dirutekan melalui konektivitas hybrid, seperti Cloud VPN atau Cloud Interconnect.
NEG internet memberikan akses ke endpoint publik, misalnya, endpoint GitHub. NEG internet menentukan backend eksternal untuk load balancer. Backend eksternal yang dirujuk oleh NEG internet ini dapat diakses melalui internet.
Anda dapat membuat koneksi keluar dari Looker (Google Cloud core) ke produsen layanan di wilayah mana pun. Misalnya, jika Anda memiliki instance Private Service Connect Cloud SQL di region us-west1 dan us-east4, Anda dapat membuat koneksi keluar dari instance Private Service Connect Looker (Google Cloud core) yang di-deploy di us-central1.
Dua lampiran layanan regional dengan nama domain unik akan ditentukan sebagai berikut. Flag --region merujuk pada region instance Private Service Connect Looker (Google Cloud core), sedangkan region instance Cloud SQL disertakan dalam URI lampiran layanannya:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
Akses keluar ke layanan terkelola non-Google mengharuskan Anda mengaktifkan akses global di load balancer produsen untuk mengizinkan komunikasi antar-region.
Langkah berikutnya
- Membuat instance Private Service Connect Looker (Google Cloud core)
- Mengakses instance Looker (Google Cloud core) menggunakan Private Service Connect