É possível usar o Private Service Connect para acessar uma instância do Looker (Google Cloud Core) de conexões particulares ou conectar uma instância do Looker (Google Cloud Core) de conexões particulares a outros serviços internos ou externos. Para usar o Private Service Connect, a instância do Looker (Google Cloud Core) precisa atender aos seguintes critérios:
- As edições da instância precisam ser Enterprise (
core-enterprise-annual) ou Embed (core-embed-annual). - O Private Service Connect precisa ser ativado na criação da instância.
O Private Service Connect permite o acesso de entrada ao Looker (Google Cloud Core) usando endpoints ou back-ends. Os grupos de endpoints de rede (NEGs, na sigla em inglês), quando expostos como produtores de serviços do Private Service Connect, permitem que o Looker (Google Cloud Core) acesse recursos locais de saída, ambientes multicloud, cargas de trabalho de VPC ou serviços de Internet.
Para saber mais sobre o Private Service Connect, assista aos vídeos O que é o Private Service Connect? e Private Service Connect e Diretório de serviços: uma revolução para conectar seu aplicativo na nuvem.
Anexo de serviço
Quando você cria uma instância do Looker (Google Cloud Core) ativada para usar o Private Service Connect, o Looker (Google Cloud Core) cria um anexo de serviço para a instância automaticamente. Um anexo de serviço é um ponto de anexo que as redes VPC usam para acessar a instância. O anexo de serviço tem um URI, que é usado para fazer conexões. É possível encontrar esse URI na guia Detalhes da página de configuração da instância do Google Cloud console.
Em seguida, crie um back-end do Private Service Connect que outra rede VPC usa para se conectar ao anexo de serviço. Isso permite que a rede acesse a instância do Looker (Google Cloud Core).
Como atualizar o anexo de serviço
Para ativar novos recursos, como o acesso global e os certificados gerenciados pelo Google, os endpoints ou back-ends do Private Service Connect de entrada da instância precisam apontar para um anexo de serviço atualizado. Consulte a página da documentação Como migrar conexões do Private Service Connect para o novo URI do anexo de serviço para mais informações e instruções.
Como usar o acesso global
As instâncias do Looker (Google Cloud Core) que usam o URI atualizado do anexo de serviço do Private Service Connect oferecem suporte ao acesso global. O acesso global permite criar um endpoint do Private Service Connect em uma região diferente da instância do Looker (Google Cloud Core). Por exemplo, se a instância estiver em us-central1, você poderá criar um balanceador de carga com um grupo de endpoints de rede (NEG) do Private Service Connect em us-west1 para acessar a instância.
Para ativar esse recurso, selecione a opção Ativar acesso global na regra de encaminhamento do back-end ou endpoint do Private Service Connect.
Acesso de entrada
O acesso de entrada diz respeito à configuração do roteamento de clientes para o Looker (Google Cloud Core). O Looker (Google Cloud Core) implantado com o Private Service Connect oferece suporte a conexões de back-end para acesso de entrada.
As instâncias do Private Service Connect do Looker (Google Cloud Core) podem ser acessadas por consumidores de serviço por meio de um balanceador de carga de aplicativo regional externo ou de forma particular por um back-end do Private Service Connect. No entanto, o Looker (Google Cloud Core) oferece suporte a um único domínio personalizado. Portanto, o acesso de entrada a uma instância do Looker (Google Cloud Core) precisa ser público ou particular, não ambos.
Back-ends
Os back-ends são implantados usando grupos de endpoints de rede (NEGs), que permitem que os consumidores direcionem o tráfego público e particular para o balanceador de carga antes que o tráfego chegue a um serviço do Private Service Connect, e também oferecem encerramento de certificado. Com um balanceador de carga, os back-ends oferecem as seguintes opções:
- Observabilidade (todas as conexões são registradas)
- Integração do Cloud Armor
- Rotulagem particular de URL e certificados do lado do cliente
- Decoração de solicitação (adição de cabeçalhos de solicitação personalizados)
Como usar certificados gerenciados pelo Google com um domínio personalizado
Agora é possível usar um certificado gerenciado pelo Google para domínios personalizados que usam o formato *.private.looker.app. Para fazer isso, configure seu DNS particular para apontar seu domínio personalizado (por exemplo, my-instance.private.looker.app) para o endereço IP do endpoint do PSC.
Como o certificado do domínio *.private.looker.app é gerenciado pelo Google, não é necessário criar ou gerenciar seus próprios certificados.
É possível continuar usando outros domínios personalizados, mas é necessário gerenciar e fornecer seus próprios certificados para eles. Para mais informações, consulte a página da documentação Como usar um domínio personalizado com certificados gerenciados pelo Google.
Acessar serviços de saída
O Looker (Google Cloud Core) atua como um consumidor de serviços ao estabelecer comunicação com outros serviços na VPC, na rede multicloud ou na Internet. A conexão com esses serviços do Looker (Google Cloud Core) é considerada tráfego de saída.
Se você quiser se conectar a um serviço externo que usa o protocolo da Web padrão, HTTPS, com as portas 443 ou 8443 disponíveis, use a saída nativa controlada do Looker (Google Cloud Core) e a configuração FQDN global para configurar a conexão. No entanto, se o serviço externo usar um protocolo diferente, ele precisará ser publicado usando o Private Service Connect para permitir que ele se conecte à instância do Looker (Google Cloud Core) usando o FQDN local.
Para se conectar a serviços publicados, siga estas etapas:
- Verifique se o serviço está publicado. Alguns Google Cloud serviços podem cuidar disso para você. Por exemplo, o Cloud SQL oferece uma maneira de criar uma instância com o Private Service Connect ativado. Caso contrário, siga as instruções para publicar um serviço usando o Private Service Connect e consulte as orientações adicionais nas instruções do Looker (Google Cloud Core).
- Especifique a conexão de saída (saída) do Looker (Google Cloud Core) para o serviço.
É possível usar NEGs de conectividade híbrida ou NEGs da Internet ao acessar serviços com o Private Service Connect:
Um NEG de conectividade híbrida fornece acesso a endpoints particulares, como endpoints locais ou multicloud. Um NEG de conectividade híbrida é uma combinação de um endereço IP e uma porta configurada como um back-end para um balanceador de carga. Ele é implantado na mesma VPC que o Cloud Router. Essa implantação permite que os serviços na VPC alcancem endpoints roteáveis por meio de conectividade híbrida, como o Cloud VPN ou o Cloud Interconnect.
Um NEG da Internet fornece acesso a endpoints públicos, por exemplo, um endpoint do GitHub. Um NEG da Internet especifica um back-end externo para o balanceador de carga. Esse back-end externo referenciado pelo NEG da Internet pode ser acessado pela Internet.
É possível estabelecer uma conexão de saída do Looker (Google Cloud Core) com produtores de serviços em qualquer região. Por exemplo, se você tiver instâncias do Private Service Connect do Cloud SQL nas regiões us-west1 e us-east4, poderá criar uma conexão de saída de uma instância do Private Service Connect do Looker (Google Cloud Core) implantada em us-central1.
Os dois anexos de serviço regionais com nomes de domínio exclusivos seriam especificados da seguinte maneira. As flags --region se referem à região da instância do Private Service Connect do Looker (Google Cloud Core), enquanto as regiões das instâncias do Cloud SQL estão incluídas nos URIs do anexo de serviço:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
O acesso de saída a serviços não gerenciados pelo Google exige que você ative o acesso global no balanceador de carga do produtor para permitir a comunicação entre regiões.
A seguir
- Criar uma instância do Private Service Connect do Looker (Google Cloud Core)
- Acessar uma instância do Looker (Google Cloud Core) usando o Private Service Connect