Esta página se ha traducido con Cloud Translation API.

Usar Private Service Connect con Looker (en la infraestructura de Google Cloud)

Puedes usar Private Service Connect para acceder a una instancia de Looker (Google Cloud core) con conexiones privadas o conectar una instancia de Looker (Google Cloud core) con conexiones privadas a otros servicios internos o externos. Para usar Private Service Connect, tu instancia de Looker (Google Cloud core) debe cumplir los siguientes criterios:

Las ediciones de instancia deben ser Enterprise (core-enterprise-annual) o Embed (core-embed-annual).
Private Service Connect debe habilitarse al crear la instancia.

Private Service Connect permite el acceso entrante a Looker (Google Cloud core) mediante puntos finales o back-ends. Los grupos de endpoints de red (NEGs), una vez expuestos como productores de servicios de Private Service Connect, permiten que Looker (Google Cloud core) acceda a recursos on-premise salientes, entornos multicloud, cargas de trabajo de VPC o servicios de Internet.

Para obtener más información sobre Private Service Connect, consulta los vídeos ¿Qué es Private Service Connect? y Private Service Connect y el Directorio de servicios: una revolución para conectar tu aplicación en la nube.

Vinculación de servicio

Cuando crea una instancia de Looker (Google Cloud core) que tiene habilitado Private Service Connect, Looker (Google Cloud core) crea automáticamente una vinculación de servicio para la instancia. Una vinculación de servicio es un punto de vinculación que usan las redes de VPC para acceder a la instancia. La vinculación de servicio tiene un URI que se usa para establecer conexiones. Puedes encontrar ese URI en la pestaña Detalles de la página de configuración de la instancia de la consola de Google Cloud .

A continuación, crea un backend de Private Service Connect que otra red de VPC usa para conectarse a la vinculación de servicio. De esta forma, la red puede acceder a la instancia de Looker (Google Cloud Core).

Acceso entrante

El acceso de entrada se refiere a la configuración del enrutamiento de los clientes a Looker (Google Cloud Core). Looker (Google Cloud core) implementado con Private Service Connect admite conexiones de backend para el acceso entrante.

Private Service Connect te permite enviar tráfico a puntos finales y backends que reenvían el tráfico a Looker (Google Cloud Core).

Los consumidores de servicios pueden acceder a las instancias de Private Service Connect de Looker (Google Cloud core) a través de un balanceador de carga de aplicaciones regional externo o de forma privada a través de un backend de Private Service Connect. Sin embargo, Looker (Google Cloud core) admite un único dominio personalizado, por lo que el acceso entrante a una instancia de Looker (Google Cloud core) debe ser público o privado, pero no ambos.

Backends

Los backends se implementan mediante grupos de endpoints de red (NEGs), que permiten a los consumidores dirigir el tráfico público y privado a su balanceador de carga antes de que llegue a un servicio de Private Service Connect. También ofrecen la finalización de certificados. Con un balanceador de carga, los backends ofrecen las siguientes opciones:

Observabilidad (se registra cada conexión)
Integración de Cloud Armor
Etiquetado privado de URLs y certificados del lado del cliente
Decoración de solicitudes (añadir encabezados de solicitud personalizados)

Acceder a servicios salientes

Looker (servicio principal de Google Cloud) actúa como consumidor de servicios al establecer la comunicación con otros servicios de tu VPC, tu red multicloud o Internet. La conexión a estos servicios desde Looker (Google Cloud core) se considera tráfico saliente.

Para conectarte a estos servicios, sigue estos pasos:

Asegúrate de que el servicio esté publicado. Algunos Google Cloud servicios pueden encargarse de esto por ti. Por ejemplo, Cloud SQL ofrece una forma de crear una instancia con Private Service Connect habilitado. De lo contrario, sigue las instrucciones para publicar un servicio mediante Private Service Connect y consulta las directrices adicionales de las instrucciones de Looker (Google Cloud core).
Especifica la conexión saliente de Looker (Google Cloud core) al servicio.

Puedes usar NEGs de conectividad híbrida o NEGs de Internet al acceder a servicios con Private Service Connect:

Private Service Connect conecta Looker (Google Cloud core) a los servicios a través de balanceadores de carga y NEGs híbridos o de Internet.

Un NEG de conectividad híbrida proporciona acceso a endpoints privados, como endpoints on-premise o multinube. Una NEG de conectividad híbrida es una combinación de una dirección IP y un puerto configurados como backend de un balanceador de carga. Se implementa en la misma VPC que Cloud Router. Esta implementación permite que los servicios de tu VPC lleguen a los endpoints enrutables a través de la conectividad híbrida, como Cloud VPN o Cloud Interconnect.
Un NEG de Internet proporciona acceso a endpoints públicos, como un endpoint de GitHub. Un NEG de Internet especifica un backend externo para el balanceador de carga. Se puede acceder a este backend externo al que hace referencia el NEG de Internet a través de Internet.

Puedes establecer una conexión saliente desde Looker (Google Cloud Core) a productores de servicios de cualquier región. Por ejemplo, si tienes instancias de Private Service Connect de Cloud SQL en las regiones us-west1 y us-east4, puedes crear una conexión saliente desde una instancia de Private Service Connect de Looker (Google Cloud core) implementada en us-central1.

Los dos adjuntos de servicio regionales con nombres de dominio únicos se especificarían de la siguiente manera. Las marcas --region hacen referencia a la región de la instancia de Private Service Connect de Looker (Google Cloud core), mientras que las regiones de las instancias de Cloud SQL se incluyen en sus URIs de adjuntos de servicio:

gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \
--psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1

Para acceder saliendo a servicios no gestionados por Google, debes habilitar el acceso global en el balanceador de carga del productor para permitir la comunicación entre regiones.