É possível usar o Private Service Connect para acessar uma instância de IP particular do Looker (Google Cloud Core) ou conectar uma instância de IP particular do Looker (Google Cloud Core) a outros serviços internos ou externos. Para usar o Private Service Connect, sua instância do Looker (Google Cloud Core) precisa atender aos seguintes critérios:
- As edições de instância precisam ser Enterprise (
core-enterprise-annual) ou Embed (core-embed-annual). - O Private Service Connect precisa ser ativado na criação da instância.
O Private Service Connect permite o acesso de norte para sul ao Looker (Google Cloud Core) usando endpoints ou back-ends. Os grupos de endpoints de rede (NEGs, na sigla em inglês), quando expostos como produtores de serviços do Private Service Connect, permitem que o Looker (Google Cloud Core) acesse recursos no local do southbound, ambientes multicloud, cargas de trabalho da VPC ou serviços da Internet.
Para saber mais sobre o Private Service Connect, assista os vídeos O que é o Private Service Connect? e Private Service Connect e diretório de serviços: uma revolução para conectar seu aplicativo no Cloud.
Anexo de serviço
Quando você cria uma instância do Looker (Google Cloud Core) que está ativada para usar o Private Service Connect, o Looker (Google Cloud Core) cria automaticamente um anexo de serviço para a instância. Um anexo de serviço é um ponto de anexo que as redes VPC usam para acessar a instância. O anexo de serviço tem um URI, que é usado para fazer conexões. Esse URI está na guia Detalhes da página de configuração da instância do console Google Cloud .
Em seguida, crie um back-end do Private Service Connect que outra rede VPC usa para se conectar ao anexo de serviço. Isso permite que a rede acesse a instância do Looker (Google Cloud Core).
Acesso de norte a sul
O acesso Northbound se refere à configuração do roteamento de clientes para o Looker (Google Cloud Core). O Looker (Google Cloud Core) implantado com o Private Service Connect oferece suporte a conexões de back-end para acesso de norte.
As instâncias do Looker (Google Cloud Core) do Private Service Connect podem ser acessadas por consumidores de serviços por um balanceador de carga de aplicativo regional externo ou de forma particular por um back-end do Private Service Connect. No entanto, o Looker (Google Cloud Core) oferece suporte a um único domínio personalizado. Portanto, o acesso de entrada a uma instância do Looker (Google Cloud Core) precisa ser público ou privado, não ambos.
Back-ends
Os back-ends são implantados usando grupos de endpoints de rede (NEGs, na sigla em inglês), que permitem que os consumidores direcionem o tráfego público e privado para o balanceador de carga antes que ele chegue a um serviço do Private Service Connect e também ofereçam encerramento de certificado. Com um balanceador de carga, os back-ends oferecem as seguintes opções:
- Observabilidade (cada conexão é registrada)
- Integração com o Cloud Armor
- Marcação particular de URL e certificados do lado do cliente
- Decoração de solicitação (adição de cabeçalhos de solicitação personalizados)
Acessar serviços southbound
Looker (Google Cloud Core) atua como um consumidor de serviços ao estabelecer a comunicação com outros serviços na VPC, na rede multicloud ou na Internet. A conexão com esses serviços do Looker (Google Cloud Core) é considerada tráfego no sentido sul.
Para se conectar a esses serviços, siga estas etapas:
- Verifique se o serviço está publicado. Alguns Google Cloud serviços podem cuidar disso para você. Por exemplo, o Cloud SQL oferece uma maneira de criar uma instância com o Private Service Connect ativado. Caso contrário, siga as instruções para publicar um serviço usando o Private Service Connect e consulte as orientações adicionais nas instruções do Looker (núcleo do Google Cloud).
- Especifique a conexão de saída (de saída) do Looker (Google Cloud Core) para o serviço.
É possível usar NEGs de conectividade híbrida ou de Internet ao acessar serviços com o Private Service Connect:
Um NEG de conectividade híbrida fornece acesso a endpoints particulares, como endpoints no local ou em várias nuvens. Um NEG de conectividade híbrida é uma combinação de um endereço IP e uma porta configurados como back-end para um balanceador de carga. Ele é implantado na mesma VPC do Cloud Router. Essa implantação permite que os serviços na VPC alcancem endpoints roteáveis por conectividade híbrida, como o Cloud VPN ou o Cloud Interconnect.
Um NEG da Internet fornece acesso a endpoints públicos, por exemplo, um endpoint do GitHub. Um NEG da Internet especifica um back-end externo para o balanceador de carga. Esse back-end externo referenciado pelo NEG da Internet é acessível pela Internet.
É possível estabelecer uma conexão de ida do Looker (Google Cloud Core) para os produtores de serviços em qualquer região. Por exemplo, se você tiver instâncias do Private Service Connect do Cloud SQL nas regiões us-west1 e us-east4, será possível criar uma conexão de ida para a rede de uma instância do Private Service Connect do Looker (Google Cloud Core) implantada em us-central1.
Os dois anexos de serviço regionais com nomes de domínio exclusivos serão especificados da seguinte maneira. As flags --region se referem à região da instância do Private Service Connect do Looker (Google Cloud Core), enquanto as regiões das instâncias do Cloud SQL são incluídas nos URIs de anexo de serviço:
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
O acesso de entrada a serviços não gerenciados pelo Google exige que você ative o acesso global no balanceador de carga do produtor para permitir a comunicação entre regiões.
A seguir
- Criar uma instância do Looker (Google Cloud Core) do Private Service Connect
- Acessar uma instância do Looker (Google Cloud Core) usando o Private Service Connect