Looker PSC नॉर्थबाउंड रीजनल इंटरनल L7 ALB

इस कोडलैब (कोड बनाना सीखने के लिए ट्यूटोरियल) के बारे में जानकारी
schedule47 मिनट
subjectपिछली बार 2 अप्रैल 2025 को अपडेट किया गया
account_circleDeepak Michael ने लिखा

इस कोडलैब में, आपको Looker का नॉर्थबाउंड ऐक्सेस पाने के लिए, L7 रीजनल इंटरनल ऐप्लिकेशन लोड बैलेंसर और निजी सेवा कनेक्ट बैकएंड बनाना होगा. Looker के नॉर्थबाउंड ऐक्सेस के लिए, यह ज़रूरी है कि उपभोक्ता का VPC, Looker PSC इंस्टेंस की अनुमति वाली सूची में शामिल हो.

Private Service Connect, Google Cloud नेटवर्किंग की एक सुविधा है. इसकी मदद से, उपभोक्ता अपने VPC नेटवर्क से मैनेज की जा रही सेवाओं को निजी तौर पर ऐक्सेस कर सकते हैं. इसी तरह, मैनेज की जाने वाली सेवाओं के प्रोड्यूसर, इन सेवाओं को अपने अलग वीपीएन नेटवर्क में होस्ट कर सकते हैं. साथ ही, अपने उपभोक्ताओं को निजी कनेक्शन भी दे सकते हैं. उदाहरण के लिए, Looker को ऐक्सेस करने के लिए Private Service Connect का इस्तेमाल करने पर, आप सेवा का उपभोक्ता होते हैं और Google सेवा देने वाला होता है. इसकी जानकारी, पहले चित्र में हाइलाइट की गई है.

चित्र 1.

145ea4672c3a3b14.png

साउथबाउंड ऐक्सेस, जिसे रिवर्स पीएससी भी कहा जाता है, की मदद से उपभोक्ता, पब्लिश की गई सेवा को प्रोड्यूसर के तौर पर बना सकता है. इससे Looker को, ऑन-प्राइमिस, VPC, मैनेज की जा रही सेवाओं, और इंटरनेट में मौजूद एंडपॉइंट को ऐक्सेस करने की अनुमति मिलती है. साउथबाउंड कनेक्शन किसी भी क्षेत्र में डिप्लॉय किए जा सकते हैं. भले ही, Looker PSC को किसी भी जगह पर डिप्लॉय किया गया हो, जैसा कि दूसरे चित्र में हाइलाइट किया गया है.

चित्र 2.

3edfcc67e195d082.png

आपको क्या सीखने को मिलेगा

  • नेटवर्क की ज़रूरी शर्तें
  • Looker की अनुमति वाली सूची को अपडेट करना, ताकि उत्तर की ओर डेटा भेजा जा सके
  • उपभोक्ता के वीपीसी में Private Service Connect बैकएंड बनाना
  • Google के सर्टिफ़िकेट बनाम खुद के हस्ताक्षर वाले सर्टिफ़िकेट

आपको इन चीज़ों की ज़रूरत होगी

def88091b42bfe4d.png

2. आपको क्या बनाना है

आपको अनुमति वाली सूची में शामिल एक कंज्यूमर नेटवर्क, looker-psc-demo बनाना होगा. ऐसा, क्षेत्रीय इंटरनल L7 ऐप्लिकेशन लोड बैलेंसर और PSC बैकएंड एनईजी को डिप्लॉय करने के लिए करना होगा. इसके लिए, Google या खुद मैनेज किए जाने वाले सर्टिफ़िकेट की ज़रूरत होती है. ज़्यादा जानकारी के लिए, लोड बैलेंसर और सर्टिफ़िकेट की खास जानकारी वाला पेज देखें.

3. नेटवर्क की ज़रूरी शर्तें

नेटवर्क से जुड़ी ज़रूरी शर्तों के बारे में यहां बताया गया है:

घटक

ब्यौरा

VPC (looker-psc-demo)

कस्टम मोड वीपीसी

पीएससी NEG सबनेट

नेटवर्क एंडपॉइंट ग्रुप के लिए आईपी पता असाइन करने के लिए इस्तेमाल किया जाता है

सिर्फ़ प्रॉक्सी के लिए सबनेट

लोड बैलेंसर की हर प्रॉक्सी को एक इंटरनल आईपी पता असाइन किया जाता है. किसी प्रॉक्सी से बैकएंड वीएम या एंडपॉइंट पर भेजे गए पैकेट में, सिर्फ़ प्रॉक्सी सबनेट का सोर्स आईपी पता होता है.

बैकएंड सेवा

बैकएंड सेवा, आपके लोड बैलेंसर और बैकएंड संसाधनों के बीच ब्रिज के तौर पर काम करती है. ट्यूटोरियल में, बैकएंड सेवा को PSC NEG से जोड़ा गया है.

4. कोडलैब की टोपोलॉजी

2f6bb87ef0e139b2.png

5. सेटअप और ज़रूरी शर्तें

अपने हिसाब से एनवायरमेंट सेट अप करना

  1. Google Cloud Console में साइन इन करें और नया प्रोजेक्ट बनाएं या किसी मौजूदा प्रोजेक्ट का फिर से इस्तेमाल करें. अगर आपके पास पहले से कोई Gmail या Google Workspace खाता नहीं है, तो आपको एक खाता बनाना होगा.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • प्रोजेक्ट का नाम, इस प्रोजेक्ट में हिस्सा लेने वाले लोगों के लिए डिसप्ले नेम होता है. यह एक वर्ण स्ट्रिंग है, जिसका इस्तेमाल Google API नहीं करते. इसे कभी भी अपडेट किया जा सकता है.
  • प्रोजेक्ट आईडी, Google Cloud के सभी प्रोजेक्ट के लिए यूनीक होता है. साथ ही, इसे सेट करने के बाद बदला नहीं जा सकता. Cloud Console, अपने-आप एक यूनीक स्ट्रिंग जनरेट करता है. आम तौर पर, आपको यह जानने की ज़रूरत नहीं होती कि यह स्ट्रिंग क्या है. ज़्यादातर कोडलैब में, आपको अपने प्रोजेक्ट आईडी का रेफ़रंस देना होगा. आम तौर पर, इसे PROJECT_ID के तौर पर पहचाना जाता है. अगर आपको जनरेट किया गया आईडी पसंद नहीं आता है, तो कोई दूसरा आईडी जनरेट किया जा सकता है. इसके अलावा, आपके पास खुद का कोई दूसरा नाम चुनने का विकल्प भी है. इस चरण के बाद, इसे बदला नहीं जा सकता. यह प्रोजेक्ट के दौरान बना रहता है.
  • आपकी जानकारी के लिए बता दें कि तीसरी वैल्यू, प्रोजेक्ट नंबर होती है. इसका इस्तेमाल कुछ एपीआई करते हैं. इन तीनों वैल्यू के बारे में ज़्यादा जानने के लिए, दस्तावेज़ देखें.
  1. इसके बाद, आपको Cloud के संसाधनों/एपीआई का इस्तेमाल करने के लिए, Cloud Console में बिलिंग की सुविधा चालू करनी होगी. इस कोडलैब को चलाने के लिए, आपसे कोई शुल्क नहीं लिया जाएगा. इस ट्यूटोरियल के बाद बिलिंग से बचने के लिए, बनाए गए संसाधनों को बंद किया जा सकता है या प्रोजेक्ट को मिटाया जा सकता है. Google Cloud के नए उपयोगकर्ता, 300 डॉलर के मुफ़्त ट्रायल वाले कार्यक्रम में शामिल हो सकते हैं.

Cloud Shell शुरू करना

Google Cloud को आपके लैपटॉप से रिमोट तौर पर इस्तेमाल किया जा सकता है. हालांकि, इस कोडलैब में आपको Google Cloud Shell का इस्तेमाल करना होगा. यह Cloud में चलने वाला कमांड-लाइन एनवायरमेंट है.

Google Cloud Console में, सबसे ऊपर दाएं टूलबार में मौजूद Cloud Shell आइकॉन पर क्लिक करें:

55efc1aaa7a4d3ad.png

एनवायरमेंट से कनेक्ट होने और उसे प्रोवाइड करने में सिर्फ़ कुछ सेकंड लगेंगे. प्रोसेस पूरी होने के बाद, आपको कुछ ऐसा दिखेगा:

7ffe5cbb04455448.png

इस वर्चुअल मशीन में, डेवलपमेंट के लिए ज़रूरी सभी टूल लोड होते हैं. यह 5 जीबी की होम डायरेक्ट्री उपलब्ध कराता है. यह Google Cloud पर चलता है, जिससे नेटवर्क की परफ़ॉर्मेंस और पुष्टि करने की सुविधा बेहतर होती है. इस कोडलैब में, सारा काम ब्राउज़र में किया जा सकता है. आपको कुछ भी इंस्टॉल करने की ज़रूरत नहीं है.

6. शुरू करने से पहले

एपीआई चालू करें

Cloud Shell में, पक्का करें कि आपका प्रोजेक्ट आईडी सेट अप हो:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region

सभी ज़रूरी सेवाएं चालू करें:

gcloud services enable compute.googleapis.com

7. उपभोक्ता नेटवर्क

अगले सेक्शन में, आपको उपभोक्ता नेटवर्किंग बनानी होगी. इसे Looker PSC वीपीसी की अनुमति वाली सूची में अपडेट किया जाएगा.

VPC नेटवर्क

Cloud Shell में, ये काम करें:

gcloud compute networks create looker-psc-demo --subnet-mode custom

सबनेट बनाना

Cloud Shell में, उपभोक्ता नेटवर्क एंडपॉइंट ग्रुप सबनेट बनाएं:

gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access

Cloud Shell में, इंटरनल ऐप्लिकेशन लोड बैलेंसर सबनेट बनाएं:

gcloud compute networks subnets create consumer-ilb-subnet --network looker-psc-demo --range 172.16.40.0/28 --region $region --enable-private-ip-google-access

Cloud Shell में, प्रोड्यूसर के लिए क्षेत्र के हिसाब से प्रॉक्सी-ओनली सबनेट बनाएं:

gcloud compute networks subnets create $region-proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=looker-psc-demo \
  --range=10.10.10.0/24

8. कस्टम डोमेन बनाना

कस्टम डोमेन सेट अप करने के लिए, यह तरीका अपनाएं:

नीचे दिए गए उदाहरण में, looker.cosmopup.com कस्टम डोमेन है

5424ce99136d5b3a.png

OAuth का उदाहरण

यहां, अनुमति पा चुके ऑरिजिन के लिए OAuth क्रेडेंशियल और सबडोमेन looker.cosmopup.com के लिए कॉलबैक का उदाहरण दिया गया है.

c7e5b8c7d2cc6a01.png

9. प्रमाणपत्र

आपके पास Compute Engine या Certificate Manager, दोनों में से किसी एक का सर्टिफ़िकेट बनाने का विकल्प होता है. सर्टिफ़िकेट मैनेजर का इस्तेमाल करके सर्टिफ़िकेट बनाने के लिए, इनमें से कोई एक तरीका अपनाएं:

10. Looker वीपीसी की अनुमति वाली सूची

अनुमति वाले वीपीसी देखना

नीचे दिए गए सेक्शन में, आपको Cloud Console के यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके, Looker के साथ काम करने वाले वीपीसी की सूची देखनी होगी.

Cloud Console में, यहां जाएं:

Looker → Looker इंस्टेंस → जानकारी

यहां दिए गए उदाहरण में, अनुमति वाले वीपीसी की सूची में कोई एंट्री नहीं है:

ad33177a2d721ea7.png

अनुमति वाले वीपीसी अपडेट करना

Looker-psc-demo को अनुमति वाले वीपीएसी के तौर पर जोड़कर, अपने Looker इंस्टेंस को उत्तर की ओर के ऐक्सेस के साथ काम करने के लिए अपडेट करें.

Cloud Console में, यहां जाएं:

Looker → Looker इंस्टेंस → बदलाव करें

cbbc069688890b82.png

कनेक्शन → अनुमति वाले वीपीसी

पक्का करें कि आपने वह प्रोजेक्ट चुना हो जहां looker-psc-demo डिप्लॉय किया गया है. इसके बाद, VPC looker-psc-demo चुनें और फिर 'जारी रखें' पर क्लिक करें.

dc931643e1b220a.png

3e26d16d83cceae9.png

अनुमति वाले वीपीसी की पुष्टि करना

अपडेट की गई, अनुमति वाले वीपीसी की सूची देखना

Cloud Console में, यहां जाएं:

Looker → Looker इंस्टेंस → जानकारी

e34664c867929c66.png

11. पीएससी बैकएंड बनाना

सेवा देने वाली कंपनी के तौर पर Looker पीएससी, सेवा अटैचमेंट यूआरआई जनरेट करता है. सेवा का इस्तेमाल करने वाले लोग, Looker का नॉर्थबाउंड ऐक्सेस पाने के लिए, एंडपॉइंट और बैकएंड को डिप्लॉय करने के लिए इस यूआरआई का इस्तेमाल करते हैं. अगले चरण में, आपको Looker PSC सेवा अटैचमेंट यूआरआई की पहचान करनी होगी. इसके बाद, उपभोक्ता VPC में Private Service Connect नेटवर्क एंडपॉइंट ग्रुप (एनईजी) बैकएंड बनाना होगा.

Looker PSC सेवा अटैचमेंट की पहचान करना

Cloud Console में, सेवा अटैचमेंट यूआरआई पर जाएं और उसे कॉपी करें:

Looker → Looker इंस्टेंस → जानकारी

a253f94e946a1eef.png

पीएससी नेटवर्क एंडपॉइंट ग्रुप बनाना

Cloud Shell में, psc-target-service को अपडेट करने के लिए यह तरीका अपनाएं:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

उदाहरण:

gcloud compute network-endpoint-groups create looker-northbound-neg \
    --network-endpoint-type=private-service-connect \
 --psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
    --region=$region \
    --network=looker-psc-demo \
    --subnet=consumer-psc-neg-subnet

पीएससी नेटवर्क के आखिरी ग्रुप के बनने की पुष्टि करना

Cloud Shell में, यह तरीका अपनाएं और पक्का करें कि pscConnectionStatus स्वीकार किया गया हो:

gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:

उदाहरण:

user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus: 
  pscConnectionStatus: ACCEPTED

रीजनल इंटरनल ऐप्लिकेशन लोड बैलेंसर बनाना

यहां दिए गए चरणों में, आपको क्षेत्रीय इंटरनल ऐप्लिकेशन लोड बैलेंसर बनाने के लिए, Cloud Console का इस्तेमाल करना होगा. साथ ही, जनरेट किए गए सर्टिफ़िकेट को फ़्रंट एंड कॉन्फ़िगरेशन से जोड़ना होगा.

Cloud Console में, यहां जाएं:

नेटवर्क सेवाएं → लोड बैलेंसिंग → लोड बैलेंसर बनाएं

e3474ca153d7c55a.png

ये विकल्प चुनें:

c80afa6a28b6d922.png

बैकएंड कॉन्फ़िगरेशन बनाना

यहां दिए गए विकल्प चुनें और अपने डेप्लॉयमेंट के हिसाब से एनवायरमेंट को पसंद के मुताबिक बनाएं:

  • नेटवर्क इन्फ़्रास्ट्रक्चर को डिप्लॉय करने के लिए इस्तेमाल किया गया क्षेत्र
  • नेटवर्क: looker-psc-demo
  • आपके इलाके और नेटवर्क के आधार पर, सिर्फ़ प्रॉक्सी सबनेट अपने-आप पॉप्युलेट होता है

115627dc54d7a582.png

b3eaa88dd02a95c1.png

cf519145f0259061.png

530527bc9273e002.png

रूटिंग के नियम

किसी कॉन्फ़िगरेशन की ज़रूरत नहीं है

53a80d74b3c7dd56.png

फ़्रंटएंड कॉन्फ़िगरेशन

29faa25397025fb4.png

538da2b4930d243b.png

bbc13e921681dd65.png

पक्का करें कि लोड बैलेंसर चालू हो और उसका आईपी पता पता हो.

Cloud Console में → नेटवर्क सेवाएं → लोड बैलेंसिंग → looker-ilb-alb

abc7d02b4c951c73.png

12. डीएनएस रिज़ॉल्यूशन

कस्टम डोमेन के लिए, डीएनएस रिज़ॉल्यूशन, कंपनी की इमारत में मौजूद या क्लाउड डीएनएस हो सकता है. ट्यूटोरियल में, हम Cloud DNS को Looker कस्टम डोमेन के लिए आधिकारिक सर्वर के तौर पर तय करेंगे. GCP डीएनएस रिज़ॉल्यूशन के लिए, ऑन-प्रीमिस को चालू करने के लिए, इनबाउंड सर्वर की नीतियां चालू करना ज़रूरी है. इनबाउंड सर्वर नीति बनाने पर, Cloud DNS उस वीपीएन नेटवर्क में इनबाउंड सर्वर नीति के एंट्री पॉइंट बनाता है जिस पर सर्वर नीति लागू की गई है. इनबाउंड सर्वर नीति के एंट्री पॉइंट, लागू वीपीसी नेटवर्क में हर सबनेट की प्राइमरी IPv4 आईपी रेंज से मिलने वाले इंटरनल IPv4 पते होते हैं. हालांकि, सिर्फ़ प्रॉक्सी सबनेट के लिए ऐसा नहीं होता.

नीचे दिए गए सेक्शन में, Looker कस्टम डोमेन, looker.cosmopup.com के लिए निजी डीएनएस ज़ोन और A रिकॉर्ड बनाया गया है. इसमें लोड बैलेंसर आईपी पता शामिल है.

13. निजी डीएनएस ज़ोन बनाना

Cloud Shell में, Cloud DNS निजी ज़ोन बनाएं.

gcloud dns --project=$projectid managed-zones create looker-cosmopup-dns --description="" --dns-name="looker.cosmopup.com." --visibility="private" --networks="https://compute.googleapis.com/compute/v1/projects/$projectid/global/networks/looker-psc-demo"

Cloud Shell में, पिछले चरण में मिले लोड बैलेंसर आईपी पते का इस्तेमाल करके A रिकॉर्ड बनाएं.

gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="<insert-your-ip>"

उदाहरण:

gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="172.16.20.7"

इसके बाद, कनेक्शन चालू करने के लिए, looker-psc-demo VPC और ऑन-प्राइमिस नेटवर्क के बीच हाइब्रिड नेटवर्किंग (जैसे, इंटरकनेक्ट, एचए-वीपीएन) को कॉन्फ़िगर करना होगा.

ऑन-प्रीमिस में हाइब्रिड एनईजी कनेक्टिविटी सेट अप करने के लिए, यह तरीका अपनाएं:

  • नेटवर्क कनेक्टिविटी प्रॉडक्ट चुनना | Google Cloud
  • VPC पीयरिंग वाले हब और स्पोक आर्किटेक्चर में, हाइब्रिड एनईजी को Cloud राउटर (हब) के एक ही VPC में डिप्लॉय किया जाता है
  • पक्का करें कि ऑन-प्राइमिस फ़ायरवॉल को सिर्फ़ प्रॉक्सी सबनेट रेंज के हिसाब से अपडेट किया गया हो. ऐसा इसलिए, क्योंकि यह सबनेट, ऑन-प्राइमिस वर्कलोड के साथ कम्यूनिकेशन के लिए सोर्स आईपी पते के तौर पर काम करता है
  • looker.cosomopup.com के लिए, डीएनएस रिज़ॉल्वर के तौर पर इनबाउंड फ़ॉरवर्डिंग आईपी पते के साथ ऑन-प्राइमिस डीएनएस को अपडेट करना

Looker यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करना

लोड बैलेंसर चालू होने के बाद, वेब ब्राउज़र से अपने कस्टम Looker डोमेन को ऐक्सेस किया जा सकता है. यह ध्यान रखना ज़रूरी है कि इस्तेमाल किए जा रहे सर्टिफ़िकेट के टाइप के आधार पर, आपको चेतावनी मिल सकती है. जैसे, भरोसेमंद सर्टिफ़िकेट बनाम अविश्वसनीय सर्टिफ़िकेट.

यहां Looker के कस्टम डोमेन looker.cosmopup.com को ऐक्सेस करने का उदाहरण (भरोसेमंद सर्टिफ़िकेट नहीं) दिया गया है. इससे Looker यूज़र इंटरफ़ेस का नॉर्थबाउंड ऐक्सेस मिलता है:

ae43d0d0d7136044.png

14. व्यवस्थित करें

किसी एक Cloud Shell टर्मिनल से लैब के कॉम्पोनेंट मिटाएं:

gcloud compute forwarding-rules delete regional-internal-alb-fr --region=$region -q

gcloud compute target-https-proxies delete regional-internal-alb-target-proxy --region=$region -q

gcloud compute url-maps delete regional-internal-alb --region=$region -q

gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q

gcloud compute addresses delete regional-alb-static-ip --region=$region -q

gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q

gcloud compute networks delete looker-psc-demo -q

15. बधाई हो

बधाई हो, आपने ग्राहक के डोमेन और क्षेत्रीय इंटरनल ऐप्लिकेशन लोड बैलेंसर का इस्तेमाल करके, Looker के साथ नॉर्थबाउंड कनेक्टिविटी को कॉन्फ़िगर और पुष्टि कर ली है.

आपने उपभोक्ता इन्फ़्रास्ट्रक्चर बनाया, पीएससी एनईजी और कस्टम डोमेन बनाने का तरीका जाना, और सर्टिफ़िकेट के अलग-अलग विकल्पों के बारे में जाना. Looker की मदद से, कई रोमांचक काम किए जा सकते हैं.

Cosmopup को लगता है कि कोडलैब शानदार हैं!!

c911c127bffdee57.jpeg

आगे क्या करना है?

इनमें से कुछ कोडलैब देखें...

ज़्यादा पढ़ने के लिए लेख और वीडियो

रेफ़रंस दस्तावेज़