1. Giới thiệu
Trong lớp học lập trình này, bạn sẽ tạo một Trình cân bằng tải ứng dụng nội bộ theo khu vực L7 và một phần phụ trợ Private Service Connect để có quyền truy cập phía bắc vào Looker. Để có quyền truy cập từ phía Bắc vào Looker, bạn phải thêm VPC của người dùng vào danh sách cho phép của thực thể PSC của Looker.
Private Service Connect là một tính năng của mạng Google Cloud, cho phép người dùng truy cập riêng tư vào các dịch vụ được quản lý từ bên trong mạng VPC của họ. Tương tự, dịch vụ này cho phép nhà sản xuất dịch vụ được quản lý lưu trữ các dịch vụ này trong mạng VPC riêng của họ và cung cấp kết nối riêng tư cho người dùng. Ví dụ: khi bạn sử dụng Private Service Connect để truy cập vào Looker, bạn là người dùng dịch vụ và Google là nhà cung cấp dịch vụ, như được làm nổi bật trong Hình 1.
Hình 1.
Quyền truy cập từ dưới lên (còn gọi là PSC đảo ngược) cho phép Người dùng tạo một Dịch vụ đã xuất bản dưới dạng Nhà sản xuất để cho phép Looker truy cập vào các điểm cuối tại chỗ, trong VPC, vào các dịch vụ được quản lý và Internet. Bạn có thể triển khai các kết nối hướng Nam ở bất kỳ khu vực nào, bất kể vị trí triển khai Looker PSC, như được làm nổi bật trong Hình 2.
Hình 2.
Kiến thức bạn sẽ học được
- Yêu cầu về mạng
- Cập nhật danh sách cho phép Looker để truy cập từ phía bắc
- Tạo phần phụ trợ Private Service Connect trong VPC của người dùng
- Chứng chỉ của Google so với chứng chỉ tự ký
Bạn cần có
- Dự án Google Cloud có quyền của Chủ sở hữu
- Miền đã đăng ký
- Thực thể PSC Looker hiện có
2. Sản phẩm bạn sẽ tạo ra
Bạn sẽ thiết lập một mạng Người dùng có trong danh sách cho phép, looker-psc-demo, để triển khai bộ cân bằng tải ứng dụng L7 nội bộ theo khu vực và NEG phụ trợ PSC yêu cầu chứng chỉ do Google hoặc tự quản lý. Để biết thêm thông tin chi tiết, hãy xem trang tóm tắt về bộ cân bằng tải và chứng chỉ.
3. Yêu cầu về mạng
Dưới đây là thông tin chi tiết về các yêu cầu về mạng:
Thành phần | Mô tả |
VPC (looker-psc-demo) | VPC ở chế độ tuỳ chỉnh |
Mạng con PSC NEG | Dùng để phân bổ địa chỉ IP cho Nhóm thiết bị đầu cuối của mạng |
Mạng con chỉ dành cho proxy | Mỗi proxy của bộ cân bằng tải được chỉ định một địa chỉ IP nội bộ. Các gói được gửi từ proxy đến máy ảo phụ trợ hoặc điểm cuối có địa chỉ IP nguồn từ mạng con chỉ dành cho proxy. |
Dịch vụ phụ trợ | Dịch vụ phụ trợ đóng vai trò là cầu nối giữa trình cân bằng tải và tài nguyên phụ trợ. Trong hướng dẫn này, dịch vụ phụ trợ được liên kết với PSC NEG. |
4. Cấu trúc liên kết của lớp học lập trình
5. Cách thiết lập và các yêu cầu
Thiết lập môi trường theo tốc độ của riêng bạn
- Đăng nhập vào Google Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. Nếu chưa có tài khoản Gmail hoặc Google Workspace, bạn phải tạo một tài khoản.
- Tên dự án là tên hiển thị cho người tham gia dự án này. Đây là một chuỗi ký tự không được API của Google sử dụng. Bạn có thể cập nhật thông tin này bất cứ lúc nào.
- Mã dự án là duy nhất trên tất cả các dự án Google Cloud và không thể thay đổi (không thể thay đổi sau khi đặt). Cloud Console sẽ tự động tạo một chuỗi duy nhất; thường thì bạn không cần quan tâm đến chuỗi này. Trong hầu hết các lớp học lập trình, bạn sẽ cần tham chiếu đến Mã dự án (thường được xác định là
PROJECT_ID). Nếu không thích mã được tạo, bạn có thể tạo một mã ngẫu nhiên khác. Ngoài ra, bạn có thể thử dùng email của riêng mình để xem có thể sử dụng hay không. Bạn không thể thay đổi giá trị này sau bước này và giá trị này sẽ được giữ nguyên trong suốt thời gian của dự án. - Xin lưu ý rằng có một giá trị thứ ba là Mã dự án mà một số API sử dụng. Tìm hiểu thêm về cả ba giá trị này trong tài liệu.
- Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên/API trên Cloud. Việc tham gia lớp học lập trình này sẽ không tốn kém nhiều chi phí, nếu có. Để tắt các tài nguyên nhằm tránh bị tính phí sau khi hoàn tất hướng dẫn này, bạn có thể xoá các tài nguyên đã tạo hoặc xoá dự án. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí 300 USD.
Khởi động Cloud Shell
Mặc dù có thể điều khiển Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trên đám mây.
Trong Bảng điều khiển Google Cloud, hãy nhấp vào biểu tượng Cloud Shell trên thanh công cụ trên cùng bên phải:
Quá trình cấp phép và kết nối với môi trường chỉ mất vài phút. Khi hoàn tất, bạn sẽ thấy như sau:
Máy ảo này được tải sẵn tất cả các công cụ phát triển mà bạn cần. Ứng dụng này cung cấp một thư mục gốc 5 GB ổn định và chạy trên Google Cloud, giúp nâng cao đáng kể hiệu suất mạng và xác thực. Bạn có thể thực hiện tất cả công việc trong lớp học lập trình này trong một trình duyệt. Bạn không cần cài đặt gì cả.
6. Trước khi bắt đầu
Bật API
Trong Cloud Shell, hãy đảm bảo bạn đã thiết lập mã dự án:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region
Bật tất cả các dịch vụ cần thiết:
gcloud services enable compute.googleapis.com
7. Mạng người tiêu dùng
Trong phần sau, bạn sẽ tạo mạng người dùng sẽ được cập nhật trong danh sách cho phép VPC Looker PSC.
Mạng VPC
Trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks create looker-psc-demo --subnet-mode custom
Tạo mạng con
Bên trong Cloud Shell, hãy tạo mạng con của nhóm điểm cuối mạng người tiêu dùng:
gcloud compute networks subnets create consumer-psc-neg-subnet --network looker-psc-demo --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
Bên trong Cloud Shell, hãy tạo mạng con của trình cân bằng tải ứng dụng nội bộ:
gcloud compute networks subnets create consumer-ilb-subnet --network looker-psc-demo --range 172.16.40.0/28 --region $region --enable-private-ip-google-access
Bên trong Cloud Shell, hãy tạo mạng con chỉ dành cho proxy theo khu vực của nhà sản xuất:
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=looker-psc-demo \
--range=10.10.10.0/24
8. Tạo miền tuỳ chỉnh
Bạn cần thực hiện các bước sau để thiết lập miền tuỳ chỉnh:
Trong ví dụ bên dưới, looker.cosmopup.com là miền tuỳ chỉnh
Ví dụ về OAuth
Dưới đây là ví dụ về thông tin xác thực OAuth cho Nguồn gốc được uỷ quyền và lệnh gọi lại cho miền con looker.cosmopup.com.
9. Các chứng chỉ
Bạn có thể tạo chứng chỉ Compute Engine hoặc Certificate Manager. Sử dụng bất kỳ phương thức nào sau đây để tạo chứng chỉ bằng Trình quản lý chứng chỉ:
- Chứng chỉ tự quản lý theo khu vực. Để biết thông tin về cách tạo và sử dụng chứng chỉ tự quản lý theo khu vực, hãy xem bài viết triển khai chứng chỉ tự quản lý theo khu vực. Không hỗ trợ bản đồ chứng chỉ.
- Chứng chỉ do Google quản lý theo khu vực. Không hỗ trợ bản đồ chứng chỉ. Trình quản lý chứng chỉ hỗ trợ các loại chứng chỉ do Google quản lý theo khu vực sau đây:
- Chứng chỉ do Google quản lý theo khu vực, có quyền truy cập DNS cho mỗi dự án. Để biết thêm thông tin, hãy xem bài viết Triển khai chứng chỉ do Google quản lý theo khu vực.
- Chứng chỉ (riêng tư) do Google quản lý theo khu vực thông qua Dịch vụ tổ chức phát hành chứng chỉ. Để biết thêm thông tin, hãy xem bài viết Triển khai chứng chỉ do Google quản lý theo khu vực bằng Dịch vụ CA.
10. Thêm vào danh sách cho phép VPC của Looker
Xem VPC được phép
Trong phần sau, bạn sẽ sử dụng giao diện người dùng Cloud Console để xem danh sách VPC được phép của Looker.
Trong Cloud Console, hãy chuyển đến:
Looker → Phiên bản Looker → Chi tiết
Ví dụ bên dưới, không có mục nào trong danh sách VPC được phép:
Cập nhật VPC được phép
Cập nhật thực thể Looker để hỗ trợ quyền truy cập từ bắc sang nam bằng cách thêm looker-psc-demo làm VPC được phép.
Trong Cloud Console, hãy chuyển đến:
Looker → Phiên bản Looker → Chỉnh sửa
Kết nối → VPC được phép
Hãy nhớ chọn dự án nơi triển khai looker-psc-demo, theo sau là VPC looker-psc-demo rồi chọn Tiếp tục.
Xác thực VPC được phép
Xem danh sách VPC được phép cập nhật
Trong Cloud Console, hãy chuyển đến:
Looker → Phiên bản Looker → Chi tiết
11. Tạo phần phụ trợ PSC
Looker PSC đóng vai trò là Nhà sản xuất dịch vụ tạo URI tệp đính kèm dịch vụ mà Người dùng dịch vụ sử dụng để triển khai các điểm cuối và phần phụ trợ nhằm có quyền truy cập phía bắc vào Looker. Trong bước tiếp theo, bạn sẽ xác định URI tệp đính kèm dịch vụ PSC của Looker, sau đó tạo phần phụ trợ Nhóm điểm cuối mạng (NEG) của Private Service Connect trong VPC của người dùng.
Xác định tệp đính kèm dịch vụ PSC của Looker
Trong Cloud Console, hãy chuyển đến và sao chép URI tệp đính kèm dịch vụ:
Looker → Phiên bản Looker → Chi tiết
Tạo nhóm điểm cuối mạng PSC
Bên trong Cloud Shell, hãy thực hiện các bước sau để đảm bảo cập nhật psc-target-service:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=[UPDATE WITH YOU LOOKER SERVICE ATTACHMENT URI] \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Ví dụ:
gcloud compute network-endpoint-groups create looker-northbound-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/t7ec792caf2a609d1-tp/regions/us-central1/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183 \
--region=$region \
--network=looker-psc-demo \
--subnet=consumer-psc-neg-subnet
Xác thực việc tạo nhóm đầu cuối mạng PSC
Bên trong Cloud Shell, hãy thực hiện các bước sau để đảm bảo pscConnectionStatus được chấp nhận:
gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
Ví dụ:
user@cloudshell$ gcloud compute network-endpoint-groups describe looker-northbound-neg --region=$region | grep -i pscConnectionStatus:
pscConnectionStatus: ACCEPTED
Tạo Trình cân bằng tải ứng dụng nội bộ theo khu vực
Trong các bước sau, bạn sẽ sử dụng Cloud Console để tạo bộ cân bằng tải ứng dụng nội bộ theo khu vực, đồng thời liên kết các chứng chỉ đã tạo với cấu hình giao diện người dùng.
Trong Cloud Console, hãy chuyển đến:
Dịch vụ mạng → Cân bằng tải → Tạo trình cân bằng tải
Chọn các tuỳ chọn sau:
Tạo cấu hình phụ trợ
Chọn các tuỳ chọn sau và tuỳ chỉnh môi trường dựa trên phương thức triển khai của bạn:
- Khu vực dùng để triển khai cơ sở hạ tầng mạng
- Mạng: looker-psc-demo
- Mạng con Chỉ proxy được tự động điền dựa trên khu vực và mạng của bạn
Quy tắc định tuyến
Không cần định cấu hình
Cấu hình giao diện người dùng
Đảm bảo bạn đã bật bộ cân bằng tải và lấy Địa chỉ IP.
Trong Cloud Console → Dịch vụ mạng → Cân bằng tải → looker-ilb-alb
12. phân giải DNS
Quá trình phân giải DNS đến miền tuỳ chỉnh có thể là DNS tại chỗ có thẩm quyền hoặc DNS trên đám mây. Trong hướng dẫn này, chúng ta sẽ xác định Cloud DNS là máy chủ có thẩm quyền cho Miền tuỳ chỉnh của Looker. Để bật tính năng phân giải DNS trên máy chủ cục bộ đến GCP, bạn cần bật Chính sách máy chủ truy cập. Khi bạn tạo chính sách máy chủ đến, Cloud DNS sẽ tạo các điểm truy cập chính sách máy chủ đến trong mạng VPC mà chính sách máy chủ được áp dụng. Điểm truy cập chính sách máy chủ đến là địa chỉ IPv4 nội bộ lấy từ dải địa chỉ IPv4 chính của mọi mạng con trong mạng VPC hiện hành, ngoại trừ các mạng con chỉ có proxy.
Trong phần sau, một vùng DNS riêng tư cho Miền tuỳ chỉnh của Looker, looker.cosmopup.com & Bản ghi A sẽ được tạo bao gồm địa chỉ IP của bộ cân bằng tải.
13. Tạo vùng DNS riêng
Bên trong Cloud Shell, hãy tạo Khu vực riêng của Cloud DNS.
gcloud dns --project=$projectid managed-zones create looker-cosmopup-dns --description="" --dns-name="looker.cosmopup.com." --visibility="private" --networks="https://compute.googleapis.com/compute/v1/projects/$projectid/global/networks/looker-psc-demo"
Bên trong Cloud Shell, hãy tạo bản ghi A bao gồm Địa chỉ IP của bộ cân bằng tải mà bạn đã lấy được ở bước trước.
gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="<insert-your-ip>"
Ví dụ:
gcloud dns --project=$projectid record-sets create looker.cosmopup.com. --zone="looker-cosmopup-dns" --type="A" --ttl="300" --rrdatas="172.16.20.7"
Tiếp theo, bạn phải định cấu hình mạng kết hợp (ví dụ: Kết nối nội bộ, HA-VPN) giữa VPC looker-psc-demo và mạng cục bộ để bật khả năng kết nối.
Dưới đây là các bước cần thiết để thiết lập kết nối NEG kết hợp với mạng cục bộ:
- Chọn sản phẩm Kết nối mạng | Google Cloud
- Trong cấu trúc trung tâm và nan hoa có tính năng kết nối ngang hàng VPC, NEG kết hợp được triển khai trong cùng một VPC với Bộ định tuyến đám mây (trung tâm)
- Đảm bảo rằng tường lửa tại chỗ được cập nhật để phù hợp với phạm vi mạng con chỉ có proxy, vì mạng con này đóng vai trò là địa chỉ IP nguồn để giao tiếp với khối lượng công việc tại chỗ
- Cập nhật DNS tại chỗ bằng Địa chỉ IP chuyển tiếp đến làm trình phân giải DNS cho looker.cosomopup.com
Truy cập vào giao diện người dùng Looker
Giờ đây, khi bộ cân bằng tải đang hoạt động, bạn có thể truy cập vào miền Looker tuỳ chỉnh thông qua trình duyệt web. Điều quan trọng cần lưu ý là bạn có thể gặp cảnh báo tuỳ thuộc vào loại chứng chỉ bạn đang sử dụng, ví dụ: chứng chỉ không đáng tin cậy so với chứng chỉ đáng tin cậy.
Dưới đây là ví dụ (giấy chứng nhận không đáng tin cậy) về việc truy cập vào miền tuỳ chỉnh Looker looker.cosmopup.com để có quyền truy cập phía bắc vào giao diện người dùng Looker:
14. Dọn dẹp
Xoá các thành phần của lớp học từ một thiết bị đầu cuối Cloud Shell:
gcloud compute forwarding-rules delete regional-internal-alb-fr --region=$region -q
gcloud compute target-https-proxies delete regional-internal-alb-target-proxy --region=$region -q
gcloud compute url-maps delete regional-internal-alb --region=$region -q
gcloud compute backend-services delete looker-psc-neg-backend-svc --region=$region -q
gcloud compute addresses delete regional-alb-static-ip --region=$region -q
gcloud compute network-endpoint-groups delete looker-northbound-neg --region=$region -q
gcloud compute networks delete looker-psc-demo -q
15. Xin chúc mừng
Xin chúc mừng! Bạn đã định cấu hình và xác thực thành công khả năng kết nối phía bắc với Looker bằng cách sử dụng miền của khách hàng và bộ cân bằng tải ứng dụng nội bộ theo khu vực.
Bạn đã tạo cơ sở hạ tầng người dùng, tìm hiểu cách tạo PSC NEG, miền tuỳ chỉnh và tìm hiểu các lựa chọn chứng chỉ khác nhau. Có rất nhiều điều thú vị để bạn bắt đầu sử dụng Looker.
Cosmopup cho rằng các lớp học lập trình rất tuyệt vời!!
Tiếp theo là gì?
Hãy xem một số lớp học lập trình này...
- Sử dụng Private Service Connect để phát hành và sử dụng dịch vụ
- Kết nối với các dịch vụ tại chỗ thông qua Mạng kết hợp bằng Private Service Connect và bộ cân bằng tải Proxy TCP nội bộ
- Quyền truy cập vào tất cả các lớp học lập trình về Private Service Connect đã xuất bản
Tài liệu đọc thêm và video
Tài liệu tham khảo
- Sử dụng chứng chỉ SSL tự quản lý | Cân bằng tải | Google Cloud
- Triển khai chứng chỉ do Google quản lý theo khu vực
- Tạo phần phụ trợ Private Service Connect | VPC | Google Cloud
- Tạo phần phụ trợ Private Service Connect | VPC | Google Cloud
- Tạo một thực thể Private Service Connect của Looker (Google Cloud core)
- Cách phát hành dịch vụ bằng Private Service Connect