Looker PSC Southbound SSH Internet NEG

1. Giới thiệu

Trong lớp học lập trình này, bạn sẽ thực hiện một kết nối SSH theo hướng nam đến GitHub bằng cách sử dụng một trình cân bằng tải proxy tcp nội bộ và nhóm điểm cuối mạng internet được gọi từ Looker PSC dưới dạng một Người tiêu dùng dịch vụ.

Private Service Connect là một tính năng của mạng Google Cloud, cho phép người dùng truy cập riêng tư vào các dịch vụ được quản lý từ bên trong mạng VPC của họ. Tương tự, tính năng này cho phép nhà sản xuất dịch vụ được quản lý lưu trữ các dịch vụ này trong mạng VPC riêng của họ và cung cấp kết nối riêng tư cho người tiêu dùng. Ví dụ: khi sử dụng Private Service Connect để truy cập vào Looker, bạn là người sử dụng dịch vụ và Google là nhà cung cấp dịch vụ, như minh hoạ trong Hình 1.

Hình 1.

Quyền truy cập Southbound (còn gọi là PSC đảo ngược) cho phép Người tiêu dùng tạo một Dịch vụ đã xuất bản dưới dạng Nhà sản xuất để cho phép Looker truy cập vào các điểm cuối tại chỗ, trong VPC, vào các dịch vụ được quản lý và Internet. Bạn có thể triển khai các kết nối chiều nam ở bất kỳ khu vực nào, bất kể bạn triển khai PSC của Looker ở đâu, như minh hoạ trong Hình 2.

Hình 2.

Kiến thức bạn sẽ học được

• Yêu cầu về mạng
• Tạo dịch vụ của nhà cung cấp Private Service Connect
• Tạo điểm cuối Private Service Connect trong Looker
• Thiết lập kết nối với GitHub từ Looker bằng cách sử dụng tính năng Kiểm tra kết nối

Bạn cần có

• Dự án trên Google Cloud có quyền của chủ sở hữu
• Tài khoản và kho lưu trữ trên GitHub
• Khoá triển khai SSH được chia sẻ giữa Looker và GitHub
• Phiên bản PSC Looker hiện có

2. Sản phẩm bạn sẽ tạo ra

Bạn sẽ thiết lập một mạng Nhà cung cấp, looker-psc-demo, để triển khai bộ cân bằng tải proxy tcp nội bộ và NEG Internet được xuất bản dưới dạng một dịch vụ thông qua Private Service Connect (PSC). Sau khi xuất bản, bạn sẽ thực hiện các thao tác sau để xác thực quyền truy cập vào dịch vụ Nhà sản xuất:

• Tạo một điểm cuối PSC trong Looker được liên kết với Producer Service Attachment
• Sử dụng Bảng điều khiển Looker để tạo một dự án mới và kiểm tra khả năng kết nối SSH với GitHub.com bằng quy trình Kết nối với Git bằng SSH

3. Yêu cầu về mạng

Dưới đây là thông tin chi tiết về các yêu cầu đối với mạng Producer, người dùng trong lớp học lập trình này là thực thể Looker PSC.

Mạng lưới Producer

4. Cấu trúc liên kết lớp học lập trình

5. Thiết lập và yêu cầu

Thiết lập môi trường theo tốc độ của riêng bạn

1. Đăng nhập vào Google Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. Nếu chưa có tài khoản Gmail hoặc Google Workspace, bạn phải tạo một tài khoản.

• Tên dự án là tên hiển thị của những người tham gia dự án này. Đây là một chuỗi ký tự mà các API của Google không sử dụng. Bạn luôn có thể cập nhật thông tin này.
• Mã dự án là mã duy nhất trên tất cả các dự án trên Google Cloud và không thể thay đổi (bạn không thể thay đổi mã này sau khi đã đặt). Cloud Console sẽ tự động tạo một chuỗi duy nhất; thường thì bạn không cần quan tâm đến chuỗi này. Trong hầu hết các lớp học lập trình, bạn sẽ cần tham chiếu đến Mã dự án (thường được xác định là PROJECT_ID). Nếu không thích mã nhận dạng được tạo, bạn có thể tạo một mã nhận dạng ngẫu nhiên khác. Hoặc bạn có thể thử tên người dùng của riêng mình để xem tên đó có được chấp nhận hay không. Bạn không thể thay đổi tên này sau bước này và tên này sẽ tồn tại trong suốt thời gian của dự án.
• Để bạn nắm được thông tin, có một giá trị thứ ba là Số dự án mà một số API sử dụng. Tìm hiểu thêm về cả 3 giá trị này trong tài liệu.

2. Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên/API trên Cloud. Việc thực hiện lớp học lập trình này sẽ không tốn nhiều chi phí, nếu có. Để tắt các tài nguyên nhằm tránh bị tính phí ngoài phạm vi hướng dẫn này, bạn có thể xoá các tài nguyên đã tạo hoặc xoá dự án. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí trị giá 300 USD.

Khởi động Cloud Shell

Mặc dù có thể vận hành Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trên Cloud.

Trên Bảng điều khiển Google Cloud, hãy nhấp vào biểu tượng Cloud Shell trên thanh công cụ ở trên cùng bên phải:

Quá trình này chỉ mất vài phút để cung cấp và kết nối với môi trường. Khi quá trình này kết thúc, bạn sẽ thấy như sau:

Máy ảo này được trang bị tất cả các công cụ phát triển mà bạn cần. Nó cung cấp một thư mục chính có dung lượng 5 GB và chạy trên Google Cloud, giúp tăng cường đáng kể hiệu suất mạng và hoạt động xác thực. Bạn có thể thực hiện mọi thao tác trong lớp học lập trình này trong trình duyệt. Bạn không cần cài đặt bất cứ thứ gì.

6. Trước khi bắt đầu

Bật API

Trong Cloud Shell, hãy đảm bảo rằng bạn đã thiết lập mã dự án:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
echo $project
echo $region

Bật tất cả các dịch vụ cần thiết:

gcloud services enable compute.googleapis.com

7. Tạo mạng VPC của nhà sản xuất

Mạng VPC

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks create looker-psc-demo --subnet-mode custom

Tạo mạng con

Mạng con PSC sẽ được liên kết với PSC Service Attachment (Tệp đính kèm dịch vụ PSC) cho mục đích Dịch địa chỉ mạng.

Trong Cloud Shell, hãy tạo Mạng con NAT PSC:

gcloud compute networks subnets create producer-psc-nat-subnet --network looker-psc-demo --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT

Trong Cloud Shell, hãy tạo mạng con quy tắc chuyển tiếp của nhà sản xuất:

gcloud compute networks subnets create producer-psc-fr-subnet --network looker-psc-demo --range 172.16.20.0/28 --region $region --enable-private-ip-google-access

Trong Cloud Shell, hãy tạo mạng con chỉ dành cho proxy theo khu vực của nhà sản xuất:

gcloud compute networks subnets create $region-proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=$region \
  --network=looker-psc-demo \
  --range=10.10.10.0/24

Tạo cổng NAT công khai

Bộ cân bằng tải proxy tcp nội bộ theo khu vực sử dụng Cổng NAT để truyền dữ liệu ra bên ngoài Internet bằng lựa chọn cấu hình –endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB. Do đó, cùng một NATGW sẽ không hỗ trợ việc truyền dữ liệu ra bên ngoài Internet của GCE/GKE. Triển khai một NAT GW bổ sung bằng –endpoint-types=ENDPOINT_TYPE_VM cho lưu lượng truy cập Internet ra bên ngoài của GCE/GKE.

Trong Cloud Shell, hãy tạo Cloud Router:

gcloud compute routers create looker-psc-demo-cloud-router --network looker-psc-demo --region $region

Trong Cloud Shell, hãy tạo cổng Cloud NAT để cho phép lưu lượng truy cập internet đi ra cho trình cân bằng tải proxy tcp:

gcloud compute routers nats create looker-psc-demo-natgw \
  --router=looker-psc-demo-cloud-router \
  --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
  --nat-custom-subnet-ip-ranges=$region-proxy-only-subnet \
  --auto-allocate-nat-external-ips \
  --region=$region

Dự trữ địa chỉ IP của trình cân bằng tải

Trong Cloud Shell, hãy đặt trước một địa chỉ IP nội bộ cho trình cân bằng tải:

gcloud compute addresses create internet-neg-lb-ip \
  --region=$region \
  --subnet=producer-psc-fr-subnet

Trong Cloud Shell, hãy xem địa chỉ IP dành riêng.

gcloud compute addresses describe internet-neg-lb-ip \
  --region=$region | grep -i address:

Ví dụ:

user@cloudshell$ gcloud compute addresses describe internet-neg-lb-ip   --region=$region | grep -i address:
address: 172.16.20.2

Thiết lập NEG Internet

Tạo một NEG trên Internet và đặt –network-endpoint-type thành internet-fqdn-port (tên máy chủ và cổng mà bạn có thể truy cập vào phần phụ trợ bên ngoài).

Trong Cloud Shell, hãy tạo một NEG Internet dùng cho github.com

gcloud compute network-endpoint-groups create github-internet-neg-ssh \
    --network-endpoint-type=INTERNET_FQDN_PORT \
    --network=looker-psc-demo \
    --region=$region

Trong Cloud Shell, hãy cập nhật NEG Internet github-internet-neg-ssh bằng FQDN github.com và cổng 22

gcloud compute network-endpoint-groups update github-internet-neg-ssh \
    --add-endpoint="fqdn=github.com,port=22" \
    --region=$region

Tạo chính sách tường lửa mạng và quy tắc tường lửa

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute network-firewall-policies create looker-psc-demo-policy --global

gcloud compute network-firewall-policies associations create --firewall-policy looker-psc-demo-policy --network looker-psc-demo --name looker-psc-demo --global-firewall-policy

Quy tắc tường lửa sau đây cho phép lưu lượng truy cập từ dải mạng con NAT PSC đến tất cả các phiên bản trong mạng.

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy looker-psc-demo-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp

8. Tạo dịch vụ nhà sản xuất

Tạo các thành phần của trình cân bằng tải

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute backend-services create producer-backend-svc  --protocol=tcp --region=$region --load-balancing-scheme=INTERNAL_MANAGED

gcloud compute backend-services add-backend producer-backend-svc --network-endpoint-group=github-internet-neg-ssh --network-endpoint-group-region=$region --region=$region

Trong Cloud Shell, hãy tạo một proxy TCP mục tiêu để định tuyến các yêu cầu đến dịch vụ phụ trợ của bạn:

gcloud compute target-tcp-proxies create producer-lb-tcp-proxy \
      --backend-service=producer-backend-svc  \
      --region=$region

Trong cú pháp sau, hãy tạo một quy tắc chuyển tiếp (trình cân bằng tải proxy tcp nội bộ).

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute forwarding-rules create producer-github-fr \
     --load-balancing-scheme=INTERNAL_MANAGED \
     --network-tier=PREMIUM \
     --network=looker-psc-demo \
     --subnet=producer-psc-fr-subnet \
     --address=internet-neg-lb-ip \
     --target-tcp-proxy=producer-lb-tcp-proxy \
     --target-tcp-proxy-region=$region \
     --region=$region \
     --ports=22

Tạo tệp đính kèm dịch vụ

Trong Cloud Shell, hãy tạo Service Attachment github-svc-attachment-ssh:

gcloud compute service-attachments create github-svc-attachment-ssh --region=$region --producer-forwarding-rule=producer-github-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet

Tiếp theo, hãy lấy và ghi lại Service Attachment có trong URI selfLink bắt đầu bằng projects để định cấu hình điểm cuối PSC trong Looker.

selfLink: projects/<your-project-id>/regions/<your-region>/serviceAttachments/github-svc-attachment-ssh

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute service-attachments describe github-svc-attachment-ssh --region=$region

Ví dụ về kết quả đầu ra dự kiến

connectionPreference: ACCEPT_AUTOMATIC
creationTimestamp: '2024-08-31T13:43:07.078-07:00'
description: ''
enableProxyProtocol: false
fingerprint: O5OtqHR33v4=
id: '7557641709467614900'
kind: compute#serviceAttachment
name: github-svc-attachment-ssh
natSubnets:
- https://www.googleapis.com/compute/v1/projects/$project/regions/$region/subnetworks/producer-psc-nat-subnet
pscServiceAttachmentId:
  high: '19348441121424360'
  low: '7557641709467614900'
reconcileConnections: false
region: https://www.googleapis.com/compute/v1/projects/$project/regions/$region
selfLink: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/serviceAttachments/github-svc-attachment-ssh
targetService: https://www.googleapis.com/compute/v1/projects/$project/regions/$region/forwardingRules/producer-github-fr

Trong Cloud Console, hãy chuyển đến:

Dịch vụ mạng → Private Service Connect → Dịch vụ đã phát hành

9. Thiết lập kết nối điểm cuối PSC trong Looker

Trong phần sau, bạn sẽ liên kết Producer Service Attachment với Looker Core PSC bằng cách sử dụng cờ –psc-service-attachment trong Cloud Shell cho một miền duy nhất.

Trong Cloud Shell, hãy tạo mối liên kết psc bằng cách cập nhật các tham số sau cho phù hợp với môi trường của bạn:

• INSTANCE_NAME: Tên của thực thể Looker (Google Cloud core).
• DOMAIN_1: githubssh.com
• SERVICE_ATTACHMENT_1: URI được ghi lại khi mô tả Service Attachment, github-svc-attachment-ssh.
• KHU VỰC: Vùng lưu trữ thực thể Looker (Google Cloud core) của bạn.

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment  domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--region=REGION

Ví dụ:

gcloud looker instances update looker-psc-instance \
--psc-service-attachment  domain=githubssh.com,attachment=projects/$project/regions/$region/serviceAttachments/github-svc-attachment-ssh \
--region=$region

Trong Cloud Shell, hãy xác thực rằng connectionStatus của serviceAttachments là "ACCEPTED". Cập nhật bằng INSTANCE_NAME PSC Looker của bạn.

gcloud looker instances describe [INSTANCE_NAME] --region=$region --format=json

Ví dụ:

gcloud looker instances describe looker-psc-instance --region=$region --format=json

Ví dụ:

{
  "adminSettings": {},
  "createTime": "2024-08-23T00:00:45.339063195Z",
  "customDomain": {
    "domain": "cosmopup.com",
    "state": "AVAILABLE"
  },
  "encryptionConfig": {},
  "lookerVersion": "24.14.18",
  "name": "projects/$project/locations/$region/instances/looker-psc-instance",
  "platformEdition": "LOOKER_CORE_ENTERPRISE_ANNUAL",
  "pscConfig": {
    "allowedVpcs": [
      "projects/$project/global/networks/looker-psc-demo",
      "projects/$project/global/networks/looker-shared-vpc"
    ],
    "lookerServiceAttachmentUri": "projects/t7ec792caf2a609d1-tp/regions/$region/serviceAttachments/looker-psc-f51982e2-ac0d-48b1-91bb-88656971c183",
    "serviceAttachments": [
      {
        "connectionStatus": "ACCEPTED",
        "localFqdn": "githubssh.com",
        "targetServiceAttachmentUri": "projects/$project/regions/$region/serviceAttachments/github-svc-attachment-ssh"
      }
    ]
  },
  "pscEnabled": true,
  "state": "ACTIVE",
  "updateTime": "2024-08-31T20:53:04.824018122Z"
}

Xác thực điểm cuối PSC trong Bảng điều khiển Cloud

Bạn có thể xác thực Kết nối PSC trong Bảng điều khiển Cloud

Trong Cloud Console, hãy chuyển đến:

Looker → Thực thể Looker → Chi tiết

10. Kiểm tra khả năng kết nối với GitHub

Trong các bước sau, bạn sẽ sử dụng Looker Console để tạo một dự án nhằm xác thực khả năng kết nối SSH với GitHub.com bằng cách cập nhật miền github.com thành githubssh.com trong giao diện người dùng Looker. Bạn chỉ cần thực hiện thao tác này cho các kết nối SSH đến GitHub.

11. Tạo dự án mới

Bật Chế độ phát triển

Trong Looker Console, hãy chuyển đến:

Bật Chế độ phát triển (phía dưới cùng bên trái của trang). Sau khi bạn chọn chế độ này, biểu ngữ "Bạn đang ở Chế độ phát triển" sẽ xuất hiện.

Tạo dự án mới

Trong Cloud Console, hãy chuyển đến:

Phát triển → Dự án

Chọn Dự án LookML mới

Cung cấp tên dự án, chọn Dự án trống rồi chọn Tạo dự án.

Chọn Định cấu hình Git

Định cấu hình Git

Sau khi chọn Tiếp tục, bạn sẽ được nhắc xác thực URL kho lưu trữ và dịch vụ lưu trữ Git.

Thêm Khoá triển khai vào kho lưu trữ GitHub. Đảm bảo bạn cho phép quyền ghi. Sau khi cập nhật, hãy chọn Kiểm tra và hoàn tất thiết lập.

Chọn Git Actions

Chọn Kiểm thử kết nối Git

Xác thực Thử nghiệm kết nối Git

12. Dọn dẹp

Xoá các thành phần trong phòng thí nghiệm khỏi một thiết bị đầu cuối Cloud Shell

gcloud compute service-attachments delete github-svc-attachment-ssh --region=$region -q

gcloud compute forwarding-rules delete producer-github-fr --region=$region -q

gcloud compute target-tcp-proxies delete producer-lb-tcp-proxy --region=$region -q

gcloud compute backend-services delete producer-backend-svc --region=$region -q

gcloud compute network-firewall-policies rules delete 2001 --firewall-policy looker-psc-demo-policy --global-firewall-policy -q

gcloud compute network-firewall-policies associations delete --firewall-policy=looker-psc-demo-policy  --name=looker-psc-demo --global-firewall-policy -q

gcloud compute network-firewall-policies delete looker-psc-demo-policy --global -q

gcloud compute routers nats delete looker-psc-demo-natgw --router=looker-psc-demo-cloud-router --router-region=$region -q

gcloud compute routers delete looker-psc-demo-cloud-router --region=$region -q

gcloud compute addresses delete internet-neg-lb-ip --region=$region -q

gcloud compute network-endpoint-groups delete github-internet-neg-ssh --region=$region -q

gcloud compute networks subnets delete producer-psc-fr-subnet producer-psc-nat-subnet $region-proxy-only-subnet --region=$region -q

gcloud compute networks delete looker-psc-demo -q

13. Xin chúc mừng

Xin chúc mừng! Bạn đã định cấu hình và xác thực thành công khả năng kết nối với GitHub bằng Looker Console dựa trên Private Service Connect.

Bạn đã tạo cơ sở hạ tầng của nhà sản xuất, tìm hiểu cách tạo NEG Internet, Dịch vụ của nhà sản xuất và điểm cuối PSC của Looker cho phép kết nối với dịch vụ của nhà sản xuất.

Cosmopup cho rằng các lớp học lập trình rất tuyệt!!

Tiếp theo là gì?

Hãy xem một số lớp học lập trình này...

• Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ
• Kết nối với các dịch vụ tại chỗ qua Mạng kết hợp bằng Private Service Connect và bộ cân bằng tải TCP Proxy nội bộ
• Quyền truy cập vào tất cả các lớp học lập trình đã xuất bản về Private Service Connect

Tài liệu đọc thêm và video

• Thiết lập và kiểm thử kết nối Git | Looker | Google Cloud
• Tổng quan về Private Service Connect

Tài liệu tham khảo

• Thiết lập một Regional Internal Proxy Network Load Balancer với một phụ trợ bên ngoài
• Tổng quan về Cloud NAT
• Tạo một thực thể Private Service Connect của Looker (Google Cloud core)
• Cách xuất bản dịch vụ bằng Private Service Connect
• Kết nối với Git bằng SSH