プライベート接続(プライベート サービス アクセス)の Looker(Google Cloud コア)インスタンスを作成する

このページでは、プライベート サービス アクセス(PSA)を使用するプライベート接続(PSA)Looker(Google Cloud コア)本番環境または非本番環境インスタンスを作成する方法について説明します。

プライベート接続を使用すると、インターネットまたは外部 IP アドレスを使用せずにサービスに到達できます。プライベート接続はインターネットを経由しないため、通常はレイテンシが小さくなり、攻撃ベクトルが制限されます。プライベート接続では、Looker(Google Cloud コア)インスタンスが Virtual Private Cloud(VPC)内の他のリソースと通信できますが、公共のインターネットからの受信通信は許可されません。

プライベート接続により、VPC Service Controls などの一部の機能を使用できます。ただし、プライベート接続は一部の Looker(Google Cloud コア)機能と互換性がありません。詳細については、機能の互換性の表をご覧ください。

Looker(Google Cloud コア)は、Enterprise または Embedインスタンス エディションでプライベート接続(PSA)をサポートしています。

必要なロールと権限

プライベート接続(PSA)インスタンスを設定するには、次の IAM 権限が必要です。

  1. Looker(Google Cloud コア)インスタンスを作成するには、Looker 管理者roles/looker.Admin)ロールが必要です。

  2. 割り当て IP アドレス範囲の作成とプライベート接続の管理に必要な権限を取得するには、プロジェクトに対する Compute ネットワーク管理者 roles/compute.networkAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

    この事前定義ロールには、割り当てられた IP アドレス範囲の作成とプライベート接続の管理に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

    必要な権限

    割り振られた IP アドレス範囲を作成してプライベート接続を管理するには、次の権限が必要です。

    • [ネットワーク] プルダウンで、利用可能なネットワークを確認します。
      • compute.addresses.list
      • compute.globalAddresses.list
      • compute.networks.list
      • compute.globalAddresses.list
    • 新しい VPC ネットワークを作成します。
      • compute.addresses.create
      • compute.globalAddresses.create
      • serviceusage.services.enable
    • プライベート IP 範囲を割り振り、限定公開サービス アクセス接続を設定します。 compute.networks.addPeering

    カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

    すでに設定されているプライベート ネットワークを使用する場合、これらの権限は必要ありません。

VPC Service Controls または顧客管理の暗号鍵(CMEK)を設定するには、追加の IAM ロールが必要になることもあります。これらの機能の詳細については、Looker(Google Cloud コア)向けの VPC Service Controls のサポートまたは Looker(Google Cloud コア)の CMEK を有効にするのドキュメント ページをご覧ください。

始める前に

  1. セールス担当者と協力して、年間契約が完了し、プロジェクトに割り当てが割り当てられていることを確認します。
  2. Google Cloud プロジェクトに対して課金が有効になっていることを確認します
  3. Google Cloud コンソールのプロジェクト セレクタ ページで、 Google Cloud プロジェクトを作成するか、Looker(Google Cloud コア)インスタンスを作成する既存のプロジェクトに移動します。

    プロジェクト セレクタに移動

  4. Google Cloud コンソール でプロジェクトの Looker API を有効化します。API を有効にする際は、有効になっていることを確認するためにコンソール ページの更新が必要になる場合があります。

    API を有効にする

  5. Google Cloud コンソール でプロジェクトの Service Networking API を有効にします。API を有効にする際は、有効になっていることを確認するためにコンソール ページの更新が必要になる場合があります。

    API を有効にする

  6. Google Cloud コンソールでプロジェクトの Compute Engine API を有効にします。API を有効にする際は、有効になっていることを確認するためにコンソール ページの更新が必要になる場合があります。

    API を有効にする

  7. OAuth クライアントを設定し、認証情報を作成します。OAuth クライアントを使用すると、インスタンスを認証してアクセスできます。インスタンスに対してユーザーを認証する別の認証方法を使用している場合でも、Looker(Google Cloud コア)インスタンスを作成するには OAuth を設定する必要があります。

VPC ネットワークの作成と構成

プライベート接続を作成する前に、まず Virtual Private Cloud(VPC)ネットワークを作成して構成する必要があります。Looker(Google Cloud コア)は、同じ VPC 内の複数のプライベート接続(PSA)インスタンスをサポートします。これらのインスタンスは、同じリージョンまたは異なるリージョンに配置できます。

  1. プロジェクトに VPC ネットワークを作成します。新しい VPC ネットワークを作成する代わりに共有 VPC を使用する場合は、セクション共有 VPC でのインスタンスの作成の手順に加えて、共有 VPC のこのセクションの残りの手順を完了します。
  2. Looker(Google Cloud コア)への限定公開サービス アクセス接続用に VPC に IPv4 IP 範囲(CIDR ブロック)を割り当てます
    • 範囲を割り当てる前に、制約を考慮してください。
    • IP アドレス範囲のサイズを設定する場合は、最小サイズが /22 ブロックであることに注意してください。
    • Looker(Google Cloud コア)は、RFC 1918 内のすべての IPv4 範囲をサポートしています。RFC 1918 では、内部(組織内)で使用するために割り当てられ、インターネット上でルーティングされない IP アドレスが指定されています。具体的には、次のとおりです。
      • 10.0.0.0/8
      • 172.16.0.0/12
      • 192.168.0.0/16
    • RFC 5735RFC 1112 に記載されているとおり、クラス E IPv4 範囲(240.0.0.0/4)は将来の使用のために予約されており、Looker(Google Cloud コア)ではサポートされていません。
    VPC 内のリージョンで Looker(Google Cloud コア)インスタンスが初めて作成される場合、Looker はプロキシ専用サブネットを作成します。プロキシ専用サブネットは、Looker(Google Cloud コア)インスタンスの作成時に予約する /22 サブネットの /26 範囲サブネットを使用します。同じ VPC と同じリージョンにある後続のプライベート接続(PSA)Looker(Google Cloud コア)インスタンスは、同じプロキシ専用サブネットを使用します。
  3. [割り当て] 用に前の手順で割り当てた IP 範囲を使用して、プライベート サービス アクセス接続を VPC ネットワークに追加します。
  4. VPC ネットワークが作成されたら、 Google Cloud プロジェクトの [Looker インスタンスを作成する] ページに戻ります。VPC ネットワークが認識されるように、ページの更新が必要になる場合があります。

これらの手順を完了したら、Looker(Google Cloud コア)インスタンスを作成するドキュメント ページの始める前にセクションから始まる手順に沿って、インスタンスの作成を開始できます。

同じ VPC 内の複数のプライベート接続インスタンス

2 つ以上のプライベート接続 Looker(Google Cloud コア)インスタンスが同じリージョンと VPC にあり、そのリージョンで最初に作成された Looker(Google Cloud コア)インスタンスを削除すると、プロキシ専用サブネットは残りのインスタンスで使用されているため、解放されません。削除したインスタンスで使用したアドレス範囲(プロキシ専用サブネットの IP アドレス範囲を含む)と同じアドレス範囲を使用する新しいプライベート接続(PSA)Looker(Google Cloud コア)インスタンスを作成しようとすると、インスタンスの作成が失敗し、「IP 範囲が使い果たされました」というエラーが表示されます。IP 範囲が使用されているかどうかを確認するには、サービス ネットワーキングの VPC ピアリングを確認し、インポート ルートを確認して、目的の IP 範囲を使用しているかどうかを確認します。

共有 VPC でインスタンスを作成する

共有 VPC 内に Looker(Google Cloud コア)インスタンスを作成する場合は、共有 VPC のホスト プロジェクトで次の手順を完了します。

  1. Google Cloud コンソールで、共有 VPC のホスト プロジェクトでの Looker API を有効にします。API を有効にする際は、有効になっていることを確認するためにコンソール ページの更新が必要になる場合があります。

    API を有効にする

  2. gcloud services identity create コマンドを使用して、共有 VPC のホスト プロジェクトにサービス アカウントを作成します。

    gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID

    SHARED_HOST_PROJECT_ID は、共有 VPC のホスト プロジェクトの ID に置き換えます。

  3. 共有 VPC のホスト プロジェクトのサービス アカウントに、compute.globalAddresses.get IAM 権限を含む IAM ロールを付与します。次に、add-iam-policy-binding コマンドを実行します。

    gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME

    次のように置き換えます。

    • SHARED_HOST_PROJECT_ID: 共有 VPC のホスト プロジェクトの ID。

    • SA_EMAIL: 共有 VPC のホスト プロジェクトで作成したサービス アカウントのメールアドレス。

    • ROLE_NAME: compute.globalAddresses.get 権限を含むロールの名前。次のいずれかの形式で指定してください。

      • 事前定義ロール: roles/SERVICE.IDENTIFIER
      • プロジェクト レベルのカスタムロール: projects/PROJECT_ID/roles/IDENTIFIER
      • 組織レベルのカスタムロール: organizations/ORG_ID/roles/IDENTIFIER

      事前定義ロールのリストについては、ロールについてをご覧ください。

サービス アカウントを作成して IAM 権限を付与した後、サービス アカウントと権限が反映されるまで数分待ちます。

さらに、前のセクションの VPC ネットワークを作成して設定するの説明に従って、共有 VPC に IPv4 IP 範囲を割り当て、共有 VPC へのプライベート サービス アクセス接続を追加します。

プライベート接続インスタンスを作成する

Looker(Google Cloud コア)が新しいインスタンスを生成するには約 60 分かかります。

プライベート接続(PSA)インスタンスが必要な場合は、Google Cloud CLI または Terraform を使用する必要があります。また、インスタンスの作成時にプライベート接続(PSA)として構成する必要があります。インスタンスの作成後は、プライベート接続のインスタンスへの追加やインスタンスからの削除はできません。

Google Cloud CLI を使用してプライベート接続(PSA)インスタンスを作成する手順は次のとおりです。

  1. CMEK を使用している場合は、Looker(Google Cloud コア)インスタンスを作成する前に、サービス アカウント、キーリング、鍵を作成する手順を行います。

  2. gcloud looker instances create コマンドを使用して、インスタンスを作成します。

    gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]

    以下のように置き換えます。

    • INSTANCE_NAME: Looker(Google Cloud コア)インスタンスの名前。インスタンス URL には関連付けられていません。
    • PROJECT_ID: Looker(Google Cloud コア)インスタンスを作成する Google Cloud プロジェクトの名前。
    • OAUTH_CLIENT_IDOAUTH_CLIENT_SECRET: OAuth クライアントを設定したときに作成した OAuth クライアント ID と OAuth シークレット。インスタンスが作成されたら、OAuth クライアントの [承認済みのリダイレクト URI] セクションにインスタンスの URL を入力します。
    • REGION: Looker(Google Cloud コア)インスタンスがホストされるリージョン。サブスクリプション契約のリージョンと一致するリージョンを選択します。使用可能なリージョンは、Looker(Google Cloud コア)のロケーション ドキュメント ページに記載されています。
    • EDITION: エディション、環境タイプ(本番環境または非本番環境)、インスタンスがトライアル エディションかどうか。プライベート接続(PSA)インスタンスの場合、これは core-enterprise-annualcore-embed-annualnonprod-core-enterprise-annualnonprod-core-embed-annualcore-trial-enterprisecore-trial-embed のいずれかになります。年間契約に記載されているエディション タイプと同じものを選択し、割り当てが割り当てられていることを確認してください。インスタンスの作成後はエディションを変更できません。エディションを変更する場合は、インポートとエクスポートを使用して、Looker(Google Cloud コア)インスタンス データを、別のエディションで構成される新しいインスタンスに移動します。
    • CONSUMER_NETWORK: VPC ネットワークまたは共有 VPC ネットワーク。プライベート接続(PSA)インスタンスを作成する場合は、設定する必要があります。
    • RESERVED_RANGE: Google が Looker(Google Cloud コア)インスタンスのサブネットワークをプロビジョニングする VPC 内の IP アドレスの範囲。

    次のフラグを含めることができます。

    • --private-ip-enabled は、プライベート接続(PSA)を有効にします。プライベート接続(PSA)インスタンスを作成するには、これを含める必要があります。
    • --public-ip-enabled は、パブリック IP を有効にします。
    • --no-public-ip-enabled は、パブリック IP を無効にします。
    • Looker(Google Cloud コア)インスタンスを作成する場合は、--async をおすすめします。

  3. パラメータを追加して、他のインスタンス設定を適用できます。 

    [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
      --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
[--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
      --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
      --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
[--kms-key=KMS_KEY_ID]
[--fips-enabled]
    次のように置き換えます。

    • MAINTENANCE_WINDOW_DAY は、次のいずれかの値を設定する必要があります: fridaymondaysaturdaysundaythursdaytuesdaywednesday。メンテナンスの時間枠の設定の詳細については、Looker(Google Cloud コア)のメンテナンス ポリシーを管理するドキュメント ページをご覧ください。
    • MAINTENANCE_WINDOW_TIMEDENY_MAINTENANCE_PERIOD_TIME: 24 時間形式の UTC 時間(例: 13:00、17:45)にする必要があります。
    • DENY_MAINTENANCE_PERIOD_START_DATEDENY_MAINTENANCE_PERIOD_END_DATE: YYYY-MM-DD の形式にする必要があります。
    • KMS_KEY_ID: 顧客管理の暗号鍵(CMEK)の設定時に作成される鍵にする必要があります。

    --fips-enabled フラグを指定して、FIPS 140-2 レベル 1 コンプライアンスを有効にできます。

インスタンスの作成中は、コンソール内の [インスタンス] ページでステータスを確認できます。 Google Cloud コンソール メニューの通知アイコンをクリックして、インスタンス作成アクティビティを確認することもできます。

注: プライベート接続(PSA)のみのインスタンスを作成すると、URL は [インスタンス] ページに表示されません。プライベート接続(PSA)インスタンスへのアクセスを設定する方法については、作成後にプライベート接続(PSA)インスタンスにアクセスするをご覧ください。

作成後にプライベート接続(PSA)インスタンスにアクセスする

プライベート接続(PSA)のみが有効になっているインスタンスを作成した場合、そのインスタンスの URL は受信されません。インスタンスにアクセスするには、インスタンスのカスタム ドメインを構成し、そのカスタム ドメインをインスタンスの OAuth 認証情報に追加する必要があります。カスタム ドメインの設定とアクセスに使用するさまざまなプライベート接続ネットワーキング オプションについては、Looker(Google Cloud コア)プライベート接続インスタンスのカスタム ドメイン ネットワーキング オプションのドキュメント ページをご覧ください。

次のステップ