このドキュメント ページでは、カスタム ドメインを設定して、次の条件を満たす Looker(Google Cloud コア)インスタンスに対するアクセスを設定する方法について説明します。
- インスタンスはプライベート IP のみである。
- インスタンスは、作成時に限定公開サービス アクセスを使用するように設定されている。
- インスタンスへのトラフィックは、インスタンスと同じリージョンから発信されているか、ハイブリッド ネットワークを経由して発信されている。
このタイプのインスタンスにアクセスする手順は次のとおりです。
カスタム ドメインを設定する
Looker(Google Cloud コア)インスタンスを作成したら、カスタム ドメインを設定できます。
始める前に
Looker(Google Cloud コア)インスタンスのドメインをカスタマイズする前に、ドメインの DNS レコードが保存されている場所を特定して、これを更新できるようにします。
必要なロール
Looker(Google Cloud コア)インスタンスのカスタム ドメインを作成するために必要な権限を取得するには、インスタンスが存在するプロジェクトに対する Looker 管理者 (roles/looker.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
カスタム ドメインを作成する
Google Cloud コンソールで、次の手順に沿って Looker(Google Cloud コア)インスタンスのドメインをカスタマイズします。
- [インスタンス] ページで、カスタム ドメインを設定するインスタンスの名前をクリックします。
- [カスタム ドメイン] タブをクリックします。
[カスタム ドメインを追加] をクリックします。
[新しいカスタム ドメインの追加] パネルが開きます。
文字、数字、ダッシュのみを使用して、使用するウェブドメインのホスト名を最大 64 文字(例:
looker.examplepetstore.com)で入力します。
[新しいカスタム ドメインの追加] パネルで [完了] をクリックして、[カスタム ドメイン] タブに戻ります。
設定が完了すると、Google Cloud コンソールのインスタンスの詳細ページで、[カスタム ドメイン] タブの [ドメイン] 列にカスタム ドメインが表示されます。
カスタム ドメインが作成されると、その情報を表示したり、削除したりできます。
カスタム ドメインへのアクセスを有効にする
プライベート IP 専用 Looker(Google Cloud コア)インスタンスへのトラフィックがインスタンスが存在するリージョンと同じリージョンから発信されている場合は、適切な DNS と認証情報を設定することで、インスタンスに安全にアクセスできるようになります。
始める前に
プライベート IP カスタム ドメインへのアクセスを設定するために必要な権限を取得するには、インスタンスが存在するプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
- Looker 管理者(
roles/looker.admin) - DNS 管理者(
roles/dns.admin) -
Google OAuth を使用する場合: OAuth Config 編集者 (
roles/oauthconfig.editor)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
ネットワーキングの概要
プライベート IP ネットワーク構成を使用する Looker(Google Cloud コア)は、オンプレミス、マルチクラウド、コンピューティング インスタンスなど、さまざまな環境から Looker(Google Cloud コア)UI にシームレスに接続できるリージョン デプロイ モデルです。
オンプレミス環境またはマルチクラウド環境から Looker(Google Cloud コア)への接続を確立するには、VPC のサービス ネットワーキング VPC ピアリング接続を変更して、Looker(Google Cloud コア)をホストする Google マネージド VPC にカスタムルートをエクスポートします。この操作により、VPC から Looker(Google Cloud コア)にすべての有効な静的ルートと動的ルートが送信されます。サービス プロデューサーのネットワークは、これらのルートを自動的にインポートします。これにより、VPC ネットワーク経由でオンプレミス ネットワークにトラフィックを戻すことができます。
デフォルトでは、ホストデバイスからの接続は、次の図に示すように Looker(Google Cloud コア)と同じリージョン内に確立されます。
Cloud DNS プライベート ゾーンを作成する
Cloud DNS レコードを管理するために VPC に表示される Cloud DNS 限定公開ゾーンを作成します。ゾーンの名前はカスタム ドメインと一致する必要があります。
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --labels=LABELS \ --visibility=private
以下を置き換えます。
NAME: ゾーンの名前。DESCRIPTION: ゾーンの説明。DNS_SUFFIX: ゾーンの DNS サフィックス(例:examplepetstore.com)。VPC_NETWORK_LIST: ゾーンに対するクエリ実行が許可されている VPC ネットワークのカンマ区切りのリスト。Looker(Google Cloud コア)インスタンスを含む VPC を含めるようにしてください。LABELS:dept=marketingやproject=project1などの Key-Value ペアのカンマ区切りリスト。詳しくは、SDK のドキュメントをご覧ください。
ゾーンが設定されたら、Google Cloud コンソールの Cloud DNS ゾーンページでゾーンに移動すると、ゾーンが限定公開で、カスタム ドメインの名前が付けられ、カスタム ドメインのレコードセットがあることを確認できます。
Cloud DNS A レコードを追加する
Cloud DNS A レコードを追加する手順は次のとおりです。
Looker(Google Cloud コア)インスタンスのた上り(内向き)プライベート IP アドレスを確認します。このアドレスは、[インスタンス] ページの [詳細] タブに表示されます。([新しいカスタム ドメインの追加] パネルの [DNS レコードを更新する] セクションの [データ] フィールドにも表示されます)
![[インスタンス] ページの [詳細] タブでハイライト表示された上り(内向き)プライベート IP。](https://cloud-dot-devsite-v2-prod.appspot.com/static/looker/docs/images/core-ingress-ip.png?hl=ja)
限定公開ゾーンにカスタム ドメインの DNS A レコードを追加します。これは、Looker(Google Cloud コア)インスタンスの内向き IP アドレスで構成されます。A レコードは完全修飾ドメイン名(FQDN)を使用します。これは、Looker(Google Cloud コア)カスタムドメインとして構成したものと同じです。
設定が完了すると、Google Cloud コンソールの [Cloud DNS ゾーン] ページで限定公開ゾーンの詳細を表示すると、カスタム ドメインの A レコードが表示されます。
Cloud VPN トンネル、Cloud Interconnect VLAN アタッチメント、またはルーター アプライアンスを使用して VPC ネットワークに接続しているオンプレミス ネットワークで VPC ネットワークの名前解決サービスを利用できるようにするには、受信サーバー ポリシーが使用できます。
ドメインの DNS レコードが更新され、Google Cloud コンソールでドメインが検証されると、インスタンスにマッピングされているカスタム ドメインのステータスが、[インスタンス] ページの [カスタム ドメイン] タブで [未確認] から [使用可能] に更新されます。
OAuth 認証情報を更新する
- Google Cloud コンソールで [API とサービス] > [認証情報] に移動し、Looker(Google Cloud コア)インスタンスで使用されている OAuth クライアントの OAuth クライアント ID を選択して、OAuth クライアントにアクセスします。
[URI を追加] ボタンをクリックして、OAuth クライアントの [承認済みの JavaScript 生成元] フィールドを更新します。組織が Looker(Google Cloud コア)へのアクセスに使用する DNS 名と同じ DNS 名を使用します。たとえば、カスタム ドメインが
looker.examplepetstore.comの場合は、URI として「looker.examplepetstore.com」を入力します。
Looker(Google Cloud コア)インスタンスの作成時に使用した OAuth 認証情報の承認済みリダイレクト URI のリストに、カスタム ドメインを更新または追加します。URI の末尾に
/oauth2callbackを追加します。たとえば、カスタム ドメインがlooker.examplepetstore.comの場合は、「looker.examplepetstore.com/oauth2callback」と入力します。
ユーザーを追加
上記の手順が完了すると、ユーザーはカスタム ドメイン URL にアクセスできるようになります。
ユーザーをインスタンスに追加する前に、Looker(Google Cloud コア)インスタンスのユーザー認証方法の設定が完了していることを確認してください。
次のステップ
- Looker(Google Cloud コア)をデータベースに接続する
- ユーザー向けに Looker(Google Cloud コア)インスタンスを準備する
- Looker(Google Cloud コア)内のユーザーを管理する