表示されているのは Looker のドキュメントです。Looker Studio のドキュメントについては、https://support.google.com/looker-studio をご覧ください。

Looker（Google Cloud コア）のネットワーキングオプション

このページでは、Looker（Google Cloud コア）インスタンスのネットワーク構成オプションについて説明します。

インスタンスのネットワーク構成は、インスタンスの作成時に設定します。インスタンスの作成プロセスを開始する前に、使用するネットワーキングオプションを決定することをおすすめします。組織のニーズに最も適したオプションを判断するために、このページを約立てることもできます。

概要

Looker（Google Cloud コア）のネットワーク構成オプションは次のとおりです。

パブリック IP: インターネットにアクセスできる外部 IP アドレスを使用するインスタンス。
プライベート IP（限定公開サービスアクセス）のみ: Google がホストする内部 Virtual Private Cloud（VPC）IP アドレスを使用し、限定公開サービスアクセスを使用して Google サービスとサードパーティサービスにプライベートに接続するインスタンス。
プライベート IP（限定公開サービスアクセス）とパブリック IP: 上り（内向き）でパブリック IP アドレスをサポートし、下り（外向き）で Google がホストする内部 VPC IP アドレスおよび限定公開サービスアクセスをサポートするインスタンス。
プライベート IP（Private Service Connect）のみ: Google がホストする内部 VPC IP アドレスを使用し、Private Service Connect を使用して Google サービスとサードパーティサービスにプライベートに接続するインスタンス。

以下の情報は、Looker（Google Cloud コア）インスタンスのネットワーク構成を検討する際に役立てることができます。

ネットワーク構成は、インスタンスの作成時に設定する必要があります。ネットワーク構成は、インスタンスの作成後に変更できません。ただし、限定公開サービスアクセスインスタンスの場合は、インスタンスの作成後にパブリック IP を追加または削除できます。
利用できる機能はネットワークオプションによって異なります。詳細については、Looker（Google Cloud コア）で利用できる機能ドキュメントページをご覧ください。
BigQuery への接続はすべて、ネットワーク構成に関係なく Google のプライベートネットワークを経由します。
サードパーティの ID プロバイダがシングルサインオン用に構成されている場合、ユーザーのブラウザは ID プロバイダと通信し、その後に Looker（Google Cloud コア）インスタンスにリダイレクトされます。リダイレクト URL にユーザーのネットワーク経由でアクセスできる限り、サードパーティ ID プロバイダはすべてのネットワーキング構成で機能します。

チームに適したネットワーキング構成を決定する方法について詳しくは、このドキュメントページのネットワーキングオプションの選択方法のセクションの表をご覧ください。

パブリック IP 接続

パブリック IP インスタンスとしてデプロイされた Looker（Google Cloud コア）には、インターネットにアクセス可能な外部 IP アドレスからアクセスできます。この構成では、Looker（Google Cloud コア）からインターネットエンドポイントへの下り（外向き）アクセスに加えて、Looker（Google Cloud コア）への上り（内向き）トラフィックがサポートされます。この構成は、Looker でホストされている Looker（オリジナル）インスタンスの構成に似ています。

パブリック IP インスタンスとの間のトラフィックは、公共のインターネットを介して流れます。

パブリック IP ネットワーク接続は簡単に設定して接続でき、高度なネットワーク構成や専門知識は必要ありません。

Looker（Google Cloud コア）パブリック IP インスタンスを作成するには、パブリック IP Looker（Google Cloud コア）インスタンスを作成するのドキュメントページをご覧ください。

プライベート IP 接続

プライベート IP ネットワーク接続を使用する Looker（Google Cloud コア）インスタンスは、Google がホストする内部 VPC IP アドレスを使用します。このアドレスを使用して、VPC にアクセスできる他のリソースと通信できます。プライベート IP 接続を使用すると、公共のインターネットまたは外部 IP アドレスを使用せずにサービスに到達できます。プライベート IP 経由の接続の場合はインターネットを経由しないため、通常はレイテンシが小さくなり、攻撃ベクトルが制限されます。

プライベート IP のみの構成では、Looker（Google Cloud コア）にパブリック URL はありません。すべてのノースバウンド（上り（内向き））トラフィックを制御し、すべてのサウスバウンド（下り（外向き））トラフィックが VPC 経由でルーティングされます。

インスタンスでプライベート IP 接続のみを使用している場合は、カスタムドメインとインスタンスへのユーザーアクセスを設定する、一部の Looker（Google Cloud コア）機能を使用する、Git プロバイダなどの外部リソースに接続するなどのために、追加の構成が必要になります。この構成を計画して実行するには、社内ネットワークに関する専門知識が役立ちます。

Looker（Google Cloud コア）は、プライベート IP 接続用の以下の 2 つのオプションをサポートしています。

プライベートサービスアクセス
Private Service Connect

限定公開サービスアクセスと Private Service Connect の使用は、インスタンスの作成時に決定する必要があります。

プライベートサービスアクセス

Looker（Google Cloud コア）で限定公開サービスアクセスのプライベート IP を使用する場合は、インスタンスの作成時に設定する必要があります。Looker（Google Cloud コア）インスタンスには、必要に応じて、プライベート IP（限定公開サービスアクセス）接続にパブリック IP 接続を含めることができます。限定公開サービスアクセスを使用するインスタンスを作成した後、そのインスタンスへのプライベート IP 接続を追加または削除できます。

プライベート IP（限定公開サービスアクセス）接続を作成するには、VPC 内の /22 CIDR 範囲を Looker（Google Cloud コア）に割り当てる必要があります。

プライベート IP（限定公開サービスアクセス）接続のみを使用するインスタンスへのユーザーアクセスを設定するには、カスタムドメインを設定し、組織のニーズに応じてドメインへのアクセスを構成する必要があります。外部リソースに接続するには、追加の構成を行う必要があります。この構成を計画して実行するには、社内ネットワークに関する専門知識が役立ちます。

Looker（Google Cloud コア）限定公開サービスアクセスインスタンスを作成するには、プライベート IP インスタンスを作成するドキュメントページをご覧ください。

プライベート IP とパブリック IP の構成

プライベート接続に限定公開サービスアクセスを使用する Looker（Google Cloud コア）インスタンスのみが、プライベート IP とパブリック IP の構成をサポートしています。

プライベート IP（限定公開サービスアクセス）接続とパブリック IP 接続の両方を持つ Looker（Google Cloud コア）インスタンスにはパブリック URL があり、受信トラフィックはすべてパブリック IP 接続を経由します。送信トラフィックは VPC を介してルーティングされます。VPC は、プライベート IP トラフィックのみを許可するように構成できます。

パブリック IP とプライベート IP の構成では、ノースバウンドトラフィックはパブリック IP を経由し、サウスバウンドトラフィックはプライベート IP を経由します。

プライベート IP とパブリック IP の構成では、Connected Sheets BI コネクタや Looker Studio BI コネクタなど、プライベート IP のみの構成では使用できない一部の Looker（Google Cloud コア）機能を使用できます。

Private Service Connect

Looker（Google Cloud コア）で Private Service Connect を使用する場合は、インスタンスの作成時に設定する必要があります。Looker（Google Cloud コア）の Private Service Connect インスタンスは、パブリック IP 接続の追加をサポートしていません。

Looker（Google Cloud コア）で使用する場合、Private Service Connect は限定公開サービスアクセスと次の点で異なります。

エンドポイントとバックエンドは、パブリックまたはプライベートのアクセス方法をサポートします。
Looker（Google Cloud コア）は、Private Service Connect を介してアクセスできる Cloud SQL などの他の Google サービスに接続できます。
大規模な IP ブロックを割り当てる必要はありません。
直接接続では、推移的通信が可能です。
他のサービスとネットワークを共有する必要はありません。
マルチテナンシーをサポートしています。

Private Service Connect のエンドポイントまたはバックエンドを使用して、Looker（Google Cloud コア）の Private Service Connect インスタンスにアクセスできます。

Looker（Google Cloud コア）（Private Service Connect）インスタンスは、エンドポイントを使用して Google Cloud または外部リソースに接続します。リソースが外部の場合は、ネットワークエンドポイントグループ（NEG）とロードバランサも設定する必要があります。また、一意のサービスへの各下り（外向き）接続では、サービスを Private Service Connect を使用して公開する必要があります。Looker（Google Cloud コア）側で、接続する各サービスに対して一意の下り（外向き）接続を作成して維持する必要があります。

Private Service Connect のノースバウンドネットワークトポロジとサウスバウンドネットワークトポロジの概要。

Private Service Connect の構成を計画して実行するには、社内ネットワークに関する専門知識が役立ちます。

外部サービスへの接続の例については、Looker PSC サウスバウンド HTTPS インターネット NEG の Codelab をご覧ください。

Private Service Connect インスタンスの詳細については、Looker（Google Cloud コア）で Private Service Connect を使用するドキュメントページをご覧ください。

ネットワークオプションの選択方法

次の表は、さまざまなネットワークオプションでどの機能が利用できるかを示しています。

ネットワークの要件
機能	パブリック IP	一般公開と限定公開（限定公開サービスアクセス）	限定公開（限定公開サービスアクセス）	限定公開（Private Service Connect）
インスタンスの作成には IP 範囲の割り当てが必要	×	○（インスタンスあたり、リージョンあたり `/22`）	○（インスタンスあたり、リージョンあたり `/22`）	×
Cloud Armor	○	○	×	リージョン外部アプリケーションロードバランサ、Private Service Connect バックエンド、Google Cloud Armor でサポートされています
カスタムドメイン	○	一般公開 URL としてサポートされています	○	○
ノースバウンドアクセス
機能	パブリック IP	一般公開と限定公開（限定公開サービスアクセス）	限定公開（限定公開サービスアクセス）	限定公開（Private Service Connect）
公共のインターネット	○	○	×	リージョン外部アプリケーションロードバランサ、Private Service Connect バックエンド、カスタムドメインでサポートされています
VPC ピアリング（限定公開サービスアクセス）	×	○	○	×
PSC ベースのルーティング	×	×	×	以下でサポートされています。リージョン外部アプリケーションロードバランサと Private Service Connect バックエンドリージョン内部アプリケーションロードバランサと Private Service Connect バックエンド
ハイブリッドネットワーキング	×	○	○	○
サウスバウンドアクセス
機能	パブリック IP	一般公開と限定公開（限定公開サービスアクセス）	限定公開（限定公開サービスアクセス）	限定公開（Private Service Connect）
インターネット	○	×	×	リージョン TCP プロキシ内部ロードバランサ、インターネット NEG、Cloud NAT ゲートウェイでサポートされています。
VPC ピアリング（限定公開サービスアクセス）	×	○	○	×
Private Service Connect ベースのルーティング	×	×	×	リージョン TCP プロキシ内部ロードバランサとハイブリッド NEG でサポートされています
ハイブリッドネットワーキング（マルチクラウドとオンプレミス）	×	○	○	リージョン TCP プロキシ内部ロードバランサ、ハイブリッド NEG、Google Cloud ネットワーキングプロダクトでサポートされています
アプリケーション
機能	パブリック IP	一般公開と限定公開（限定公開サービスアクセス）	限定公開（限定公開サービスアクセス）	限定公開（Private Service Connect）
GitHub	○	TCP プロキシ内部ロードバランサとインターネット NEG でサポートされています	TCP プロキシ内部ロードバランサとインターネット NEG でサポートされています	○ （例については、Looker PSC サウスバウンド HTTPS インターネット NEG Codelab をご覧ください）。
GitHub Enterprise	×	○	○	○
Cloud SQL	○	Looker（Google Cloud コア）と同じ VPC にデプロイされた Cloud SQL でサポートされています	○	○
BigQuery	○	○	○	○
埋め込み	○	○	○	○
マーケットプレイス	○	×	×	×
コネクテッドシート	○	○	×	×
SMTP	○	○	○	○
利点	一般公開されている URL を使用すると、インスタンスにアクセスしたり、Looker にリダイレクトしたりする必要がある他のサービスから Looker（Google Cloud コア）に簡単に接続できます。設定が簡単で、高度なネットワーク構成は必要ありません。	パブリック URL から Looker（Google Cloud コア）にアクセスするマルチクラウド環境へのサウスバウンドアクセスは、IP 到達可能性に基づいて実現されます	ノースバウンドアクセスとサウスバウンドアクセス用のプライベートインスタンスマルチクラウド環境へのサウスバウンドアクセスは、IP 到達可能性に基づいて実現されます	共有される制約がなく、コンシューマーとプロデューサー間の IP 調整は不要 Looker（Google Cloud コア）のインスタンス化にサブネットの割り当ては不要 Looker（Google Cloud コア）とエンドポイントへの明示的なアクセス Private Service Connect バックエンドを使用して、Looker（Google Cloud コア）へのパブリックアクセスとプライベートアクセスをサポートする
考慮事項	カスタム URL を使用する場合は、完全修飾ドメイン名（`looker.examplepetstore.com` など）を構成する必要があります。`examplepetstore.looker.com` のようなカスタム URL は使用できません。	オンプレミス環境とマルチクラウド環境へのサウスバウンドアクセスにはファイアウォールの更新が必要 VPC ピアリングを使用したハブアンドスポーク VPC アーキテクチャに Looker（Google Cloud コア）をデプロイすると、オンプレミスネットワークまたはマルチクラウドネットワークからハイブリッドネットワーキング経由でアクセスする際に Looker への非推移ルーティングが発生するパブリック Git に接続するための追加のインフラストラクチャ（プロキシ VM、インターネット NEG、ロードバランサ）	オンプレミス環境とマルチクラウド環境へのサウスバウンドアクセスにはファイアウォールの更新が必要 VPC ピアリングを使用したハブアンドスポーク VPC アーキテクチャに Looker（Google Cloud コア）をデプロイすると、オンプレミスネットワークまたはマルチクラウドネットワークからハイブリッドネットワーキング経由でアクセスする際に Looker への非推移ルーティングが発生するパブリック Git に接続するための追加のインフラストラクチャ（プロキシ VM、インターネット NEG、ロードバランサ）	Looker（Google Cloud コア）への一般公開には、外部アプリケーションロードバランサと Private Service Connect バックエンドの統合が必要各サウスバウンドエンドポイント（IP アドレス）には、Private Service Connect 公開サービスが必要

Looker（Google Cloud コア）のネットワーキング オプション

概要