Private Service Connect を使用した Looker(Google Cloud コア)インスタンスへのプライベート ノースバウンド アクセス

Looker(Google Cloud コア)で Private Service Connect を使用するには、インスタンスの作成時に Looker(Google Cloud コア)インスタンスで Private Service Connect を使用できるようにする必要があります。

このドキュメント ページでは、Private Service Connect を使用して、クライアントから Looker(Google Cloud コア)へのルーティング(ノースバウンド トラフィックとも呼ばれる)を構成する方法について説明します。

Private Service Connect を使用すると、コンシューマーは VPC ネットワーク内から、ハイブリッド ネットワーキング経由で、または外部リージョン アプリケーション ロードバランサでデプロイされている場合はパブリックに、マネージド サービスにプライベート接続でアクセスできます。マネージド サービス プロデューサーがこれらのサービスを個別の VPC ネットワークにホストし、コンシューマーとのプライベート接続またはパブリック接続を提供できるようにします。

Private Service Connect を使用して Looker(Google Cloud コア)にアクセスする場合、ユーザーがサービス コンシューマーで、Looker(Google Cloud コア)がサービス プロデューサーです。Looker(Google Cloud コア)へのノースバウンド アクセスには、コンシューマー VPC を Looker(Google Cloud コア)Private Service Connect インスタンスの許可された VPC として追加する必要があります。

このドキュメントでは、カスタム ドメインの設定と構成について説明し、プライベート接続用のエンドポイントを使用して Looker(Google Cloud コア)にアクセスする方法について説明します。

Looker(Google Cloud コア)にアクセスする場合、バックエンドを備えたアプリケーション ロードバランサを使用することをおすすめします。この設定では、カスタム ドメイン証明書の認証も可能になり、ユーザー アクセスのセキュリティと制御が強化されます。

カスタム ドメインを作成する

Looker(Google Cloud コア)インスタンスを作成した後の最初の手順は、カスタム ドメインを設定し、インスタンスの OAuth 認証情報を更新することです。以降のセクションでは、このプロセスについて詳しく説明します。

プライベート IP(Private Service Connect)インスタンスのカスタム ドメインを作成する場合は、カスタム ドメインが次の要件を満たしている必要があります。

  • カスタム ドメインは、少なくとも 1 つのサブドメインを含む 3 つ以上の部分で構成されている必要があります。例: subdomain.domain.com
  • カスタム ドメインに次のいずれも含まれていない必要があります。
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

カスタム ドメインを設定する

Looker(Google Cloud コア)インスタンスを作成したら、カスタム ドメインを設定できます。

始める前に

Looker(Google Cloud コア)インスタンスのドメインをカスタマイズする前に、ドメインの DNS レコードが保存されている場所を特定して、これを更新できるようにします。

必要なロール

Looker(Google Cloud コア)インスタンスのカスタム ドメインを作成するために必要な権限を取得するには、インスタンスが存在するプロジェクトに対する Looker 管理者 roles/looker.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

カスタム ドメインを作成する

Google Cloud コンソールで、次の手順に沿って Looker(Google Cloud コア)インスタンスのドメインをカスタマイズします。

  1. [インスタンス] ページで、カスタム ドメインを設定するインスタンスの名前をクリックします。
  2. [カスタム ドメイン] タブをクリックします。

  3. [カスタム ドメインを追加] をクリックします。

    [新しいカスタム ドメインの追加] パネルが開きます。

  4. 文字、数字、ダッシュのみを使用して、使用するウェブドメインのホスト名を最大 64 文字(例: looker.examplepetstore.com)で入力します。

  5. [新しいカスタム ドメインの追加] パネルで [完了] をクリックして、[カスタム ドメイン] タブに戻ります。

カスタム ドメインを設定すると、 Google Cloud コンソールの Looker(Google Cloud コア)のインスタンスの詳細ページの [カスタム ドメイン] タブの [ドメイン] 列にカスタム ドメインが表示されます。

カスタム ドメインが作成されると、その情報を表示したり、削除したりできます。

OAuth 認証情報を更新する

  1. Google Cloud コンソールで [API とサービス] > [認証情報] に移動し、Looker(Google Cloud コア)インスタンスで使用されている OAuth クライアントの OAuth クライアント ID を選択して、OAuth クライアントにアクセスします。

  2. [URI を追加] ボタンをクリックして、OAuth クライアントの [承認済みの JavaScript 生成元] フィールドを更新し、組織が Looker(Google Cloud コア)へのアクセスに使用する DNS 名を含めます。たとえば、カスタム ドメインが looker.examplepetstore.com の場合は、URI として「looker.examplepetstore.com」を入力します。

  3. Looker(Google Cloud コア)インスタンスを作成するときに使用した OAuth 認証情報承認済みリダイレクト URI のリストに、カスタム ドメインを更新または追加します。URI の末尾に /oauth2callback を追加します。たとえば、カスタム ドメインが looker.examplepetstore.com の場合は、「looker.examplepetstore.com/oauth2callback」と入力します。

Looker(Google Cloud コア)へのプライベート アクセス

カスタム ドメインを設定した後、オンプレミスまたは別のクラウド プロバイダ環境から(つまり、ハイブリッド ネットワーキングを介して)インスタンスにアクセスするには、次のネットワーク コンポーネントが必要です。

Private Service Connect でデプロイされた Looker(Google Cloud コア)は、Cloud Load Balancing と統合された バックエンドと呼ばれる Private Service Connect ネットワーク エンドポイント グループをサポートしています。バックエンドを使用して Private Service Connect が有効になっている Looker(Google Cloud コア)インスタンスに非公開でアクセスする手順については、Looker PSC ノースバウンド リージョン内部 L7 ALB の Codelab をご覧ください。

次の図に、Private Service Connect バックエンド ネットワーク設定の例を示します。

バックエンドを使用してオンプレミスから Looker(Google Cloud コア)インスタンスにアクセスするためのネットワーク アーキテクチャ。

DNS を設定する

DNS を設定する際は、次の 2 つのオプションのいずれかを使用できます。

  • Private Service Connect エンドポイントの IP アドレスにマッピングされている Looker(Google Cloud コア)カスタム ドメインに対して権限を持つように、オンプレミス DNS を更新します。
  • Cloud DNS 限定公開ゾーンを作成し、Private Service Connect エンドポイントに割り当てられた IP アドレスを使用してレコード セットを作成し、インバウンド DNS 転送を有効にして、Private Service Connect エンドポイントの IP アドレスにマッピングされている Looker(Google Cloud コア)カスタム ドメインに対して VPC が権限を持つようにします。

次のステップ