Private Service Connect を使用した Looker(Google Cloud コア)インスタンスへのノースバウンド アクセス

このドキュメントでは、Private Service Connect を使用して、クライアントから Looker(Google Cloud コア)へのルーティング(ノースバウンド トラフィック)を構成する方法について説明します。

カスタム ドメインを作成する

Looker(Google Cloud コア)インスタンスを作成した後の最初のステップは、カスタム ドメインを設定して、インスタンスの OAuth 認証情報を更新することです。以降のセクションでは、このプロセスについて詳しく説明します。

プライベート IP(Private Service Connect)インスタンスのカスタム ドメインを作成する場合は、カスタム ドメインが次の要件を満たしている必要があります。

  • カスタム ドメインは、少なくとも 1 つのサブドメインを含む 3 つ以上の部分で構成する必要があります。例: subdomain.domain.com
  • カスタム ドメインには、次のいずれも含めることはできません。
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

カスタム ドメインを設定する

Looker(Google Cloud コア)インスタンスを作成したら、カスタム ドメインを設定できます。

始める前に

Looker(Google Cloud コア)インスタンスのドメインをカスタマイズする前に、ドメインの DNS レコードが保存されている場所を特定して、更新できるようにします。

必要なロール

Looker(Google Cloud コア)インスタンスのカスタム ドメインを作成するために必要な権限を取得するには、インスタンスが存在するプロジェクトに対する Looker 管理者 roles/looker.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

カスタム ドメインを作成する

Google Cloud コンソールで、Looker(Google Cloud コア)インスタンスのドメインをカスタマイズする手順は次のとおりです。

  1. [インスタンス] ページで、カスタム ドメインを設定するインスタンスの名前をクリックします。
  2. [カスタム ドメイン] タブをクリックします。

  3. [カスタム ドメインを追加] をクリックします。

    [新しいカスタム ドメインの追加] パネルが開きます。

  4. 文字、数字、ダッシュのみを使用して、使用するウェブドメインのホスト名を最大 64 文字(例: looker.examplepetstore.com)で入力します。

  5. [新しいカスタム ドメインの追加] パネルで [完了] をクリックして、[カスタム ドメイン] タブに戻ります。

設定が完了すると、Google Cloud コンソールのインスタンスの詳細ページで、[カスタム ドメイン] タブの [ドメイン] 列にカスタム ドメインが表示されます。

カスタム ドメインが作成されると、その情報を表示したり、削除したりできます。

OAuth 認証情報を更新する

  1. Google Cloud コンソールで [API とサービス] > [認証情報] に移動し、Looker(Google Cloud コア)インスタンスで使用されている OAuth クライアントの OAuth クライアント ID を選択して、OAuth クライアントにアクセスします。

  2. [URI を追加] ボタンをクリックして、OAuth クライアントの [承認済みの JavaScript 生成元] フィールドを更新し、組織が Looker(Google Cloud コア)へのアクセスに使用する DNS 名を追加します。たとえば、カスタム ドメインが looker.examplepetstore.com の場合は、URI として「looker.examplepetstore.com」を入力します。

  3. Looker(Google Cloud コア)インスタンスを作成するときに使用した OAuth 認証情報承認済みリダイレクト URI のリストに、カスタム ドメインを更新または追加します。URI の末尾に /oauth2callback を追加します。たとえば、カスタム ドメインが looker.examplepetstore.com の場合は「looker.examplepetstore.com/oauth2callback」と入力します。

エンドポイントを使用してハイブリッド ネットワーキング経由でインスタンスにアクセスする

カスタム ドメインを設定したら、オンプレミスまたは別のクラウド プロバイダ環境からインスタンスにアクセスします(つまり、ハイブリッド ネットワーキングを使用します)。手順は次のとおりです。

  1. Private Service Connect エンドポイントを介して Looker(Google Cloud コア)を公開する
  2. マルチクラウド環境とオンプレミス環境にエンドポイントをアドバタイズする
  3. DNS を設定します

ネットワーキングの概要

ハイブリッド ネットワーキング環境では、次のネットワーク コンポーネントが必要です。

また、アクセス用の DNS を設定する必要があります。

Private Service Connect を使用すると、コンシューマーは VPC ネットワーク内から、またはハイブリッド ネットワーキングを介して、マネージド サービスにプライベート接続でアクセスできます。マネージド サービス プロデューサーがこれらのサービスを個別の VPC ネットワークにホストし、コンシューマーとのプライベート接続を提供できるようにします。 たとえば、Private Service Connect を使用して Looker(Google Cloud コア)にアクセスする場合、ユーザーがサービス コンシューマーで、Looker(Google Cloud コア)がサービス プロデューサーです。

Private Service Connect を使用してデプロイされた Looker(Google Cloud コア)は、エンドポイントをサポートしています。

次の図は、Private Service Connect エンドポイント ネットワークの設定例を示しています。

オンプレミスから Looker(Google Cloud コア)インスタンスにアクセスするためのネットワーク アーキテクチャ。

この例では、オンプレミス環境が Cloud Interconnect を介して Google Cloud ホスト プロジェクトに接続され、Cloud Router を経由して Private Service Connect エンドポイントにルーティングされます。このエンドポイントは、Google 管理のプロデューサー VPC 内のサービス アタッチメントに接続します。共有 VPC は、API 解決用に Cloud DNS をホストします。

必要なロール

ロール

説明

Compute ネットワーク管理者 (roles/compute.networkAdmin)

Looker(Google Cloud コア)インスタンスへの接続を開始する VPC ネットワークを完全に制御できる権限を付与します。

Service Directory 編集者 (roles/servicedirectory.editor)

Private Service Connect エンドポイントを作成する。

Looker 管理者 (roles/looker.admin)

Private Service Connect が有効になっているインスタンスの作成やカスタム ドメインの作成など、Looker(Google Cloud コア)リソースに対する完全な制御権を付与します。

DNS 管理者 (roles/dns.admin)(省略可)

DNS ゾーンやレコードなど、Cloud DNS リソースに対する完全な制御権を付与します。

Looker(Google Cloud コア)用の Private Service Connect エンドポイントを作成する

VPC ネットワーク内に Private Service Connect エンドポイントを作成する手順に沿って操作します。ネットワークが Looker(Google Cloud コア)インスタンスへの上り(内向き)トラフィックを許可していることを確認します。また、次のガイドラインに沿って対応します。

  • [ターゲット サービス] フィールド(Google Cloud コンソールの場合)または SERVICE_ATTACHMENT 変数(Google Cloud CLI または API の手順に沿っている場合)を Looker サービス アタッチメント URI に設定します。この URI は、次のコマンドを実行して確認できます。

    gcloud looker instances describe INSTANCE_NAME --region=REGION--format=json

    以下を置き換えます。

    • INSTANCE_NAME: Looker(Google Cloud コア)インスタンスの名前。
    • REGION: Looker(Google Cloud コア)インスタンスがホストされるリージョン。

  • Looker(Google Cloud コア)インスタンスと同じリージョンにホストされている任意のサブネットを使用できます。

  • グローバル アクセスを有効にしないでください。

作成後にエンドポイントの詳細を表示するには、エンドポイントの詳細を表示するの手順に沿って操作します。

マルチクラウド環境とオンプレミス環境にエンドポイントをアドバタイズする

Cloud Router を使用して、Private Service Connect エンドポイントの IP アドレスをオンプレミス ネットワークまたは他の環境にアドバタイズします。

Private Service Connect エンドポイントをデプロイする場合、コンシューマの Virtual Private Cloud(VPC)内の通常のサブネットが使用されます。このサブネットは Cloud Router によって自動的にアドバタイズされます。ただし、Cloud Router を介してカスタム サブネットを選択的にアドバタイズする場合は、Private Service Connect エンドポイントの IP アドレスまたはサブネットを含めるように Cloud Router 構成を変更してください。

ハイブリッド ネットワーキングの考慮事項を考慮しながら、オンプレミス(または他の環境)のファイアウォールで、Private Service Connect エンドポイントの IP アドレスまたはサブネットへのアウトバウンド トラフィックが許可されていることを確認します。

DNS を設定する

DNS を設定するときに、次の 2 つのオプションのいずれかを使用できます。

  • Private Service Connect エンドポイントの IP アドレスにマッピングされている Looker(Google Cloud コア)カスタム ドメインに対して権限を持つように、オンプレミス DNS を更新します。
  • Cloud DNS 限定公開ゾーンを作成し、Private Service Connect エンドポイントに割り振られた IP アドレスを使用してレコードセットを作成し、インバウンド DNS 転送を有効にして、VPC が Private Service Connect エンドポイント IP アドレスにマッピングされた Looker(Google Cloud コア)カスタムドメインの権限を持つようにします。

次のステップ