Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

プライベート接続（プライベートサービスアクセス）の Looker（Google Cloud コア）インスタンスを作成する

このページでは、プライベートサービスアクセス（PSA）を使用するプライベート接続（PSA）Looker（Google Cloud コア）の本番環境インスタンスまたは非本番環境インスタンスを作成する方法について説明します。

プライベート接続を使用すると、インターネットまたは外部 IP アドレスを使用せずにサービスに到達できます。プライベート接続の場合はインターネットを経由しないため、通常はレイテンシが小さくなり、攻撃ベクトルが制限されます。プライベート接続では、Looker（Google Cloud コア）インスタンスが Virtual Private Cloud（VPC）内の他のリソースと通信できますが、公共のインターネットからの受信通信は許可されません。

プライベート接続を使用すると、VPC Service Controls などの一部の機能を使用できます。ただし、プライベート接続は一部の Looker（Google Cloud コア）機能と互換性がありません。詳細については、機能の互換性の表をご覧ください。

Looker（Google Cloud コア）は、Enterprise エディションまたは Embed エディションのインスタンスでプライベート接続（PSA）をサポートしています。

必要なロールと権限

プライベート接続（PSA）インスタンスを設定するには、次の IAM 権限が必要です。

Looker（Google Cloud コア）インスタンスを作成するには、Looker 管理者（roles/looker.Admin）ロールが必要です。
割り当て IP アドレス範囲の作成とプライベート接続の管理に必要な権限を取得するには、プロジェクトに対するCompute ネットワーク管理者（roles/compute.networkAdmin）の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

この事前定義ロールには、割り当て IP アドレス範囲の作成とプライベート接続の管理に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限

割り当て IP アドレス範囲の作成とプライベート接続の管理には、次の権限が必要です。
- [ネットワーク] プルダウンで利用可能なネットワークを確認します。
  - compute.addresses.list
  - compute.globalAddresses.list
  - compute.networks.list
  - compute.globalAddresses.list
- 新しい VPC ネットワークを作成します。
  - compute.addresses.create
  - compute.globalAddresses.create
  - serviceusage.services.enable
- プライベート IP 範囲を割り振り、限定公開サービスアクセス接続を設定します。 compute.networks.addPeering
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

注: IAM の基本ロールには、割り当て IP アドレス範囲を作成し、プライベート接続を管理する権限が含まれている場合もあります。本番環境では基本ロールを付与しないようにしてください。このロールは、開発環境またはテスト環境で付与してください。

すでに設定されているプライベートネットワークを使用する場合、これらの権限は必要ありません。

VPC Service Controls または顧客管理の暗号鍵（CMEK）を設定するには、追加の IAM ロールが必要になる場合があります。詳細については、Looker（Google Cloud コア）向けの VPC Service Controls のサポートまたはLooker（Google Cloud コア）の CMEK を有効にするのドキュメントページをご覧ください。

始める前に

セールスチームと協力して、年間契約が完了し、プロジェクトに割り当てが割り振られていることを確認します。
プロジェクトに対して課金が有効になっていることを確認します Google Cloud 。
Google Cloud コンソールのプロジェクトセレクタのページで、プロジェクト Google Cloud を作成するか、Looker（Google Cloud コア）インスタンスを作成する既存のプロジェクトに移動します。
プロジェクトセレクタに移動
Google Cloud コンソールでプロジェクトの Looker API を有効化します。API を有効にする際は、有効になっていることを確認するためにコンソールページの更新が必要になる場合があります。
API を有効にする

注意: インスタンスの作成後に Looker API を無効にすると、Looker（Google Cloud コア）の機能に影響します。たとえば、API を無効にすると、インスタンスのバックアップを作成できなくなります。
Google Cloud コンソールでプロジェクトの Service Networking API を有効にします。API を有効にする際は、有効になっていることを確認するためにコンソールページの更新が必要になる場合があります。
API を有効にする
Google Cloud コンソールでプロジェクトの Compute Engine API を有効にします。API を有効にする際は、有効になっていることを確認するためにコンソールページの更新が必要になる場合があります。
API を有効にする
OAuth クライアントを設定し、認証情報を作成します。OAuth クライアントを使用すると、インスタンスを認証してアクセスできます。インスタンスに対してユーザーを認証する別の認証方法を使用している場合でも、Looker（Google Cloud コア）インスタンスを作成するには OAuth を設定する必要があります。

VPC ネットワークの作成と構成

プライベート接続を作成する前に、Virtual Private Cloud（VPC）ネットワークを作成して構成する必要があります。Looker（Google Cloud コア）は、同じ VPC 内に複数のプライベート接続（PSA）インスタンスをサポートしています。これらのインスタンスは、同じリージョンまたは異なるリージョンに配置できます。

プロジェクト内に VPC ネットワークを作成する。新しい VPC ネットワークを作成する代わりに共有 VPC を使用する場合は、セクション共有 VPC でのインスタンスの作成の手順に加えて、共有 VPC のこのセクションの残りの手順を完了します。
Looker（Google Cloud コア）への限定公開サービスアクセス接続用に VPC に IPv4 IP 範囲（CIDR ブロック）を割り当てます。

範囲を割り振る前に、制約を考慮してください。
IP アドレス範囲のサイズを設定する場合は、最小サイズが /22 ブロックであることに注意してください。
Looker（Google Cloud コア）は、RFC 1918 内のすべての IPv4 範囲をサポートしています。RFC 1918 では、内部で（つまり、組織内で）使用するために割り振られる IP アドレスが指定され、インターネット上ではルーティングされません。具体的には、次のとおりです。

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

クラス E の IPv4 範囲（240.0.0.0/4）は、RFC 5735 と RFC 1112 に記載されているとおり、将来の使用のために予約されており、Looker（Google Cloud コア）ではサポートされていません。

プロキシ専用サブネット

/22

/26

プライベートサービスアクセス接続を VPC ネットワークに追加します。[**割り当て**] 用に前の手順で割り当てた IP 範囲を使用します。
VPC ネットワークが作成されたら、プロジェクトの [Looker インスタンスを作成する] ページに戻ります。 Google Cloud VPC ネットワークが認識されるように、ページの更新が必要になる場合があります。

これらの手順を完了したら、Looker（Google Cloud コア）インスタンスを作成するドキュメントページの始める前にセクションから始まる手順に沿って、インスタンスの作成を開始できます。

同じ VPC 内の複数のプライベート接続インスタンス

複数のプライベート接続 Looker（Google Cloud コア）インスタンスが同じリージョンと同じ VPC に配置されていて、リージョンで最初に作成された Looker（Google Cloud コア）インスタンスを削除する場合、プロキシ専用サブネットは、残りのインスタンスでまだ使用されているため、解放されません。削除されたインスタンスに使用したものと同じアドレス範囲（プロキシ専用サブネットの IP アドレス範囲を含む）を使用する新しいプライベート接続（PSA）Looker（Google Cloud コア）インスタンスを作成しようとすると、インスタンスの作成が失敗し、「IP 範囲が不足しています」というエラーが表示されます。IP 範囲が使用されているかどうかを確認するには、サービスネットワーキングの VPC ピアリングを確認し、インポートルートを確認して、目的の IP 範囲を使用しているかどうかを確認します。

共有 VPC でインスタンスを作成する

共有 VPC 内に Looker（Google Cloud コア）インスタンスを作成する場合は、共有 VPC のホストプロジェクトで次の手順を完了します。

Google Cloud コンソールで、共有 VPC のホストプロジェクトでの Looker API を有効にします。API を有効にする際は、有効になっていることを確認するためにコンソールページの更新が必要になる場合があります。
API を有効にする
gcloud services identity create command を使用して、共有 VPC のホストプロジェクトにサービスアカウントを作成します。
```
gcloud beta services identity create --service=looker.googleapis.com \
--project=SHARED_HOST_PROJECT_ID
```
SHARED_HOST_PROJECT_ID は、共有 VPC のホストプロジェクトの ID に置き換えます。
共有 VPC のホストプロジェクトのサービスアカウントに、compute.globalAddresses.get IAM 権限を含む IAM ロールを付与します。次に、add-iam-policy-binding コマンドを実行します。
```
gcloud projects add-iam-policy-binding SHARED_HOST_PROJECT_ID \
    --member=serviceAccount:SA_EMAIL --role=ROLE_NAME
```
以下のように置き換えます。
- SHARED_HOST_PROJECT_ID: 共有 VPC のホストプロジェクトの ID。
- SA_EMAIL: 共有 VPC のホストプロジェクトで作成したサービスアカウントのメールアドレス。
- ROLE_NAME: compute.globalAddresses.get 権限を含むロールの名前。次のいずれかの形式で指定してください。
  - 事前定義ロール: roles/SERVICE.IDENTIFIER
  - プロジェクトレベルのカスタムロール: projects/PROJECT_ID/roles/IDENTIFIER
  - 組織レベルのカスタムロール: organizations/ORG_ID/roles/IDENTIFIER
  事前定義ロールのリストについては、ロールについてをご覧ください。

サービスアカウントを作成して IAM 権限を付与した後、サービスアカウントと権限が反映されるまで数分待ちます。

さらに、前のセクションの VPC ネットワークを作成して設定するの説明に従って、共有 VPC に IPv4 IP 範囲を割り当て、共有 VPC へのプライベートサービスアクセス接続を追加します。

プライベート接続インスタンスを作成する

Looker（Google Cloud コア）が新しいインスタンスを生成するには約 60 分かかります。

プライベート接続（PSA）インスタンスが必要な場合は、Google Cloud CLI または Terraform を使用する必要があります。また、インスタンスの作成時にプライベート接続（PSA）として構成する必要があります。インスタンスの作成後は、プライベート接続をインスタンスに追加したり、インスタンスから削除したりすることはできません。

Google Cloud CLI を使用してプライベート接続（PSA）インスタンスを作成する手順は次のとおりです。

CMEK を使用している場合は、Looker（Google Cloud コア）インスタンスを作成する前に、サービスアカウント、キーリング、鍵を作成する手順を行います。
gcloud looker instances create コマンドを使用して、インスタンスを作成します。
```
gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
--private-ip-enabled \
--consumer-network=CONSUMER_NETWORK --reserved-range=RESERVED_RANGE
[--no-public-ip-enabled]
[--public-ip-enabled]
```
以下のように置き換えます。
- INSTANCE_NAME: Looker（Google Cloud コア）インスタンスの名前。インスタンス URL には関連付けられていません。
- PROJECT_ID: Looker（Google Cloud コア）インスタンスを作成する Google Cloud プロジェクトの名前。
- OAUTH_CLIENT_ID と OAUTH_CLIENT_SECRET: OAuth クライアントを設定したときに作成した OAuth クライアント ID と OAuth シークレット。インスタンスが作成されたら、OAuth クライアントの [承認済みのリダイレクト URI] セクションにインスタンスの URL を入力します。
- REGION: Looker（Google Cloud コア）インスタンスがホストされるリージョン。サブスクリプション契約のリージョンと一致するリージョンを選択します。使用可能なリージョンは、Looker（Google Cloud コア）のロケーションドキュメントページに記載されています。
- EDITION: エディション、環境タイプ（本番環境または非本番環境）、インスタンスのトライアルエディションかどうか。プライベート接続（PSA）インスタンスの場合、core-enterprise-annual、core-embed-annual、nonprod-core-enterprise-annual、nonprod-core-embed-annual、core-trial-enterprise、core-trial-embed のいずれかになります。年間契約に記載されているエディションタイプと同じものを選択し、割り当てが割り振られていることを確認してください。インスタンスの作成後はエディションを変更できません。エディションを変更する場合は、インポートとエクスポートを使用して、Looker（Google Cloud コア）インスタンスデータを、別のエディションで構成される新しいインスタンスに移動します。
- CONSUMER_NETWORK: VPC ネットワークまたは共有 VPC ネットワーク（形式は projects/PROJECT_ID/global/networks/NETWORK_NAME）。プライベート接続（PSA）インスタンスを作成する場合は、設定する必要があります。
- RESERVED_RANGE: Google が Looker（Google Cloud コア）インスタンスのサブネットワークをプロビジョニングする VPC 内の IP アドレスの範囲。
次のフラグを含めることができます。
- --private-ip-enabled は、プライベート接続（PSA）を有効にします。プライベート接続（PSA）インスタンスを作成するには、これを含める必要があります。
- --public-ip-enabled は、パブリック IP を有効にします。
- --no-public-ip-enabled は、パブリック IP を無効にします。
- Looker（Google Cloud コア）インスタンスを作成する場合は、--async をおすすめします。
パラメータを追加して、他のインスタンス設定を適用できます。
```
  [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
          --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
  [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
          --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
          --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
  [--kms-key=KMS_KEY_ID]
  [--fips-enabled]
  [--catalog-integration-enabled]
```
以下のように置き換えます。
- MAINTENANCE_WINDOW_DAY：friday、monday、saturday、sunday、thursday、tuesday、wednesday のいずれかである必要があります。メンテナンスの時間枠の設定の詳細については、Looker（Google Cloud コア）のメンテナンスポリシーを管理するドキュメントページをご覧ください。
- MAINTENANCE_WINDOW_TIME と DENY_MAINTENANCE_PERIOD_TIME：24 時間形式の UTC 時間（例: 13:00、17:45）にする必要があります。
- DENY_MAINTENANCE_PERIOD_START_DATE と DENY_MAINTENANCE_PERIOD_END_DATE: YYYY-MM-DD 形式にする必要があります。
- KMS_KEY_ID: 顧客管理の暗号鍵（CMEK）の設定時に作成される鍵にする必要があります。
--fips-enabled フラグを指定して FIPS 140-2 レベル 1 コンプライアンスを有効にするか、--catalog-integration-enabled フラグを --no-catalog-integration-enabled フラグに置き換えて、 Looker（Google Cloud コア）と Knowledge Catalog の統合を無効にできます。

ヒント: インスタンスを作成するには、適切なエディションタイプの割り当てが必要です。割り当てがない場合は、セールスチームに連絡して、プロジェクトに割り当てを割り振ってください。

インスタンスの作成中は、コンソール内の [Instances] ページでステータスを確認できます。コンソールメニューの通知アイコンをクリックして、インスタンス作成アクティビティを確認することもできます。 Google Cloud

インスタンスの設定時にハイブリッド接続を選択した場合は、インスタンスのウェブ URL を使用してインバウンドアクセスを設定できます。カスタムドメインを設定した場合は、 Google Cloud コンソールの [インスタンス] ページまたはインスタンスの詳細ページの [カスタムドメイン] タブで URL を確認できます。IP 許可リストを設定して、特定の IP アドレスからのトラフィックにインバウンド接続を制限できます。

プライベート接続（PSA）のみのインスタンスを作成すると、URL は [won't] [インスタンス] ページに表示されません。プライベート接続（PSA）インスタンスへのアクセスを設定する方法については、次の作成後に限定公開サービスアクセスインスタンスにアクセスするをご覧ください。

作成後に限定公開サービスアクセスインスタンスにアクセスする

プライベート接続のみが有効になっているインスタンスを作成した場合、そのインスタンスの URL は受信されません。インスタンスにアクセスするには、インスタンスのカスタムドメインを構成し、そのカスタムドメインをインスタンスの OAuth 認証情報に追加する必要があります。カスタムドメインを作成してアクセスするには、プライベートサービスアクセスを使用して Looker（Google Cloud コア）インスタンスにアクセスするの手順に沿って操作してください。

ハイブリッドネットワーキング構成を使用するインスタンスを作成する場合は、パブリック接続を使用する Looker（Google Cloud コア）インスタンスのカスタムドメインを設定するの手順に沿って、カスタムドメインを作成してアクセスします。

次のステップ

ハイブリッド接続を使用している場合は、IP 許可リストを設定して、特定の IP アドレスへのインバウンドトラフィックを制限します。
ハイブリッド接続またはパブリック接続を使用している場合は、カスタムドメインを設定します。