このページは Cloud Translation API によって翻訳されました。

Looker（Google Cloud コア）で Google マネージド証明書を使用してカスタムドメインを使用する

このページでは、Google マネージド証明書を使用して、Looker（Google Cloud コア）プライベート接続インスタンスのカスタムドメインを構成する方法について説明します。この簡素化された方法では、独自の SSL 証明書を取得、アップロード、管理したり、TLS 終端用のリバースプロキシを構成したりする必要がなくなります。

概要

Looker（Google Cloud コア）Private Service Connect インスタンスで、*.private.looker.app（my-instance.private.looker.app など）のカスタムドメインを使用できるようになりました。このドメインは Google マネージド証明書で保護されています。つまり、証明書のプロビジョニングと更新のプロセスは Google が処理します。

プライベート DNS（オンプレミスまたは Google Cloud内）を構成し、Private Service Connect エンドポイントを使用して、指定されたドメインの A レコードの値として PSC エンドポイントの IP アドレスを設定する必要があります。

この機能には、次の利点があります。

証明書管理の簡素化: 独自の SSL 証明書を取得、アップロード、管理する必要がなくなります。
証明書の自動更新: Google が証明書の更新を自動的に処理するため、手動で介入しなくてもセキュリティが継続的に確保されます。
構成の複雑さの軽減: 内部アプリケーションロードバランサ（HTTPS）、Private Service Connect ネットワークエンドポイントグループ（NEG）、TLS 終端用の証明書を構成する必要がありません。

始める前に

インスタンスで Private Service Connect を使用している場合は、Looker（Google Cloud コア）インスタンスがインバウンド接続に新しいサービスアタッチメント URI を使用していることを確認してください。不明な場合は、Private Service Connect 接続を新しいサービスアタッチメント URI に移行するをご覧ください。

Looker（Google Cloud コア）インスタンスのドメインをカスタマイズする前に、ドメインの DNS レコードが保存されている場所を特定して、これを更新できるようにします。

必要なロール

Looker（Google Cloud コア）インスタンスのカスタムドメインを作成するために必要な権限を取得するには、インスタンスが存在するプロジェクトに対する Looker 管理者（roles/looker.admin）IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

カスタムドメインを作成する

Google Cloud コンソールで、次の手順に沿って Looker（Google Cloud コア）インスタンスのドメインをカスタマイズします。

[インスタンス] ページで、カスタムドメインを設定するインスタンスの名前をクリックします。
[カスタムドメイン] タブをクリックします。
[カスタムドメインを追加] をクリックして、[新しいカスタムドメインの追加] パネルを開きます。
*.private.looker.app にカスタムドメインを入力します。例: my-instance.private.looker.app
[新しいカスタムドメインの追加] パネルで [完了] をクリックして、[カスタムドメイン] タブに戻ります。

カスタムドメインの更新が完了するまで 10 ～ 15 分かかります。

カスタムドメインを設定すると、 Google Cloud コンソールの Looker（Google Cloud コア）インスタンスの詳細ページの [カスタムドメイン] タブの [ドメイン] 列にカスタムドメインが表示されます。

カスタムドメインが作成されると、その情報を表示したり、削除したりできます。

OAuth 認証情報を更新する

Looker（Google Cloud コア）インスタンスの認証情報を作成するために、任意の OAuth クライアントを使用できます。たとえば、以下の手順では、 Google Cloud コンソールを使用して認証情報を更新する方法を説明します。別のクライアントを使用している場合は、それに応じて手順を調整してください。

Google Cloud コンソールで [API とサービス] > [認証情報] に移動し、Looker（Google Cloud コア）インスタンスで使用されている OAuth クライアントの OAuth クライアント ID を選択して、OAuth クライアントにアクセスします。
[URI を追加] ボタンをクリックして、OAuth クライアントの [承認済みの JavaScript 生成元] フィールドを更新し、組織が Looker（Google Cloud コア）へのアクセスに使用する DNS 名を含めます。たとえば、カスタムドメインが my-instance.private.looker.app の場合は、URI として「my-instance.private.looker.app」を入力します。
Looker（Google Cloud コア）インスタンスを作成するときに使用した OAuth 認証情報の承認済みリダイレクト URI のリストに、カスタムドメインを更新または追加します。URI の末尾に /oauth2callback を追加します。たとえば、カスタムドメインが my-instance.private.looker.app の場合は、「my-instance.private.looker.app/oauth2callback」と入力します。

DNS 構成の手順

DNS を構成する手順は次のとおりです。

限定公開 DNS を構成する: 限定公開 DNS ソリューションを実装します。これは、オンプレミスまたは Google Cloud 内にデプロイできます（たとえば、Cloud DNS を使用）。
Private Service Connect エンドポイントを使用する: Looker（Google Cloud コア）に接続する Private Service Connect エンドポイントがプロビジョニングされていることを確認します。
A レコードを作成する: プライベート DNS ゾーンで、*.private.looker.app（my-instance.private.looker.app など）のカスタムドメインを Private Service Connect エンドポイントの IP アドレスにマッピングする A レコードを作成します。

カスタムドメインを Private Service Connect エンドポイントの IP アドレスに解決するようにプライベート DNS を構成すると、そのカスタムドメインを使用して Looker（Google Cloud コア）インスタンスに安全にアクセスできるようになり、TLS 終端のネイティブサポートが有効になります。

他のカスタムドメインを使用する

*.private.looker.app 以外のカスタムドメインを使用できます。ただし、これらのカスタムドメインについては、次の構成を手動で指定する必要があります。

証明書のプロビジョニング: 独自の証明書を指定する必要があります。これらは、セルフマネージド（自己署名）証明書または Google マネージド証明書にできます。
インフラストラクチャのデプロイ: HTTPS アプリケーションロードバランサ（内部または外部）をデプロイします。このロードバランサは、Private Service Connect NEG をバックエンドサービスとして使用し、証明書をフロントエンドに適用する必要があります。
DNS 構成: カスタムドメインを A レコードを介してアプリケーションロードバランサの IP アドレスにマッピングするように、必要な DNS レコード（プライベート DNS またはパブリック DNS）を構成します。

Looker（Google Cloud コア）で Google マネージド証明書を使用してカスタム ドメインを使用する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

概要