Private Service Connect を使用した Looker(Google Cloud コア)インスタンスへのパブリック インバウンド アクセス

このドキュメント ページでは、Private Service Connect を使用して、クライアントから Looker(Google Cloud コア)へのルーティング(内向きトラフィックとも呼ばれます)を構成する方法について説明します。

Private Service Connect を使用すると、コンシューマーは VPC ネットワーク内から、ハイブリッド ネットワーキング経由で、または外部リージョン アプリケーション ロードバランサを使用してデプロイされた場合は一般公開で、マネージド サービスにプライベート接続でアクセスできます。マネージド サービス プロデューサーがこれらのサービスを個別の VPC ネットワークにホストし、コンシューマーとのプライベート接続またはパブリック接続を提供できるようにします。

Private Service Connect を使用して Looker(Google Cloud コア)にアクセスする場合、ユーザーがサービス コンシューマーで、Looker(Google Cloud コア)がサービス プロデューサーです。Looker(Google Cloud コア)への内向きアクセスには、コンシューマー VPC を Looker(Google Cloud コア)Private Service Connect インスタンスの許可された VPC として追加する必要があります。

このドキュメントでは、カスタム ドメインの設定と構成について説明します。また、証明書を使用してプライベートまたはパブリック接続を行うために、Private Service Connect バックエンドを使用して Looker(Google Cloud コア)にアクセスする方法についても説明します。

Looker(Google Cloud コア)にアクセスする場合、バックエンドを備えたアプリケーション ロードバランサを使用することをおすすめします。この設定では、カスタム ドメイン証明書の認証も可能になり、ユーザー アクセスのセキュリティと制御が強化されます。

カスタム ドメインを作成する

Looker(Google Cloud コア)インスタンスを作成したら、まずカスタム ドメインを設定し、インスタンスの OAuth 認証情報を更新します。次のセクションでは、その手順について説明します。

プライベート接続(Private Service Connect)インスタンスのカスタム ドメインを作成する場合は、カスタム ドメインが次の要件を満たしている必要があります。

  • カスタム ドメインは、少なくとも 1 つのサブドメインを含む 3 つ以上の部分で構成されている必要があります。例: subdomain.domain.com
  • カスタム ドメインに次のいずれも含まれていないこと。
    • looker.com
    • google.com
    • googleapis.com
    • gcr.io
    • pkg.dev

カスタム ドメインを設定する

Looker(Google Cloud コア)インスタンスを作成したら、カスタム ドメインを設定できます。

始める前に

Looker(Google Cloud コア)インスタンスのドメインをカスタマイズする前に、ドメインの DNS レコードが保存されている場所を特定して、これを更新できるようにします。

必要なロール

Looker(Google Cloud コア)インスタンスのカスタム ドメインを作成するために必要な権限を取得するには、インスタンスが存在するプロジェクトに対するLooker 管理者 roles/looker.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

カスタム ドメインを作成する

Google Cloud コンソールで、次の手順に沿って Looker(Google Cloud コア)インスタンスのドメインをカスタマイズします。

  1. [インスタンス] ページで、カスタム ドメインを設定するインスタンスの名前をクリックします。
  2. [カスタム ドメイン] タブをクリックします。

  3. [カスタム ドメインを追加] をクリックします。

    [新しいカスタム ドメインの追加] パネルが開きます。

  4. 文字、数字、ダッシュのみを使用して、使用するウェブドメインのホスト名を最大 64 文字(例: looker.examplepetstore.com)で入力します。

  5. [続行] ボタンをクリックします。

  6. [DNS レコードを更新] セクションが開きます。上り(内向き)パブリック IP が [データ] フィールドに表示されます。

  7. [新しいカスタム ドメインの追加] パネルで [完了] をクリックして、[カスタム ドメイン] タブに戻ります。

カスタム ドメインの更新が完了するまで 10 ~ 15 分かかります。

カスタム ドメインを設定すると、コンソールの Looker(Google Cloud コア)インスタンスの詳細ページの [カスタム ドメイン] タブの [ドメイン] 列に表示されます。 Google Cloud

カスタム ドメインが作成されると、その情報を表示したり、削除したりできます。

OAuth 認証情報を更新する

  1. コンソールで Google Cloud [API とサービス] > [認証情報] に移動し、Looker(Google Cloud コア)インスタンスで使用されている OAuth クライアントの OAuth クライアント ID を選択して、OAuth クライアントにアクセスします。

  2. [URI を追加] ボタンをクリックして、OAuth クライアントの [承認済みの JavaScript 生成元] フィールドを更新し、組織が Looker(Google Cloud コア)へのアクセスに使用する DNS 名と同じ DNS 名を含めます。たとえば、カスタム ドメインが looker.examplepetstore.com の場合は、URI として「looker.examplepetstore.com」を入力します。

  3. カスタム ドメインを更新または追加して、Looker(Google Cloud コア)インスタンスを作成するときに使用した OAuth 認証情報の [承認済みリダイレクト URI] のリストに追加します。URI の末尾に /oauth2callback を追加します。たとえば、カスタム ドメインが looker.examplepetstore.com の場合は、「looker.examplepetstore.com/oauth2callback」と入力します。

Looker(Google Cloud コア)への一般公開

カスタム ドメインを設定したら、次のステップとして、DNS 認証を使用して自己署名証明書または Google マネージド証明書を作成します。証明書を作成したら、Private Service Connect バックエンドをバックエンド サービスとして使用して、外部リージョン アプリケーション ロードバランサをデプロイできます。ロードバランサをデプロイしたら、顧客ドメインとロードバランサの IP アドレスを A レコードとして使用して、一般公開 DNS を更新できます。

必要なロール

ロール

説明

Compute ネットワーク管理者 (roles/compute.networkAdmin)

HTTPS ターゲット プロキシの作成と管理など、Looker(Google Cloud コア)インスタンスへの接続を開始する VPC ネットワークを完全に制御できる権限を付与します。

Compute ロードバランサ管理者のロール (roles/compute.loadBalancerAdmin)

Private Service Connect バックエンドを作成します。

Looker 管理者 (roles/looker.admin)

Private Service Connect が有効なインスタンスの作成やカスタム ドメインの作成など、Looker(Google Cloud コア)リソースに対する完全な制御権を付与します。

DNS 管理者 (roles/dns.admin)(省略可)

DNS ゾーンやレコードなど、Cloud DNS リソースに対する完全な制御権を付与します。

Certificate Manager オーナー (roles/certificatemanager.owner)(省略可)

Certificate Manager リソースの作成と管理に必要です。

ネットワーク設定

次のネットワーク コンポーネントが必要です。

Private Service Connect でデプロイされた Looker(Google Cloud コア)は、ロードバランサと統合された Private Service Connect ネットワーク エンドポイント グループ(NEG)(バックエンドとも呼ばれます)をサポートしています。 Google Cloud バックエンドを使用して、Private Service Connect が有効な Looker(Google Cloud コア)インスタンスに一般公開でアクセスする方法については、Looker PSC Northbound Regional External L7 ALB Codelab をご覧ください。

一般公開アクセス用の Private Service Connect バックエンド ネットワーク設定の例を次の図に示します。

バックエンドを使用してオンプレミスから Looker(Google Cloud コア)インスタンスにアクセスするためのネットワーク アーキテクチャ。

図に示すように、一般公開クライアントは、Looker(Google Cloud コア)の顧客ドメインを指定して DNS ルックアップを実行することで、Looker(Google Cloud コア)にアクセスします。この DNS ルックアップは、外部リージョン アプリケーション ロードバランサの IP アドレスを A レコードとして返します。ロードバランサがトラフィックを受信すると、バックエンド サービス(Private Service Connect バックエンドで構成される)は、Looker(Google Cloud コア)をホストする Google マネージド プロデューサー VPC のサービス アタッチメントに接続します。コンシューマー VPC ネットワークが Looker(Google Cloud コア)インスタンスへの 内向きを許可されていることを確認してください。

次のステップ