最近、Looker(Google Cloud コア)は、グローバル アクセスとカスタム ドメインを使用した Google マネージド証明書を容易にする新しいタイプのサービス アタッチメント URI をリリースしました。
このページでは、既存の Private Service Connect エンドポイントまたはバックエンドを Looker(Google Cloud コア)の新しいサービス アタッチメント URI に移行する手順について説明します。
Looker(Google Cloud コア)インスタンスが拡張サービス アタッチメントの導入前に作成された場合、グローバル アクセスと Google マネージド証明書を使用するには、この移行が必要になる可能性があります。Looker(Google Cloud コア)バックエンドを確認して、インスタンスを移行する必要があるかどうかを判断します。
始める前に
このガイドでは、Private Service Connect を使用するプライベート IP 構成の Looker(Google Cloud コア)インスタンスがすでに存在することを前提としています。
インスタンスで使用されているサービス アタッチメントのタイプを特定するには、Looker 閲覧者(roles/looker.viewer)の Identity and Access Management(IAM)ロールが必要です。
Private Service Connect エンドポイントを作成または表示したり、エンドポイントの Cloud DNS を構成したりするために必要な IAM ロールを確認するには、Private Service Connect のエンドポイントまたはバックエンドのドキュメントをご覧ください。
サービス アタッチメントの URI を特定する
まず、インスタンスが使用しているサービス アタッチメントのタイプを特定する必要があります。
- Google Google Cloud コンソールで、Looker(Google Cloud コア)の [インスタンス] ページに移動します。
- インスタンスの名前をクリックして、[詳細] ページを開きます。
[インスタンスの詳細] セクションで、[Looker サービス アタッチメント URI] を探します。
- URI に
...looker-psc-gateway-HASHSTRINGが含まれていて、形式がprojects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRINGの場合は、新しい拡張サービス アタッチメントをすでに使用しているため、追加の操作は必要ありません。 - URI に
...looker-psc-HASHSTRINGが含まれており、形式がprojects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRINGの場合は、以前のバックエンドを使用しているため、移行する必要があります。
- URI に
移行手順
PSC エンドポイントを移行するには、新しいサービス アタッチメント URI を指す新しい Private Service Connect エンドポイントを作成し、新しいエンドポイントを使用するようにネットワーク構成を更新します。
新しいサービス アタッチメントの URI を取得する
Looker(Google Cloud コア)インスタンスが Gateway バックエンドを使用していない場合、新しいサービス アタッチメント URI は Google Cloud コンソールに表示されません。ただし、既存の URI の looker-psc を looker-psc-gateway に置き換えることで構築できます。
古い URI は次の例のようになります。
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed
この場合、新しい URI は次のようになります。
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed
Private Service Connect エンドポイント
既存の Private Service Connect エンドポイントを移行する手順は次のとおりです。
新しい Private Service Connect エンドポイントを作成する: Google Cloud コンソールの [許可された VPC] フィールドを確認して、既存のノースバウンド接続を特定します。許可される Virtual Private Cloud(VPC)ごとに、前のセクションで作成したサービス アタッチメント URI をターゲットとする新しい Private Service Connect エンドポイントを作成します。
*.private.looker.appドメインの限定公開 Cloud DNS ゾーンを作成します。新しいエンドポイントをテストする: エンドポイントを作成したら、Looker(Google Cloud コア)インスタンスへの接続を確認します。同じ VPC ネットワークにある VM から
curlコマンドを実行し、特定の*.private.looker.appドメイン(my-instance.private.looker.appなど)をターゲットにします。VPC ネットワーク内の VM から、次の
curlコマンドを実行します。curl -v https://your_looker_custom_domain.private.looker.app \ --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_address次のように置き換えます。
<your_looker_custom_domain.private.looker.app>: Looker インスタンスの実際のカスタム ドメイン。<psc_endpoint_ip_address>: VPC 内の PSC エンドポイントの内部 IP アドレス。
curlコマンドが200ステータス コードを返した場合、新しいエンドポイントは正しく機能しています。
Private Service Connect バックエンド
Looker(Google Cloud コア)の推奨構成では、Private Service Connect ネットワーク エンドポイント グループ(NEG)バックエンドを備えた内部アプリケーション ロードバランサを使用します。このアーキテクチャは、カスタム ドメインをサポートし、プライベート接続の TLS 終端を提供します。
既存の Private Service Connect NEG を拡張サービス アタッチメントで作成された NEG に移行するには、まず、拡張サービス アタッチメントをターゲットとする 新しい Private Service Connect NEG を作成する必要があります。NEG が作成されたら、ロードバランサの構成を次のように更新します。
- Google Cloud コンソールで、[ロード バランシング] ページに移動します。
- ロードバランサの名前をクリックして、[編集] をクリックします。
- [バックエンドの構成] に移動し、Looker(Google Cloud コア)インスタンスに関連付けられているバックエンド サービスを選択します。
- [バックエンド サービスを編集] をクリックします。
- [バックエンド] セクションで、プルダウン メニューから新しい拡張 Private Service Connect NEG を選択して、既存の Private Service Connect NEG を置き換えます。
- [完了] をクリックします
- [更新] をクリックします。
新しいエンドポイントをテストする
行った内部アプリケーション ロードバランサの更新は、拡張サービス アタッチメントのバックエンド サービスを対象としていました。そのため、IP アドレス、Cloud DNS、証明書などのフロントエンド構成は変更されません。ユーザーは、ブラウザを使用して Looker(Google Cloud コア)インスタンスにアクセスすることで、設定を検証できるようになりました。
次のステップ
インスタンスの Private Service Connect エンドポイントを移行すると、次の新機能を利用できます。
- グローバル アクセス: Looker(Google Cloud コア)インスタンスの場所に関係なく、任意のリージョンに PSC エンドポイントを作成します。
- Google マネージド証明書: カスタム ドメインに
*.private.looker.appドメインを使用し、SSL 証明書の管理を Google に任せます。