最近、Looker(Google Cloud コア)は、グローバル アクセスとカスタム ドメインでの Google マネージド証明書を容易にする新しいタイプのサービス アタッチメント URI をリリースしました。
このページでは、既存の Private Service Connect エンドポイントまたはバックエンドを Looker(Google Cloud コア)の新しいサービス アタッチメント URI に移行する手順について説明します。
拡張サービス アタッチメントが導入される前に Looker(Google Cloud コア)インスタンスが作成された場合、グローバル アクセスと Google マネージド証明書を使用するには、インスタンスを移行する必要があります。Looker(Google Cloud コア)のバックエンドを確認して、インスタンスを移行する必要があるかどうかを判断してください。
始める前に
このガイドでは、Private Service Connect を使用するプライベート IP 構成の既存の Looker(Google Cloud コア)インスタンスがあることを前提としています。
インスタンスで使用されているサービス アタッチメントのタイプを特定するには、Looker 閲覧者(roles/looker.viewer)Identity and Access Management(IAM)ロールが必要です。
Private Service Connect ドキュメントで、エンドポイントまたはバックエンドを確認し、Private Service Connect エンドポイントを作成または表示するために必要な IAM ロール、またはエンドポイントの Cloud DNS を構成するために必要な IAM ロールを判断してください。
サービス アタッチメントの URI を特定する
まず、インスタンスで使用されているサービス アタッチメントのタイプを特定する必要があります。
- Google Google Cloud コンソールで、Looker(Google Cloud コア)の [インスタンス] ページに移動します。
- インスタンスの名前をクリックして、[詳細] ページを開きます。
[インスタンスの詳細] セクションで、[Looker サービス アタッチメント URI] を探します。
- URI に
...looker-psc-gateway-HASHSTRINGが含まれており、形式がprojects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-gateway-HASHSTRINGの場合は、新しい拡張サービス アタッチメントをすでに使用しているため、これ以上の操作は必要ありません。 - URI に
...looker-psc-HASHSTRINGが含まれており、形式がprojects/TENANT_PROJECT/regions/REGION/serviceAttachments/looker-psc-HASHSTRINGの場合は、レガシー バックエンドを使用しているため、移行する必要があります。
- URI に
移行手順
PSC エンドポイントを移行するには、新しいサービス アタッチメント URI を指す新しい Private Service Connect エンドポイントを作成し、新しいエンドポイントを使用するようにネットワーク構成を更新します。
新しいサービス アタッチメントの URI を取得する
Looker(Google Cloud コア)インスタンスが Gateway バックエンドを使用していない場合、新しいサービス アタッチメント URI は Google Cloud コンソールに表示されません。ただし、既存の URI で looker-psc を looker-psc-gateway に置き換えることで、URI を作成できます。
古い URI は次の例のようになります。
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-2a94bb22-9b8a-4b62-9262-2337a47d15ed
この場合、新しい URI は次のようになります。
projects/t4dd1c6219b22b382p-tp/regions/us-central1/serviceAttachments/looker-psc-gateway-2a94bb22-9b8a-4b62-9262-2337a47d15ed
Private Service Connect エンドポイント
既存の Private Service Connect エンドポイントを移行する手順は次のとおりです。
新しい Private Service Connect エンドポイントを作成する: コンソールで [許可された VPC] フィールドを確認して、既存のノースバウンド接続を特定します。 Google Cloud 許可されている Virtual Private Cloud(VPC)ごとに、前のセクションで作成したサービス アタッチメント URI をターゲットとする新しい Private Service Connect エンドポイントを作成します。
プライベート Cloud DNS ゾーンを
*.private.looker.appドメイン用に作成します。新しいエンドポイントをテストする: エンドポイントを作成したら、Looker(Google Cloud コア)インスタンスへの接続を確認します。同じ VPC ネットワーク内の VM から、特定の
*.private.looker.appドメイン(my-instance.private.looker.appなど)をターゲットとするcurlコマンドを実行します。VPC ネットワーク内の VM から、次の
curlコマンドを実行します。curl -v https://your_looker_custom_domain.private.looker.app \ --resolve your_looker_custom_domain.private.looker.app:443:psc_endpoint_ip_address次のように置き換えます。
<your_looker_custom_domain.private.looker.app>: Looker インスタンスの実際のカスタム ドメイン。<psc_endpoint_ip_address>: VPC 内の PSC エンドポイントの内部 IP アドレス。
curlコマンドが200ステータス コードを返した場合、新しいエンドポイントは正しく機能しています。
Private Service Connect バックエンド
Looker(Google Cloud コア)の推奨構成では、Private Service Connect ネットワーク エンドポイント グループ(NEG)バックエンドを備えた内部アプリケーション ロードバランサを使用します。このアーキテクチャはカスタム ドメインをサポートし、プライベート接続の TLS 終端を提供します。
既存の Private Service Connect NEG を拡張サービス アタッチメントで作成された NEG に移行するには、まず拡張サービス アタッチメントをターゲットとする新しい Private Service Connect NEG を作成する必要があります。NEG が作成されたら、次のようにロードバランサの構成を更新します。
- コンソールで、[ロード バランシング] ページに移動します。 Google Cloud
- ロードバランサの名前をクリックして、[編集] をクリックします。
- [バックエンド構成] に移動し、Looker(Google Cloud コア)インスタンスに関連付けられているバックエンド サービスを選択します。
- [バックエンド サービスを編集] をクリックします。
- [バックエンド] セクションで、プルダウン メニューから新しい拡張 Private Service Connect NEG を選択して、既存の Private Service Connect NEG を置き換えます。
- [完了] をクリックします。
- [更新] をクリックします。
新しいエンドポイントをテストする
行った内部アプリケーション ロードバランサの更新は、拡張サービス アタッチメントのバックエンド サービスを対象としていました。そのため、IP アドレス、Cloud DNS、証明書などのフロントエンド構成は変更されません。ユーザーは、ブラウザを使用して Looker(Google Cloud コア)インスタンスにアクセスすることで、設定を検証できます。
次のステップ
インスタンスの Private Service Connect エンドポイントを移行すると、次の新機能を利用できます。
- グローバル アクセス: Looker(Google Cloud コア)インスタンスの場所に関係なく、任意のリージョンに PSC エンドポイントを作成します。
- Google マネージド証明書: カスタム ドメインに
*.private.looker.appドメインを使用し、SSL 証明書の管理を Google に任せます。