Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Looker（Google Cloud コア）で Private Service Connect を使用する

Private Service Connect を使用して、プライベート接続の Looker（Google Cloud コア）インスタンスにアクセスしたり、プライベート接続の Looker（Google Cloud コア）インスタンスを他の内部サービスまたは外部サービスに接続したりできます。Private Service Connect を使用するには、Looker（Google Cloud コア）インスタンスが次の条件を満たしている必要があります。

インスタンスのエディションは、Enterprise（core-enterprise-annual）または Embed（core-embed-annual）にする必要がある。
Private Service Connect は、インスタンスの作成時に有効にする必要がある。

Private Service Connect を使用すると、インバウンドアクセスを使用して Looker（Google Cloud コア）へのエンドポイントまたはバックエンドが可能になります。ネットワークエンドポイントグループ（NEG）は、Private Service Connect サービスプロデューサーとして公開されると、Looker（Google Cloud コア）がアウトバウンドのオンプレミスリソース、マルチクラウド環境、VPC ワークロード、またはインターネットサービスにアクセスできるようにします。

Private Service Connect の詳細については、動画「Private Service Connect とは」と「Private Service Connect と Service Directory: クラウドでアプリケーションを接続する革新的な方法」をご覧ください。

サービスの接続

Private Service Connect を使用するように有効になっている Looker（Google Cloud コア）インスタンスを作成すると、Looker（Google Cloud コア）はインスタンスのサービスアタッチメントを自動的に作成します。サービスアタッチメントは、VPC ネットワークがインスタンスへのアクセスに使用するアタッチメントポイントです。サービスアタッチメントには、接続に使用される URI があります。この URI は、 Google Cloud コンソールのインスタンス構成ページの[**詳細**]タブで確認できます。

次に、別の VPC ネットワークがサービスアタッチメントに接続するために使用する Private Service Connect バックエンドを作成します。これにより、ネットワークが Looker（Google Cloud コア）インスタンスにアクセスできるようになります。

サービスアタッチメントの更新

グローバルアクセスや Google マネージド証明書などの新機能を有効にするには、インスタンスのインバウンド Private Service Connect エンドポイントまたはバックエンドが、更新されたサービスアタッチメントを指している必要があります。詳細と手順については、Private Service Connect 接続を新しいサービスアタッチメント URI に移行するのドキュメントページをご覧ください。

グローバルアクセスの使用

更新された Private Service Connect サービスアタッチメント URI を使用する Looker（Google Cloud コア）インスタンスは、グローバルアクセスをサポートしています。グローバルアクセスを使用すると、Looker（Google Cloud コア）インスタンスとは異なるリージョンに Private Service Connect エンドポイントを作成できます。たとえば、インスタンスが us-central1 にある場合は、us-west1 に Private Service Connect ネットワークエンドポイントグループ（NEG）を使用してロードバランサを作成し、インスタンスにアクセスできます。

この機能を有効にするには、Private Service Connect バックエンドまたはエンドポイントの転送ルールで [グローバルアクセスを有効にする] を選択します。

インバウンドアクセス

インバウンド アクセスは、クライアントから Looker（Google Cloud コア）へのルーティングの構成に関するものです。Private Service Connect でデプロイされた Looker（Google Cloud コア）は、インバウンドアクセスのバックエンド接続をサポートしています。

Private Service Connect を使用すると、トラフィックをエンドポイントとバックエンドに送信して、Looker（Google Cloud コア）に転送できます。

Looker（Google Cloud コア）の Private Service Connect インスタンスには、サービスユーザーが外部リージョンアプリケーションロードバランサを介してアクセスできます。また、Private Service Connect バックエンド経由で非公開でアクセスすることもできます。ただし、Looker（Google Cloud コア）は 1 つのカスタムドメインをサポートしているため、Looker（Google Cloud コア）インスタンスへのインバウンドアクセスは、パブリックまたはプライベートのいずれかである必要があります。パブリックとプライベートの両方にはできません。

バックエンド

バックエンドは、ネットワークエンドポイントグループ（NEG）を使用してデプロイされます。これにより、ユーザーはトラフィックが Private Service Connect サービスに到達する前に、パブリックトラフィックとプライベートトラフィックをロードバランサに転送できます。また、証明書の終了も提供されます。ロードバランサを使用すると、バックエンドで次のオプションを使用できます。

可観測性（すべての接続がログに記録される）
Cloud Armor の統合
URL のプライベートラベル付けとクライアントサイドの証明書
リクエストのデコレーション（カスタムリクエストヘッダーの追加）

カスタムドメインで Google マネージド証明書を使用する

*.private.looker.app 形式を使用するカスタムドメインに Google マネージド証明書を使用できるようになりました。これを行うには、カスタムドメイン（my-instance.private.looker.app など）が PSC エンドポイントの IP アドレスを指すようにプライベート DNS を構成します。

*.private.looker.app ドメインの証明書は Google によって管理されるため、独自の証明書を作成または管理する必要はありません。

他のカスタムドメインを引き続き使用できますが、独自の証明書を管理して提供する必要があります。詳細については、Google マネージド証明書でカスタムドメインを使用するのドキュメントページをご覧ください。

アウトバウンドサービスにアクセスする

Looker（Google Cloud コア）は、VPC、マルチクラウドネットワーク、またはインターネット内の他のサービスとの通信を確立するときに、サービスユーザーとして機能します。Looker（Google Cloud コア）からこれらのサービスに接続することは、アウトバウンドトラフィックと見なされます。

使用可能なポート 443 または 8443 で標準ウェブプロトコル HTTPS を使用する外部サービスに接続する場合は、Looker（Google Cloud コア）の制御されたネイティブ下り（外向き）と [**グローバル FQDN**] 設定を使用して接続を設定できます。ただし、外部サービスが異なるプロトコルを使用している場合は、Private Service Connect を使用してその外部サービスを公開して、ローカル FQDN を使用して Looker（Google Cloud コア）インスタンスに接続できるようにする必要があります。

公開サービスに接続する手順は次のとおりです。

サービスが公開されていることを確認します。一部のサービスでは、この処理が自動的に行われます。たとえば、Cloud SQL では、Private Service Connect を有効にしてインスタンスを作成できます。 Google Cloud それ以外の場合は、Private Service Connect を使用してサービスを公開する手順に沿って操作し、Looker（Google Cloud コア）の手順の追加ガイダンスを参照してください。
Looker（Google Cloud コア）からサービスへのアウトバウンド（下り）接続を指定します。

Private Service Connect でサービスにアクセスする場合は、ハイブリッド接続 NEG またはインターネット NEG を使用できます。

Private Service Connect は、ロードバランサとハイブリッド NEG またはインターネット NEG を介して Looker（Google Cloud コア）をサービスに接続します。

ハイブリッド接続性 NEG は、オンプレミスエンドポイントやマルチクラウドエンドポイントなどのプライベートエンドポイントへのアクセスを提供します。ハイブリッド接続性 NEG は、ロードバランサのバックエンドとして構成された IP アドレスとポートの組み合わせです。Cloud Router と同じ VPC 内にデプロイされます。このデプロイにより、VPC 内のサービスは、Cloud VPN や Cloud Interconnect などのハイブリッド接続を介してルーティング可能なエンドポイントに到達できます。
インターネット NEG は、パブリックエンドポイント（GitHub エンドポイントなど）へのアクセスを提供します。インターネット NEG は、ロードバランサの外部バックエンドを指定します。インターネット NEG で参照されるこの外部バックエンドには、インターネット経由でアクセスできます。

Looker（Google Cloud コア）から任意のリージョンのサービスプロデューサーへのアウトバウンド接続を確立できます。たとえば、us-west1 と us-east4 リージョンに Cloud SQL Private Service Connect インスタンスがある場合は、us-central1 にデプロイされた Looker（Google Cloud コア）Private Service Connect インスタンスからアウトバウンド接続を作成できます。

一意のドメイン名を持つ 2 つのリージョンサービスアタッチメントは、次のように指定されます。--region フラグは Looker（Google Cloud コア）Private Service Connect インスタンスのリージョンを参照しますが、Cloud SQL インスタンスのリージョンはサービスアタッチメント URI に含まれています。

gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \
--psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1

Google マネージドサービス以外のアウトバウンドアクセスでは、リージョン間通信を許可するために、プロデューサーロードバランサでグローバルアクセスを有効にする必要があります。

Looker（Google Cloud コア）で Private Service Connect を使用する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

サービスの接続

サービス アタッチメントの更新

グローバル アクセスの使用

インバウンド アクセス