Looker（Google Cloud コア）Private Service Connect インスタンスを作成する

Console

1. Google Cloud コンソールでプロジェクトから Looker（Google Cloud コア）プロダクト ページに移動します。このプロジェクト内に Looker（Google Cloud コア）インスタンスがすでに作成されている場合は、[インスタンス] ページが開きます。

   Looker（Google Cloud コア）に移動

2. [インスタンスを作成] をクリックします。
3. [インスタンス名] セクションで、Looker（Google Cloud コア）インスタンスの名前を入力します。インスタンス名は、作成後に Looker（Google Cloud コア）インスタンスの URL には関連付けられません。インスタンス名は、インスタンスの作成後は変更できません。
4. [OAuth アプリケーション認証情報] セクションで、OAuth クライアントを設定する際に作成した OAuth クライアント ID と OAuth シークレットを入力します。

5. [リージョン] セクションで、プルダウン メニューから適切なオプションを選択して、Looker（Google Cloud コア）インスタンスをホストします。サブスクリプション契約のリージョンと一致するリージョンを選択します。これはプロジェクトの割り当てで割り当てられているリージョンです、使用可能なリージョンは、Looker（Google Cloud コア）のロケーション ドキュメント ページに記載されています。

   インスタンスの作成後にリージョンを変更することはできません。

6. [エディション] セクションで、Enterprise または Embed（本番環境または非本番環境）エディション オプションを選択します。エディション タイプは、インスタンスで使用可能な機能の一部に影響します。年間契約に記載されているエディション タイプと同じエディション タイプを選択し、そのエディション タイプに割り当てが割り当てられていることを確認してください。

   • Enterprise: 高度な BI 機能を備えた Looker（Google Cloud コア）プラットフォーム。BI と分析のさまざまなユースケースに対処できます。
   • Embed: 信頼性の高い外部分析やカスタム アプリケーションを大規模にデプロイして維持するための Looker（Google Cloud コア）プラットフォーム
   • 非本番環境エディション: ステージング環境とテスト環境が必要な場合は、非本番環境エディションのいずれかを選択します。詳細については、非本番環境インスタンスのドキュメントをご覧ください。
   • トライアル エディション: トライアル エディションは、対応する本番環境エディションと同じ機能サポートを備えていますが、トライアル エディションの有効期間は 90 日間です。

   インスタンスの作成後はエディションを変更できません。エディションを変更する場合は、インポートとエクスポートを使用して、Looker（Google Cloud コア）インスタンス データを、別のエディションで構成される新しいインスタンスに移動します。

7. [インスタンスのカスタマイズ] セクションで [構成オプションを表示] をクリックし、インスタンスに合わせたカスタマイズが可能な追加設定のグループを表示します。

8. [接続] セクションの [インスタンス IP 割り当て] で、[ハイブリッド接続を使用する] または [プライベート接続を使用する] を選択します。選択したネットワーク接続の種類は、インスタンスで使用可能な Looker 機能に影響します。次のネットワーク接続オプションを使用できます。

   • 一般公開の安全な接続を使用する: Looker には一般公開 URL があり、アウトバウンド接続ではパブリック ネットワークを使用します。

   • ハイブリッド接続を使用する: Looker にはパブリック URL があり、アウトバウンド接続には PSC エンドポイントを使用します。

   • プライベート接続を使用する: 上り（内向き）用に、Virtual Private Cloud（VPC）でアクセス可能な内部の顧客定義 IP アドレスを割り当てます。VPC とオンプレミスまたはマルチクラウドのワークロードと通信するには、下り（外向き）トラフィックのサービス アタッチメントをデプロイする必要があります。VPC Service Controls を使用する場合は、[プライベート接続を使用する] を選択する必要があります。

9. プライベート接続のみを使用するインスタンスを作成する場合は、インスタンスへのインバウンド接続が許可される VPC を 1 つ以上設定します。[インバウンド接続を構成する] の [プロジェクト 1] フィールドで、このネットワークが作成されたプロジェクトを選択します。

   インバウンド接続を追加するには、[項目を追加] をクリックして、各 VPC を追加します。[プロジェクト X] フィールドで、ネットワークが作成されたプロジェクトを選択します。[ネットワーク] プルダウン メニューで、ネットワークを選択します。

   [接続] セクションで [ハイブリッド接続を使用する] を選択すると、[インバウンド接続を構成する] セクションは表示されません。インスタンスのウェブ URL を使用して、インスタンスへのアクセスを設定できます。

10. [ローカル FQDN] セクションで、Looker が接続できるアウトバウンド接続のエンドポイントを公開する 1 つ以上のサービス アタッチメントを指定します。[ローカル FQDN 1] フィールドにサービスの完全修飾ドメイン名を入力し、[ターゲット サービス アタッチメント URI 1] フィールドに外部サービスの完全なサービス アタッチメント URI を入力します。

    サービス添付ファイルを追加するには、[アイテムを追加] をクリックして、各サービス添付ファイルを追加します。[ローカル FQDN] フィールドに、サービスの完全修飾ドメイン名を入力します。[ターゲット サービス アタッチメント URI] フィールドに、外部サービスの完全なサービス アタッチメント URI を入力します。

11. [Encryption] セクションで、インスタンスで使用する暗号化の種類を選択できます。次の暗号化オプションがあります。

    • Google-managed encryption key: このオプションはデフォルトであり、追加の構成は必要ありません。
    • 顧客管理の暗号鍵（CMEK）: CMEK とインスタンス作成時に構成する方法の詳細については、Looker（Google Cloud コア）で顧客管理の暗号鍵を使用するドキュメント ページをご覧ください。暗号化のタイプは、インスタンスの作成後は変更できません。
    • FIPS 140-2 認証取得済み暗号化を有効にする: Looker（Google Cloud コア）での FIPS 140-2 のサポートの詳細については、Looker（Google Cloud コア）インスタンスで FIPS 140-2 レベル 1 コンプライアンスを有効にするドキュメント ページをご覧ください。

12. [メンテナンスの時間枠] セクションで、必要に応じて、Looker（Google Cloud コア）がメンテナンスをスケジュールする曜日と時間を指定できます。メンテナンスの時間枠は 1 時間です。デフォルトでは、[メンテナンスの時間枠] の [優先ウィンドウ] オプションは [おまかせ] に設定されます。

13. [メンテナンス拒否期間] セクションでは、必要に応じて Looker（Google Cloud コア）がメンテナンスをスケジュールしない日数を指定することもできます。メンテナンス拒否期間は最長 60 日間まで設定できます。任意の 2 つのメンテナンス拒否期間の間に、メンテナンスを許可する日数を少なくとも 14 日間設定する必要があります。

14. [Gemini in Looker] セクションで、必要に応じて Looker（Google Cloud コア）インスタンスで Gemini in Looker 機能を利用できるようにします。Gemini in Looker を有効にするには、[Gemini] を選択し、[Trusted Tester の機能] を選択します。[Trusted Tester の機能] が有効になっている場合、ユーザーは Gemini in Looker の Trusted Tester の機能にアクセスできます。Trusted Tester の非公開の機能へのアクセスは、Gemini in Looker のプレビュー フォームからユーザー単位でリクエストできます。pre-GA プレビューで Gemini を使用するには、この設定を有効にする必要があります。必要に応じて、[Trusted Tester のデータの使用] を選択します。この設定を有効にすると、[Gemini for Google Cloud Trusted Tester プログラム利用規約](/(https://cloud.google.com/trusted-tester/gemini-for-google-cloud-preview)に従って Google がデータを使用することに同意したことになります。Looker（Google Cloud コア）インスタンスで Gemini を無効にするには、[Gemini] 設定をオフにします。

15. [作成] をクリックします。

gcloud

Private Service Connect インスタンスを作成するには、次のすべてのフラグを指定して gcloud looker instances create コマンドを実行します。

gcloud looker instances create INSTANCE_NAME \
--psc-enabled \
--oauth-client-id=OAUTH_CLIENT_ID \
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--region=REGION \
--edition=EDITION \
[--psc-allowed-vpcs=ALLOWED_VPC,ADDITIONAL_ALLOWED_VPCS]
[--no-public-ip-enabled]
[--public-ip-enabled]
--async

以下を置き換えます。

• INSTANCE_NAME: Looker（Google Cloud コア）インスタンスの名前。インスタンス URL には関連付けられていません。
• OAUTH_CLIENT_ID と OAUTH_CLIENT_SECRET: OAuth クライアントを設定したときに作成した OAuth クライアント ID と OAuth シークレット。インスタンスが作成されたら、OAuth クライアントの [承認済みのリダイレクト URI] セクションにインスタンスの URL を入力します。
• REGION: Looker（Google Cloud コア）インスタンスがホストされるリージョン。サブスクリプション契約のリージョンと一致するリージョンを選択します。使用可能なリージョンは、Looker（Google Cloud コア）のロケーション ドキュメント ページに記載されています。
• EDITION: エディション、環境タイプ（本番環境または非本番環境）、インスタンスがトライアル エディションかどうか。有効な値は core-enterprise-annual、core-embed-annual、nonprod-core-enterprise-annual、nonprod-core-embed-annual、core-trial-enterprise、core-trial-embed です。インスタンスの作成後はエディションを変更できません。エディションを変更する場合は、インポートとエクスポートを使用して、Looker（Google Cloud コア）インスタンス データを、別のエディションで構成される新しいインスタンスに移動します。

• ALLOWED_VPC: プライベート接続のみを使用するインスタンスを作成する場合は、Looker（Google Cloud コア）へのインバウンド（内向き）アクセスが許可される VPC を指定します。インスタンスが配置されている VPC の外部からインスタンスにアクセスするには、少なくとも 1 つの VPC を一覧表示する必要があります。次のいずれかの形式で VPC を指定します。

  • projects/{project}/global/networks/{network}
  • https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}

  ハイブリッド接続を使用するインスタンスを作成する場合は、許可された VPC を設定する必要はありません。

• ADDITIONAL_ALLOWED_VPCS: Looker（Google Cloud コア）へのインバウンド アクセスを許可する追加の VPC は、カンマ区切りのリストで --psc-allowed-vpcs フラグに追加できます。

パブリック接続を有効または無効にするには、次のフラグのいずれか 1 つを含める必要もあります。

• --public-ip-enabled は、パブリック接続を有効にします。インスタンスのパブリック接続を有効にすると、受信トラフィックはパブリック接続経由でルーティングされ、送信トラフィックは Private Service Connect 経由でルーティングされます。
• --no-public-ip-enabled はパブリック接続を無効にします。

必要に応じて、パラメータを追加して他のインスタンス設定を適用できます。

  [--maintenance-window-day=MAINTENANCE_WINDOW_DAY
          --maintenance-window-time=MAINTENANCE_WINDOW_TIME]
  [--deny-maintenance-period-end-date=DENY_MAINTENANCE_PERIOD_END_DATE
          --deny-maintenance-period-start-date=DENY_MAINTENANCE_PERIOD_START_DATE
          --deny-maintenance-period-time=DENY_MAINTENANCE_PERIOD_TIME]
  --kms-key=KMS_KEY_ID
  [--fips-enabled]
  

• MAINTENANCE_WINDOW_DAY は、次のいずれかの値を設定する必要があります: friday、monday、saturday、sunday、thursday、tuesday、wednesday。メンテナンスの時間枠の設定の詳細については、Looker（Google Cloud コア）のメンテナンス ポリシーを管理するドキュメント ページをご覧ください。
• MAINTENANCE_WINDOW_TIME と DENY_MAINTENANCE_PERIOD_TIME: 24 時間形式の UTC（例: 13:00、17:45）にする必要があります。
• DENY_MAINTENANCE_PERIOD_START_DATE と DENY_MAINTENANCE_PERIOD_END_DATE: YYYY-MM-DD の形式にする必要があります。
• KMS_KEY_ID: 顧客管理の暗号鍵（CMEK）の設定時に作成される鍵にする必要があります。

--fips-enabled フラグを指定して、FIPS 140-2 レベル 1 コンプライアンスを有効にできます。

Private Service Connect インスタンスを作成するプロセスは、Looker（Google Cloud コア）（プライベート サービス アクセス）インスタンスを作成するプロセスとは次の点で異なります。

• Private Service Connect の設定では、--consumer-network フラグと --reserved-range フラグは必要ありません。
• Private Service Connect インスタンスには、--psc-enabled という追加のフラグが必要です。

• --psc-allowed-vpcs フラグは、VPC のカンマ区切りのリストです。リストには、必要な数の VPC を指定できます。

Console

インスタンスの作成中は、コンソール内の [インスタンス] ページでステータスを確認できます。 Google Cloud コンソール メニューの通知アイコンをクリックして、インスタンス作成アクティビティを確認することもできます。インスタンスの [詳細] ページで、インスタンスが作成されるとステータスが [アクティブ] になります。

gcloud

ステータスを確認するには、gcloud looker instances describe コマンドを使用します。

gcloud looker instances describe INSTANCE_NAME --region=REGION

以下を置き換えます。

• INSTANCE_NAME: Looker（Google Cloud コア）インスタンスの名前。
• REGION: Looker（Google Cloud コア）インスタンスがホストされるリージョン。

インスタンスは、ACTIVE 状態に達すると、使用できる状態になります。

Console

1. [インスタンス] ページで、インバウンド アクセスが許可されている VPC を更新するインスタンスの名前をクリックします。
2. [編集] をクリックします。
3. [接続] セクションを開きます。
4. [インバウンド接続を構成する] セクションに移動します。
5. [項目を追加] をクリックします。次に、[プロジェクト] フィールドで VPC が配置されているプロジェクトを選択し、[ネットワーク] プルダウン メニューからネットワークを選択します。
6. VPC を削除するには、ネットワークにポインタを合わせると表示される [アイテムを削除] ゴミ箱アイコンをクリックします。
7. [保存] をクリックします。

gcloud

--psc-allowed-vpcs フラグを使用して、インスタンスへのインバウンド アクセスが承認されている VPC のリストを更新します。

許可された VPC を更新する場合は、更新後に有効にするリスト全体を指定する必要があります。たとえば、VPC ALLOWED_VPC_1 がすでに許可されていて、VPC ALLOWED_VPC_2 を追加するとします。VPC ALLOWED_VPC_1 を追加し、VPC ALLOWED_VPC_2 が引き続き許可されるようにするには、次のように --psc-allowed-vpcs フラグを追加します。

gcloud looker instances update INSTANCE_NAME \
--psc-allowed-vpcs=ALLOWED_VPC_1,ALLOWED_VPC_2 --region=REGION

以下を置き換えます。

• INSTANCE_NAME: Looker（Google Cloud コア）インスタンスの名前。
• ALLOWED_VPC_1 と ALLOWED_VPC_2: Looker（Google Cloud コア）への内向きが許可される VPC。次のいずれかの形式を使用して、許可する各 VPC を指定します。
  • projects/{project}/global/networks/{network}
  • https://www.googleapis.com/compute/v1/projects/{project}/global/networks/{network}
• REGION: Looker（Google Cloud コア）インスタンスがホストされるリージョン。

Console

1. [インスタンス] ページで、アウトバウンド（下り）接続を有効にするインスタンスの名前をクリックします。
2. [編集] をクリックします。
3. [接続] セクションを開きます。
4. [アウトバウンド接続を構成する] セクションに移動します。
5. [Looker が外部サービスに接続できるようにする] チェックボックスをオンにします。
6. [Looker Marketplace への接続を有効にする] チェックボックスをオンにします。
7. Marketplace への接続により github.com への下り（外向き）が許可されることを説明するダイアログ ボックスで、[確認] をクリックします。
8. [保存] をクリックします。

Console

1. [インスタンス] ページで、アウトバウンド（下り）接続を有効にするインスタンスの名前をクリックします。
2. [編集] をクリックします。
3. [接続] セクションを開きます。
4. [アウトバウンド接続を構成する] セクションに移動します。
5. [Looker が外部サービスに接続できるようにする] チェックボックスをオンにします。
6. [グローバル FQDN] セクションに、接続する完全修飾ドメイン名を入力します。
7. 別のドメインを追加する場合は、[項目を追加] をクリックします。
8. [保存] をクリックします。

Console

1. [インスタンス] ページで、アウトバウンド（下り）接続を有効にするインスタンスの名前をクリックします。
2. [編集] をクリックします。
3. [接続] セクションを開きます。
4. [ローカル FQDN] セクションに移動します。
5. 既存のサービス アタッチメントを編集するには、[ローカル FQDN] フィールドのサービスの完全修飾ドメイン名と、[ターゲット サービス アタッチメント URI] フィールドのサービス アタッチメント URI を更新します。
6. 新しいサービス アタッチメントを追加するには、[アイテムを追加] をクリックします。次に、[ローカル FQDN] フィールドにサービスの完全修飾ドメイン名を入力し、[ターゲット サービス アタッチメント URI] フィールドにサービス アタッチメントの URI を入力します。
7. [保存] をクリックします。

gcloud

--psc-service-attachment フラグを使用して、Private Service Connect を設定済みの外部サービスへのアウトバウンド（外向き）接続を有効にします。

gcloud looker instances update INSTANCE_NAME \
--psc-service-attachment  domain=DOMAIN_1,attachment=SERVICE_ATTACHMENT_URI_1 \
--psc-service-attachment domain=DOMAIN_2,attachment=SERVICE_ATTACHMENT_URI_2 \
--region=REGION

次のように置き換えます。

• INSTANCE_NAME: Looker（Google Cloud コア）インスタンスの名前。

• DOMAIN_1 と DOMAIN_2: パブリック サービスに接続する場合は、サービスのドメイン名を使用します。プライベート サービスに接続する場合は、完全修飾ドメイン名を使用します。ドメイン名には次の制限が適用されます。

• 各アウトバウンド接続で 1 つのドメインがサポートされます。

• ドメイン名は 3 つ以上の部分で構成されている必要があります。たとえば、mydomain.github.com は使用できますが、github.com は使用できません。

• 名前の最後の部分には、次のいずれも使用できません。

  • googleapis.com
  • google.com
  • gcr.io
  • pkg.dev

  Looker（Google Cloud コア）インスタンス内からサービスへの接続を設定する場合は、このドメインをサービスのエイリアスとして使用します。

• SERVICE_ATTACHMENT_1 と SERVICE_ATTACHMENT_2: 接続する公開サービスの完全なサービス アタッチメント URI。各サービス アタッチメント URI にアクセスできるのは 1 つのドメインのみです。

• REGION: Looker（Google Cloud コア）インスタンスがホストされるリージョン。

Looker（Google Cloud コア）インスタンスが配置されているリージョン以外のリージョンにある Google 以外のマネージド サービスに接続する場合は、プロデューサー ロードバランサでグローバル アクセスを有効にします。

有効にする必要があるすべての接続を配置する

--psc-service-attachment フラグを使用して更新コマンドを実行するたびに、以前にすでに有効になっている接続を含め、有効にするすべての接続を含める必要があります。たとえば、以前に my-instance というインスタンスを www.cloud.com ドメインに次のように接続したとします。

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud

次のコマンドを実行して新しい www.me.com 接続を追加すると、www.cloud.com 接続が削除されます。

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

新しい www.me.com 接続を追加するときに www.cloud.com 接続が削除されないようにするには、次のように更新コマンドに、既存の接続と新しい接続の両方に別々の psc-service-attachment フラグを指定します。

gcloud looker instances update my-instance --psc-service-attachment \
domain=www.cloud.com,attachment=projects/123/regions/us-central1/serviceAttachment/cloud \
--psc-service-attachment domain=www.me.com,attachment=projects/123/regions/us-central1/serviceAttachment/my-sa

Console

コンソールのインスタンス構成ページの [詳細] タブで接続ステータスを確認します。[PSC 構成] フィールドには、接続タイプごとのステータスが表示されます。

gcloud

gcloud looker instances describe --format=json コマンドを実行して、アウトバウンド接続のステータスを確認します。各サービス アタッチメントには connection_status フィールドが入力されている必要があります。