Private Service Connect を使用して、プライベート IP Looker(Google Cloud コア)インスタンスにアクセスしたり、プライベート IP Looker(Google Cloud コア)インスタンスを他の内部サービスまたは外部サービスに接続したりできます。Private Service Connect を使用するには、Looker(Google Cloud コア)インスタンスが次の条件を満たしている必要があります。
- インスタンスのエディションは、Enterprise(
core-enterprise-annual
)または Embed(core-embed-annual
)にする必要がある。 - インスタンスのネットワーク構成では、プライベート IP のみを使用する必要がある。
- Private Service Connect は、インスタンスの作成時に有効にする必要があります。
Private Service Connect を使用すると、エンドポイントまたはバックエンドを使用して Looker(Google Cloud コア)へのノースバウンド アクセスが可能になります。ネットワーク エンドポイント グループ(NEG)を Private Service Connect サービス プロデューサーとして公開すると、Looker(Google Cloud コア)は、サウスバウンドのオンプレミス リソース、マルチクラウド環境、VPC ワークロード、インターネット サービスにアクセスできるようになります。
Private Service Connect の詳細については、Private Service Connect とはと Private Service Connect と Service Directory: Cloud でアプリケーションを接続するための革命の動画をご覧ください。
サービスの接続
Private Service Connect を使用するように有効にした Looker(Google Cloud コア)インスタンスを作成すると、Looker(Google Cloud コア)はインスタンスのサービス アタッチメントを自動的に作成します。サービス アタッチメントは、VPC ネットワークがインスタンスへのアクセスに使用するアタッチメント ポイントです。サービス アタッチメントには、接続に使用される URI があります。この URI は、Google Cloud コンソールのインスタンス構成ページの [詳細] タブで確認できます。
次に、別の VPC ネットワークがサービス アタッチメントに接続するために使用する Private Service Connect エンドポイントまたはバックエンドを作成します。これにより、ネットワークが Looker(Google Cloud コア)インスタンスにアクセスできるようになります。
Private Service Connect を使用した Looker(Google Cloud コア)へのノースバウンド アクセス
ノースバウンドNorthbound アクセスは、クライアントから Looker(Google Cloud コア)へのルーティングの構成に関するものです。Private Service Connect でデプロイされた Looker(Google Cloud コア)は、ノースバウンド アクセス用のエンドポイント接続とbackend接続をサポートしています。
Looker(Google Cloud コア)の Private Service Connect インスタンスには、サービス ユーザーが外部リージョン アプリケーション ロードバランサを介してアクセスできます。また、Private Service Connect エンドポイントまたはバックエンド経由で非公開でアクセスすることもできます。ただし、Looker(Google Cloud コア)は 1 つのカスタム ドメインのみをサポートしているため、Looker(Google Cloud コア)インスタンスへの上り(内向き)アクセスは、パブリックとプライベートのどちらか一方にする必要があります。
エンドポイント
エンドポイントは、Private Service Connect サービスにマッピングされた IP アドレスをサービス ユーザーに提供する転送ルールを使用してデプロイされます。これにより、パススルー ネットワークのパフォーマンスと効率的な設定が実現します。
Private Service Connect エンドポイントは、別の VPC ネットワークまたは組織内の公開サービスに接続できます。
バックエンド
バックエンドは、ネットワーク エンドポイント グループ(NEG)を使用してデプロイされます。これにより、ユーザーはトラフィックが Private Service Connect サービスに到達する前に、パブリック トラフィックとプライベート トラフィックをロードバランサに転送できます。また、証明書の終了も提供されます。ロードバランサを使用すると、バックエンドで次のオプションを使用できます。
- オブザーバビリティ(すべての接続がログに記録される)
- Cloud Armor との統合
- URL の非公開ラベルとクライアントサイド証明書
- リクエストのデコレーション(カスタム リクエスト ヘッダーの追加)
Private Service Connect を使用してサウスバウンド Looker(Google Cloud コア)サービスにアクセスする
Looker(Google Cloud コア)は、VPC、マルチクラウド ネットワーク、またはインターネット内の他のサービスとの通信を確立するときに、サービス ユーザーとして機能します。Looker(Google Cloud コア)からこれらのサービスに接続することは、下り(外向き)トラフィックと見なされます。
これらのサービスに接続する手順は次のとおりです。
- サービスが公開されていることを確認します。一部の Google Cloud サービスでは、この処理が自動的に行われます。たとえば、Cloud SQL では、Private Service Connect を有効にしてインスタンスを作成できます。それ以外の場合は、Private Service Connect を使用してサービスを公開する手順に沿って、Looker(Google Cloud コア)の手順の追加ガイダンスを参照してください。
- Looker(Google Cloud コア)からサービスへの下り(外向き)接続を指定します。
Private Service Connect を使用してサービスにアクセスする場合は、ハイブリッド接続 NEG またはインターネット NEG を使用できます。
ハイブリッド接続性 NEG は、オンプレミス エンドポイントやマルチクラウド エンドポイントなどのプライベート エンドポイントへのアクセスを提供します。ハイブリッド接続性 NEG は、ロードバランサのバックエンドとして構成された IP アドレスとポートの組み合わせです。Cloud Router と同じ VPC 内にデプロイされます。このデプロイにより、VPC 内のサービスは、Cloud VPN や Cloud Interconnect などのハイブリッド接続を介してルーティング可能なエンドポイントに到達できます。
インターネット NEG は、GitHub エンドポイントなどのパブリック エンドポイントへのアクセスを提供します。インターネット NEG は、ロードバランサの外部バックエンドを指定します。インターネット NEG で参照されるこの外部バックエンドには、インターネット経由でアクセスできます。
Looker(Google Cloud コア)から任意のリージョンのサービス プロデューサーにサウスバウンド接続を確立できます。たとえば、リージョン us-west1
と us-east4
に Cloud SQL Private Service Connect インスタンスがある場合は、us-central1
にデプロイされた Looker(Google Cloud コア)Private Service Connect インスタンスから下り(内向き)接続を作成できます。
一意のドメイン名を持つ 2 つのリージョン サービス アタッチメントは、次のように指定します。--region
フラグは Looker(Google Cloud コア)Private Service Connect インスタンスのリージョンを指しますが、Cloud SQL インスタンスのリージョンはサービス アタッチメント URI に含まれます。
gcloud looker instances update looker-psc-instance \ --psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \ --psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1
Google 以外のマネージド サービスへの下り(内向き)アクセスでは、リージョン間の通信を許可するために、プロデューサー ロードバランサでグローバル アクセスを有効にする必要があります。
次のステップ
- Looker(Google Cloud コア)Private Service Connect インスタンスを作成する
- Private Service Connect を使用して Looker(Google Cloud コア)インスタンスにアクセスする