robots: noindex
プライベート IP 接続を使用すると、インターネットまたは外部 IP アドレスを使用せずにサービスに到達できます。プライベート IP 経由の接続では、インターネットを経由しないため、通常はレイテンシが小さく、攻撃ベクトルが制限されます。プライベート IP 接続では、Looker(Google Cloud コア)インスタンスが Virtual Private Cloud(VPC)内の他のリソースと通信できるが、公共のインターネットからの受信通信は許可されません。
プライベート IP 接続は、一部の Looker(Google Cloud コア)機能と互換性がありません。詳細については、機能の互換性の表をご覧ください。
Looker(Google Cloud コア)は、次の条件を満たすインスタンスに対してプライベート IP をサポートします。
- インスタンスのエディションは、Enterprise または Embed にする必要がある。
プライベート IP インスタンスを設定するには、次の IAM 権限が必要です。
- Looker 管理者
- Compute ネットワーク管理者(または Google Cloud プロジェクトのオーナー)
Looker(Google Cloud コア)インスタンスを作成する前
割り当て IP アドレス範囲を作成してプライベート接続を管理するには、Google Cloud プロジェクトのオーナー、または Compute ネットワーク管理者のロールを持つ IAM メンバーである必要があります。
Google がインスタンスにプライベート IP アドレスを割り当てられるようにするには、その前に Virtual Private Cloud ネットワークを構成する必要があります。Looker(Google Cloud コア)は、VPC ネットワークごとに 1 つのプライベート IP インスタンスをサポートします。
プライベート サービス アクセス接続を VPC ネットワークに追加します。
VPC ネットワークが作成されたら、Google Cloud プロジェクトの [Looker インスタンスを作成する] ページに戻ります。VPC ネットワークが認識されるように、ページの更新が必要になる場合があります。
これらの手順を完了したら、Looker(Google Cloud コア)インスタンスを作成するドキュメント ページの始める前にセクションから始まる手順に沿って、インスタンスの作成を開始できます。
インスタンス作成時のネットワーク構成
インスタンスの作成時にプライベート IP を構成するには、次の手順を行います。
Console
インスタンスの作成時に [プライベート IP] のみ、または [プライベート IP] と [パブリック IP] の両方を選択した場合は、次のように構成を完了します。
- [必要な API を有効にする] ポップアップが表示されたら、Google Cloud プロジェクトで追加の API を有効にする必要があります。プライベート ネットワーク接続に必要な API を有効にするには、[すべて有効にする] をクリックします。
- [ネットワーク] プルダウンで、VPC ネットワークを選択します。プライベート IP ネットワークにはプライベート サービス アクセス接続が必要です。これにより、サービスが内部 IP アドレスを使用して排他的に通信できるようになります。プライベート IP 接続の設定の詳細については、プライベート サービス アクセスを構成するドキュメント ページをご覧ください。VPC ネットワークの作成時にプライベート サービス接続を設定していない場合は、[プライベート サービス アクセス接続は必須です] というメッセージの下にある [接続を設定] をクリックします。サイドパネルが開き、IP 範囲を割り当てて接続を作成できます。
- [割り振られている IP 範囲] で、Google が Looker(Google Cloud コア)インスタンスのサブネットワークをプロビジョニングする VPC 内の IP アドレスの範囲を選択できます。サブネットワークは、VPC ネットワーク内の他のリソースでは使用できない IP 範囲を予約します。Looker(Google Cloud コア)インスタンスを作成すると、この IP 範囲を変更できなくなります。IP 範囲の割り当てには次のオプションがあります。
- VPC のサブネットワークをプロビジョニングするために IP 範囲を自動的に割り当てるには、[自動的に割り当てられた IP 範囲を使用する] を選択します。
- プライベート サービス アクセスの設定時に定義された IP 範囲を選択します。
- インスタンスの作成を完了し、[作成] をクリックしてインスタンスを作成します。
gcloud
gcloud looker instances create コマンドを使用し、次のパラメータを指定します。
--consumer-network=CONSUMER_NETWORK --private-ip-enabled: --reserved-range=RESERVED_RANGE [--no-public-ip-enabled] [--public-ip-enabled]
- プライベート IP インスタンスを作成する場合は、
CONSUMER_NETWORKとRESERVED_RANGEを設定する必要があります。 --public-ip-enabledまたは--no-public-ip-enabledは、パブリック IP を有効または無効にするために使用されます。
インスタンス作成後のインスタンス構成
プライベート IP 接続を設定したら、次の手順でプライベート IP インスタンスを詳細に構成することもできます。
プライベート IP を使用するインスタンスへのパブリック インターネット アクセスを許可するように、プロキシ サーバーを設定します。
カスタム ドメインを構成し、インスタンスの OAuth クライアントに構成したドメインを追加します。
VPC Service Controls を使用している場合は、デフォルト ルートを削除します。
メールドメイン許可リストを作成して、外部ドメインへのメールの配信を制限します。
プライベート IP インスタンスを構成して、インターネットや外部リソースとの通信を許可または制限します。
次のステップ
- Looker(Google Cloud コア)インスタンスを作成する
- プライベート IP Looker(Google Cloud コア)インスタンスを構成する
- Looker(Google Cloud コア)インスタンスを構成する