[Looker] General Settings가 설정한 아이템이 제일 좋아요.

개시하다

이번엔 상당히 소박한 이야기입니다^^管理>General>Settings에서 설정할 수 있는 내용의 조사 결과.

General Settings

기사를 쓴 경과

Looker를 BigQuery에 연결하여 BigQuery에 대한 보안 대책으로 사용
GCP의 VPC Service Controls[1] 보호 기능
VPC Service Controls에서 Looker에서 BigQuery로의 통신만 허용하기 위해
허용보안 데이터베이스 액세스 사용에 기재된 IP 주소
이용했어.
AWS 도쿄 지역에 Looker를 사용하도록 지정했기 때문에 다음 두 개의 IP 주소입니다.
아시아 주
・52.68.85.40
・52.868.108.1109
【구성도】

2021년 3월 중순 이후 갑자기 Looker에서 BigQuery로 조회하는 데 오류가 발생했습니다.
응, 왜 아무런 설정도 바뀌지 않았을까!이렇게 됐어요(웃음)
Looker에 표시되는 오류 정보는 다음과 같습니다.
The Google BigQuery Standard SQL database encountered an error while running this query.
Query execution failed: - VPC Service Controls: Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier: XXXXXXXXXXXX.
VPC Service Controls 가 잘못된 것 같습니다.왜?
신중을 기하기 위해 GCP 측도 클라우드 로그에서 로그를 확인했는데 역시 오류가 있었다.
NO_MATCHING_ACCESS_LEVEL

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {
      "code": 7,
      "message": "Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier: XXXXXXXXXXXX",
      "details": [
        {
          "@type": "type.googleapis.com/google.rpc.PreconditionFailure",
          "violations": [
            {
              "type": "VPC_SERVICE_CONTROLS",
              "description": "XXXXXXXXXXXX"
            }
          ]
        }
      ]
    },
    "authenticationInfo": {
      "principalEmail": "looker-poc-user@<project_name>.iam.gserviceaccount.com",
      "serviceAccountKeyName": "//iam.googleapis.com/projects/<project_name>/serviceAccounts/looker-poc-user@<project_name>.iam.gserviceaccount.com/keys/XXXXXXXXXXXXXXXXXXXXX"
    },
    "requestMetadata": {
      "callerIp": "54.250.91.57",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "bigquery.googleapis.com",
    "methodName": "permission:bigquery.jobs.create",
    "resourceName": "projects/XXXXXXXXXXXX",
    "metadata": {
      "resourceNames": [
        "projects/XXXXXXXXXXXX"
      ],
      "violationReason": "NO_MATCHING_ACCESS_LEVEL",
      "accessLevels": [
        "no_matching_definitions"
      ],
      "@type": "type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata",
      "intermediateServices": [
        "bigquery.googleapis.com"
      ],
      "securityPolicyInfo": {
        "organizationId": "XXXXXXXXXXXXX",
        "servicePerimeterName": "accessPolicies/XXXXXXXXXXXX/servicePerimeters/vpc_sc_looker_poc"
      },
      "vpcServiceControlsUniqueId": "XXXXXXXXXXXX",
      "ingressViolations": [
        {
          "targetResource": "projects/XXXXXXXXXXXX",
          "servicePerimeter": "accessPolicies/XXXXXXXXXXXX/servicePerimeters/vpc_sc_looker_poc"
        }
      ]
    }
  },
  "insertId": "1cuc80td345p",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "<project_name>",
      "method": "permission:bigquery.jobs.create",
      "service": "bigquery.googleapis.com"
    }
  },
  "timestamp": "2021-03-15T11:33:02.331662432Z",
  "severity": "ERROR",
  "logName": "projects/<project_name>/logs/cloudaudit.googleapis.com%2Fpolicy",
  "receiveTimestamp": "2021-03-15T11:33:03.084027697Z"
}

아이구, 접속원 IP가 54.250.91.57로 바뀌었잖아.
다시 확인보안 데이터베이스 액세스 사용하면
차세대 호스트 이 항목에는 다음 IP 주소가 있습니다.
아시아태평양(도쿄)(ap-northeast-1)
・54.250.91.57
・13.112.30.110
・54.92.76.241
어, 나는 그런 말을 들어 본 적이 없다.
그래서 제가 물어봤는데 차세대 호스트 인프라 마이그레이션 정보의 내용도 Technical Contactacts의 기술 담당자에게 통지했습니다!그렇습니다.
응, 그렇구나.그건 설정이 없어요!(웃음)
그래서 재검토General Settings의 절차가 되었습니다^^
(오프닝이 너무 길어서 미안해요.)

환경을 이용하다

Product
version
Looker
21.4.17
BigQuery
2021년 3월 15일 기준
VPC Service Controls
2021년 3월 15일 기준
Region
asia-northeast1

항목 설정

다음은 General Settings에서 설정할 수 있는 항목입니다.
(내용은 공식 사이트의 일역과 비슷하다)
【Settings】
프로젝트 이름
초기 값
컨텐트
License Key

계약된 라이센스 키
Host URL

로그인 페이지의 URL
Technical Contacts
-
기술 지원 담당 연락처, 중요 정보 알림 주소
Application Time Zone
US Pacific (America - Los Angeles)
스케줄링된 Look 작업이 인식되는 시간대
이번에 트리거된 Technical Contaacts는 기본적으로 빈 열입니다.
나는 이미 한 명의 멤버를 추가했다!
그래서 지난달 말 새 버전에 대한 이메일 통지를 받았다.
Application Time ZoneUS Pacific (America - Los Angeles).
이 시기에 따라 Asia / Tokyo로 변경되었다.
일본 내 멤버만 활용하면 될 것 같다.
다른 시간대 국가로 나뉘어 대응하는 경우 User Specific Time ZoneEnabled 시간대를 개별적으로 설정하는 것이 좋습니다.
【Feature Configuration】
프로젝트 이름
초기 값
컨텐트
New Account Notification
Disabled
새 계정을 만들 때 관리자에게 알림 설정
In-app Guides
Enabled
기능에 대한 도움말 정보를 제공하는 팝업 디스플레이 설정
Cookie Notification Banner
Disabled
쿠키 알림 제목의 표시 설정
Curated Search
Enabled
반복 검색 기능 구성
Use Gravatar
Enabled
Gravatar 애플리케이션을 사용하여 프로필 사진 표시 설정 구성
User Specific Time Zones
Disabled
사용자별 시간대 설정
Default Visualization Colors
Boardwalk
기본 색상 수집 구성
Persist Assets in Browser cache
Disabled
각 사용자의 브라우저 스토리지에 정적 자산 캐시 설정
Mobile Application Access
Disabled
Looker 모바일 애플리케이션에 대한 액세스 설정 사용
New Acount NotificationEnabled이 추가되었습니다.
모르는 사이에 새 사용자를 무단으로 만들더라도 관리자에게 이메일로 통지한다.
저는 Use Gravatar입니다. Gravatar[2]라는 사이트에 가상 이미지(이미지)를 올린 후
대응하는 사이트에서Gravatar 이미지와 공개 프로필은 자동으로 추적됩니다.
나는 이 서비스를 처음 알았다.사용할 구상이 없기 때문에 선택했다Disabled.
【Data Policy】
프로젝트 이름
초기 값
컨텐트
Public URLs
Disabled
로그인할 필요가 없는 공개 URL 설정
Email Domain Allowlist for Scheduled Content
No domains specified.
내용과 경보 발송 목적지의 메일 주소를 설정하는 필드 목록
URL Allowlist for Data Actions
All urls allowed for data actions.
Dimension의 Action 매개 변수를 사용하여 링크 대상의 URL에 대한 하얀 목록 설정을 지정합니다.
Bock Inline Embedded Images in Query Resultsl
Enabled
질의 결과에 포함된 이미지(기본 64 인코딩)의 블록 설정
Block Formulas and Macros in CSV and Excel Files
Disabled
CSV 및 Excel 파일에 대한 공식 및 매크로 블록 설정(예약 문자)
Outgoing Webhook Token
xxxxxxxxxxx
Webhook을 사용하여 콘텐츠를 보낼 때 요청에 포함된 Looker 토큰
Default Export Format
TXT
기본 내보내기 형식 (사용 가능한 형식: txt, xlsx, csv, json,),md)

총결산

그럼, 어때요?
나는 운용이 시작되면 잘 보지 않는 페이지라고 생각한다.
아니면 지금까지 프로젝트 설정을 제대로 파악하지 못했다거나.반성하다.
Looker 모바일 애플리케이션인 것도 처음 알았어요[3]^^
각주
VPC Service Controls 소개 ↩︎
이른바 Gravatar ↩︎
Looker Mobile 소개 ↩︎