/// BANGBOO BLOG ///

January 17, 2022

Panty gore-tex / Never stop fucking

防水、防風、透湿の機能。擦りとかには弱そうでバイクには勿体ないか
圧力が掛かると浸み込むので意味ないかと思い込んでいたが、北風の寒さを打消し、ムレがないので汗をかきにくく寒い日の活動にメチャいい
infiniumは軽くて柔らかいが防水性がない
proはgore-texよりも透湿性が約30％アップ
普通30とか70デニールとかだがマンジャケは150デニール、糸の太さらしいが密度も上がる？マンジャケは裏生地もありトータル厚いがgore-texだけの厚さの違いは全然分からん
150DやProの方や、シャカシャカしている方が強いと思われるが、強度は張付ける生地側によるところが大きいのか触らなよく分からん→触って好みを買うしか
日本やアジアンサイズでMの場合は、並行輸入は要注意でワンサイズでかいのでS
futurelightは柔らかい、多分軽くて透湿性が優れてそうだが、シャカシャカのgore-texのパンティのゴワツキが好み、27年目の鎮魂

Posted by funa : 02:23 AM | Gadget | Comment (0) | Trackback (0)

December 25, 2021

リンク踏合組合

シンプルで軽量！新しいCSSリセット「The New CSS Reset」を作成したElad Shechterにインタビュー | コリス (coliss.com)
【2021年版】おすすめのリセットCSSまとめ！基本と使い方の解説も | Web Design Trends (webdesign-trends.net)
【2021年版】リセットCSSのガイドライン｜基礎から使い方を徹底解説 - WEBCAMP MEDIA (web-camp.io)

新しい日本語フォントがたくさんリリースされてる！ 2021年、日本語の新作フリーフォントのまとめ | コリス (coliss.com)
2022年用、日本語のフリーフォント573種類のまとめ -商用サイトだけでなく紙や同人誌などの利用も明記 | コリス (coliss.com)

----------------

LiveとPushを使用した音楽制作 | Ableton
ABLETON LIVE 特集｜サウンドハウス (soundhouse.co.jp)
製品情報：APC40：AKAI professsional (akai-pro.jp)

最近こういう奴多いよな、なんか命令とか受けとんのか、カミカゼけ

Posted by funa : 05:46 PM | Web | Comment (0) | Trackback (0)

December 2, 2021

B=AIDMA R MAT SURE

フォッグの消費者行動モデル　B=MAT
行動Behavior = 動機Motivation（やりたい:利） × 実行能力Ability（簡単そう） × きっかけTrigger（背中押し）
https://note.com/akira_miyazaki/n/nb32211b94102

お気にのAIDMA

他にも亜種が
AISAS / AISCEAS / AIDA / AIDCA / AIDCAS / AMTUL / SIPS / AISA / ARCAS / AIDEES / SAIDCAS

AIDMAと外的動機づけ(褒美Reward)と内的動機づけ(Fogg)とで人は動いている
　B=AIDMA R MAT

@2020-01-16

================
■行動経済学の使い方
人の意思決定の癖
１）プロスペクト理論：確実性が高いものが好まれる、損失は嫌いで回避される
２）現在バイアス：今この時点の自分は可愛い、時間が必要な効用の期待は割り引かれる
３）社会的選好：互恵性があり自分だけが得することも損することも避ける
４）ヒューリスティックス：直感的意思決定、人はサンクコストに耐えられない、極端も無理で平均的なものを選択しがち

人は合理的な意思決定はせず(馬鹿だから期待値が最大の所でなく)予測可能な所にずれる
　→医者は患者が正しい判断をしてくれるよう口説きたい（ナッジで合理的意思決定に誘導したい）

パチンコ/競馬/宝くじ/保険は胴元が儲かるように設計されている
　→他人に合理的に判断させないようにして、その分を利益として分捕りたい（スラッジ）

●「確実でコレを逃すと損をします、貴方は正しく貴方の所有物の価値は高いですが、コレは利己的ではなく、どう見てもこの選択が正しく見える」あるいは「コレは損するので避けて」というフレーミングを使う
●期待値でビジネスを計算し、ズラした分を利益として分捕る
●アンカリング(時間の単位や金額の単位、労働量の単位等の単位が人の意識の中にある)で参照点を上げ下げし利益を最大化する
●何もしなければ人は現状維持で、先延ばしするので利益をもたらしてくれるよう働きかけ続ける
●互恵性で貴方が施せば相手も少し返してくれる、これを続けることで関係性を築き、長期で利益を確保する
●間接税みたいな間接徴収にして幾ら払っているか分かりにくくする、メンテ費が掛かる等

使い方

1) 意思決定のプロセスを図式化

2) バイアスを推測（能動的、受動的自動的、情報ソースetc)

3) ナッジ候補を考える

4) ナッジ候補上位をテスト実行

5) 効果測定

6) 全体に適用する

Posted by funa : 12:16 AM | Column | Comment (0) | Trackback (0)

June 9, 2021

k8s

全て想像ですが
読み方はケーツと読みます、半端ねーてす、あるいは半端ネース

ケツが扱う最小単位がPodで1つの機能を持つ（Podは1つ以上のコンテナを含む）
ReplicaSetは複数のPodを組み合わせてアプリを実現する
DeploymentはReplicaSetを管理、アップデートの際は新規ReplicaSetを作成してバージョン更新を行う
ServiceはDeploymentに対してIPアドレスやLBを設定してサービス提供する
クラスターはServiceが複数動く環境、1つのMasterと複数のNodeから構成され
　Nodeはコンテナを動かす為のサーバ、MasterはNodeを管理しスケジューリングやオートスケールを行う

Docker

　Immutableインフラ（不変の）でDockerfileの方を変える、Dockerイメージは可搬性をもたらす

　コンテナはOS上に配置する（複数配置できる、Dockerfileさえあれば再現可）

　　VMはOSをもシミュレート
　　Dockerのチュートリアル - とほほのWWW入門 (tohoho-web.com)
　　Dockerコマンド - とほほのWWW入門 (tohoho-web.com)
　　　コンテナ設計方針をまとめてみた - Qiita
　　　社内のDockerfileのベストプラクティスを公開します│FORCIA CUBE│フォルシア株式会社

　流れ

　　Dockerfile(設定)とアプリをdocker build/pushし

　　DockerレジストリにDockerイメージを作成

　　GKEにデプロイ(deploymentファイル.yml/serviceファイル.ymlをkubectrl create)

　　　レプリケーションコントローラ:Pod数、オートスケールをdeployment fileで設定

　　　サービス定義：ノードのproxyデーモンが複数Podに負荷分散

　　　　ノードがクラスタ内のPod同士に振分けるクラスタIP

　　　　LBが振分ける外部IP、

K8s

　クラスタリング（複数サーバを束ねる）

　コールドスタンバイ、ホットスタンバイ（フェイルオーバ）

　オーケストレーション…NW、Storage、スケジュール、IP、ルーティング、負荷分散、監視、デプロイ

　構成

　　etcd(kvs形式のconfig)

　　マスターサーバ

　　レジストリサーバ（コンテナレジストリ：GCSに保存）

　　ノード＞Pod＞コンテナ(webサーバ)、コンテナ(ログ収集)、仮想NIC

　　ノード、ノード…

GKE

　コンソールで設定＋kubectrl

　　コンソール：GCE、ストレージ、タスクキュー、BQ、cloudSQL、cloudDataStore、cloudソースレポジトリ、StackDriverLogging、StackDriverMonitoring、StackDriverTrace、CloudPlatform、BigTable、Pub/Sub、サービスコントロール、サービス管理

■流れ
　GKEでクラスタを作成
　Kubectrlをインスコ
　KubectlでPodを立ち上げ＞Deploymentができる、複数Podの起動も

　Kubectlでサービス公開設定
【GCP入門編・第7回】Google Container Engine (GKE) での Docker イメージの立ち上げ方 | 株式会社トップゲート (topgate.co.jp)

　サービスアカウント作成
　ネームスペース、kubeサービスアカウント作成
　サービスアカウントとKubeサービスアカウント紐づけ(gcloudとbubectlの両方)
　Yamlで機能を宣言しKubectlでデプロイ

Pod(論理ホスト/インスタンスみたいな)

　一意のIPが自動的に割り当てられる

　Pod内のコンテナはlocalhostで互いに通信、コンテナ間で共有するストレージ

　Podを直接作成は非推奨

　CPU/メモリの最小と最大を設定

Workload identityでServiceAccountとケツのサービスアカウントを紐づけ認証

k8sのsecretはPw/Oauthトークン/SSH key等を含むオブジェクト(base64エンコード生)

　使う方法3種類：コンテナにマウント、コンテナの環境変数、Pod生成時にケツがpull

　　どこに置くか、どう暗号化するか、gitに置かない等の考慮が必要

＝＝＝＝＝＝＝＝＝
　時間の掛かっていた処理をクラスタ構成で並列処理させて早く終わらすとか
VMからOSを抜いてアプリを入れたものがコンテナ、ドッカ―がOS以下を手配
Dockerがコンテナを管理、k8sがそのDockerをオーケストレーション

複数台でまとめたクラスターで故障があっても切り替え可用性を保つ

　そのクラスターをnamespaceで分割し複数チームで利用することも可

稼働中にサーバ追加のスケールをしたりロールバックできる

podにIPを割り振ったり、DNS名を振ったり、負荷分散したり

自動デプロイでコンテナイメージをサーバ群へ展開する

Dockerのホスト管理、コンテナのスケジューリング、ローリングアップデート、死活監視、ログ管理等々

masterとworkerで構成されmaster3台、worker2台～位のサーバ要る

Externalname>LoadBalancer>NodePort>ClusterIP

コンテナにはストレージを置かず外部に持たせた方が良いかも

ユーザ管理も必要

Dockerはイメージという感じか、複数OSを入れられるヤツで、それらを束ね管理するのがケーツ

https://www.kagoya.jp/howto/rentalserver/kubernetes/

https://udemy.benesse.co.jp/development/system/kubernetes.html

＝＝＝＝＝＝＝＝＝
↓実際のアプリがないとイメージ沸かん

クイックスタート: 言語に固有のアプリのデプロイ | Kubernetes Engine ドキュメント | Google Cloud
コンテナ化されたウェブアプリケーションのデプロイ | Kubernetes Engine | Google Cloud
Cloud buildを使用してアプリをコンテナイメージにパッケージ化
GKEでクラスタを作成、コンテナイメージをクラスタにデプロイ

PHP のドキュメント | Google Cloud
PHP スタートガイド | Google Cloud
Firestore でのセッション処理 | PHP | Google Cloud 複数インスタンスのsession管理にはFirestore
PHP でのユーザーの認証 | Google Cloud IAP(Identity-Aware Proxy)
アプリがPHPならこれを参照

PHP を使用したバックグラウンド処理 | Google Cloud
　Cloud run(コンテナ化アプリのスケールできる実行、CICDで自動Terraform applyできる？)と
　Pub/Sub(イベントドリブンでメッセージングとデータ取り込み)

＝＝＝＝＝＝＝＝＝
↓手始め？
GKEでnginxを外部アクセス可能にするまで - Qiita

＝＝＝＝＝＝＝＝＝
GKE

Posted by funa : 12:01 AM | Web | Comment (0) | Trackback (0)

May 21, 2021

GCP Hands Off

データの種類でアーキテクチャを決める

　コンテナはオーバヘッドが少なくVM/GCEに比べ軽量高速、スケールアップ/ダウンに優れている

GCE

　LauncherでアプリをGCEにデプロイ(数クリック)

　永続ディスク…SSDも選択できる

　ローカルSSD…高性能

GCS
　IAPを使うと画像アクセスにも認証が使えそう＞LBのバックエンドではIAPが使えない
　　GCEにGCSマウントするとGCEのIAPとしてイケる、gcsfuseのOSSでLinux上のドライブになる
　　　CensOS6.8にgcsfuseをインストールしてGCSをマウント - Qiita
　　　GCS Fuseを使ってみる - Qiita
　リテンションで保護期間を設定したり、ライフサイクルで削除時期を設定したり
　世代管理ができたり

CloudSQL

　ライブラリSQL APIを有効に

　平文通信→CloudSQL proxyバイナリをVMインスコ

　　proxyとアプリ設定を合わせる、proxyサービス起動

■制約が重要そうでまとめて記載したい

　IAPとCDNの両立はできない
　LBのbackendにgcsを設定したときはIAPが使えない

■ハンズオン(GAE:php+FW+IAP)→GAEよりCloud runが良い

IAPはGAEが簡単そう（アクセスするのにGoogleの認証プロンプトを出す）
　自前DNSにTXTレコードを設定>確認>IPが表示されAレコードやCnameも登録でき、SSL証明書も使えるようだ
　　しかし無くてもgoogle提供のドメインが使え不要　DNS(TXTレコード)による所有権の確認 - Google Search Consoleの使い方 (howtonote.jp)
　WinローカルにGCP SDKインスコし下記にapp.yamlとindex.phpを置いてcmd→ gcloud app deploy
　　C:\Users\おまはんのユッザー名\AppData\Local\Google\Cloud SDK\php
　IAPを有効にしIAM secured userの権限とIAMでGAE viewer権限付与で@gmail.comユーザ等は見れる
　　外部ドメインを使うときはIdentityPlatform設定が必要そう
止めるにはinstanceを削除する(再度アクセスでinstanceが自動作成される)、IngressをInternal onlyにすると一応止まるか、楽だ

■ハンズオン(GCE+nginx+FW+LB+IAP+Cloud NAT+Cloud armor)

●cloud shell terminal

gcloud compute instances list　インスタンス一覧

●コンソール

GCE VMを作成(Instance scheduleで起動-停止時間が入れられる、テンプレやグループに使えない？)
　instance template作成 ubuntu18、API access scopeには"Allow full access to all Cloud APis"で
　　外部からアクセスさせずLB経由だけにしたい→外部IPがephemeralで止められない→作成時にnetwork>external ipをnoneで作成すること→
　　外へでれなくなるのでgcloudコマンドが通らない→CloudNATも設定
　instance group作成　あるいは　VM instance作成
　　IGが中々できないならIGを開きエラーメッセージを見ること

SSHの項目からview gcloud commandで好きなSSHターミナルからアクセスできるcmd出る

gcloud beta compute ssh --zone "asia-northeaset1-b" "instance-3" --tunnel -through-iap --project "bangboo-sandbox"

●SSHターミナル

gcloud init　インスコ

sudo apt-get install nginx　Webサーバインスコ、ブラウザで内部IPでアクセスしたかったが不可だった

sudo service nginx stop　止める、動かすのは sudo service nginx start

ps　プロセス見る

curl http://10.117.0.19　nginxが動いているか確認

cat /var/log/nginx/access.log　ログ確認
●nginx
/etc/nginxにあるconf系が設定ファイル
sites-enabled/default だけがあり cat default しdocument rootは/var/www/htmlと判明
　ここへ移動 cd /var/www/html
sudo cp index.nginx-debian.html index.html　コピー
sudo nano index.html　で編集
設定変更後は sudo service nginx restart

●コンソール
FW作成
　gceに外部IPがあればアクセス試す
　fw-bangboo-http-ingress-allow　ingress - "all instances" - 0.0.0.0/0　デフォルトで許可＋ingressが必要
　　httpsはIPではダメ、ドメイン/証明書が要るか知らんがhttpでは外部IPあればアクセスできる
　　　GCPのIPを自前のDNSのAレコードに設定しとけば、、
　　　ウェブとメールを別々のサーバで運営したい？・・・それ、ゾーン設定で出来ます！ | さくらのナレッジ (sakura.ad.jp)
　　　ドメイン所有はDNSにTXTレコード設定ができるようだが、、、
　　　ウェブマスターセントラル (google.com)
　fw-bangboo-all-ingress-deny　ingress - "all instances" - 0.0.0.0/0　で設定完了まで止めとく

　　使うときfw-bangboo-all-ingress-deny　ingress - "all instances" - 192.168.1.255/32　に設定？
　外部IP(普通LBとなるか）への制御はCloud armorのでdeny allowしてFWではあんまり考慮しない？

LB作成

　VMインスタンスグループ（子インスタンス）作成（上で作ってなければ）

　　インスタンステンプレート作成

　LBヘルスチェック(閾値)が要る

　httpLBだと内部か外部か選択できる
　　httpLBならIPレンジが要る＞VPC networkで同resionで使われていないものを設定

　　例10.55.20.0/22なら10.55.23.255まで使われているので10.55.25から使うとか

　　NW計算　ネットワーク計算ツール・CIDR計算ツール | Softel labs
　　　VPCのサブネット設定は拡大できるが縮小ができない→小さめにしておきたいが、k8sはIP沢山使うので大きめ
　　　プライベートサービスコネクト(VPC間を繋ぐ)を使うと疎結合でつなげられるが
　backendはhttpで、healthcheckはtcp80とproxy無し
IAP作成
　外部 HTTPS ロードバランサの設定 | Identity-Aware Proxy | Google Cloud

　IAP(https)を見るとFWで開けてくれの指定がある
　　fw-bangboo-lb-gce-allow Source IP range:072.72.1.19/22, 69.11.8.0/16 tcp:80

　IAPを見るとLBを設定するとFWはLBに対するものだけになるので不要との指示がある

　　fw-bangboo-http-ingress-allow　0.0.0.0/0（削除）

　　下記はインスタンス作成時の許可設定分で不要

　　　default-allow-internal　69.11.0.0/9（削除）　default-allow-http　0.0.0.0/0（削除）
　　　これも不要？default-allow-http 0.0.0.0/0 tcp:443（削除）default-allow-icmp 0.0.0.0/0（削除）
　　　default-allow-rdp 0.0.0.0/0 tcp:3389（削除）default-allow-ssh 0.0.0.0/0 tcp:22（削除）
　IAP(ssh/tcp)を見るとFWで開けてくれの指定があるが開けるとhttpsに穴ができると出るし止め
　　fw-bangboo-lb-iap-tcp-allow Source IP range:072.72.2.0/20 tcp:all（sshターミナルを使う時だけFW開ける、通常priority9000）

　IAPをONだけでは駄目で、FWで調整してGCEに直接アクセスじゃなくLBでやっとIAPが動くみたい

　　IAPの設定でhttp://IPでアクセスするとhttps://に転送されたのだが(IAPがない場合は下記設定をするようだ)
　　HTTP(S) 負荷分散用の HTTP から HTTPS へのリダイレクトの設定 | Google Cloud

事前にgce.bangoo.com -> 117.072.19.255 (LBのIPはephemeralをstaticに変更)を自前のDNSに設定
　（DNSのTTLを前日に3600から300に変更しておいたり、DNS反映期間があったり）

　LBのフロントエンドでマネージド証明書を設定（ssl-policyを緩めで設定したが必要？）

　　オレオレ証明書は？

　LBフロントエンドはhttpsでもバックエンドはhttpで
　IAP-secured web app userロールを@gmail.comユーザに付与
　IAPとCDNの両立はできない
　LBのbackendにgcsを設定したときはIAPが使えない→ネット公開にしてVPN SCで制御？、GCEにGCSをマウント？
FW調整
　0.0.0.0/0 all deny priority2000>LB関連 tcp80 allow 1000/IAP関連 tcp allow 1000>（使用拠点のソースIP allow 500)
　GCEの外部IPを止める：インスタンステンプレート作成時に外部IPnoneで設定(StaticIPを買って削除でもnoneにできなさそう)
　必要なもの以外を止める：0-442, 444-65535で443のみ許可は駄目か？
　Connectivity testでテストがIPアドレス等でできる（設定変更から実際の反映に時間が掛かるものがあるような気が）
apache benchでスケールするかテスト　Apache Bench を使って初めてのベンチマークテスト - Qiita
　sudo apt install apache2　abはapachに含まれるのでどれかのVMにインスコ
　ab -n 1000 -c 100 https://gcp.bangboo.com/　でインスタンスが増えることが確認できる
Cloud armor設定
　DDoS等を防ぐのでOnでいいのでは、adaptive protectionで優先度低いdeny設定
　外部IPのdeny allowはこれでやる(web app firewallなのでな)
　IAPが前、Cloud armorが後ろ、そしてLBとか
Access context manager設定（+VPC service control）
　Organizationの設定が必要(≒Cloud identityでドメイン必要？)IPアドレスやOS等でアクセスを制限できる

FWでIngress全止め or VMインスタンス停止、LB停止

↑

sute16　asia-northeast1-b　2021/7/24(91日で33000yen-10/20位まで)
Instance groupはどう止める？＞LB削除＞LBのバックエンド削除＞Instance group削除
　LBはinstance groupがいる、IAPはGCEの場合はLBにSSL証明書要る
　　DNSのAレコードを登録しLB設定すれば証明書入る
　　　毎回検証終了時につぶして、立てるのが面倒そうだな→FWでdeny allしとく
　【初心者】GCP Identity-Aware Proxy (IAP), Access Context Managerを使ってみる (WEBサーバへのアクセス制限) - Qiita

nginx+PHP appサーバ＋BigQuery+BigTable＋CloudSQL(MySQL)+GCS+α？

　[PHP]BigQueryのデータを取得する | yyuuiikk blog

$ composer require google/cloud でインスコ

<?php

require 'vendor/autoload.php';

use Google\Cloud\BigQuery\BigQueryClient;

$keyfile = './credential.json'; //svacのkey

$bigquery = new BigQueryClient([

'keyFile' => json_decode(file_get_contents($keyfile), true),

]);

$dataset = $bigquery->dataset('dataset-name');

$table = $dataset->table('table-name');

$queryJobConfig = $bigquery->query(

"SELECT * FROM `project-id.data-set-name.table-name` LIMIT 100"

);

$queryResults = $bigquery->runQuery($queryJobConfig);

foreach ($queryResults as $row) {

print_r($row);

}
Google Cloud Storage にPHPを使ってファイルをアップロードする | カバの樹 (kabanoki.net)

$composer require google/cloud-storage　でインスコ

<?php

require __DIR__ . '/vendor/autoload.php';

use Google\Cloud\Storage\StorageClient;

$projectId = 'bangboo-prj';

$auth_key = './iam/credential.json';

$bucket_name = 'gcs-bangboo';

$path = 'img.png';

$storage = new StorageClient([

'projectId' => $projectId,

'keyFile' => json_decode(file_get_contents($auth_key, TRUE), true)

]);

$bucket = $storage->bucket($bucket_name);

$options = [

'name' => $path

];

$object = $bucket->upload(

fopen("{$path}", 'r'),

$options

);
<img src="https://storage.googleapis.com/gcs-bangboo/img.png">

SSLに対応したNGINXリバースプロキシを構築する手順 - Qiita

　nginxは静的コンテンツを高速に配信するように設計されている。また、リバースプロキシの機能を持つため、背後にWebアプリケーションサーバを配置して動的なコンテンツを配信したり、ソフトウェアロードバランサやHTTPキャッシュとしても使うこともできる。

GCPにセキュアな踏み台サーバーを作成する. GCPのIdentity-Aware… | by Taiga Murakami | google-cloud-jp | Medium
　Googleにバックドアを開けてしまっては危険、、、ということはない

End

Posted by funa : 12:00 AM | Web | Comment (0) | Trackback (0)

May 20, 2021

GCP

■GCP(Google Cloud Platform)

https://console.developers.google.com/

GCPを活用するスキルを問われる「Associate Cloud Engineer」

インフラストラクチャの知識を問われる「Professional Cloud Architect」

データと機械学習の知識を問われる「Professional Data Engineer」

　マシーンラーニング：教師ありをベースにパターンを線形として認識し相似のパターンを見つける

　ディープラーニング：人間が把握できる次元のデータ構造ではない多次元でパターンを見つける
　　線形検索みたいなもんか

■GCP
https://techblog.gmo-ap.jp/category/gcp/
https://tech.zeals.co.jp/entry/2019/01/08/094054
https://techblog.gmo-ap.jp/category/tensorflow/

12 か月間300 ドル分だけ無料
https://console.cloud.google.com

無料だとBigQueryのDML(insert)ができないらしい
予算とアラートを1円で設定（通知チャネルにSMSとメール設定）

辞めるときはプロジェクトをシャットダウン＆請求先アカウントの閉鎖
１）プロジェクトの閉鎖
Google Cloud Console ＞ IAMと管理＞設定＞シャットダウン
２）請求先アカウントの閉鎖（原因不明だが下記画面が出るときと出ないときがった）
Google Cloud Console ＞お支払い＞ (左ナビ)アカウント管理＞請求先アカウントの閉鎖
※お支払い＞マイプロジェクト＞アクション＞無効や請求先変更ができる

セキュリティは使用GoogleアカウントのSMSによる２段階認証、信用するデバイスの設定があるようだ

GCP ハンズオンセミナー Google_Cloud_GCPHandson_infra1122.pdf (cloudplatformonline.com)

　GKE, Cloud SQL, Dataflow等

【GCP入門編・第3回】難しくない！ Google Compute Engine (GCE) でのインスタンス起動方法！ | 株式会社トップゲート (topgate.co.jp)
【GCP入門編・第12回】 BigQuery を使って気軽にビッグデータの解析を行ってみよう！ | 株式会社トップゲート (topgate.co.jp)
【GCP入門編・第25回】 Cloud SQL for MySQL で Master-Slave 構成を組もう！ | 株式会社トップゲート (topgate.co.jp)
【GCP入門編・第29回】Cloud Load Balancing で Web アプリケーションにロードバランサーを設定する | 株式会社トップゲート (topgate.co.jp)
【初心者】GCP Identity-Aware Proxy (IAP), Access Context Managerを使ってみる (WEBサーバへのアクセス制限) - Qiita

■IAM(Identity and Access Management)　
https://cloud.google.com/iam/docs/overview?hl=ja

https://cloud.google.com/iam?hl=ja
IAMベストプラクティス　https://cloud.google.com/iam/docs/using-iam-securely
操作方法　https://cloud.google.com/iam/docs/how-to?hl=ja
ロール　https://cloud.google.com/iam/docs/understanding-roles?hl=ja

https://www.isoroot.jp/blog/1244/

https://medium.com/google-cloud-jp/gcp-iam-beginner-b2e1ef7ad9c2

//IAMの機能

機械学習を使ったスマートアクセス制御の最適化

デバイスのセキュリティ、IP アドレス、リソースタイプ、日時などの属性に基づいて、リソースに対するきめ細かいアクセス制御ポリシー

権限の認可、解除、委任に関するすべての監査証跡の履歴

ユーザーとグループのプロビジョニングや管理、シングルサインオンの設定、2 要素認証プロセス（2FA）

//IAMポリシー
IDをGroup（●●部）にアサイン

　Members(Group等)にRoles（●●役）をアサイン

　　MembersとはグループやドメインやID(Googleユーザアカウント、サービスアカウント)

　Roles（●●役）にPermissions（権限）を付与

ロールは作成ができ●●世話役みたいな感じか
permissionsは権限で「resourcemanager.projects.get」等でロールに紐づける
　個人や無料アカだと組織がない？→フォルダが作成できない？
　組織がないとグループが作成できない→グループがないとIDにRoleを付与するしか
フォルダは組織ツリー状でリソース管理、組織改編が多いならプロジェクトフォルダでも

　各フォルダに対してそれぞれメールグループを定型(folder-admin/dev/lead/member/parttime/etc)で持たせ

　メールグループへのユーザ出し入れで権限の管理をするのが良さそう
IAMやServceAccountの一覧には出てこないが存在するIDがある、実際に権限を付与できるかで存在確認する(TFで作成の場合？)

ポリシーはMSのGPOみたいものも組み込みで存在する
サービスアカウントはAPI用、人が使うことは基本想定されていない(impersonateできるが
ユーザが削除になっても権限やリソースは残るみたい

メールグループの権限関係の確認方法
　仕組み：祖->親->子、上の権限は下も持つ

　権限から確認する、所属から確認するの両面で確認

　１）権限を持っている全ての子をリストアップ

　２）所属しているメールグループの全ての親をリストアップ

//リソース
階層：Organization > Folders > Project > Resource(Google Cloud services)
割り当て：日や分に対してのデータ量の上限等を設定

必要以上に権限を付与しない

組み込みロールが多い、改変してロールを作るか

権限はサービス名.リソース.動詞という命名規則
プロジェクト名はGCPグローバルで名前空間を共有しており、企業名等でprefixするのがいい
プロジェクト毎にメールグループを設け、権限はメールグループの参加で管理したい

//リージョンとゾーン
リージョン：データセンターの存在場所、ゾーンをいくつか持つ
ゾーン：障害ドメイン区画（単一障害点を避ける形で環境設計したい）
Google Cloud SDKをインストールすればコマンドラインが使える
　BQは同一リージョンでないとJoinができない、ゾーンはマルチで良い

■authorized view 承認済みview(BQ権限)
設定すると権限を元のテーブルにさかのぼり付与しなくてもいい(設定がないと元テーブルにも権限が要る)、被参照テーブルに参照許可するビューを指定する
BigQueryの承認済みビュー設定方法 - Qiita

■GCS

　http(s)で公開可

　Nearline…月1アクセス等

　Coldline…年1アクセス等長期アーカイブ
　(standard以外は最低保存期間の縛りがあり早期削除でもお金が掛かる)

　Multi-regional 99.95%、Regional 99.9%の可用性
料金 | Cloud Storage | Google Cloud

　　5GBまで無料、リージョンで値段が違う、保存/NW/取得/操作で課金

　　nearlineの保存は半額で取得と併せstandardと同じ金額になるが操作費高い

　　　月1未満ならnearline

　　coldline/archive storageは年1程度とされているが使うと結構お金が掛かる

　　　長期保存はせずできれば削除する、できないならポリシーでcold/archiveへ移動

　　　　最低保存期間の縛り(90/365)があり早期削除でも請求、その期間は置いておく

■GCP Cloud asset inventory

　5週間分の履歴が保管される

　CAI exportにより任意のタイムスタンプでBQあるいはGCSに履歴情報を吐き出す

　gcloud CLIのgcould asset search-all-resourseコマンドにより設定
　　BQに吐き出し各種状況のチェックやポリシーのチェックに活用

■Cloud logging

Cloud Audit Logging 活用のベストプラクティス | Google Cloud Blog

Stackdriver Loggingのログを失う前にエクスポートしておく方法（前編） | apps-gcp.com

Stackdriver Loggingのログを失う前にエクスポートしておく方法（後編） | apps-gcp.com

Google Cloudの監査ログを理解する&長期間保存方法 - NRIネットコム Design and Tech Blog (nri-net.com)
Cloud Loggingの利用方法 | apps-gcp.com
料金 | オペレーションスイート | Google Cloud

　毎月取込50GBまで無料、取込0.5$/GB+保存0.01$/GB、2種類ありAuditLogで有効無効化

　　管理アクティビティログ　13ヵ月400日デフォ有効（_requiredログバケットは取込もデフォ期間保存も完全無料）

　　データアクセスログ　デフォ無効（有効にしてもデフォ保存期間30日は無料、50GBを超える取込が有料）

　　　※つまり50GBを超えた取込、あるいは保存期間を伸ばした分が有料
　BQ streaming insert0.05$/GB+BQ保存(10G無料)0.02/GB=0.07$/GBでBQ化し保存が得

　　長期保存が必要なものだけエクスポート

　　集約エクスポート

　　ログ取集前にログシンク(取込費がかからない)
　　　サンプル1%等で絞る等

■他

///gcloudをプロキシで使う環境設定とか

https://qiita.com/tora470/items/bc00bef8cba9f9acecc7

///サービスアカウントで認証
Google Cloud SDKのインストールと認証の設定について - TASK NOTES (task-notes.com)
秘密鍵さえあれば成り済ませる
　※サービスアカウントはサービスを有効化したときに動作用に自動作成されたり、別途手動でも作れる

サービスアカウントのキーを作成しローカルに保存

SSHでGCEのVMに内容をコピペしてキーファイルを作成

下記でSAとしてログイン

gcloud auth activate-service-account ketsu@un.com --key-file /home/ketsu/sakey.json

cloud shell terminalでもファイルをアップロードできるのでup後下記でOK

gcloud auth activate-service-account ketsu@un.com --key-file sakey.json

ログオン切替

終わるとき rm sakey.json

shellセッションごとに環境変数でkeyを設定する方法も
認証のスタートガイド | Google Cloud

/// サービスアカウントキーを発行せずにサービスアカウント権限を使う

サービスアカウントに直接成り代わって gcloud コマンドを実行する - Qiita

サービスアカウントに使いたいロールを付与(roles/accesscontextmanager.policyAdminとか)

自身にroles/iam.serviceAccountTokenCreatorを付与

叩く　gcloud projects get-iam-policy project-id-xxxxx --impersonate-service-account

　※tfだとproviderにimpersonate_service_accountを追加する形

///Loadbalancer
　IAPはhttp LB/GCE/AppEngineに
　Internal LBにExternal IPは無理

ついでにIAP tunnel userの権限で踏み台が作れる＋OS Loginで認証強化
　OS LoginはIAPの認証機能でSSH上でGCEインスタンスにログインできる代物
　GCPがSSH keyとIAMをGCEに準備してくれる

ついでにリバースプロキシ（nginxとかで作る）
LBみたいなもんだがプロキシでキャッシュを返す
代理代表サーバとなりWEBサーバ界のFWみたいな役割もできる

///NoSQL
=not only sql、分散kvsだったりの非構造化データ、下記2つのみ提供

　キーを指定してCRUD(追加、取得、更新、削除)

　キーの範囲かキーの前方一致でのスキャン

///bigtable
高スループット低レイテンシー読み書き速く膨大なユーザや数千万件テラ以上で

gmail、GA、マップ等々で使われている

///cloud functions

サーバレスでRESTみたいな形でURLでサーバアプリを実行、Node.js/PHP/Python等のコードが直接コンソールに掛ける

　ブラウザでcloud functionsにアクセスしたら下記が出た
Error: Forbidden Your client does not have permission to get URL/kuso-ketsu from this server
呼び出しの認証 | Google Cloud Functions に関するドキュメント

curl https://REGION-PROJECT_ID.cloudfunctions.net/FUNCTION_NAME -H "Authorization: bearer $(gcloud auth print-identity-token)"
↑curlでいいなら、コンソールで[未認証の呼び出しを許可する] 設定 + allusersでも可

///Pub/Sub

パプリッシャーからサブスクライバーにメッセージ転送、順序設定可、大量データを1件ずつとか

publisher -> topic : メッセージ -> push型 subscriber -> cloud scheduler

publisher -> topic : メッセージ -> pull型 subscriber -> cloud functions/run

BQ テーブルにデータをエクスポートする Dataflow ジョブ

GCS でデータをテキストファイルまたは Avro ファイルにエクスポートするための Dataflow ジョブ

///BQ job エラー
bq show -j <job-id>
クエリならjob/query historyでわかるがbq cmdでもエラーが返る
bq query --nouse_legacy_sql 'select ketsu from `prj`.oshi.ri'
　unrecognized name: 'kusofuke@ketsu.com' at [1:149]

///シリアルコンソール接続
SSH接続できない！そんな時のシリアルコンソール | apps-gcp.com
突然起動しなくなったWordPressサーバーをなんとか復旧した話 | (tipstock.net)

///gcloud cmd
gcloud organization list　GCP IDやGoogleWorkspace IDが分かる

///Recommender
API の使用 - 推奨事項 | Recommender のドキュメント | Google Cloud

///Googleスプレッドシート+GAS＋BigQuery

GAS:マクロで記録してそれを使いまわす

　GASでBQの制御は難しいかも、更新してもBQのデータが古いままだったりする（appscript.jsonに権限を追記しても）

　データを一時でも書込ならスプレッドシートの共有の編集権限とシート保護しない設定が必要と思われ（セキュリティがザルに）

呼び名

　connected sheetでBQのデータをスプシに抽出する

　federated queryはBQに外部ソース（スプシ等）をインポートする

スプシの保護（シートはコピーできザルなのでセキュリティ対策でなくデータ保護）
シートを保護する、非表示にする、編集する - パソコン - ドキュメントエディタヘルプ (google.com)
スプシの閲覧共有だけでBQコネクテッドシートのプレビュー/抽出は可能だが、それをvlookup系で他のセルに移せない
組織でコネクテッドシートを使用する - Google Workspace 管理者ヘルプ
↓

他のブックにすればいいかも
編集共有した別ブックに入力データ（日付やメール）を持たせBQフェデレテッドクエリでBQに準備
閲覧共有した別ブックは参照用にBQコネクテッドシートがある形

GASでAdminDirectoryを使う
　gas > サービス > AdminDirectory APIをOn
　gcp該当prj > APIダッシュボード > ライブラリ > Admin SDKを有効
　等でg workspaceのユーザ情報が取れるらしい
　　Google Apps Script試行錯誤 Blog: AdminDirectoryでUsers.listを取得したい (pre-practice.net)
　　GASでAdmin SDKを利用する（Directory編）その１ - Qiita

///セック
セキュアなBigQueryの運用方法 - Speaker Deck

　IAM condition: 20時以降はアクセスできない等時間やリソースで権限制御

　VPC-ServiceControls: VPC+FWで制限を掛けられなかったがIPやIDで制限を掛ける(クレデンシャル漏洩防御)
　　LBのバックエンドをGCSにするとIAPが使えない時も

　　TF)perimeterで境界を設定してaccess leveで超えれるものを定義

　　　危険で user explicit dry run spec = trueでテストしながら falseで本番化

　　　statusが本番用、specがドライラン用で一旦statusを消してテスト

　　　　restricted_services = storage.googleapis.com ならGCS

　　　　resource

　　　　access_level

　　https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/access_context_manager_service_perimeter

GCPでセキュリティガードレールを作るための方法と推しテク - Speaker Deck

　サブネット作成の際はセキュリティの観点からフローログを15分で取る

　監査ログを有効に

　ContainerResistryの脆弱性スキャンを有効に

　ログ：データアクセス/ポリシー拒否は30日、管理アクティビティは400日

　　BQにバックアップしたい

　SecurityCommandCenterで脆弱性を検知

Cloud Audit Logging 活用のベストプラクティス | Google Cloud Blog
　集約エクスポートシンクにより監査ログをBQに貯めたい

■アプリ
公開資料 - App Modernization OnAir 〜モダンなアプリケーション開発とは〜 (cloudonair.withgoogle.com)
cloud runの設定だけでCDCIできる（第10回

●外部IP

External IP addressで取得、300円/月位、通常一つは自動で割り当てられる

●PoP(Point of presence)

　世界70か所でGCPとエッジ(ネット)接続

End

Posted by funa : 09:00 PM | Web | Comment (0) | Trackback (0)

May 2, 2021

Terrafirma

公式

https://www.terraform.io/docs/index.html

導入

https://www.terraform.io/guides/core-workflow.html

推奨方法

https://www.terraform.io/docs/cloud/guides/recommended-practices/index.html

　https://www.terraform.io/docs/cloud/guides/recommended-practices/part1.html

　https://www.terraform.io/docs/cloud/guides/recommended-practices/part2.html

　https://www.terraform.io/docs/cloud/guides/recommended-practices/part3.html

　https://www.terraform.io/docs/cloud/guides/recommended-practices/part3.1.html

　https://www.terraform.io/docs/cloud/guides/recommended-practices/part3.2.html

　https://www.terraform.io/docs/cloud/guides/recommended-practices/part3.3.html

　https://www.terraform.io/docs/cloud/guides/recommended-practices/part3.4.html

チュートリアル

https://learn.hashicorp.com/collections/terraform/gcp-get-started

HCL

https://www.terraform.io/docs/language/index.html

CLI aka cmd（アルファベットリストから使う）

https://www.terraform.io/docs/cli/auth/index.html

GCP用リファレンス

https://registry.terraform.io/providers/hashicorp/google/latest/docs

お便強

https://qiita.com/minamijoyo/items/1f57c62bed781ab8f4d7

https://qiita.com/donko_/items/6289bb31fecfce2cda79

https://www.apps-gcp.com/infra-automation-01/

TerraformでGCP環境を構築してみる | GMOアドパートナーズグループ TECH BLOG byGMO (gmo-ap.jp)

https://colsis.jp/blog/gcpterraform/

Infra as codeとしてインフラの構築や設定をコード化できる

特にクラウドだと構築の自動化や構成管理等でのレバレッジが強力

■段階
Terraformとは?基本知識とTerraformのメリット4つを紹介 | テックマガジン from FEnetインフラ
必要なリソースをTerraform化>workspaceの活用>main.tfの共通部分をmodule化

Terraform運用事例書きました - pixiv inside

moduleは構成に合わないようなリファクタリングが必要になった時にterraform state mv が必要になってとたんにつらい、moduleを細分化しすぎるとvariable と output が大量に必要になって書きづらい、moduleは再利用できる複数のリソースの単位（プログラミング言語でいうところの関数みたいなもの）で作るのがしっくり

Terraform職人入門: 日々の運用で学んだ知見を淡々とまとめる - Qiita

リソースの差分を無視するlifecycleブロックを使う

resource "aws_autoscaling_group" "app_1" {

name = "app-asg-1"

lifecycle {

ignore_changes = ["load_balancers"]

create_before_destroy = true//新しいのを作ってから古いのを削除

}

外部ファイルを文字列として読み込む

resource "aws_iam_role" "ec2_role" {

name = "ec2-role"

assume_role_policy = "${file("./ec2_assume_role_policy.json")}"

}

1つのディレクトリで複数のStateを扱うWorkspaceという機能もあるのですが、

個人的には普通にディレクトリを分けて管理する方が楽

production/stagingが完全に同じリソース構成で、設定のパラメータの差分がちょっとだけあるという理想的な世界ではWorkspaceでも運用できるかもしれませんが、現実的にはstagingだけリリース前の検証用の一時的なリソースが立ってたりとか、完全に同じ構成にならないことも多いので、モジュールの読み込みの有無や一部の環境だけ存在するリソースなどの差分を吸収できる場所があったほうが都合がよい

Terraform職人再入門2020 - Qiita
モジュールが公式から提供されている
Browse Modules | Terraform Registry

Terraform の terraform.tfvars とは | 30歳未経験からのITエンジニア (se-from30.com)

環境情報は外部ファイルが基本

prd/stg/dev環境はprd.tfvars, stg.tfvars, dev.tfvarsを用意

.tfvars　各環境の設定

aws_access_key = "XXXXXXXXXXXXXXXXXXXX"

aws_secret_key = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"

aws_region = "eu-west-1"

main.tf

terraform {

required_version = "= 0.12.26"

}

provider "aws" {

version = "2.66.0"

access_key = var.aws_access_key

secret_key = var.aws_secret_key

region = var.aws_region

}

var.tf　空の受け皿

variable aws_access_key {}

variable aws_secret_key {}

variable aws_region {}

Terraform で変数を使う - Qiita

実行時に-var-fileで値ファイルを指定して環境などを切り替えると良いかもしれない

terrafrom plan -var-file=dev.tfvars

terrafrom plan -var-file=prod.tfvars

変数ファイル指定がないときは変数でdefaultに入れておく、descriptionで変数の説明もかける

variable "foo" {

type = "string"

default = "default-var"

description = "Sample Variable"

}

TerraformでGCPのリソースの作成と変数から値を読み込む - y-zumiの日記 (hatenablog.com)

credentials等の秘匿したい変数を外部のファイルやコマンドライン引数から読み込む

variable "credentials_file" {}　＠var.tf　変数を定義し空にしておく

credentials = file(var.credentials_file)　＠main.tf　ファイルを読むがファイル名は変数

terraform plan -var 'project=<PROJECT_ID>' -var 'credentials_file=<NAME>.json'　＠cmd　プロジェクトとクレデンをコマンド時に指定
他にもvars.tfvars設定ファイル(行頭variableが不要)、TF_VAR_環境変数による指定

Input Variables - Configuration Language - Terraform by HashiCorp

-var-fileで変数ファイルを明示してcmd、ファイル名は.tfvars/.tfvars.json

-varで変数を明示してcmd

順序があり後の読込でオーバーライド

Terraformのベストなプラクティスってなんだろうか | フューチャー技術ブログ (future-architect.github.io)
Workspace派、module派、ディレクトリ分離派

↓

HCLの変数は基本2種類のlocalとvariable

variableはグローバル変数、ファイル外やコマンドラインから使える

その他の変数参照方法としては（上から優先に適応）

　コマンド引数　一時的に使用

　変数ファイル terraform.tfvars　git管理等で外部ファイルで？

　環境変数 TF_VAR_<NAME>　実行ログに残らない鍵情報等

workspaceは使わない、moduleを限定的に使う
設定をコード化>Gitレポジトリに置く>設定内容、作業履歴の明確化、チームでの運用性向上

■特性

TFの影響を反映するのはterraform applyの時だけ、tfファイルとtfstateの差分を実際にリソース作成する
　tfファイルで変更した場合、TFはリソースの再作成を行うので一度消えることになる（大体は単位が権限だったりで影響がないだけでplanで要注意）

terraform importはtfファイルからtfstateへ記載だけを行う

　カレントdirの全.tfファイルor.tf.jsonを評価するのでtfファイルの名は何でもいい
各リソースに対してTF化するかは選択ができるが、TFする場合はそのリソースに必要な全記載をTFファイルに行う

terraform import tfResourceID.yourResourceName gcpIdentifier　のコマンド

　terrafrom import google_bigquery_dataset.tf-1 bangboo-prj/test-dataset

　tfResourceID(リソースIDというようタイプ：リソース種別)はTF指定のもの、yourResourceName (リソース名)は任意のもの

　構成ファイル.tfはローカルのものが使われる、importするとtfstateに反映

　GCP identifierはTF公式サイトの各サービスの一番下import項目を見ると指定内容が分かるのでGCPを見て拾ってくる

　terraform state list　TF化されているリソースを見る

　terrarorm apply時にもtfstateは更新される（オプション-refresh=falseで無効可）

　　またapply時に-target=xxxでデプロイするリソースを特定できる

Syntax - Configuration Language - Terraform by HashiCorp　コメントは#が基本、//や/**/も使える
Terraform v0.12で変わるHCLの記述について - Qiita　localsや変数、リストやマップ等
Terraform職人再入門2020 - Qiita　yamldecodeやjsonencode等
Terraformの基本 - Foreverly (hatenablog.com)

変数

　variable(input var)はcmd実行時に変数を上書きできるが、localsはできない

　outputはapply時にterminalで値が確認できる、moduleから値を取得する

google_bigquery_connection | Resources | hashicorp/google | Terraform Registry
ドット繋ぎで値を扱える

resource "google_sql_database_instance" "instance" {

provider = google-beta

name = "my-database-instance"

}

resource "google_sql_database" "db" {

instance = google_sql_database_instance.instance.name

name = "db"

}

ToSetは値設定をするが順不同で重複を省く
resource "xxx" "aaa" {

for_each = toset(["foo", "bar", "bar"])　でbar, foo

name = each.key

}

for_each/eachのループ
locals {
sg = {

foo = "FOO"
bar = "BAR"
}

}
resource "xxx" "aaa" {
for_each = local.sg
name = each.key
description = each.value
}

terraform importはリソース単位、更新はできず削除してから追加 terraform state rm google_bigquery_dataset.tf-1
　実設定とimportの内容が違う場合は実設定の情報でtfstate化されるようだ(importは項目を入れ込む感じ？)
　　なので実環境に変更を加えるにはterrafrom apply、tfstate化もされtfファイル/tfstate/実設定の3者で同じになる
　apply時にtfstateと実設定が違う場合、例えば既存設定がある場合は重複エラーになりapplyできず、importしtfstateと実設定を同じにしてから、tfファイルの内容をapplyすることが必要

for_eachで書いた.tfをterraform importする | DevelopersIO (classmethod.jp)
　ユーザ指定は　user:aaa@xxx.com だったりメールグループなら group:aaa@xxx.com

■既存リソースのTF化のおおよその作業

　作業ディレクトリの作成(プロジェクトに対するローカルのフォルダ）

　プロバイダを指定したtfファイルの作成(gcsにstateを置く設定が良い

　　provider "google" {

　　 project = "bangboo-kuso"

　　}

　　terraform {

　　 backend "gcs" {

　　 bucket = "bangboo-kuso-terraform"

　　 }

　terraform init　ローカルに対して初期化

　リソースタイプと名前を定義したtfファイルを作成する(任意のリソース名、基本ユニーク、纏められるものは重複してもいい)
　　resource "google_cloudfunctions_function" "fuckin" { ...　をtfファイルに記載
　　　tfResourceID(リソースIDというようタイプ：リソース種別)とyourResourceName (リソース名) だけで

　リソースタイプや個別パラメータは公式ドキュメントを参照しながら定義

　https://registry.terraform.io/providers/hashicorp/google/latest/docs

　　(簡単)tfファイル内で１行目以外は空で、terraform planをするとエラーで必要なものが分かるので、それを埋める
　　planが通ると自動的に値をサーバから拾ってくる（importすればtfstate.tfに入っている or コピーしてTFに入れる）
　　※terraform state show tfResourceID.yourResourceName でstateを見てtfファイルにパラメータを定義していく方法もある

　　TF定義は複数の方法がある、最終GCP公式のRestAPIで確認するしか

　terraform importする（公式ドキュメントの一番下にimportコマンドの指定がある）

　terraform planして差分がなくなるまでtfファイルを修正する

　　import(tfstate)の修正は一度stateから削除する　terraform state rm google_bigquery_dataset.tf-1

　　(既存リソースがあってもあくまでtfファイルとtfstateの差分なのでinitした状態でplanしてもup-to-dateと表示されるだけ)
　tfstateファイルにおかしなものが無いか確認、keyとか含まれないか

■TF公式ドキュメント
google_organization_iam_custom_role | Resources | hashicorp/google | Terraform Registry
google_organization_iam | Resources | hashicorp/google | Terraform Registry
カスタムロールを設定して、組織レベルのIAMでそれを使いたい

　TFのorg_iamページのArgument referenceのrole項目を見ると

　　Note that custom roles must be of the format organizations/{{org_id}}/roles/{{role_id}}

　TFのorg_iam_custom_roleページのAttributes referenceのrole項目を見ると

　　id - an identifier for the resource with the format organizations/{{org_id}}/roles/{{role_id}}
　で下記と分かる、使用側と被使用側のTFマニュアルを両方確認する

resource "google_organization_iam_custom_role" "my-custom-role" {

role_id = "myCustomRole"

org_id = "123456789"

title = "My Custom Role"

description = "A description"

permissions = ["iam.roles.list", "iam.roles.create", "iam.roles.delete"]

}

resource "google_organization_iam_member" "my-organization" {

org_id = "123456789"

role = google_organization_iam_custom_role.my-custom-role.id

member = "user:jane@example.com"

}
↑
resourceの2番目リソース名を定義しますが任意の名前を指定します
　ここが同じ項目はユニーク制限がない場合は追加としてまとめられます
　通常はユニークにしterraformで管理するリソース名(yourResourceName)を宣言します
　　※1番目のリソースタイプ内でユニークにするのが基本（全体でもユニークの方が分かり易い）

TFファイルに定義をしたい　→定義したいリソースのArgument referenceの項目を設定

TFファイルに定義した内容を変数で使いたい　→使いたいリソースのAttributes referenceを見る
terraform importしたい　→インポしたいリソースのページ一番下のimportコマンドの指定を見る

■他に一般的なTF（既存がimportされると以下で変更をapplyして運用）

　terraform -v　稼働確認
　terraform fmt　ファイルの記述フォーマットを整える

　terraform validate　ファイルの検証

　terraform plan　アクションを計画
　terraform apply　最後に変更を適応

　terraform show　ステータスを確認、一覧

　terraform destroy　で簡単にインフラの吐き、initができないとき必要そう

■特定のリソースだけ適応したい

　terraform plan -target="tfResourceID.yourResourceName"
　terraform apply -target="tfResourceID.yourResourceName"

■TFのcount
数を指定してその個数のリソースを作る。なのだが

　enable_lien = true　モジュール側/変数側でこう設定し

　count = var.enable_lien ? 1 : 0　リソース側で3項演算子を使えばIFのように使える
　　※for loopのようなインクリのcount"+="でなく"="の1発実行なので3項演算子でIFになる

■tfenvを使う場合

cd my-repo

get clone https://bitbucket/bangboo-prj.git

cd bangboo-prj

tfenv use 0.14.7

　terraform workspace list

　terraform workspace select default　デフォルト

　　terraform workspace new prod　prodという名で作成なら

main.tf作成し記載

　terraform fmt　tfファイルのフォーマット（書式は適当で書けばいい）

　　gcloud auth list　認証確認

　　gcloud auth application-default login　クレデンシャルが必要なら

　　　API&Servicesでクレデンシャルは取得できそう、key=xxxx

terraform init

テラフォーマで既存のリソースを調査するには

terraformer import google list --projects=xxxx-123　で対象のリソース確認

terraformer import google --resources=instances,forwardingRules --regions=us-west1 --projects=xxxx-123　とか

terrafrom import google_storage_bucket.pri-bucket project-abc123/asia-northeast1/pri-bucket　でimportとか

　terraform refresh　tfstateの最新化、どのタイミングで使う？

既存リソースimport

https://www.apps-gcp.com/terraformit-gcp/

https://qiita.com/uu4k/items/48d3ecfefe57dba1d7e1

■Terraform applyで意図しない権限削除で障害が発生する
Terraform x GCP で、IAM権限を全削除してしまった - Qiita

resource "google_project_iam_policy" "unko" {

project = "my-project"

role = "roles/noguso"

members = [

"serviceAccount:${google_service_account.baka.email}"

]

}

google_project_iam_policy：書き換えるので他は無くなる（他を消したいときに使う）

google_project_iam_binding：付与、Authritativeだが他は現状維持？
google_project_iam_member：付与、Non-authoritativeで安全、まとめ難いか

　※_iam_policyと_iam_bindingとt_iam_memberは一緒に使えない

　※_iam_bindingと_iam_memberは一緒に使える

google_bigquery_dataset_iam_binding：（承認済みビューの権限はなくなる＞google_bigquery_dataset_accessを使え）

google_bigquery_dataset_iam_member：roleとmemberを1対1でresourceを作りまくる、Non-authoritative
　※_iam_policyや_bindingはまとめ易そうだが権限消しそう

Terraform で GCP のサービスアカウントを管理する - Eng (なりたい) (hatenablog.com)
Terraform で GCP IAM 設定どれ使うのがいいのか - pokutuna (scrapbox.io)
google_project_iam | Resources | hashicorp/google | Terraform Registry
Authoritative: TFに明示していないものをApply時に削除しますという意、TFの権威
Non-authoritative: TFは権威を示さず、TFに明示していないものは現状維持ですという意

■勝手に公開
terraform vpc auto_create_subnetworks = falseにせなサブネットを公開して作りよる

■Applyの依存関係はdepends_on(プロジェクト作成の前に権限を付与しようとしてエラー等の順序)
[Terraform]Module間の値の受け渡しについて | DevelopersIO (classmethod.jp)
　これより先にあれをTFしてくれという記述

■データセット
google_bigquery_dataset | Resources | hashicorp/google | Terraform Registry
スキーマ取得: bq show --schema --format=prettyjson bangboo-prj:test-dataset.tbl001
ビューはコンソール＞BQ＞該当ビュー＞detailからコピー

■組織ポリシー
google_organization_policy | Resources | hashicorp/google | Terraform Registry
制約について | Resource Manager のドキュメント | Google Cloud

■parallelismで早くなるかもしれない
あなたのterraform planを手軽に高速化する（かもしれない）魔法の言葉 - Qiita

■テスト
TF Apply後には検証をしっかりしたい、最低Apply後にPlanを再実行したい、テストスクリプト的にチェックしたい
適応されていないことや、TF定義とtfstateと実設定の差分が想定と違うことがある感じがするからだ
moduleを含めて条件的な書き方だと、適応の順序の関係で適応が抜け2回以上TF applyしないといけなかったり

■gcloud cmd

https://www.devsamurai.com/ja/gcp-terraform-101/

　gcloud projects list　権限あるプロジェクトを表示

　gcloud config set project [prjID]　ワーキングプロジェクトの設定

　gcloud services enable iam.googleapis.com　サービスの有効化

　gcloud iam service-accounts create terraform-serviceaccount \

--display-name "Account for Terraform"　サービスアカウント作成

　gcloud projects add-iam-policy-binding [PROJECT_ID]

--member serviceAccount:terraform-serviceaccount@[PROJECT_ID].iam.gserviceaccount.com --role roles/editor　権限付与

　gcloud iam service-accounts keys create path_to_save/account.json

--iam-account terraform-serviceaccount@[PROJECT_ID].iam.gserviceaccount.com　クレデン発行

　export GOOGLE_CLOUD_KEYFILE_JSON=path_to/account.json　クレデン設定
↑サービスアカウントで認証　環境変数にファイルパスを渡す
　gcloud auth application-default login　だと個人

　これにクレデンシャルファイルのパスを渡すとサービスアカウントでgcloudコマンド打てるはず

Terraformで複数リージョンをまたいだリソース制御する (mosuke.tech)
Terraform workspaceを利用して環境毎のリソース名の変更を行う (mosuke.tech)

End

Posted by funa : 10:14 PM | Web | Comment (0) | Trackback (0)

March 9, 2021

Treachery

:||

2021/4/25に気づいた、ハニーちゃんおめでとうとありがとう、エピソードは今度どこかで

Posted by funa : 11:39 PM | Column | Comment (0) | Trackback (0)

March 6, 2021

ZERO

値段と糖質とプリン体と度数、モノによっては明らかに太る感じがしない、ゆって0じゃ無い安酒でも糖質15g位らしいので良いのがなければいつものでいいかも。それより現像ができない!!→LR再インスコ→LRよりSony謹製の方が色が良かった→元画像が暗すぎが理由→LRでノイズを追加調整(元画像に注意、14mmf1.8の使い道がなく勿体ない)

極ZERO: 138/0/0/5 ちょい高、不味い、5%で軽いが酔えなくはない、太る感じ×

Asahi Off: 118/0/0/3-4 酔えない、ノンアルの亜種かフルーティで旨い〇

のどごしZERO: 118/0/0/4 フルーティで旨い、軽いが酔えなくはない〇

贅沢ZERO: 118/0/x/6 プリン有 6%で嬉しいが雑味がすごくある気が▲

バーリアル糖質50%off緑: 85/5-10/?/4 かるくない、そもそもZEROでないが旨い◯+

氷結ZEROレモン: 108/0/0/5 レモンが強く旨い、飲みやすい◎

鏡月焼酎ハイ: 98/0/0/7 スッキリ高アルコール度で満足感、ドライが好きかも◯+

いいちんこ下町のハイボール: 168/0/0/7 高ぇ、重い感じがする▲
パーフェクトサントリービール: 168/0/x/5.5 高ぇ、旨い〇

　→氷結Zeroレモン＞鏡月ドライのコンボが強い

イオン麻婆豆腐辛口(肉付)vs丸美屋辛口(花椒なし)：丸は味穏やか、Aは塩と肉多い

　→Aeonのとろみ入れるの減らす、甘口は邪魔甘さで、中辛が一番いい

イオン四川式(肉無)vs丸美屋大辛(花椒付)：Aは高いし辛い、お口は甘め好きda
　冷食が新しくなった、Palmボックスは忘れて何度か買ったが小さい

「カルト」はすぐ隣に: オウムに引き寄せられた若者たち (岩波ジュニア新書) | 紹子, 江川 |本 | 通販 | Amazon
霊的体験は飲み物にLSDを入れていたとなっている、まぁ殆どコレで教祖になれる

Posted by funa : 01:43 PM | Column | Comment (0) | Trackback (0)

February 21, 2021

BigQuery

■Big queryリファレンス

BigQuery: クラウドデータウェアハウス | Google Cloud（チュートリアルみたいな）　

BigQuery解説：https://beyondjapan.com/blog/2016/03/what-is-bigquery/

クエリ処理のツリーアーキテクチャによる分散並列処理

複数のサーバーに対してツリー状に拡がっていき、並列にサーバー上で同時に分散処理

　ルートサーバ＞intermediateサーバ＞leafサーバ

BigQuery MLという機能を利用すると、機械学習モデルをCloud AI PlatformのTensorFlowなどに連携させ、クエリ結果を素早くAIと連携

Lookerというデータ分析プラットフォームとの連携よりクエリ結果を、データ統合、変換、分析、可視化、レポーティングすることができ、非常に強力なBI

列指向型・カラム型データベース・カラムナストレージ（一般的なRDBMSでは行単位でデータが保存）

　必要なカラムのデータを取得するだけでよく、またデータは圧縮できる

https://dev.classmethod.jp/articles/google-bigquery-debut/

GCPプロジェクト＞データセット＞テーブル（行row列columnで普通のテーブル、ネイティブbigqueryテーブル/Googleドライブのような外部テーブル、SQLクエリによるビュー）

ジョブは非同期で実行され、ステータスをポーリング（データの読み込み、データのエクスポート、データのクエリ、データのコピーなど）

クエリ（ウェブ UI、bq コマンド、BigQuery REST APIの方法がある、SQLと同じ？

SELECT title, answer_count, view_count

FROM `bigquery-public-data.stackoverflow.posts_questions`

ORDER BY view_count DESC　LIMIT 10

BigQueryはSELECT tag, time FROM [dataset_name.table_name_20151206]のように必要な列だけを選択した場合にはスキャンの幅を狭めることは可能ですが、LIMITやWHERE句には何を書いてもテーブルをフルスキャンしてしまう

節約　Amaのs3に入れRedshift内でテーブルを分割した後にBigQuery

Hadoopでも使われていたGoogle開発のエンジンであるMapReduceは、非構造化データをプログラミングモデルを通して扱うが、巨大なテーブルの結合や巨大な出力結果のエクスポートも可能である半面、処理時間は数分間から数日に及んだ、だが、BigQueryは、あらかじめデータを構造化してBigQueryのテーブルに格納しておかねばならないが、ほとんどのクエリは数秒で完了する

サードパーティツール（データの読み込みや視覚化を行うツールなど）を使用して BigQuery のデータにアクセス可

Google Cloud SDKをインストールすればコマンドラインが使える
BQは同一リージョンでないとJoinができない、ゾーンはマルチで良い

パブリックデータに直でアクセスできる

SELECT * FROM `bigquery-public-data.usa_names.usa_1910_2013`

BigQuery の一般公開データセット | Google Cloud
　→FROM句の書き方：他のプロジェクトを指す名前にハイフンがあるとバッククォートで囲む必要がある

　　`other-prj`.dataset.table　あるいは `other-prj.dataset.table`

■標準SQL
先頭行でレガシーか宣言　#standardSQL あるいは　#legacySQL

バッククォートでエスケープ、プロジェクト区切りも.(ドット)、From句のカンマはCross joinで全組合せかと思われ通常通りjoinやunionを使う事

配列が使える、カラム一つに配列を入れて多元的に扱える

withで一時テーブルを作れる

exceptでカラムを除外、replaceでカラムの置き換え

functionを作って使える標準 SQL ユーザー定義関数 | BigQuery | Google Cloud

分析関数over()とwindowで計算ができる
　rank() over (order by x)は下記moreのRFMに使用している

地理関数とかJSON関数とか色々関数もありそう

スクリプトで変数やIfやLoopが使える標準 SQL のスクリプト | BigQuery | Google Cloud

■レガシーSQL（標準SQLを使うのが由）

予約語は角かっこを使ってエスケープ、プロジェクト区切りは:

集計関数で WITHIN キーワードを使用すると、レコード内の繰り返しの値が集計?

FROM句のカンマは標準SQLのCross joinとは異なりUNION ALL 演算子

通常のSQL処理システムとは異なり、BigQueryは繰り返しデータの処理を前提として設計。繰り返しレコードの構造を操作するクエリを記述。その方法の1つが、FLATTEN 演算子?

JOINは、INNER、[FULL|RIGHT|LEFT] OUTER、および CROSS JOIN 演算子をサポート、デフォルトINNER

除外できる　select + from A OMIT RECORD IF COUNT(payload.pages.page_name) <= 80;

TOP を使用するには、SELECT 句に COUNT(*) を含める

分析関数over()とwindowで計算ができる？(標準SQLと同様？)

functionを作って使える(標準SQLと同様？)
JSON等のネストをフラット化

■DDL　データ定義言語ステートメントの使用 | BigQuery | Google Cloud

https://www.isoroot.jp/blog/1651/

auto_incrementもdefaultもprimary keyもindexもshow create tableないのでは？

CREATE TABLE IF NOT EXISTS bangboo_data.x_xxx (

`no` INT64 NOT NULL,

`user_no` INT64 NOT NULL,

`name` STRING,

`date` DATETIME,

)

■bqコマンドはコンソールで実行できる
ブラウザで該当プロジェクトに入りコンソールボタン、下記ではスキーマをJSONで取得できる

bq show --schema --format=prettyjson myProject:myDataset.tbl001

■データアップロード時のスキーマ指定
自動検出はFirestore、Datastore、Avro、Parquet、ORCだけ？ほぼ手動のutf-8のcsvかjsonlかを使う形

コンソールで手動スキーマ指定可(jsonスキーマを張付ける)、modeは省略可でデフォはnullable、

JSONスキーマファイルupはaqコマンドのみ可、ローカルからup時のコマンドとスキーマ例↓

bq load --source_format=CSV mydataset.mytable ./myfile.csv ./myschema.json

[

{

"description": "quarter",

"mode": "REQUIRED",

"name": "qtr",

"type": "STRING"

{

"description": "total sales",

"mode": "NULLABLE",

"name": "sales",

"type": "FLOAT"

}

]

なお一旦Google Cloud Storageに放り込んでからやると高速　BigQueryにデータをバッチでインポートする - Qiita

COUNT DISTINCTだが、BigQueryでは概算値が返ってくる??。正確な値が必要な場合は、GROUP EACH BYとCOUNT(*)を組み合わせる

https://www.buildinsider.net/web/bigquery/01

■BQはUTC

ScheduledQueryを終了日6/9 13:00JSTで即時設定→6/9 01:20UTCで実行された

（終了時間にJST/UTCの考慮が必要か→SQ実行時間設定についてはJSTかUTCに注意するだけ）

実行履歴はUTCのためJSTに読み替える必要がある(UTCはJSTの-9時間)

■BigQuery機能
///クエリ結果を別テーブルに書き込む
その他＞クエリの設定＞クエリ結果の宛先テーブルを設定する
BigQueryではSELECT結果を他テーブルにInsert / テーブル洗い替えなどができる - コード日進月歩 (hateblo.jp)
クエリ結果の書き込み | BigQuery | Google Cloud

///Federated Query
スプレッドシートやGCSの外部ソースをBigQueryで

範囲の書き方:シート1!A1:B100

Auto detectにするとHeader skipを1にして1行目をカラム名として使うといい
注意）

　シートで構成を変えると滅茶苦茶になる

　空欄のセルはnullになる

　使う人はBQへもスプレッドシートへも両方権限が必要

///パラメータ(変数)を使う

--parameter=min_count:INT64:250

SELECT word FROM `prj.ds.t` WHERE AND count >= @min_count

パラメータ化されたクエリの実行 | BigQuery | Google Cloud

こういう感じでも使えるのでは

WITH params AS (

SELECT @sheetInput AS p

tmp_pre_processed_src AS (

SELECT * FROM src

)

SELECT * FROM tmp_pre_processed_src

,params

WHERE

tmp_pre_processed_src.a = p

///*を受ける_TABLE_SUFFIXを使う(複数テーブルだとunion allになる)

SELECT year FROM `bigquery-public-data.ds.gsod19*`

WHERE _TABLE_SUFFIX BETWEEN '29' and '35'

ワイルドカードテーブルを使用した複数テーブルに対するクエリ | BigQuery | Google Cloud
　BTWで絞らないと全結合で課金が厳しいかも

where _TABLE_FUFFIX between format_date('%Y%m%d', date_sub(current_date(), interval 3 day))
and format_date('%Y%m%d', current_date())

///時間のパラメータを使う

select * from mytable_{run_time-1h|"%Y%m%d"}

実行時間run_time（UTC）から1時間引いた日→mytable_20180214

クエリのスケジューリング | BigQuery | Google Cloud

///動的にテーブル名を指定してcreate table
パラメータや変数や_TABLE_FUFFIXだけでは難しい。変数はテーブル名とは解釈されない、_table_fuffixはselect分のfrom句に入れwhere句で内容を指定するがcreate分は無理、execute immediateを用いる

DECLARE t STRING;

SET t = (SELECT CONCAT('x_emp_at', FORMAT_DATE("%Y%m%d", DATE_ADD(CURRENT_DATE(), INTERVAL 1 DAY))));

EXECUTE IMMEDIATE format('CREATE OR REPLACE TABLE `%s` AS SELECT * FROM `prj.bangboo_data.x_employee`', t);

ScheduledQueryでは出力テーブルの指定が可能でテーブル指定例：table001_{run_time-1h|"%Y%m%d"}でOK、なおSQL内にはrun_timeが使用できない

///既存のテーブルをコピー(CREATE OR REPLACE TABLEもあり)

CREATE TABLE IF NOT EXISTS bangboo_data.x_employee_copy (

`no` INT64 NOT NULL,

`name` STRING,

) as

select * from `prj.bangboo_data.x_employee`

標準 SQL のクエリ構文 | BigQuery | Google Cloud

データ定義言語ステートメントの使用 | BigQuery | Google Cloud

///timestampとdatetime
datetime型カラムにはCURRENT_DATETIME()、timestamp型カラムにはCURRENT_TIMESTAMP()を使う
　timestampはUTC、datetimeはローカル的で地域指定ができる
　直近3分
　SELECT * FROM `aaa.ds.tbl111`
　WHERE `date` > DATETIME_SUB(CURRENT_DATETIME(), INTERVAL 3 MINUTE)

//stringとdate
func_approved_routine_a('2021-10-31')　引数がstring型
func_approved_routine_a("2021-10-31")　引数がdate型

///日付のキャスト
CAST(date AS STRING)
TIMESTAMP(DATE_SUB(CURRENT_DATE(), INTERVAL 1 month))
BigQueryのStandardSQLで日付（date, datetime, timestamp）を変換する方法 - 寝ても覚めてもこんぴうた (hatenablog.com)
Bigqueryの日時に関係する関数全部試してみた ①Date編 - Qiita

///timeで入っているものを日でサマるSQL

select

count(table_id),

sum(size_bytes),

date(record_time) as record_day

from bq_metadata

where record_time > TIMESTAMP(DATE_SUB(CURRENT_DATE(), INTERVAL 3 month))

group by record_day

order by record_day DESC

///パーティション

パーティション分割テーブルの概要 | BigQuery | Google Cloud
BigQueryのStandardSQLで日付（date, datetime, timestamp）を変換する方法 - 寝ても覚めてもこんぴうた (hatenablog.com)

パーティション分割テーブルは2種類：パーティショニングとシャーディング

１）パーティショニング
BigQueryでパーティション分割テーブルを作成する - goodbyegangsterのブログ (hatenablog.com)　を見よ
パーティショニングは事前に作っておくこと

CREATE TABLE sample.n225 (

trading_day DATE NOT NULL OPTIONS(description="取引日"),

closing_quotation NUMERIC NOT NULL OPTIONS(description="終値"),

opening_quotation NUMERIC NOT NULL OPTIONS(description="始値"),

high NUMERIC NOT NULL OPTIONS(description="高値"),

low NUMERIC NOT NULL OPTIONS(description="低値")

)

PARTITION BY

DATE_TRUNC(trading_day, MONTH)

OPTIONS (

partition_expiration_days=1825,

require_partition_filter=true,

friendly_name="日経225時系列データ",

description="月別パーティションされた、201901から202107までの日経225時系列データ",

labels=[("environ", "dev")]

)

クエリはpartitioned byのヤツで絞れば良い

select * from aaa_history wehre

#ParticionIDで絞る（つーかpartitioned byのヤツで日付をキャストしてUTCをJST日付に

date(rec_time) = date(datetime_add(datetime "2000-10-10 00:00:00" interval -9 hour))
AND

#実際の時間で絞る、パーティションが日付区切りなので時間検索だけなら全件検索になる

datetime(rec_time) between datetime_add(datetime "2000-10-10 00:00:00" interval -9 hour)
and datetime_add(datetime "2000-10-10 00:59:59" interval -9 hour)

２）シャーディング
検討中…　上のパーティションも

シャーディングは_TABLE_SUFFIXを使ったり、テーブル名にハードコーディングする。

日付のキャスト select * from `task_*` where _TABLE_SUFFIX = REPLACE(CAST(date AS STRING), '-', '')

///UNNEST
UNNESTを知らないとBigQueryを使えない？ | 4番は司令塔 (pep4.net)

BigqueryでUNNESTを使いこなせ！クエリ効率１００% | by Eureka Engineering

ARRAY を一組の行にフラット化するには、UNNEST 演算子を使用
SELECT id, title FROM games, UNNEST(titles) AS title

id	titles
1	[skyrim, fortnite]
2	[atvvsmx, mario]

↓フラット化

id	title
1	skyrim
1	fortnite
2	atvvsmx
2	mario

sql - How to query multiple nested fields in Bigquery? - Stack Overflow
Unnestでもflattenができず空欄ができる場合、結局left join
　空を含むカラムはSelectに残し、repeatedのカラムはleft joinでくっつける
　VariantsをunnestしてるがPricesもrepeatedなのでleft joinのものを出している
　　repeatedもarrayと同じらしいが、、、cross joinやarray_to_stringもやったが駄目だった
　　　なおrepeated以外はunnestが効かない

それでも駄目ならselect句の指定方法やwhere句で絞ると空欄が抜けたよ

select Productid,Variants.SKU,Variants.Size
,Prices.Currency,Prices.Country
from `ga-export-0000.feed.feed_dev`
,UNNEST (Variants) AS Variants
LEFT JOIN UNNEST(Variants.Prices) as Prices

///ARRAY型とSTRUCT型

標準 SQL のデータ型 | BigQuery | Google Cloud

とある古典的SQLおじさんのBigQuery入門：ARRAY型とSTRUCT型 | DevelopersIO (classmethod.jp)
BigQueryのSTRUCT型とうまく付き合う - Qiita

Arrayは上のUnnestを参照。
Structは構造体型。順序付きで親子の構造を持つ。各フィールドはデータ型（必須）とフィールド名（オプション）を持つ。

array型　unnestできる、[]なのでarray_length()で数が取れる

struct型　unnestできる、ネストを含みスキーマでrecord型と表記される

struct型(record型)は子や孫でヒットすれば親を含めて表示されてしまう

見やすくするため*ではなく、カラムを特定すると空欄が表示されなくなり

親が出なくなり理解しやすくなる（必ずカラム指定したい）

例）権限が変わっていないかの確認する等

降順で最新の日付のアイテムを見る、そして最終ページの古い日付のアイテムを見る

そしてそれらを比較する

select record_time, name, asset_type, m, b.role

from cai_iam_policy_history

,unnest(iam_policy.bindings) b

,unnest(b.members) m

where record_time between timestamp('2021-05-01') and timestamp('2021-06-30')

and b.role in ("roles/bigquery.dataViewer", "roles/bigquery/jobUser")

and m like '%ketsu@bangboo.com%'

and ancestor_path like '%ketsuproject%'

order by record_time desc

SQL解説）struct型が沢山入っていても全部unnestしfromに入れればいい

　from a, unnest(iam_policy.bindings) b, unnest(b.members) m

unnest(iam_policy)はできないので2階層目から

　　一つ階層上ではunnest時に別名を付けて下の階層はその別名でunnest

struct型の子へは.ドットで指定すればいい、フラットでなくてもbでも取得ができる
↑
通常SQLは「表.カラム」だが「親カラム.子カラム」なので、出元がどこかテーブルを探すかスキーマ内を探すかで迷う

///json_extract, json_extract_scalar
2番目の引数はパス
BigQueryでの複雑なJSON文字列の扱い方と注意点 - Qiita
標準 SQL の JSON 関数 | BigQuery | Google Cloud

with t as (
SELECT unco_data AS col_1 FROM `kuso`
WHERE date = "2021-08-04"
)
SELECT
json_extract(col_1, '$.color') as unco_color,
json_extract(col_1, '$.temperature') as temperature,

json_extract(col_1, '$.fart.times[0].stink') as first_stink,
FROM t

///Pivot
BigQueryでPreviewになったPIVOTとUNPIVOTを試す | DevelopersIO (classmethod.jp)
【SQL】クロス集計を扱う。PIVOT句とUNPIVOT句についてコードを踏まえて解説。 | ポテパンスタイル (potepan.com)
集計をして行を列に変換（生ログをある単位でまとめカラムにする）

--toolのactiveがonなら1、nullなら0でユーザAとBの状況を見る
SELECT * FROM (
SELECT user, tool, active FROM `tools`

)
PIVOT(
MAX( IF (active IS NOT NULL, 1, 0))
FOR user IN ("a", "b")
)
↓
tool　a　b
------------
axe　1　0
sword　0　1

※参考にピボットテーブル

集計して行を列に変換、生ログをある単位でまとめる

　生ログが「日　店　金額」の場合

　↓

　ピボットで「日　金額　（店１　店２　店３）」にする等で、各項目を行と列と値に配置し直す

BigQueryでPreviewになったPIVOTとUNPIVOTを試す | DevelopersIO (classmethod.jp)
PIVOTの中は定数でないとだめだが、
Execute Immediate なら動的にイケる、
がGoogleSheetのConnectedSheetではサポートされておらず無理という罠

///新旧の差分

比較したいデータの共通してい部分で外部結合をしてnull部分を探す

WITH

old_e AS (

SELECT * FROM status WHERE user IN ('a@old.com')

new_e AS (

SELECT * FROM status WHERE user IN ('a@new.com')

)

SELECT * FROM old_e o

FULL OUTER JOIN new_e n ON o.id = n.id AND o.date = n.date

WHERE o.id is null OR n.id is null

ORDER BY o.id, o.date

///REGEXP_REPLACE 正規表現で文字を削除

WITH markdown AS

(SELECT "# Heading" as heading

UNION ALL

SELECT "# Another Heading" as heading)

SELECT

REGEXP_REPLACE(heading, r"^# He", "") AS html

FROM markdown;

標準 SQL の文字列関数 | BigQuery | Google Cloud

///スラッシュで分割するとarrayになるのでオフセットで取得

select SPLIT(path, "/")[OFFSET(3)] from www

スラッシュの最後を取る

ARRAY_REVERSE(SPLIT(aaa, "/"))[SAFE_OFFSET(0)]

引き当てが無い場合はSAFE_OFFSETはNullを返し、OFFSETはエラーを返す

BigQueryの標準SQLでGROUP_CONCATしたいときはSTRING_AGG - GAミント至上主義 (hatenablog.com)
逆にまとめるには

SELECT type, STRING_AGG(DISTINCT name) FROM testData GROUP BY type;

赤身 | ブリ,いわし,アジ,マグロ,カツオ,サバ

白身 | タイ,タラ,フグ,サケ

///Job kill
CALL BQ.JOBS.CANCEL('job_id')
CALL BQ.JOBS.CANCEL('project_id.job_id')

ジョブIDの取得
SELECT
project_id,
job_id,
user_email,
creation_time,
start_time,
--query,

total_slot_ms
FROM `region-us`.INFORMATION_SCHEMA.JOBS_BY_PROJECT
--`region-us`.INFORMATION_SCHEMA.JOBS_BY_USER
--`region-us`.INFORMATION_SCHEMA.JOBS_BY_FOLDER
--`region-us`.INFORMATION_SCHEMA.JOBS_BY_ORGANIZATION
WHERE state != "DONE"
--state = "RUNNING"
--state = "PENDING"
AND user_email = 'my@email.com'
AND project_id = 'paa'
AND start_time < TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 3 MINUTE)
AND total_slot_ms > (1000 * 30)
AND PARTITIONDATE BETWEEN '2021-01-01' AND '2021-01-02'
--PARTITIONTIME BETWEEN TIMESTAMP('2021-01-01') AND TIMESTAMP('2021-01-02')

///upsert(アップデートか新規インサート

https://swfz.hatenablog.com/entry/2021/02/08/195024

MERGE aaa target USING tmptbl src

ON target.time = src.time

WHEN MATCHED AND src.satus = 'rejected' THEN

DELETE

WHEN MATCHED THEN

UPDATE SET ...

WHEN NOT MATCHED THEN

INSERT ROW

///window関数

集約関数（GROUP BY）だと個別データは出力されず集計データだけでるが

window関数だと集計データが個別データにouter joinされた形で出力される

分析関数のコンセプト | BigQuery | Google Cloud

SELECT

deptname,

id,

salary,

AVG(salary) OVER (PARTITION BY deptname)

FROM emp;

deptname | id | salary | avg_salary

-----------+-------+--------+-------------

dev | 11 | 5200 | 5020

dev | 7 | 4200 | 5020

dev | 9 | 4500 | 5020

dev | 8 | 6000 | 5020

dev | 10 | 5200 | 5020

hr | 5 | 3500 | 3700

hr | 2 | 3900 | 3700

sales | 3 | 4800 | 4866

sales | 1 | 5000 | 4866

sales | 4 | 4800 | 4866

deptnameでグループしそのsalaryの集計のAVGが出ている
下のようにover()が空でも良い、4900は大体

SELECT

deptname,

id,

salary,

AVG(salary) OVER () AS avg

FROM emp;

deptname | id | salary | avg

-----------+-------+--------+-------------

dev | 11 | 5200 | 4900

dev | 7 | 4200 | 4900

dev | 9 | 4500 | 4900

dev | 8 | 6000 | 4900

dev | 10 | 5200 | 4900

hr | 5 | 3500 | 4900

hr | 2 | 3900 | 4900

sales | 3 | 4800 | 4900

sales | 1 | 5000 | 4900

sales | 4 | 4800 | 4900

関数としては集計関数がそのまま使えるようだ

OVERはwindow関数を使う宣言、OVERの後にどのようにwindowを作るのかを定義

PARTITIONでwindowでつまりどの範囲でグループを作るか指定
　AVG(salary) OVER (PARTITION BY deptname, sub_deptname) でサブデプト単位での平均となる

///誰が実行しているかをセッションユーザで出す
標準 SQL のセキュリティ関数 | BigQuery | Google Cloud

SELECT SESSION_USER() as user;

+----------------------+

| user |

+----------------------+

| jdoe@example.com |

+----------------------+

///プログラムで使う

https://googleapis.dev/python/bigquery/latest

from google.cloud import bigquery

client = bigquery.Client()

QUERY = ('SELECT name FROM `bigquery-public-data.usa_names.usa_1910_2013`')

query_job = client.query(QUERY)

rows = query_job.result()

for row in rows:

print(row.name)

///承認済みビュー

authorized viewを設定するとそのviewを対象とする権限だけ必要で

権限をさかのぼり付与しなくていい（通常のviewは参照元の権限も必要）

https://qiita.com/t_odash/items/65b9c965031c3120b765

　被参照の元テーブル側に許可するview名を設定する

■saturationの場合、詰まっている、サチっている
対象にクエリを発行 select 1
同プロジェクトの他のテーブルにクエリを発行 select 1
別プロジェクトから対象にクエリを発行 select 1
reservationsのoverviewを見る
対象のSQLを発行
別のプロジェクトで同SQLを発行
　時間を比べる
Google側の問題と思われるときはGoogleのサポートへGo
Google Could Status Google Cloud Status Dashboard

///Authrized function
認可済み関数の作成 | BigQuery | Google Cloud

SELECT `b-sandbox`.test_ds.count_row(1);　で実行できる

UDFやテーブル関数のルーティンを承認しておくと誰からでも使える（ビューと違い権限管理できずセキュリティがズブズブになると思われ）

　target_prj.trg_dsに受け入れる関数を共有指定する形

　UDFは戻り値がある、テーブル関数は副問い合わせとして使う形か

■SQLはカラム数の増加数で構成考える？
left outer joinはカラム数がカラム数の合計から共通のjoin onのカラム数を引いた数（行数はleftに同じ）
　full outer join はカラム数がカラム数の合計から共通のjoin onのカラム数を引いた数（行数はleftの要素数にrightの要素数を合計したもの）

unionは重複を除外し表を足し合わせるため行数が両表の合計行数（カラム数は合致必要でカラム数は変わらない）

unian allは重複を除外せず表を足し合わせるため行数が両表の合計行数（カラム数は合致必要でカラム数は変わらない）

cross joinはカラム数が両表のカラム数の合計、行数は両表の行数の掛け算

　再帰的にSQL処理はcross joinし条件を付けるか？

　　標準SQLのFrom句のカンマはcross joinとなる
with句は副問い合わせを見やすくしたもの
distinctで(組み合わせで)一意になる行のみにし重複を省く
UNION とUNION ALLの違い - Qiita
CROSS JOIN （クロス結合）を使ってデータを取得する - JOIN （結合）を使いこなそう - SQL Server 入門 (sql55.com)
SQLのDISTINCTとは？（OracleやMySQLで使用する方法） | IT職種コラム (it-kyujin.jp)

■課金

クエリ課金：使用しているプロジェクトで課金、データの置き場所ではない
　定額：$2000/100slot/m(全プロジェクトでスロットを共有)、オンデマンド：$5/T=2Gスキャンで1円位

　量を減らす：カラムを減らす、パーティショニング
データ保管課金：データ量
　$1/50G/m
6,000スロットを使うBigQueryのリソース配分最適化への挑戦 (plaid.co.jp)
サポートを付けるとGoogleに聞き放題になったりする

■権限
事前定義ロールと権限 | BigQuery | Google Cloud
job user：select文クエリ実行だけでもジョブでjob userとdata viewerが要る（data viewerだけでは不足）
　課金プロジェクトでjob userを持ち、参照先プロジェクトでdata viewerを持つという権限構成だから
IAMかデータセット/tblに必要な権限を付与する
　data editorでも自分で作成したものは自分がOwnerになり削除や変更権限がある

■IAM(Identity and Access Management)　
https://www.bangboo.com/cms/blog/page_347.html

Posted by funa : 01:00 AM | Web | Comment (0) | Trackback (0)

Navi: 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 >

@funa1000 からのツイート

For mobile click here
For smart phone click here

#1	Web
#2	Hiace 200
#3	Gadget
#4	The beginning of CSSレイアウト
#5	Column
#6	Web font test
#7	Ora Ora Ora Ora Ora
#8	Wifi cam
#9	みたらし団子
#10	Arcade Controller
#11	G Suite
#12	PC SPEC 2012.8
#13	Javascript
#14	REMIX DTM DAW - Acid
#15	RSS Radio
#16	Optimost
#17	通話SIM
#18	Attachment
#19	Summer time blues
#20	Enigma
#21	Git
#22	Warning!! Page Expired.
#23	Speaker
#24	Darwinian Theory Of Evolution
#25	AV首相
#26	htaccess mod_rewite
#27	/// BANGBOO BLOG /// From 2016-01-01 To 2016-01-31
#28	竹書房
#29	F☆ck CSS
#30	Automobile Inspection
#31	No ID
#32	Win7 / Win10 Insco
#33	Speaker
#34	Arcade Controller
#35	Agile
#36	G Suite
#37	Personal Information Privacy Act
#38	Europe
#39	Warning!! Page Expired.
#40	GoogleMap Moblile
#41	CSS Selectors
#42	MySQL　DB　Database
#43	Ant
#44	☆od damnit
#45	Teeth Teeth
#46	Itinerary with a eurail pass
#47	PHP Developer
#48	Affiliate
#49	/// BANGBOO BLOG /// From 2019-01-01 To 2019-01-31
#50	/// BANGBOO BLOG /// From 2019-09-01 To 2019-09-30
#51	/// BANGBOO BLOG /// On 2020-03-01
#52	/// BANGBOO BLOG /// On 2020-04-01
#53	Windows env tips
#54	恐慌からの脱出方法
#55	MARUTAI
#56	A Rainbow Between Clouds‏
#57	ER
#58	PDF in cellphone with microSD
#59	DJ
#60	ICOCA
#61	Departures
#62	Update your home page
#63	CSS Grid
#64	恐慌からの脱出方法
#65	ハチロクカフェ
#66	/// BANGBOO BLOG /// On 2016-03-31
#67	/// BANGBOO BLOG /// From 2017-02-01 To 2017-02-28
#68	/// BANGBOO BLOG /// From 2019-07-01 To 2019-07-31
#69	/// BANGBOO BLOG /// From 2019-10-01 To 2019-10-31
#70	/// BANGBOO BLOG /// On 2020-01-21
#71	Bike
#72	Where Hiphop lives!!
#73	The team that always wins
#74	Tora Tora Tora
#75	Blog Ping
#76	無料ストレージ
#77	jQuery - write less, do more.
#78	Adobe Premire6.0 (Guru R.I.P.)
#79	PC SPEC 2007.7
#80	Google Sitemap
#81	Information privacy & antispam law
#82	Wifi security camera with solar panel & small battery
#83	Hope get back to normal
#84	Vice versa
#85	ハイエースのメンテ
#86	Camoufla
#87	α7Ⅱ
#88	Jack up Hiace
#89	Fucking tire
#90	Big D
#91	4 Pole Plug
#92	5-year-old shit
#93	Emancipation Proclamation
#94	Windows env tips
#95	Meritocracy
#96	Focus zone
#97	Raspberry Pi
#98	Mind Control
#99	Interview
#100	Branding Excellent

Column [122]
Europe [9]
Gadget [73]
Web [111]
Bike [3]

Panty gore-tex / Never stop fucking on Jan 17
リンク踏合組合 on Dec 25
B=AIDMA R MAT SURE on Dec 02
k8s on Jun 09
GCP Hands Off on May 21

< January 2022 >
Sun	Mon	Tue	Wed	Thi	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31