Para obtener la encriptación más sólida entre Looker y su base de datos, puede crear un túnel SSH a un servidor de túnel o al propio servidor de base de datos.
Los túneles SSH no están disponibles para las bases de datos que no tienen una única dirección de host, como las bases de datos de Google BigQuery y Amazon Athena. Los usuarios de BigQuery y Athena deben ir directamente a la configuración de la base de datos.
Paso 1: Elige un host para finalizar el túnel
El primer paso a fin de configurar el acceso de túnel SSH para tu base de datos es elegir el host que se usará para finalizar el túnel. El túnel se puede finalizar en el host de la base de datos o en un host independiente (el servidor del túnel).
Usa el servidor de base de datos
Terminar en la base de datos tiene la ventaja de la simplicidad. Hay un host menos involucrado, por lo que no hay máquinas adicionales y sus costos asociados. La desventaja es que tu servidor de base de datos puede estar en una red protegida que no tiene acceso directo desde Internet.
Usa un servidor de túnel
Terminar el túnel en un servidor independiente tiene la ventaja de mantener el servidor de base de datos inaccesible desde Internet. Si el servidor del túnel se ve comprometido, es un paso que se quitó del servidor de base de datos. Te recomendamos quitar todo el software y los usuarios que no sean esenciales del servidor del túnel y supervisarlo de cerca con herramientas como un IDS.
El servidor de túnel puede ser cualquier host Unix/Linux que haga lo siguiente:
- Se puede acceder a él desde Internet a través de SSH.
- Puede acceder a la base de datos
Paso 2: Crea una lista de IP de anunciantes permitidos
El segundo paso es permitir que el tráfico de red llegue al servidor del túnel o al host de la base de datos mediante SSH, que suele estar en el puerto TCP 22.
Permita el tráfico de red de cada una de las direcciones IP enumeradas aquí para la región en la que se aloja la instancia de Looker. De manera predeterminada, este será "Estados Unidos".
Instancias alojadas en Google Cloud
Las instancias alojadas en Looker se alojan en Google Cloud de forma predeterminada. Para las instancias alojadas en Google Cloud, agrega a la lista de entidades permitidas las direcciones IP que coincidan con tu región.
Haz clic aquí para obtener una lista completa de las direcciones IP de las instancias alojadas en Google Cloud
Moncks Corner, Carolina del Sur, EE.UU. (us-east1)
34.75.58.12335.196.30.11035.243.254.16634.111.239.10235.237.174.1734.73.200.23535.237.168.216
Ashburn, Virginia del Norte, EE.UU. (us-east4)
35.221.30.17735.245.82.7335.194.74.18535.245.177.11234.86.118.23934.86.52.18835.221.3.16335.245.211.10934.86.136.19034.86.214.22635.221.62.21834.86.34.13535.236.240.16834.150.212.934.150.174.5434.85.200.21734.145.147.14635.245.20.1634.145.139.2234.150.217.2035.199.35.17635.245.72.3535.236.220.22534.150.180.9434.85.187.175
Council Bluffs, Iowa, EE.UU. (us-central1)
34.69.207.17634.70.128.7435.239.118.197104.154.21.23135.192.130.12635.184.100.5134.172.2.22734.71.191.21034.173.109.50
The Dalles, Oregón, EE.UU. (us-west1)
34.82.120.2535.247.5.9935.197.64.5735.233.172.2335.233.249.16035.247.55.3335.247.117.035.247.61.15134.82.193.21535.233.222.22634.83.94.15135.203.184.4834.83.138.10535.197.35.18834.127.116.8534.145.90.8334.127.41.19934.82.57.22535.197.66.24434.105.127.12235.233.191.8434.145.93.130
Los Ángeles, California, EE.UU. (us-west2)
35.236.22.7735.235.83.17735.236.51.71
Montreal, Quebec, Canadá (northamerica-northeast1)
35.234.253.10335.203.46.25534.152.60.21035.234.252.15035.203.0.635.203.96.235
Londres, Inglaterra, Reino Unido (europe-west2)
35.189.94.10535.246.36.6735.234.140.7734.142.77.1834.105.131.13334.89.54.8434.89.124.13934.89.25.534.105.209.4434.105.181.13335.242.138.13334.105.219.15434.89.127.5135.246.10.20635.189.111.17335.197.222.22034.105.198.15135.246.117.5834.142.123.9634.105.176.20935.189.95.16734.89.55.235.197.199.2035.242.174.15834.89.3.120
Fráncfort, Alemania (europe-west3)
34.159.224.18734.159.10.5934.159.72.7735.242.243.25534.159.247.21135.198.128.12634.89.159.13834.159.253.10334.159.244.43
Bombay, India (asia-south1)
34.93.221.13735.244.24.19835.244.52.179
Puerto de Ems, Países Bajos (europe-west4)
35.204.118.2835.204.216.734.90.52.19135.204.176.2934.90.199.9534.90.145.226
Condado de Changhua, Taiwán (asia-east1)
104.199.206.20934.80.173.21235.185.137.114
Tokio, Japón (asia-northeast1)
34.85.3.19834.146.68.20334.84.4.21835.200.82.7234.84.163.2734.85.31.212
Jurong West, Singapur (asia-southeast1)
34.143.210.11634.143.132.20634.87.134.20235.197.143.535.247.186.6834.142.215.2635.198.246.81
Yakarta, Indonesia (asia-southeast2)
34.101.158.8834.101.157.23834.101.184.52
Sídney, Australia (australia-southeast1)
34.87.195.3634.116.85.14034.151.78.4835.189.13.2935.189.9.8135.244.68.217
Osasco (São Paulo), Brasil (southamerica-east1)
34.151.199.20135.199.122.1934.95.180.12234.95.168.3834.151.235.24134.95.181.19
Instancias alojadas en Amazon Elastic Kubernetes Service (Amazon EKS)
Para las instancias alojadas en Amazon EKS, agrega a la lista de entidades permitidas las direcciones IP que coincidan con tu región.Haz clic aquí para obtener una lista completa de las direcciones IP de las instancias alojadas en Amazon EKS
Este de EE.UU. (Norte de Virginia) (us-east-1).
18.210.137.13054.204.171.25350.17.192.8754.92.246.22375.101.147.9718.235.225.16352.55.239.16652.86.109.6854.159.176.1993.230.52.22054.211.95.15052.55.10.236184.73.10.8552.203.92.11452.3.47.18952.7.255.5454.196.92.552.204.125.24434.200.64.24318.206.32.25454.157.231.7654.162.175.24454.80.5.1735.168.173.23852.44.187.2218.213.96.4023.22.133.20634.239.90.16934.236.92.873.220.81.24154.197.142.23834.200.121.563.83.72.4154.159.42.1443.229.81.10134.225.255.22054.162.193.16534.235.77.1173.233.169.6354.87.86.11318.208.86.2952.44.90.201
Este de EE.UU. (Ohio) (us-east-2)
3.135.171.2918.188.208.2313.143.85.223
Oeste de EE.UU. (Oregón) (us-west-2)
44.237.129.3254.184.191.25035.81.99.30
Canadá (Central) (ca-central-1)
52.60.157.6135.182.169.2552.60.59.12835.182.207.12815.222.172.643.97.27.5135.183.191.13315.222.86.12352.60.52.14
Europa (Irlanda) (eu-west-1)
54.74.243.24654.195.216.9554.170.208.6752.49.220.10352.31.69.11734.243.112.7652.210.85.11052.30.198.16334.249.159.11252.19.248.17654.220.245.17154.247.22.227176.34.116.19754.155.205.15952.16.81.13954.75.200.18834.248.52.454.228.110.3234.248.104.9854.216.117.22552.50.172.40
Europa (Fráncfort) (eu-central-1)
18.157.231.10818.157.207.3318.157.64.19818.198.116.1333.121.148.1783.126.54.154
Asia-Pacífico (Tokio) (ap-northeast-1)
54.250.91.5713.112.30.11054.92.76.241
Asia-Pacífico (Sídney) (ap-southeast-2)
13.238.132.1743.105.238.713.105.113.36
Sudamérica (São Paulo) (sa-east-1)
54.232.58.18154.232.58.98177.71.134.208
Instancias alojadas en Microsoft Azure
Para las instancias alojadas en Azure, agrega a la lista de entidades permitidas las direcciones IP que coincidan con tu región.Haz clic aquí a fin de obtener una lista completa de direcciones IP para instancias alojadas en Microsoft Azure
Virginia, EE.UU. (us-east2)
52.147.190.201
Hosting heredado
Use estas direcciones IP para todas las instancias alojadas en AWS y que se crearon antes del 7 de julio de 2020.Haz clic aquí a fin de obtener una lista completa de las direcciones IP para hosting heredado
Estados Unidos (configuración predeterminada de AWS)
54.208.10.16754.209.116.19152.1.5.22852.1.157.15654.83.113.5
Canadá
99.79.117.12735.182.216.56
Asia
52.68.85.4052.68.108.109
Irlanda
52.16.163.15152.16.174.170
Alemania
18.196.243.9418.184.246.171
Australia
52.65.128.17052.65.124.87
Sudamérica
52.67.8.10354.233.74.59
Paso 3: Uso de túneles SSH
Si la pestaña Servidores SSH está habilitada, siga las instrucciones de esta página para agregar la información de configuración de su servidor SSH a Looker.
La opción Servidor SSH está disponible si la instancia se implementa en la infraestructura de Kubernetes y solo si se habilitó la capacidad de agregar información de configuración del servidor SSH a tu instancia de Looker. Si esta opción no está habilitada en tu instancia de Looker y quieres habilitarla, comunícate con tu administrador de cuentas de Looker o abre una solicitud de asistencia en el Centro de ayuda de Looker.
En la página Conexiones de la sección Administrador de Looker, haz clic en la pestaña Servidor SSH:
Luego, haz clic en Agregar servidor. Looker muestra la página Agregar servidor SSH:
- Ingresa un nombre para la configuración del servidor SSH.
- Haz clic en Descargar clave para descargar la clave pública en un archivo de texto. Asegúrese de guardar este archivo, ya que deberá agregar la clave pública al archivo de claves autorizadas del servidor SSH más adelante.
- Ingresa el nombre de usuario que usará Looker para conectarse al servidor SSH.
- Ingresa la dirección IP o el nombre de host del servidor SSH.
- Ingresa el número de puerto que usas para conectarte al servidor SSH.
Paso 4: Prepara el host del túnel
Agrega la clave pública a tu archivo authorized_keys
Para autenticar la sesión del túnel SSH, Looker requiere una clave pública única (Looker no admite accesos con contraseña). Si la pestaña Servidores SSH está habilitada en su instancia, puede descargar la clave pública en un archivo de texto haciendo clic en el botón Descargar clave cuando ingrese la información de su configuración SSH. Si configuras tu túnel SSH con la asistencia de un analista de Looker, tu analista de Looker te proporcionará una clave pública única.
Deberá preparar su host (el servidor de la base de datos o el servidor del túnel) creando un usuario looker y agregando la clave pública de Looker al archivo .ssh/authorized_keys de Looker. A continuación, le indicamos cómo hacerlo:
En la línea de comandos, crea un grupo llamado
looker:sudo groupadd lookerCrea el usuario
lookery su directorio principal:sudo useradd -m -g looker lookerCambia al usuario
looker.sudo su - lookerCrea el directorio
.ssh:mkdir ~/.sshConfigurar permisos:
chmod 700 ~/.sshCambia al directorio
.ssh:cd ~/.sshCrea el archivo
authorized_keys:touch authorized_keysConfigurar permisos:
chmod 600 authorized_keys
Con tu editor de texto favorito, agrega la llave SSH que te proporcionó tu analista de Looker al archivo authorized_keys. La clave debe estar todas en una línea. En algunos casos, cuando recuperes la clave de tu correo electrónico, el cliente de correo electrónico insertará los saltos de línea. Si no las quitas, será imposible establecer el túnel SSH.
Agrega ssh-rsa a tu archivo sshd_config.
OpenSSH inhabilitó ssh-rsa de forma predeterminada, lo que puede causar errores cuando se configura un túnel SSH. Para resolver este problema, agrega ssh-rsa a la lista de algoritmos aceptados de tu servidor. A continuación, le indicamos cómo hacerlo:
- Edita el archivo
sshd_config. Por lo general, puedes encontrarla en~/etc/ssh/sshd_config. Agrega lo siguiente a tu archivo
sshd_config:HostKeyAlgorithms +ssh-rsa PubKeyAcceptedAlgorithms +ssh-rsa
Notas de seguridad del túnel
Cuando un túnel SSH finaliza en el servidor de la base de datos, la conexión de Looker parece ser una conexión local en el servidor de la base de datos. Por lo tanto, elimina los mecanismos de seguridad basados en la conexión integrados en las plataformas de base de datos, como MySQL. Por ejemplo, es muy común que se otorgue acceso local al usuario root sin contraseña.
De forma predeterminada, abrir el acceso SSH también permite reenviar cualquier puerto, lo que evita cualquier firewall entre Looker y el host de la base de datos que finaliza el túnel SSH. Es posible que este riesgo de seguridad se considere inaceptable. Esta redirección de puertos y la capacidad de acceder a tu servidor del túnel se pueden controlar si configuras de forma adecuada la entrada .ssh/authorized_keys de la clave pública de Looker.
Por ejemplo, el siguiente texto puede anteponerse a la Llave SSH de Looker en el archivo authorized_keys. Tenga en cuenta que este texto DEBE personalizarse para su entorno.
no-pty,no-X11-forwarding,permitopen="localhost:3306",permitopen="localhost:3307",
command="/bin/echo Login Not Permitted"
Consulta la documentación de man ssh y man authorized_keys Linux para ver ejemplos y detalles completos.
Próximos pasos
Si la pestaña Servidores SSH está habilitada en tu instancia, regresa a la página Agregar servidor SSH y haz clic en Probar y solicitar huella digital para verificar la conexión al servidor SSH. Looker mostrará una pantalla con la nueva configuración de SSH y opciones para descargar o ver la clave pública, y ver la huella digital única de la configuración del servidor SSH.
Luego, en la página Configuración de la conexión de tu base de datos, haz lo siguiente:
- Habilita el botón de activación Servidor SSH y selecciona la configuración del servidor SSH en la lista desplegable.
- En el campo Remote Host:Port, ingresa la dirección IP o el nombre de host y el número de puerto de la base de datos.
Las conexiones de bases de datos que usan un túnel SSH no pueden aplicar un atributo de usuario al campo Host remoto:puerto.
Si estás configurando tu túnel SSH con la ayuda de un analista de Looker, notifícale que estás listo para probar el túnel SSH. Una vez que confirme que se estableció el túnel, te proporcionará el número de puerto para el lado de Looker del túnel SSH.
Luego, en la página Configuración de la conexión de tu base de datos, haz lo siguiente:
- Ingresa
localhosten el campo Host remoto. - En el campo Puerto, ingrese el número de puerto del lado de Looker del túnel SSH que proporcionó su analista de Looker.
Desactiva Verificar certificado SSL en la página Conexiones de tu base de datos.
Los certificados SSL no son compatibles cuando se configura un túnel SSH para tu base de datos desde Looker. En cambio, la llave SSH que agregó en el paso 4 proporciona la seguridad del protocolo de enlace entre Looker y su base de datos.