如果客户托管的 Looker 实例无法与 Looker 托管的操作中心通信,Looker 管理员可能无法启用支持流式传输结果或使用 OAuth 的操作。此外,Looker 用户在向支持流式传输结果的操作发送或调度数据时,可能会遇到查询挂起的情况,并且可能无法配置 OAuth 操作。
如需使用 Looker 集成,Looker Action Hub 和 Looker 实例必须能够相互通信。客户自托管实例的管理员如果想了解适合其实例架构的解决方案,可以参阅通过操作中心共享数据文档页面中的客户自托管实例注意事项部分中所述的建议。
如果实例使用的 SSL 证书是由不在此根证书列表中的证书授权机构 (CA) 颁发的,则在客户托管的 Looker 实例上可能无法使用 OAuth 和流式传输操作。
如需查看配置为支持流式传输结果或 OAuth 的操作,请参阅管理设置 - 操作文档页面上 Looker 的集成服务列表。
本页介绍了如何启动本地操作中心服务器,以使用支持流式传输结果或使用 Google OAuth 的 Looker 操作。您可以创建容器或虚拟机 (VM),用于托管 Looker Action Hub 代码库的克隆副本,然后按照以下步骤设置自己的本地操作中心服务器,如下一部分中更详细地介绍了这些步骤:
- 为操作中心服务器创建容器或虚拟机 (VM) 设置。
- 配置 Google OAuth 凭据。
- 配置 Google OAuth 权限请求页面。
- 设置环境变量。
- 生成 API 密钥。
- 启动新的操作中心。
- 将新的操作中心添加到 Looker 实例。
为操作中心服务器创建容器或虚拟机 (VM) 设置
您的虚拟机或容器应满足以下分配和网络要求及依赖项:
建议的内存分配
Looker 建议为此容器或虚拟机分配 2 个 CPU/vCPU 线程和至少 2 GB 内存。如果您预计操作的使用量会很大,请考虑将内存增加到 2 GB 以上。
网络要求
您的操作中心必须具有静态 IP 地址或可通过内部域名系统 (DNS) 解析的地址。
您的网络必须支持以下通信要求:
- Looker 实例必须能够与操作中心通信。
- Google Auth 必须能够与操作中心通信。
- 内部连接的浏览器必须能够访问操作中心。
- 操作中心必须能够连接到 Google 云端硬盘服务器。
必需的依赖项
将 Looker 操作代码库克隆到新创建的虚拟机或容器中时:
- 确保已安装 Node 12.13。
- 运行
yarn install
以安装必要的软件包。
设置好环境后,您需要在 Google Cloud API 控制台中为操作中心服务器创建 Google OAuth 凭据。
配置 Google OAuth 凭据
如需为您的操作配置 Google OAuth 凭据,您需要执行以下操作:
创建 Google OAuth 凭据
如需创建 Google OAuth 客户端 ID 和客户端密钥,请执行以下操作:
- 前往 Google Cloud 管理资源页面,然后点击创建项目以创建新项目。
如需详细了解如何创建项目,请参阅创建和管理项目指南。
- 创建新项目后,选择该新项目。
- 在控制台左侧边栏中,依次前往 API 和服务 > 凭据页面。
- 点击创建凭据。
- 在下拉菜单中,点击 OAuth 客户端 ID。
- 您可能需要配置 OAuth 权限请求页面。如果是,请按照本页下文配置 OAuth 权限请求页面部分中的说明操作,然后继续执行第 7 步。
- 在应用类型部分,选择 Web 应用。
- 在名称字段中提供应用名称。
- 在已获授权的 JavaScript 来源部分,添加您在内部使用的根 Looker 应用地址。
- 为 Google 云端硬盘和 Google 表格控制台设置已获授权的重定向 URI,其中
ACTION_HUB_BASE_URL
是您的操作中心的地址:https://<ACTION_HUB_BASE_URL>/actions/google_sheets/oauth_redirect https://<ACTION_HUB_BASE_URL>/actions/google_drive/oauth_redirect
- 点击创建按钮,生成 OAuth 客户端 ID 和 OAuth 客户端密钥。您稍后会需要这两者。
配置 OAuth 同意屏幕
您可以在 Google API 控制台的此页面上为项目中的所有应用配置权限请求页面,以便用户授予对其数据的访问权限,同时向用户提供指向任何法律或隐私权文档的链接。如果您已完成此步骤,或者不需要配置意见征求界面,请跳过本部分,然后返回终端窗口,按照本页面稍后介绍的设置环境变量中的说明设置环境变量。
如需配置同意页面,请执行以下操作:
- 点击配置权限请求页面。
- 选择这是内部应用还是外部应用,然后点击创建。
- 在应用名称字段中输入应用的名称。
- 对于用户支持电子邮件地址,请输入要在 OAuth 权限请求页面上显示的用户支持电子邮件地址。
- (可选)对于应用徽标,请上传要在 OAuth 权限请求页面上使用的图片文件。
- (可选)输入您的应用首页链接,该链接应托管在与操作中心相同的根网域中。
- 您可以选择在应用隐私权政策链接字段中输入指向应用隐私权政策的链接。该链接必须托管在与您的行动中心相同的根网域中。
- (可选)在应用服务条款链接字段中,输入指向应用服务条款的链接。该链接必须托管在与您的操作中心相同的根网域中。
- 在已获授权的网域部分中,点击添加网域,然后输入您的操作中心使用的根网域。
- 在开发者联系信息字段中,输入 Google 可以联系您的电子邮件地址。
- 点击保存并继续。
- 在范围部分中,添加应用必须访问的用户数据类型。这包括电子邮件、个人资料、OpenID 和
https://mail.google.com
。由于此列表包含敏感的用户信息,因此必须先经过 Google 验证您的 OAuth 权限请求页面,然后才能发布。 - 点击保存并继续。
- (可选)在测试用户部分中,添加您希望在验证之前有权访问操作中心的任何用户。
- 点击保存并继续。
- 点击返回信息中心。
- 在左侧边栏中,点击凭据,返回以配置 OAuth 凭据。
配置 OAuth 权限请求页面后,如果您正在配置 Google OAuth 凭据,请返回到该流程的第 7 步,然后完成凭据配置。否则,您可以返回到终端窗口来设置环境变量。
设置环境变量
在虚拟机或容器环境中,设置以下环境变量:
ACTION_HUB_LABEL=<your action hub label name> ACTION_HUB_SECRET=<some secret> ACTION_HUB_BASE_URL=<your action hub base address> # For example https://actions.company.com # DO NOT INCLUDE A TRAILING SLASH GOOGLE_SHEET_CLIENT_ID=<OAuth client ID> GOOGLE_SHEET_CLIENT_SECRET=<OAuth client secret> GOOGLE_DRIVE_CLIENT_ID=<OAuth client ID> GOOGLE_DRIVE_CLIENT_SECRET=<OAuth client secret>
您应该能够同时为 Google 云端硬盘和 Google 表格使用相同的 OAuth client ID
和 OAuth client secret
;不过,最好同时设置这两组 Google API 令牌。
还需设置加密密钥:
CIPHER_MASTER="<hex aes-256 key>"
此密钥不用于长期加密,仅用于在 OAuth 流程期间加密 state
。以下是十六进制 AES-256 密钥的示例:
C4EFBBE2C364248419776459A00F2F4017CE77E29D9E8F64940687EA440A0CC9
生成 API 密钥
如需获取 API 密钥,请运行以下命令:
y
arn generate-api-key
保留生成的密钥,以便稍后在设置中使用。此密钥是根据 ACTION_HUB_SECRET
生成的。
启动本地操作中心服务器
如需启动操作中心,请运行以下命令:
yarn start
将 Action Hub 添加到 Looker 实例
如需将您的 Action Hub 添加到 Looker 实例,请执行以下操作:
- 在 Looker 中,前往管理面板中平台下的操作页面。
- 滚动到页面底部,然后点击添加行动中枢按钮。
- 输入您的
ACTION_HUB_BASE_URL
,然后点击添加 Action Hub。您的操作中心应显示在新的标题下,其中包含其名称和ACTION_HUB_BASE_URL
。您的 Google 云端硬盘和 Google 表格操作应显示在此标题下。 - 如果连接失败,请在授权令牌字段中输入您之前生成的
api-key
,然后点击操作中心标题顶部的刷新链接。 - 启用 Google 云端硬盘和 Google 表格操作,并验证它们是否已在操作中心内正确配置。
下一步
下一步是在 Google API 控制台中发布您创建的应用。如需发布,请前往 OAuth 权限请求页面,然后点击提交以进行验证按钮。请注意,应用发布流程可能需要一些时间,并且需要完成一些 Google 验证步骤。