Dialekte, für die diese Anweisungen relevant sind
Looker stellt eine Verbindung zu den folgenden Impala-Datenbanken her:
- Cloudera Impala 3.1+
- Cloudera Impala 3.1+ mit nativem Treiber
- Cloudera Impala mit nativem Fahrer
Netzwerk-Datenverkehr verschlüsseln
Es empfiehlt sich, den Netzwerkverkehr zwischen der Looker-Anwendung und Ihrer Datenbank zu verschlüsseln. Sehen Sie sich eine der Optionen an, die auf der Dokumentationsseite Sicheren Datenbankzugriff aktivieren beschrieben werden.
Looker für die Verbindung mit Cloudera Impala konfigurieren
Looker stellt über eine JDBC-Verbindung eine Verbindung zu Datenbanken her. Bei Impala-Datenbanken stellt Looker standardmäßig eine Verbindung zum Server her, auf dem der Daemon impalad
auf Port 21050 ausgeführt wird. Weitere Informationen finden Sie im Abschnitt Impala für die Arbeit mit JDBC konfigurieren der Dokumentation auf der Cloudera-Website.
Wählen Sie im Bereich Admin von Looker die Option Verbindungen aus und klicken Sie dann auf Verbindung hinzufügen.
Die Konfiguration der Looker-Verbindung hängt von der verwendeten Sicherheit ab:
- Cluster ohne Kerberos oder Nutzerauthentifizierung
- Cluster mit LDAP-Authentifizierung
- Ein Cluster, der mit Kerberos, aber ohne Apache Sentry gesichert ist
Verbindung zu einem Cluster ohne Kerberos oder Nutzerauthentifizierung herstellen
So konfigurieren Sie eine Verbindung, die kein Kerberos oder keine Nutzerauthentifizierung verwendet:
- Lassen Sie auf der Seite Verbindungseinstellungen die Felder Nutzername und Passwort leer. (
*
neben den Feldnamen impliziert, dass diese Felder erforderlich sind, sind es aber nicht.) - Geben Sie im Feld Zusätzliche JDBC-Parameter den Wert
;auth=noSasl
ein.
Verbindungsstring prüfen
Wenn Sie den JDBC-Verbindungsstring in den Protokolldateien prüfen möchten, klicken Sie im Looker-Bereich Admin im linken Menü auf Protokoll. Filtern Sie dann das Protokoll nach einem Begriff wie jdbc
oder noSasl
. Die Protokollzeile sieht in etwa so aus:
jdbc connect using: jdbc:hive2://<HOSTNAME>/<DATABASE_NAME>;auth=noSasl
Weitere Informationen zum Konfigurieren von Impala-Datenbanken für JDBC finden Sie in der Dokumentation auf der externen Cloudera-Website.
Verbindung zu einem Cluster herstellen, für den eine LDAP-Authentifizierung erforderlich ist
Geben Sie bei einem Cluster, der eine LDAP-Authentifizierung erfordert, einschließlich eines Clusters mit Apache Sentry und Kerberos, auf der Seite Verbindungseinstellungen einen Nutzernamen und ein Passwort mit Zugriff auf die Schemas ein, auf die Looker zugreifen wird.
Verbindung zu einem mit Kerberos gesicherten Cluster herstellen, ohne Apache Sentry verwenden zu können
Das Analystenteam von Looker muss Sie möglicherweise bei der richtigen Konfiguration dieser Verbindung unterstützen.
Normalerweise wird die Kerberos-Authentifizierung in Cloudera-Umgebungen über Apache Sentry abgewickelt. Weitere Informationen finden Sie in der Cloudera-Dokumentation.
Wenn Sie Looker so konfigurieren möchten, dass eine direkte Verbindung zu Impala-Datenbanken mithilfe der Kerberos-Authentifizierung hergestellt wird, befolgen Sie die Schritte auf dieser Seite.
Kerberos-Clientkonfiguration einrichten
Zuerst müssen Sie die Installation mehrerer Softwareprogramme und das Vorhandensein mehrerer Dateien auf dem Looker-Computer sicherstellen.
Kerberos-Client
Führen Sie kinit
aus, um zu prüfen, ob der Kerberos-Client auf dem Looker-Computer installiert ist. Wenn der Kerberos-Client nicht installiert ist, installieren Sie die Binärdateien des Kerberos-Clients.
Auf Redhat/CentOS wäre das beispielsweise:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
Java 8 muss auf dem Looker-Computer sowie in den PATH
und JAVA_HOME
des Looker-Nutzers installiert sein. Installieren Sie ihn bei Bedarf lokal im Verzeichnis looker
.
Java Cryptography-Erweiterung
Laden Sie die Java Cryptography Extension (JCE) für Java 8 von der Oracle-Website herunter und installieren Sie sie.
- Suchen Sie das Verzeichnis
jre/lib/security
für die Java-Installation. - Entfernen Sie die folgenden JAR-Dateien aus diesem Verzeichnis:
local_policy.jar
undUS_export_policy.jar
. - Ersetzen Sie diese beiden Dateien durch die JAR-Dateien, die im Download der JCE Unlimited Strength Jurisdiction Policy Files enthalten sind.
Möglicherweise können ältere Java-Versionen als Java 8 verwendet werden, wenn JCE installiert ist. Dies wird jedoch nicht empfohlen.
- Suchen Sie das Verzeichnis
Aktualisieren Sie
JAVA_HOME
undPATH
in~looker/.bash_profile
, damit sie auf die richtige Java- undsource ~/.bash_profile
-Installation verweisen, oder melden Sie sich ab und wieder an.Überprüfen Sie die Java-Version mit
java -version
.Prüfen Sie die Umgebungsvariable
JAVA_HOME
mitecho $JAVA_HOME
.
gss-jaas.conf
Erstellen Sie im Verzeichnis looker
eine Datei gss-jaas.conf
mit folgendem Inhalt:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
Wenn dies zum Testen erforderlich ist, kann debug=true
so zu dieser Datei hinzugefügt werden:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
Der Server, auf dem Looker ausgeführt wird, sollte ebenfalls eine gültige krb5.conf
-Datei haben. Diese Datei befindet sich standardmäßig in /etc/krb5.conf
. Befindet es sich an einem anderen Ort, muss dies in der Umgebung angegeben werden (KRB5_CONFIG
in der Shell-Umgebung).
Möglicherweise müssen Sie diesen Code von einem anderen Kerberos-Clientcomputer kopieren.
lookerstart.cfg
Verweisen Sie auf die Dateien gss-jaas.conf
und krb5.conf
. Erstellen Sie dazu im Verzeichnis looker
(demselben Verzeichnis, in dem sich das Startskript looker
befindet) namens lookerstart.cfg
, das die folgenden Zeilen enthält:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
Wenn sich die Datei krb5.conf
nicht unter /etc/krb5.conf
befindet, muss außerdem diese Variable hinzugefügt werden:
-Djava.security.krb5.conf=/path/to/krb5.conf
Fügen Sie für das Debugging die folgenden Variablen hinzu:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
Starten Sie dann Looker mit ./looker restart
neu.
Mit Kerberos authentifizieren
Nutzerauthentifizierung
Wenn
krb5.conf
nicht in/etc/
enthalten ist, verwenden Sie die UmgebungsvariableKRB5_CONFIG
, um ihren Speicherort anzugeben.Führen Sie den Befehl
klist
aus, um zu prüfen, ob sich im Kerberos-Ticketcache ein gültiges Ticket befindet.Wenn kein Ticket vorhanden ist, führen Sie
kinit username@REALM
oderkinit username
aus, um das Ticket zu erstellen.Das mit Looker verwendete Konto wird wahrscheinlich monitorlos sein, sodass Sie eine Keytab-Datei von Kerberos abrufen können, um die Anmeldedaten für die langfristige Verwendung zu speichern. Verwenden Sie einen Befehl wie
kinit -k -t looker_user.keytab username@REALM
, um das Kerberos-Ticket abzurufen.
Ticket automatisch verlängern
Richten Sie einen Cronjob ein, der regelmäßig ausgeführt wird, um ein aktives Ticket im Kerberos-Ticket-Cache zu speichern. Wie oft dies ausgeführt werden sollte, hängt von der Konfiguration des Clusters ab. klist
sollte einen Hinweis darauf geben, wie schnell Tickets ablaufen.
Looker-Verbindung zu Ihrer Datenbank erstellen
Wählen Sie im Bereich Admin von Looker die Option Verbindungen aus und klicken Sie dann auf Verbindung hinzufügen.
Geben Sie die Verbindungsdetails wie unten beschrieben ein (weitere Informationen finden Sie auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden):
- Name: Der Name der Verbindung. So wird im LookML-Modell auf die Verbindung verwiesen.
Dialekt: Cloudera Impala 3.1 und höher, Cloudera Impala 3.1 und höher mit nativem Treiber oder Cloudera Impala mit nativem Treiber
Host: Hostname.
Port: Datenbankport (standardmäßig 21050).
Datenbank: Das Standardschema bzw. die Standarddatenbank, die modelliert wird. Wenn für eine Tabelle keine Datenbank angegeben ist, wird davon ausgegangen.
Nutzername: Lassen Sie dieses Feld leer.
Passwort: Lassen Sie dieses Feld leer.
PDTs aktivieren: Verwenden Sie diese Ein/Aus-Schaltfläche, um nichtflüchtige abgeleitete Tabellen zu aktivieren. Wenn PATs aktiviert sind, werden im Fenster Verbindung zusätzliche PAT-Einstellungen und der Abschnitt PDT-Überschreibungen angezeigt.
Temporäre Datenbank: Ein temporäres Schema bzw. eine temporäre Datenbank zum Speichern von PATs. Diese muss vorher erstellt werden.
Zusätzliche JDBC-Parameter: Zusätzliche Parameter für den JDBC-String. Geben Sie hier das Kerberos-Hauptkonto an, z. B.
;principal=impala/impala.company.com@REALM
. Dreiteilige Hauptkonten sind Standard. Der erste (impala
) ist in der Regel der Name des Dienstes und der letzte (REALM
) ist in der Regel der Bereich.SSL: Aktivieren Sie diese Option, um SSL-Verbindungen zu verwenden. Wenn Ihr SSL-Zertifikat nicht von einer weithin anerkannten Zertifizierungsstelle ausgestellt wurde und Sie ein benutzerdefiniertes Zertifikat verwenden, gehen Sie so vor:
- Kopieren Sie die Zertifikatsdatei auf den Looker-Server. Diese Option ist nur für vom Kunden gehostete Looker-Bereitstellungen verfügbar.
- Fügen Sie dem Feld Zusätzliche JDBC-Parameter die folgenden Parameter hinzu:
sslTrustStore=/path/to/your/trust_store.jks;trustStorePassword=yourpassword
Weitere Informationen zum Erstellen korrekter JDBC-Strings für Impala-Datenbanken finden Sie in der Cloudera-Dokumentation.
- Datenbank-Zeitzone: Die Zeitzone der in Ihrer Datenbank gespeicherten Daten. Dieses Feld kann normalerweise leer gelassen oder auf UTC gesetzt werden.
Als Best Practice wird empfohlen, den Servernamen (in diesem Beispiel impala.company.com
) als kanonischen Namen festzulegen, und der umgekehrte DNS-Lookup für die IP-Adresse zu diesem Namen führt. Der Servername sollte jedoch der Name sein, der im Kerberos-Domaincontroller aufgeführt ist:
nslookup servername # get canonical server name and IP address
nslookup ipaddress # get the canonical name back
Manchmal wird als Servername der Hostname und nicht der voll qualifizierte Domainname verwendet. In diesem Fall ist es möglicherweise erforderlich, die Dateien /etc/hosts
und /etc/nsswitch.conf
zu ändern, damit Reverse-Lookups wie vorgesehen aufgelöst werden.
Testen Sie die Verbindung, um sicherzustellen, dass sie richtig konfiguriert ist.
Debugging
- Cloudera-Dokumentation zum Debugging von Impala-Authentifizierungsproblemen.
- Wenn Sie der Konfiguration eine Fehlerbehebung hinzufügen, werden die zusätzlichen Informationen zur Fehlerbehebung in
looker/logs/looker.log
übertragen.
Ressourcen
- Kerberos-Authentifizierung für Impala aktivieren (Cloudera-Dokumentation)
- Kinit Manpage
- klist man page
- Dokumentation zu gss-jaas.conf
- Dokumentation zu Krb5LoginModule
Berechtigungen für PATs
Der Nutzer, der eine Verbindung zum Scratch-Schema für nichtflüchtige abgeleitete Tabellen (PDTs) herstellt, muss Lese-/Schreibberechtigungen haben.
Unterstützte Funktionen
Damit Looker einige Funktionen unterstützen kann, müssen diese auch von Ihrem Datenbankdialekt unterstützt werden.
Cloudera Impala mit nativem Fahrer
Cloudera Impala mit nativem Treiber unterstützt ab Looker 24.6 die folgenden Funktionen:
Funktion | Unterstützt? |
---|---|
Supportstufe | Unterstützt |
Looker (Google Cloud Core) | Nein |
Symmetrische Summen | Nein |
Abgeleitete Tabellen | Ja |
Abgeleitete SQL-Tabellen | Ja |
Nichtflüchtige native abgeleitete Tabellen | Ja |
Stabile Ansichten | Ja |
Abfrage beenden | Ja |
SQL-basierte Pivots | Ja |
Zeitzonen | Ja |
SSL | Ja |
Zwischensummen | Nein |
Zusätzliche JDBC-Parameter | Ja |
Groß-/Kleinschreibung beachten | Ja |
Standorttyp | Ja |
Listentyp | Nein |
Perzentil | Nein |
Unterschiedliche Perzentile | Nein |
SQL-Runner-Show-Prozesse | Nein |
SQL-Runner – Tabelle beschreiben | Ja |
SQL Runner – Indexe anzeigen | Nein |
SQL Runner Select 10 | Ja |
Anzahl der SQL-Runner | Ja |
SQL erklären | Ja |
OAuth-Anmeldedaten | Nein |
Kontextkommentare | Ja |
Verbindungs-Pooling | Nein |
HLL-Skizzen | Nein |
Aggregatfunktion | Ja |
Inkrementelle PDTs | Nein |
Millisekunden | Ja |
Mikrosekunden | Ja |
Materialisierte Ansicht | Nein |
Ungefähre Anzahl unterschiedlich | Ja |
Cloudera Impala 3.1+
Cloudera Impala 3.1+ unterstützt ab Looker 24.6 die folgenden Funktionen:
Funktion | Unterstützt? |
---|---|
Supportstufe | Unterstützt |
Looker (Google Cloud Core) | Ja |
Symmetrische Summen | Ja |
Abgeleitete Tabellen | Ja |
Abgeleitete SQL-Tabellen | Ja |
Nichtflüchtige native abgeleitete Tabellen | Ja |
Stabile Ansichten | Ja |
Abfrage beenden | Ja |
SQL-basierte Pivots | Ja |
Zeitzonen | Ja |
SSL | Ja |
Zwischensummen | Nein |
Zusätzliche JDBC-Parameter | Ja |
Groß-/Kleinschreibung beachten | Ja |
Standorttyp | Ja |
Listentyp | Nein |
Perzentil | Nein |
Unterschiedliche Perzentile | Nein |
SQL-Runner-Show-Prozesse | Nein |
SQL-Runner – Tabelle beschreiben | Ja |
SQL Runner – Indexe anzeigen | Nein |
SQL Runner Select 10 | Ja |
Anzahl der SQL-Runner | Ja |
SQL erklären | Ja |
OAuth-Anmeldedaten | Nein |
Kontextkommentare | Ja |
Verbindungs-Pooling | Nein |
HLL-Skizzen | Nein |
Aggregatfunktion | Ja |
Inkrementelle PDTs | Nein |
Millisekunden | Ja |
Mikrosekunden | Ja |
Materialisierte Ansicht | Nein |
Ungefähre Anzahl unterschiedlich | Ja |
Cloudera Impala 3.1+ mit nativem Treiber
Cloudera Impala 3.1+ mit nativem Treiber unterstützt ab Looker 24.6 die folgenden Funktionen:
Funktion | Unterstützt? |
---|---|
Supportstufe | Unterstützt |
Looker (Google Cloud Core) | Nein |
Symmetrische Summen | Ja |
Abgeleitete Tabellen | Ja |
Abgeleitete SQL-Tabellen | Ja |
Nichtflüchtige native abgeleitete Tabellen | Ja |
Stabile Ansichten | Ja |
Abfrage beenden | Ja |
SQL-basierte Pivots | Ja |
Zeitzonen | Ja |
SSL | Ja |
Zwischensummen | Nein |
Zusätzliche JDBC-Parameter | Ja |
Groß-/Kleinschreibung beachten | Ja |
Standorttyp | Ja |
Listentyp | Nein |
Perzentil | Nein |
Unterschiedliche Perzentile | Nein |
SQL-Runner-Show-Prozesse | Nein |
SQL-Runner – Tabelle beschreiben | Ja |
SQL Runner – Indexe anzeigen | Nein |
SQL Runner Select 10 | Ja |
Anzahl der SQL-Runner | Ja |
SQL erklären | Ja |
OAuth-Anmeldedaten | Nein |
Kontextkommentare | Ja |
Verbindungs-Pooling | Nein |
HLL-Skizzen | Nein |
Aggregatfunktion | Ja |
Inkrementelle PDTs | Nein |
Millisekunden | Ja |
Mikrosekunden | Ja |
Materialisierte Ansicht | Nein |
Ungefähre Anzahl unterschiedlich | Ja |
Weitere Informationen
Nachdem Sie Ihre Datenbank mit Looker verbunden haben, konfigurieren Sie die Anmeldeoptionen für Ihre Nutzer.