Cloudera Impala 3.1 及更高版本和使用原生驱动程序的 Cloudera Impala

使用这些指令的方言

Looker 可连接到以下 Impala 数据库:

  • Cloudera Impala 3.1 及更高版本
  • 搭配原生驱动程序的 Cloudera Impala 3.1 及更高版本
  • 使用原生驱动程序的 Cloudera Impala

加密网络流量

最佳做法是加密 Looker 应用与数据库之间的网络流量。不妨考虑启用安全的数据库访问文档页面中介绍的选项之一。

配置 Looker 以连接到 Cloudera Impala

Looker 通过 JDBC 连接到数据库。对于 Impala 数据库,Looker 默认会连接到在端口 21050 上运行 impalad 守护进程的服务器。如需了解详情,请参阅 Cloudera 网站上文档的配置 Impala 以与 JDBC 搭配使用部分。

在 Looker 的管理部分中,选择连接,然后点击添加连接

Looker 连接配置取决于所使用的安全机制:

在不使用 Kerberos 或用户身份验证的情况下连接到集群

如需配置不使用 Kerberos 或用户身份验证的连接,请按以下步骤操作:

  1. 连接设置页面上,将用户名密码字段留空。(字段名称旁边的 * 表示这些字段是必填字段,但实际上它们不是。)
  2. Additional JDBC parameters(其他 JDBC 参数)字段中,输入 ;auth=noSasl

验证连接字符串

如需验证日志文件中的 JDBC 连接字符串,请在 Looker 的管理面板中,点击左侧菜单中的日志。然后,按 jdbcnoSasl 等字词过滤日志。日志行可能如下所示:

jdbc connect using: jdbc:hive2://<HOSTNAME>/<DATABASE_NAME>;auth=noSasl

如需详细了解如何配置 Impala 数据库以与 JDBC 搭配使用,请参阅外部 Cloudera 网站上的文档

连接到需要 LDAP 身份验证的集群

对于需要 LDAP 身份验证的集群(包括使用 Apache Sentry 和 Kerberos 的集群),请在连接设置页面上输入有权访问 Looker 将访问的架构的用户名密码

连接到使用 Kerberos 进行保护但不使用 Apache Sentry 的集群

Looker 分析师团队可能需要协助您正确配置此关联。

通常,使用 Cloudera 环境的 Kerberos 身份验证是通过 Apache Sentry 处理的。如需了解详情,请参阅 Cloudera 文档

如果您想配置 Looker 以使用 Kerberos 身份验证直接连接到 Impala 数据库,请按照本页中的步骤操作。

设置 Kerberos 客户端配置

首先,您需要确保在 Looker 机器上安装了多款软件,并确保有多个文件。

Kerberos 客户端

尝试运行 kinit,验证 Looker 计算机上是否已安装 Kerberos 客户端。如果未安装 Kerberos 客户端,请安装 Kerberos 客户端的二进制文件。

例如,在 Redhat/CentOS 上,该命令为:

sudo yum install krb5-workstation krb5-libs krb5-auth-dialog

Java 8

必须在 Looker 机器上以及 Looker 用户的 PATHJAVA_HOME 中安装 Java 8。如有必要,请在本地的 looker 目录中安装该工具。

Java 加密扩展

  1. Oracle 网站下载并安装适用于 Java 8 的 Java 加密扩展 (JCE)。

    • 找到 Java 安装的 jre/lib/security 目录。
    • 从此目录中移除以下 JAR 文件:local_policy.jarUS_export_policy.jar
    • 将这两个文件替换为 JCE 无限强度管辖区政策文件下载内容中包含的 JAR 文件。

    您或许可以使用安装了 JCE 的 Java 8 之前的版本,但我们不建议这样做。

  2. 更新 ~looker/.bash_profile 中的 JAVA_HOMEPATH,以指向正确安装的 Java 和 source ~/.bash_profile,或退出并重新登录。

  3. 使用 java -version 验证 Java 版本。

  4. 使用 echo $JAVA_HOME 验证 JAVA_HOME 环境变量。

gss-jaas.conf

looker 目录中创建一个 gss-jaas.conf 文件,其中包含以下内容:

com.sun.security.jgss.initiate {
    com.sun.security.auth.module.Krb5LoginModule required
    useTicketCache=true
    doNotPrompt=true;
};

如果需要进行测试,可以将 debug=true 添加到此文件中,如下所示:

com.sun.security.jgss.initiate {
    com.sun.security.auth.module.Krb5LoginModule required
    useTicketCache=true
    doNotPrompt=true
    debug=true;
};
krb5.conf

运行 Looker 的服务器也应具有有效的 krb5.conf 文件。默认情况下,此文件位于 /etc/krb5.conf 中。如果它位于其他位置,则必须在环境中指明(在 shell 环境中为 KRB5_CONFIG)。

您可能需要从其他 Kerberos 客户端计算机复制此文件。

lookerstart.cfg

looker 目录(包含 looker 启动脚本的目录)中创建一个名为 lookerstart.cfg 的文件,并在其中添加以下代码行,以指向 gss-jaas.confkrb5.conf 文件:

  JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
  LOOKERARGS=""

如果 krb5.conf 文件不在 /etc/krb5.conf 下,则还需要添加此变量:

  -Djava.security.krb5.conf=/path/to/krb5.conf

如需进行调试,请添加以下变量:

  -Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true

然后,使用 ./looker restart 重启 Looker。

使用 Kerberos 进行身份验证

用户身份验证

  1. 如果 krb5.conf 不在 /etc/ 中,请使用环境变量 KRB5_CONFIG 指明其位置。

  2. 运行命令 klist,确保 Kerberos 票据缓存中存在有效的票据。

  3. 如果没有工单,请运行 kinit username@REALMkinit username 来创建工单。

  4. 与 Looker 搭配使用的账号可能为无头账号,因此您可以从 Kerberos 获取 keytab 文件,以便存储长期使用的凭据。使用 kinit -k -t looker_user.keytab username@REALM 等命令获取 Kerberos 票据。

自动续订支持服务工单

设置一个定期运行的 Cron 作业,以便在 Kerberos 票据缓存中保留有效的票据。此作业的运行频率取决于集群的配置。klist 应指明票券的失效时间。

创建 Looker 与数据库的连接

在 Looker 的管理部分中,选择连接,然后点击添加连接

按照以下步骤填写连接详细信息(如需了解详情,请参阅将 Looker 连接到数据库文档页面):

  • 名称:连接的名称。在 LookML 模型中,将以这种方式引用该连接。

  • 方言Cloudera Impala 3.1 及更高版本Cloudera Impala 3.1 及更高版本(含原生驱动程序)Cloudera Impala(含原生驱动程序)

  • Host:主机名。

  • 端口:数据库端口(默认值为 21050)。

  • 数据库:要建模的默认架构/数据库。如果未为表指定数据库,则系统会假定为该数据库。

  • 用户名:留空。

  • 密码:请将此字段留空。

  • 启用 PDT:使用此切换开关可启用永久性派生表。启用 PDT 后,连接窗口会显示其他 PDT 设置和 PDT 替换项部分。

  • 临时数据库:用于存储 PDT 的临时架构/数据库。此文件夹必须事先创建。

  • 其他 JDBC 参数:JDBC 字符串的其他参数。 在此处指明 Kerberos 主账号,例如 ;principal=impala/impala.company.com@REALM。三方正文是标准配置。第一个 (impala) 通常是服务的名称,最后一个 (REALM) 通常是令牌网域。

  • SSL:选中此复选框以使用 SSL 连接。 如果您的 SSL 证书不是由广为认可的证书授权机构颁发的,并且您使用的是自定义证书,则需要执行以下操作:

    • 将证书文件复制到 Looker 服务器。此功能仅适用于客户托管的 Looker 部署。
    • 将以下参数添加到其他 JDBC 参数字段中:
  sslTrustStore=/path/to/your/trust_store.jks;trustStorePassword=yourpassword

如需详细了解如何为 Impala 数据库构建正确的 JDBC 字符串,请参阅 Cloudera 文档

  • 数据库时区:存储在数据库中的数据的时区。通常,此字段可以留空或设置为 UTC

最佳实践是将服务器名称(在此示例中为 impala.company.com)设为服务器的规范名称,并使其 IP 地址的反向 DNS 查找结果为该名称。不过,服务器名称应为 Kerberos 网域控制器中列出的任何名称:

  nslookup servername  # get canonical server name and IP address

  nslookup ipaddress  # get the canonical name back

有时,服务器名称会设置为主机名,而不是完全限定域名。在这种情况下,您可能需要修改 /etc/hosts/etc/nsswitch.conf 文件,以确保反向查找能够按预期解析。

请测试连接,确保其配置正确无误。

调试

资源

PDT 的权限

连接到永久派生表 (PDT) 的预留架构的用户必须具有读取/写入权限。

功能支持

为了让 Looker 支持某些功能,您的数据库方言也必须支持这些功能。

使用原生驱动程序的 Cloudera Impala

从 Looker 25.0 开始,使用原生驱动程序的 Cloudera Impala 支持以下功能:

功能 是否支持?
支持级别
支持
Looker (Google Cloud Core)
对称汇总
派生表
永久性 SQL 派生表
永久性原生派生表
稳定视图
查询终止
基于 SQL 的转换
时区
SSL
小计
JDBC 其他参数
区分大小写
位置类型
列表类型
百分位
不同值百分位
SQL Runner 显示进程
SQL Runner 中的“Describe Table”命令
SQL Runner 显示索引
SQL Runner Select 10
SQL Runner 计数
SQL 说明
Oauth 凭据
上下文注释
连接池
HLL 草图
汇总认知度
增量 PDT
毫秒
微秒
具体化视图
近似计数不同

Cloudera Impala 3.1 及更高版本

从 Looker 25.0 开始,Cloudera Impala 3.1 及更高版本支持以下功能:

功能 是否支持?
支持级别
支持
Looker (Google Cloud Core)
对称汇总
派生表
永久性 SQL 派生表
永久性原生派生表
稳定视图
查询终止
基于 SQL 的转换
时区
SSL
小计
JDBC 其他参数
区分大小写
位置类型
列表类型
百分位
不同值百分位
SQL Runner 显示进程
SQL Runner 中的“Describe Table”命令
SQL Runner 显示索引
SQL Runner Select 10
SQL Runner 计数
SQL 说明
Oauth 凭据
上下文注释
连接池
HLL 草图
汇总认知度
增量 PDT
毫秒
微秒
具体化视图
近似计数不同

搭配原生驱动程序的 Cloudera Impala 3.1 及更高版本

从 Looker 25.0 开始,搭配原生驱动程序的 Cloudera Impala 3.1 及更高版本支持以下功能:

功能 是否支持?
支持级别
支持
Looker (Google Cloud Core)
对称汇总
派生表
永久性 SQL 派生表
永久性原生派生表
稳定视图
查询终止
基于 SQL 的转换
时区
SSL
小计
JDBC 其他参数
区分大小写
位置类型
列表类型
百分位
不同值百分位
SQL Runner 显示进程
SQL Runner 中的“Describe Table”命令
SQL Runner 显示索引
SQL Runner Select 10
SQL Runner 计数
SQL 说明
Oauth 凭据
上下文注释
连接池
HLL 草图
汇总认知度
增量 PDT
毫秒
微秒
具体化视图
近似计数不同

后续步骤

将数据库连接到 Looker 后,请为用户配置登录选项