Übersicht
Auf dieser Seite wird erläutert, wie Sie in Looker eine Verbindung zu Google BigQuery Standard SQL oder Google BigQuery Legacy SQL einrichten.
Zum Einrichten einer Google BigQuery Standard SQL- oder Google BigQuery Legacy SQL-Verbindung sind im Allgemeinen folgende Schritte auszuführen:
Konfigurieren Sie in Ihrer BigQuery-Datenbank die Authentifizierung, die Looker für den Zugriff auf Ihre BigQuery-Datenbank verwendet. Looker unterstützt die folgenden Authentifizierungsoptionen für BigQuery:
- Dienstkonto: Weitere Informationen finden Sie auf dieser Seite im Abschnitt Authentifizierung mit BigQuery-Dienstkonten.
- OAuth: Weitere Informationen finden Sie auf dieser Seite im Abschnitt Authentifizierung mit OAuth.
Wenn Sie in Ihrer BigQuery-Datenbank persistente abgeleitete Tabellen (PDTs) für die Verbindung verwenden möchten, erstellen Sie ein temporäres Dataset, mit dem Looker PDTs in Ihrer Datenbank erstellen kann. Eine Anleitung dazu finden Sie auf dieser Seite im Abschnitt Ein temporäres Dataset für persistente abgeleitete Tabellen erstellen.
Richten Sie in Looker die Looker-Verbindung zu Ihrer BigQuery-Datenbank ein. Das Verfahren wird im Abschnitt Looker mit BigQuery verbinden auf dieser Seite beschrieben.
Testen Sie in Looker die Verbindung zwischen Looker und Ihrer BigQuery-Datenbank. Das Verfahren wird im Abschnitt Verbindung testen auf dieser Seite beschrieben.
Netzwerk-Datenverkehr verschlüsseln
Es empfiehlt sich, den Netzwerkverkehr zwischen der Looker-Anwendung und Ihrer Datenbank zu verschlüsseln. Prüfen Sie eine der Optionen, die auf der Dokumentationsseite Sicheren Datenbankzugriff ermöglichen beschrieben werden.
Authentifizierung mit BigQuery-Dienstkonten
Eine Möglichkeit, wie Looker sich in Ihrer BigQuery-Datenbank authentifizieren kann, ist ein BigQuery-Dienstkonto. Sie erstellen das Dienstkonto in Ihrer BigQuery-Datenbank mit dem API-Manager in der Google Cloud Console. Sie benötigen Google Cloud-Administratorberechtigungen, um das Dienstkonto zu erstellen. Weitere Informationen finden Sie in der Dokumentation zum Erstellen eines Dienstkontos und zum Erstellen eines privaten Schlüssels.
Ein Dienstkonto erstellen und das JSON-Anmeldezertifikat herunterladen
So erstellen Sie ein BigQuery-Dienstkonto:
Öffnen Sie im API Manager in der Google Cloud Console die Seite „Anmeldedaten“ und wählen Sie Ihr Projekt aus.
Wählen Sie ANMELDEDATEN ERSTELLEN und dann Dienstkonto aus.
Geben Sie einen Namen für das neue Dienstkonto ein, fügen Sie optional eine Beschreibung hinzu und wählen Sie ERSTELLEN UND FORTFAHREN aus.
Ihr Dienstkonto benötigt zwei vordefinierte Google BigQuery-Rollen:
- BigQuery > BigQuery-Dateneditor
- BigQuery > BigQuery-Jobnutzer
Wählen Sie im Feld Rolle auswählen die erste Rolle aus, klicken Sie auf WEITERE ROLLE HINZUFÜGEN und wählen Sie dann die zweite Rolle aus.
Wählen Sie dann WEITER und dann FERTIG aus.
Wählen Sie auf der Seite Anmeldedaten Ihr neues Dienstkonto aus:
Wählen Sie SCHLÜSSEL und dann SCHLÜSSEL HINZUFÜGEN aus. Wählen Sie dann im Drop-down-Menü Neuen Schlüssel erstellen aus:
Wählen Sie unter Schlüsseltyp JSON und dann ERSTELLEN aus:
Der JSON-Schlüssel wird auf Ihrem Computer gespeichert.
Notieren Sie sich den Download-Speicherort und wählen Sie dann SCHLIESSEN aus:
Wähle FERTIG aus.
Suchen Sie nach der E-Mail-Adresse, die zu dem Dienstkonto gehört. Sie benötigen diese Adresse, um die Looker-Verbindung zu BigQuery zu konfigurieren:
Nachdem Sie das Dienstkonto in Ihrer BigQuery-Datenbank erstellt haben, geben Sie die Informationen zu diesem Dienstkonto und die Details zur Zertifikatdatei in den Feldern E-Mail-Adresse des Dienstkontos, JSON-/P12-Datei des Dienstkontos und Passwort im Fenster Verbindungen von Looker ein, wenn Sie die Looker-Verbindung zu BigQuery einrichten.
Authentifizierung mit OAuth
Looker unterstützt OAuth für Google BigQuery-Verbindungen. Das bedeutet, dass sich jeder Looker-Nutzer mit seinen eigenen Google OAuth-Anmeldedaten bei Google authentifiziert und Looker für den Zugriff auf die Datenbank autorisiert.
Mit OAuth können Datenbankadministratoren die folgenden Funktionen ausführen:
- Prüfen Sie, welche Looker-Nutzer Abfragen für die Datenbank ausführen.
- Rollenbasierte Zugriffssteuerung mit Google-Berechtigungen erzwingen
- Verwenden Sie OAuth-Token für alle Prozesse und Aktionen, die auf Google BigQuery zugreifen, anstatt BigQuery-IDs und -Passwörter an mehreren Stellen einzubetten.
Beachten Sie bei BigQuery-Verbindungen mit OAuth Folgendes:
- Wenn ein Datenbankadministrator die BigQuery OAuth-Client-Anmeldedaten ändert, sind alle Zeitpläne oder Warnungen eines Benutzers davon betroffen. Nutzer müssen sich noch einmal anmelden, wenn ihr Administrator die BigQuery-OAuth-Anmeldedaten ändert. Nutzer können sich auch über die Seite Nutzerprofil auf der Seite Looker-Konto in Google anmelden.
- Da BigQuery-Verbindungen, die OAuth verwenden, „pro Nutzer“ gelten, werden auch Caching-Richtlinien pro Nutzer und nicht nur pro Abfrage angewendet. Das bedeutet, dass Looker nicht bei jeder Ausführung derselben Abfrage innerhalb des Caching-Zeitraums im Cache gespeicherte Ergebnisse verwendet, sondern nur dann im Cache gespeicherte Ergebnisse, wenn innerhalb des Caching-Zeitraums derselbe Nutzer die gleiche Abfrage ausgeführt hat. Weitere Informationen zum Caching finden Sie auf der Dokumentationsseite Abfragen im Cache speichern.
- Wenn Sie persistente abgeleitete Tabellen (PDTs) über eine BigQuery-Verbindung mit OAuth verwenden möchten, müssen Sie ein zusätzliches Dienstkonto für Looker erstellen, damit für PDT-Prozesse auf Ihre Datenbank zugegriffen werden kann. Weitere Informationen finden Sie auf dieser Seite im Abschnitt Persistente abgeleitete Tabellen in einer BigQuery-Verbindung.
- Wenn Administratoren im SUDO-Status als anderer Benutzer agieren, verwenden sie das OAuth-Autorisierungstoken dieses Benutzers. Informationen zur Verwendung des Befehls
sudo
finden Sie auf der Dokumentationsseite Nutzer.
BigQuery-Datenbankprojekt für OAuth konfigurieren
In den folgenden Abschnitten wird beschrieben, wie Sie OAuth-Anmeldedaten generieren und einen OAuth-Zustimmungsbildschirm konfigurieren.
In den folgenden Fällen müssen Sie diese Schritte nicht ausführen:
- Wenn Sie bereits einen OAuth-Zustimmungsbildschirm für eine andere Anwendung in Ihrem Projekt konfiguriert haben, müssen Sie keinen weiteren erstellen. Sie konfigurieren nur einen Zustimmungsbildschirm für alle Anwendungen in einem Projekt. In diesem Fall können Sie direkt mit der Anleitung zur Konfiguration der Looker-Verbindung (Google Cloud Core) mit Ihrer Datenbank fortfahren.
- Wenn Sie eine Looker (Google Cloud Core)-Instanz verwenden, kann Looker automatisch die Anmeldedaten für die OAuth-Anwendung verwenden, die Ihr Looker-Administrator beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet hat. Wenn Sie dieselben Anmeldedaten für die OAuth-Anwendung wie für Ihre Looker (Google Cloud Core)-Instanz verwenden, können Sie die Schritte in diesem Abschnitt überspringen und mit der Anleitung zum Konfigurieren der Looker (Google Cloud Core)-Verbindung zu Ihrer Datenbank fortfahren.
OAuth-Anmeldedaten und der OAuth-Zustimmungsbildschirm müssen in der Google Cloud Console konfiguriert werden. Die allgemeine Google-Beschreibung finden Sie auf der Google Cloud-Supportwebsite und auf der Google Developers Console-Website.
Je nach Art der Nutzer, die in Looker auf BigQuery-Daten zugreifen, und je nachdem, ob Ihre BigQuery-Daten öffentlich oder privat sind, ist OAuth möglicherweise nicht die am besten geeignete Authentifizierungsmethode. Ebenso kann die Art der vom Nutzer angeforderten Daten und der erforderliche Zugriff auf die Daten dieses Nutzers bei der Authentifizierung bei Google zur Verwendung von Looker von Google überprüft werden. Weitere Informationen zur Überprüfung finden Sie im Abschnitt Google OAuth-Anmeldedaten generieren auf dieser Seite.
Google OAuth-Anmeldedaten generieren
Öffnen Sie die Google Cloud Console.
Wählen Sie im Drop-down-Menü Projekt auswählen Ihr BigQuery-Projekt aus. Dadurch sollten Sie zu Ihrem Projekt-Dashboard gelangen.
Wählen Sie im Menü auf der linken Seite die Seite APIs & Dienste aus. Wählen Sie dann Anmeldedaten aus. Klicken Sie auf der Seite Anmeldedaten auf den Drop-down-Pfeil neben der Schaltfläche Anmeldedaten erstellen und wählen Sie OAuth-Client-ID aus:
Google erfordert die Konfiguration eines OAuth-Zustimmungsbildschirms, bevor Sie Ihre OAuth-Anmeldedaten generieren können. Dort können Benutzer festlegen, wie sie Zugriff auf ihre privaten Daten erteilen. Informationen zum Konfigurieren Ihres OAuth-Zustimmungsbildschirms finden Sie im Abschnitt OAuth-Zustimmungsbildschirm konfigurieren auf dieser Seite.
Wenn Sie bereits einen OAuth-Zustimmungsbildschirm konfiguriert haben, zeigt Google die Seite OAuth-Client-ID erstellen an. Dort können Sie eine OAuth-Client-ID und ein Secret für Ihre BigQuery-Verbindung zu Looker erstellen. Wählen Sie im Drop-down-Menü Anwendungstyp die Option Webanwendung aus. Die Seite wird maximiert und es werden weitere Optionen angezeigt:
Geben Sie im Feld Name einen Namen für die Anwendung ein, z. B. „Looker“.
Wählen Sie im Abschnitt Autorisierte JavaScript-Quellen die Option + URI HINZUFÜGEN aus, um das Feld URIs 1 aufzurufen. Geben Sie im Feld URIs 1 die URL Ihrer Looker-Instanz ein, einschließlich der
https://
. Beispiel:- Wenn Ihre Instanz von Looker gehostet wird:
https://<instancename>.looker.com
- Wenn Sie eine vom Kunden gehostete Looker-Instanz haben:
https://looker.<mycompany>.com
- Wenn für Ihre Looker-Instanz eine Portnummer erforderlich ist:
https://looker.<mycompany>.com:9999
- Wenn Ihre Instanz von Looker gehostet wird:
Wählen Sie im Abschnitt Autorisierte Weiterleitungs-URIs die Option + URI HINZUFÜGEN aus, um das Feld URIs 1 aufzurufen. Geben Sie im Feld URIs 1 die URL zu Ihrer Looker-Instanz gefolgt von
/external_oauth/redirect
ein. Beispiel:https://<instancename>.looker.com/external_oauth/redirect
oderhttps://looker.<mycompany>.com:9999/external_oauth/redirect
.Wählen Sie Erstellen aus. Google zeigt Ihre Client-ID und Ihren Clientschlüssel an.
Kopieren Sie die Werte für Ihre Client-ID und Ihren Clientschlüssel. Sie benötigen ihn, um das OAuth für die BigQuery-Verbindung in Looker zu konfigurieren.
OAuth-Zustimmungsbildschirm konfigurieren
Sie müssen einen OAuth-Zustimmungsbildschirm konfigurieren, auf dem Ihre Nutzer auswählen können, wie sie Zugriff auf ihre privaten Daten gewähren möchten. Außerdem enthält er einen Link zu den Nutzungsbedingungen und der Datenschutzerklärung Ihrer Organisation.
Wählen Sie im Menü auf der linken Seite die Seite OAuth-Zustimmungsbildschirm aus. Bevor Sie den OAuth-Zustimmungsbildschirm konfigurieren können, müssen Sie angeben, für welchen Typ von Nutzer Sie diese App verfügbar machen. Je nach Ihrer Auswahl muss Ihre App möglicherweise von Google bestätigt werden.
Treffen Sie eine Auswahl und klicken Sie auf Erstellen. Google zeigt die Seite OAuth-Zustimmungsbildschirm an. Sie können diesen Bildschirm für alle Anwendungen in Ihrem Projekt konfigurieren, einschließlich interner und öffentlicher Anwendungen.
Google überprüft öffentliche Anwendungen, wenn einer der folgenden Punkte zutrifft:
- Die Anwendung nutzt Google-APIs, die eingeschränkte oder sensible Bereiche verwenden.
- Der OAuth-Zustimmungsbildschirm enthält ein Anwendungslogo.
- Das Projekt hat den Domainschwellenwert überschritten.
So konfigurieren Sie den OAuth-Zustimmungsbildschirm:
Geben Sie in das Feld App-Name den Namen der Anwendung ein, auf die der Nutzer Zugriff gewährt – in diesem Fall Looker.
Geben Sie im Feld E-Mail-Adresse des Nutzersupports die Support-E-Mail-Adresse ein, an die sich Nutzer bei Anmelde- oder Einwilligungsproblemen wenden sollen.
Wählen Sie DOMAIN HINZUFÜGEN aus, um das Feld Autorisierte Domain 1 zu sehen. Geben Sie in dieses Feld die Domain der URL zu Ihrer Looker-Instanz ein. Wenn Looker Ihre Instanz beispielsweise unter
https://<instance_name>.cloud.looker.com
hostet, lautet die Domaincloud.looker.com
. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.Geben Sie im Abschnitt Kontaktdaten des Entwicklers eine oder mehrere E-Mail-Adressen ein, über die Google Sie bezüglich Ihres Projekts kontaktieren kann.
Die restlichen Felder sind optional, können aber zur weiteren Anpassung des Zustimmungsbildschirms verwendet werden.
Wählen Sie SPEICHERN UND WEITER aus.
Google zeigt die Seite Bereiche an, auf der Sie Bereiche konfigurieren können. Looker erfordert nur die Standardbereiche. Es müssen also keine zusätzlichen Bereiche konfiguriert werden. Wähle SPEICHERN UND FORTFAHREN aus.
Wählen Sie auf der Seite Zusammenfassung die Option ZURÜCK ZUM DASHBOARD aus.
Sie können jetzt mit dem Generieren Ihrer OAuth-Anmeldedaten fortfahren.
Weitere Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms von Google finden Sie in der Google-Supportdokumentation.
Looker-Verbindung für BigQuery mit OAuth konfigurieren
Wenn Sie OAuth für Ihre BigQuery-Verbindung aktivieren möchten, wählen Sie auf der Seite Verbindung in Looker die Option OAuth aus, während Sie die Looker-Verbindung zu BigQuery einrichten. Wenn Sie die Option OAuth auswählen, werden in Looker die Felder OAuth-Client-ID und OAuth-Clientschlüssel angezeigt. Fügen Sie die Werte für Client-ID und Clientschlüssel ein, die Sie in einem Schritt bei der Erstellung von Google OAuth-Anmeldedaten auf dieser Seite erhalten haben.
Wenn Sie eine Sitzungsdauer für BigQuery OAuth festgelegt haben, müssen Sie Looker mit der Funktion Vertrauenswürdige Apps ausgenommen Ihren vertrauenswürdigen Anwendungen hinzufügen, um Zeitüberschreitungen für Looker-Sitzungen zu vermeiden. Eine Anleitung dazu finden Sie im Hilfeartikel Sitzungsdauer für Google Cloud-Dienste festlegen.
So authentifizieren sich Looker-Nutzer mit OAuth in BigQuery
Sobald die Looker-Verbindung zu BigQuery für OAuth eingerichtet wurde, können Benutzer Looker zur erstmaligen Authentifizierung bei Ihrer BigQuery-Datenbank verwenden, indem sie einen der folgenden Schritte ausführen:
- Authentifizierung bei Google über eine Looker-Abfrage, die die BigQuery-Verbindung verwendet
- Authentifizierung bei Google über den Abschnitt Anmeldedaten für OAuth-Verbindung auf der Seite Looker-Konto
Authentifizierung bei Google über eine Abfrage
Sobald die Looker-Verbindung zu BigQuery für OAuth eingerichtet wurde, werden Nutzer in Looker aufgefordert, sich mit ihrem Google-Konto anzumelden, bevor sie Abfragen ausführen, die die BigQuery-Verbindung verwenden. Looker zeigt diesen Prompt aus Explores, Dashboards, Looks und SQL Runner an.
Der Nutzer muss Log In (Anmelden) auswählen und sich mit OAuth authentifizieren. Nachdem sich der Nutzer in BigQuery authentifiziert hat, kann er im Explore die Schaltfläche Ausführen auswählen. Looker lädt dann die Daten in das Explore.
Authentifizierung bei Google über die Benutzerkontoseite
Sobald die Looker-Verbindung zu BigQuery für OAuth eingerichtet ist, kann sich ein Nutzer über die Looker-Seite für das Nutzerkonto in seinem Google-Konto authentifizieren:
- Wählen Sie in Looker das Profilsymbol und dann im Nutzermenü die Option Konto aus.
- Gehen Sie zum Abschnitt OAuth-Verbindungsanmeldedaten und wählen Sie die Schaltfläche Anmelden für die entsprechende BigQuery-Datenbankverbindung aus.
- Wähle auf der Seite Über Google anmelden das entsprechende Konto aus.
- Wählen Sie auf dem OAuth-Zustimmungsbildschirm Zulassen aus, damit Looker Ihre Daten in Google BigQuery anzeigen und verwalten kann.
Nachdem Sie sich über Looker bei Google angemeldet haben, können Sie sich jederzeit auf der Seite Konto abmelden oder Ihre Anmeldedaten noch einmal autorisieren, wie auf der Dokumentationsseite Nutzerkonto personalisieren beschrieben. Auch wenn Google BigQuery-Token nicht ablaufen, kann ein Nutzer Reauthorize (Neu autorisieren) auswählen, um sich mit einem anderen Google-Konto anzumelden.
OAuth-Token entziehen
Nutzer können den Zugriff von Anwendungen wie Looker auf das Google-Konto entziehen, indem sie die Google-Kontoeinstellungen aufrufen.
Google BigQuery-Token laufen nicht ab. Wenn allerdings ein Datenbankadministrator die OAuth-Anmeldedaten der Datenbankverbindung so ändert, dass die vorhandenen Anmeldedaten ungültig werden, müssen sich die Nutzer noch einmal mit ihrem Google-Konto anmelden, bevor sie Abfragen über diese Verbindung ausführen können.
Persistente abgeleitete Tabellen in einer BigQuery-Verbindung
Wenn Sie persistente abgeleitete Tabellen (PDTs) für Ihre BigQuery-Verbindung verwenden möchten, müssen Sie je nach Verbindungskonfiguration möglicherweise Folgendes tun:
- Verwenden Sie die Google Cloud Console, um ein temporäres Dataset in Ihrer BigQuery-Datenbank zu erstellen, mit dem Looker PDTs schreiben kann. Eine Anleitung dazu finden Sie auf dieser Seite im Abschnitt Ein temporäres Dataset für persistente abgeleitete Tabellen erstellen. Dieser Schritt ist für PDTs unabhängig von den anderen Konfigurationsoptionen für die Verbindung erforderlich.
- Verwenden Sie den API-Manager in der Google Cloud Console, um ein separates Dienstkonto für die PDT-Prozesse von Looker zu erstellen. Das Verfahren wird im Abschnitt Dienstkonto erstellen und JSON-Anmeldedatenzertifikat herunterladen auf dieser Seite beschrieben. Die Art der Authentifizierung Ihrer Verbindung wirkt sich darauf aus, ob ein PDT-Dienstkonto erforderlich ist und wo Sie die Informationen zum PDT-Dienstkonto im Looker-Fenster Connections (Verbindungen) eingeben, wenn Sie die Looker-Verbindung zu BigQuery einrichten:
- Wenn Ihre Verbindung OAuth für die Nutzerauthentifizierung verwendet, müssen Sie ein separates Dienstkonto für PDT-Prozesse erstellen. Sie geben die Informationen zum Dienstkonto und die Details der Zertifikatsdatei im Looker-Fenster Verbindungen im Bereich PDT Overrides (PDT-Überschreibungen) ein. Im Looker-Fenster Verbindungen wird der Bereich PDT-Überschreibungen automatisch angezeigt, wenn Sie die Option PDTs aktivieren für eine Verbindung aktivieren, die auch mit der Option OAuth im Feld Authentifizierung konfiguriert ist. Weitere Informationen finden Sie im Abschnitt PDTs für Looker-Verbindungen mit BigQuery mit OAuth aktivieren.
- Wenn für Ihre Verbindung Dienstkonten zur Nutzerauthentifizierung verwendet werden, können Sie ein separates Dienstkonto für PDT-Prozesse erstellen. Wenn Sie sich für ein separates PDT-Dienstkonto entscheiden, geben Sie die Dienstkontoinformationen im Bereich PDT Overrides (PDT-Überschreibungen) für die Felder Service Account Email, Service Account JSON/P12 File und Password des Looker-Fensters Connections (Verbindungen) ein. Der Abschnitt PDT-Überschreibungen wird angezeigt, wenn Sie die Ein/Aus-Schaltfläche PDTs aktivieren für eine Looker-Verbindung zu BigQuery mithilfe der Dienstkontoauthentifizierung aktivieren.
Ein temporäres Dataset für persistente abgeleitete Tabellen erstellen
Wenn Sie persistente abgeleitete Tabellen (PDTs) für Ihre BigQuery-Verbindung aktivieren möchten, aktivieren Sie die Option PDTs aktivieren auf der Seite Verbindung in Looker, wenn Sie die Looker-Verbindung zu BigQuery einrichten. Wenn Sie PDTs aktivieren, zeigt Looker das Feld Temp Dataset (Temporäres Dataset) an. In diesem Feld geben Sie den Datasetnamen an, mit dem Looker PDTs erstellen kann. Diese Datenbank oder dieses Schema sollten Sie im Voraus mit den entsprechenden Schreibberechtigungen konfigurieren.
Sie können ein temporäres Dataset mit der Google Cloud Console einrichten:
Öffnen Sie die Google Cloud Console und wählen Sie Ihr Projekt aus.
Wählen Sie das Dreipunkt-Menü und dann Dataset erstellen aus.
Geben Sie eine Dataset-ID ein (in der Regel
looker_scratch
) und wählen Sie dann Ihren Datenspeicherort (optional), die Standard-Tabellenablaufzeit und die Lösung für die Verwaltung des Verschlüsselungsschlüssels aus. Wählen Sie DATASET ERSTELLEN aus, um den Vorgang abzuschließen.
Nachdem Sie das Dataset erstellt haben, können Sie den Namen des Datasets im Feld Temporärer Datensatz im Fenster Verbindungen von Looker angeben, wenn Sie die Looker-Verbindung zu BigQuery einrichten.
PDTs für Looker-Verbindungen mit BigQuery mit OAuth aktivieren
Bei BigQuery-Verbindungen, die OAuth verwenden, authentifizieren sich Ihre Nutzer mit ihren OAuth-Anmeldedaten bei Looker. Looker unterstützt PDTs für BigQuery-Verbindungen mit OAuth. Looker selbst kann jedoch keine OAuth-Anmeldedaten verwenden. Sie müssen daher ein BigQuery-Dienstkonto einrichten, damit Looker für PDT-Prozesse auf Ihre Datenbank zugreifen kann.
Sie können mit Google Cloud API Manager ein PDT-Dienstkonto in Ihrer BigQuery-Datenbank einrichten. Weitere Informationen finden Sie im Abschnitt Dienstkonto erstellen und JSON-Anmeldedatenzertifikat herunterladen auf dieser Seite.
Nachdem Sie das Dienstkonto in Ihrer BigQuery-Datenbank erstellt haben, geben Sie die Informationen zum Dienstkonto und die Details der Zertifikatsdatei im Bereich PDT-Überschreibungen des Looker-Fensters Verbindungen ein, wenn Sie die Looker-Verbindung zu BigQuery einrichten. Im Looker-Fenster Verbindungen wird automatisch der Bereich PDT Overrides (PDT-Überschreibungen) angezeigt, wenn Sie die Ein/Aus-Schaltfläche PDTs aktivieren für eine Verbindung aktivieren, die auch mit der Option OAuth im Feld Authentifizierung konfiguriert ist. Verwenden Sie die folgenden Felder im Abschnitt PDT-Überschreibungen, um die Informationen für das Dienstkonto einzugeben, das Looker für PDT-Prozesse in Ihrer Datenbank verwenden kann:
- P12- oder JSON-Datei hochladen: Über die Schaltfläche Datei hochladen können Sie die Zertifikatdatei für das BigQuery-Dienstkonto hochladen, das Sie für PDT-Prozesse in der Verbindung verwenden möchten. Sie können diese Datei im Google Cloud API Manager als Schritt im Verfahren Dienstkonto erstellen und JSON-Anmeldedatenzertifikat herunterladen abrufen.
- Nutzername: Dieses Feld gilt nur, wenn Sie im Bereich PDT-Überschreibungen im Feld p12 oder json hochladen eine P12-Datei hochladen. Geben Sie die E-Mail-Adresse für das BigQuery-Dienstkonto ein, das Sie für PDT-Prozesse bei der Verbindung verwenden möchten. Sie erhalten diese E-Mail-Adresse vom Google Cloud API Manager als Schritt im Verfahren Dienstkonto erstellen und JSON-Anmeldedatenzertifikat herunterladen.
- : Dieses Feld gilt nur, wenn Sie im Feld Upload p12 or json des Abschnitts PDT Overrides (PDT-Überschreibungen) eine P12-Datei hochladen. Geben Sie das Passwort für die P12-Anmeldedatendatei für das BigQuery-Dienstkonto ein, das Sie für PDT-Prozesse bei der Verbindung verwenden möchten.
Looker mit BigQuery verbinden
Wählen Sie in Looker im Bereich Verwaltung die Option Verbindungen aus, um die Seite Verbindungen zu öffnen. Führen Sie dann einen der folgenden Schritte aus:
- Um eine neue Verbindung zu erstellen, wählen Sie die Schaltfläche Add Connection (Verbindung hinzufügen) aus.
- Wenn Sie eine vorhandene Verbindung bearbeiten möchten, suchen Sie in der Tabelle Datenbanken nach der Verbindung und klicken Sie dann in der Liste der Verbindung auf die Schaltfläche Bearbeiten.
Geben Sie die Verbindungsdetails ein. Die meisten dieser Einstellungen sind den meisten Datenbankdialekten gemeinsam und werden auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden beschrieben. Die folgenden Einstellungen werden erwähnt, um sie hervorzuheben oder um zu verdeutlichen, wie sie speziell auf BigQuery-Verbindungen angewendet werden:
Dialekt: Wählen Sie Google BigQuery Standard SQL oder Google BigQuery Legacy SQL aus.
Abrechnungsprojekt-ID: Die Projekt-ID (eindeutige Kennung) des Google Cloud-Abrechnungsprojekts. Das Abrechnungsprojekt ist das Google Cloud-Projekt, das abgerechnet wird. Sie können aber auch Datasets in einem anderen Google Cloud-Projekt abfragen, wenn Ihre LookML-Entwickler im Parameter
sql_table_name
Ihrer LookML-Ansichten, Explores oder Joins vollständige Tabellennamen angeben. Bei BigQuery hat ein Tabellenname mit vollständigem Umfang das Format<project_name>.<dataset_name>.<table_name>
. Ohne Referenz mit vollständigem Umfang sucht BigQuery im Abrechnungsprojekt und im Dataset, das Sie auf der Looker-Seite Verbindungen für die BigQuery-Verbindung zu Looker angeben, nach der Tabelle. Eine Erklärung der Ressourcenhierarchie in BigQuery finden Sie in der BigQuery-Dokumentation.Dataset: Der Name des Datasets, das Looker standardmäßig verwenden soll, wenn es Ihre Datenbank abfragt. Das Standard-Dataset muss sich in dem Abrechnungsprojekt befinden, das für die Verbindung angegeben wurde. Sie können keinen Wert wie
project_name.dataset_name
in das Feld Datenbank eingeben, um ein Dataset in einem anderen Projekt anzugeben.Ihr LookML-Projekt kann auf Tabellen in anderen Datensätzen zugreifen (einschließlich Tabellen in öffentlichen Datensätzen), wenn Ihre LookML-Entwickler im Parameter
sql_table_name
Ihrer LookML-Ansichten, Explores oder Joins voll qualifizierte Tabellennamen angeben. Bei BigQuery hat ein Tabellenname mit vollständigem Umfang das Format<project_name>.<dataset_name>.<table_name>
. Zum Abfragen einer Tabelle in einem anderen Dataset muss das Dienstkonto (bei Verbindungen, die die Dienstkontoauthentifizierung verwenden) oder der Nutzer, der die Abfrage verwendet, (bei Verbindungen mit OAuth-Authentifizierung) auf die Tabelle zugreifen können. Wenn in Ihrem LookML-Code keine Tabellennamen mit vollständiger Gültigkeit angegeben sind, sucht BigQuery nach der Tabelle in dem Dataset, das Sie im Feld Dataset der BigQuery-Verbindung angeben.Wenn Ihr Projekt keine Datensätze enthält (was der Fall sein kann, wenn Sie Rechenleistung und Speicher in separaten Projekten trennen), können Sie einen beliebigen Wert für Dataset angeben. In diesem Fall müssen Sie in Ihrer LookML jedoch immer Tabellennamen mit vollem Umfang verwenden.
Der Authentifizierungstyp, den Looker für den Zugriff auf Ihre Datenbank verwendet. Einige dieser Optionen werden nur für Looker (Google Cloud Core)-Instanzen unterstützt:
- Standardanmeldedaten für Anwendungen: (Nur Looker (Google Cloud Core)) Wählen Sie diese Option aus, um Standardanmeldedaten für Anwendungen zur Authentifizierung bei Ihrer Datenbank zu verwenden. Weitere Informationen finden Sie in der Dokumentation zu Looker (Google Cloud Core).
- Dienstkonto: Wählen Sie diese Option aus, um ein BigQuery-Dienstkonto für Looker zur Authentifizierung bei Ihrer Datenbank zu verwenden. Weitere Informationen finden Sie unter Authentifizierung mit BigQuery-Dienstkonten. Wenn Dienstkonto ausgewählt ist, sehen Sie die folgenden Felder:
- JSON- oder P12-Datei des Dienstes hochladen: Verwenden Sie die Schaltfläche Datei hochladen, um die Zertifikatsdatei für das BigQuery-Dienstkonto hochzuladen. Sie können diese Datei im Google Cloud API Manager als Schritt im Verfahren Dienstkonto erstellen und JSON-Anmeldedatenzertifikat herunterladen abrufen.
- E-Mail-Adresse des Dienstkontos: Dieses Feld ist nur relevant, wenn Sie im Feld JSON- oder P12-Datei des Dienstes hochladen eine P12-Datei hochladen. Geben Sie die E-Mail-Adresse für das BigQuery-Dienstkonto ein, die Sie im Google Cloud API Manager als Schritt bei der Erstellung eines Dienstkontos und dem Herunterladen des JSON-Anmeldezertifikats erhalten.
- Das Passwort für die P12-Anmeldedatendatei des BigQuery-Dienstkontos. Das Feld Passwort gilt nur, wenn Sie im Feld JSON- oder P12-Datei des Dienstes hochladen eine P12-Datei hochladen.
Wählen Sie diese Option aus, damit sich jeder Looker-Nutzer bei Google BigQuery authentifizieren kann und Looker über das BigQuery-Konto des Nutzers auf die Datenbank zugreifen kann. Weitere Informationen zur Implementierung von OAuth für Ihre BigQuery-Verbindung finden Sie auf dieser Seite im Abschnitt Authentifizierung mit OAuths. Wenn OAuth ausgewählt ist, werden die folgenden Felder angezeigt:
- OAuth-Client-ID: Die OAuth-Client-ID. Sie erhalten diese Informationen in der Google Cloud Console als Schritt im Verfahren Google OAuth-Anmeldedaten generieren.
- OAuth-Clientschlüssel: Der OAuth-Clientschlüssel. Sie erhalten diese Informationen als Schritt im Verfahren zum Generieren von Google OAuth-Anmeldedaten in der Google Cloud Console.
PDTs aktivieren: Aktivieren Sie diese Option, um persistente abgeleitete Tabellen (PDTs) für die Verbindung zuzulassen. Sie müssen den temporären Datensatz in Ihrer Datenbank angeben, mit dem Looker PDTs schreibt. Die Vorgehensweise wird im Abschnitt Temporäres Dataset für persistente abgeleitete Tabellen erstellen auf dieser Seite beschrieben. Hinweis: Wenn Ihre Verbindung für OAuth konfiguriert ist, müssen Sie im Abschnitt PDT Overrides (PDT-Überschreibungen) ein Dienstkonto angeben, das Looker für PDT-Prozesse in Ihrer BigQuery-Verbindung verwenden kann. Weitere Informationen finden Sie im Abschnitt PDTs für Looker-Verbindungen mit BigQuery mit OAuth aktivieren.
Temporäres Dataset: Das BigQuery-Dataset, das Sie in der Google Cloud Console erstellt haben, damit Looker persistente abgeleitete Tabellen in Ihre Datenbank schreiben kann. Eine Anleitung dazu finden Sie im Abschnitt Ein temporäres Dataset für persistente abgeleitete Tabellen erstellen.
Datenbankzeitzone: Die Standardzeitzone für BigQuery ist UTC. Die hier festgelegte Zeitzoneneinstellung muss Ihrer BigQuery-Zeitzoneneinstellung entsprechen. Weitere Informationen finden Sie auf der Seite Looker mit Ihrer Datenbank verbinden im Abschnitt Datenbankzeitzone.
Abfragezeitzone: Weitere Informationen finden Sie auf der Seite Looker mit Ihrer Datenbank verbinden im Abschnitt Abfragezeitzone.
Zusätzliche JDBC-Parameter: Fügen Sie zusätzliche JDBC-Parameter hinzu, z. B. BigQuery-Labels. Weitere Informationen finden Sie auf dieser Seite im Abschnitt Joblabels und Kontextkommentare für BigQuery-Verbindungen. Einige der unterstützten Parameter:
connectTimeout
: Anzahl der Millisekunden, die auf eine Verbindung gewartet werden soll. Beträgt standardmäßig 240000.readTimeout
: Anzahl der Millisekunden, die auf einen Lesevorgang gewartet werden soll. Beträgt standardmäßig 240000.rootUrl
: Wenn Sie eine BigQuery-Instanz in einem privaten Netzwerk haben, geben Sie einen alternativen Endpunkt für die Verbindung zu BigQuery an, der nicht der standardmäßige öffentliche Endpunkt ist.
Max. Abrechnung in Gigabyte: Bei BigQuery-Verbindungen werden Ihnen die Kosten für jede Abfrage nach ihrer Größe berechnet. Um zu verhindern, dass Nutzer versehentlich eine zu teure Abfrage ausführen, können Sie eine maximale Anzahl von Gigabyte festlegen, die ein Nutzer mit einer einzelnen Abfrage abrufen darf. Sie können das Feld Maximal abrechenbare Gigabyte leer lassen, wenn Sie die Abfragegröße nicht begrenzen möchten. Weitere Informationen zu den Preisen finden Sie auf der Preisseite für BigQuery.
Maximale Anzahl von Verbindungen pro Knoten: Kann anfänglich beim Standardwert belassen werden. Weitere Informationen zu dieser Einstellung finden Sie auf der Seite Looker mit Ihrer Datenbank verbinden im Abschnitt Maximale Verbindungen pro Knoten.
Zeitlimit des Verbindungspools: Kann anfänglich beim Standardwert belassen werden. Weitere Informationen zu dieser Einstellung finden Sie auf der Seite Looker mit Ihrer Datenbank verbinden im Abschnitt Zeitüberschreitung für Verbindungspool.
Kontext deaktivieren: Mit dieser Option werden Kontextkommentare für eine BigQuery-Verbindung deaktiviert. Kontextkommentare für Google BigQuery-Verbindungen sind standardmäßig deaktiviert, da sie die Google BigQuery-Fähigkeit zum Caching beeinträchtigen und sich negativ auf die Cacheleistung auswirken können. Sie können Kontextkommentare für eine BigQuery-Verbindung aktivieren, indem Sie die Ein/Aus-Schaltfläche Kontext deaktivieren deaktivieren. Weitere Informationen finden Sie im Abschnitt Joblabels und Kontextkommentare für BigQuery-Verbindungen.
SQL-Runner-Precache: Deaktivieren Sie diese Option, damit SQL Runner Tabelleninformationen nicht vorab lädt, sondern nur bei Auswahl einer Tabelle. Weitere Informationen finden Sie auf der Seite Looker mit Ihrer Datenbank verbinden im Abschnitt SQL Runner Precache.
Nachdem Sie alle für die Verbindung erforderlichen Felder ausgefüllt haben, können Sie die Verbindung testen.
Klicken Sie auf Verbinden, um diese Einstellungen zu speichern.
Verbindung wird getestet
Sie können Ihre Verbindungseinstellungen an mehreren Stellen in der Looker-Benutzeroberfläche testen:
- Wählen Sie unten auf der Seite Connections Settings (Verbindungseinstellungen) die Schaltfläche Test (Testen) aus, wie auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden beschrieben.
- Wählen Sie auf der Seite Verbindungen auf der Seite „Verwaltung“ neben dem Eintrag der Verbindung die Schaltfläche Testen aus, wie auf der Dokumentationsseite Verbindungen beschrieben.
Wenn in Looker für neue Verbindungen Can connect (Verbindung möglich) angezeigt wird, wählen Sie Add connection (Verbindung hinzufügen) aus. Looker führt die restlichen Verbindungstests aus, um zu prüfen, ob das Dienstkonto korrekt und mit den richtigen Rollen eingerichtet wurde.
Verbindung testen, die OAuth verwendet
- Wechseln Sie in Looker in den Entwicklungsmodus.
- Wenn Sie eine vorhandene BigQuery-Verbindung mit OAuth verwenden, rufen Sie die Projektdateien für ein Looker-Projekt auf, das Ihre BigQuery-Verbindung verwendet. Öffnen Sie für neue BigQuery-Verbindungen, die OAuth verwenden, eine Modelldatei und ersetzen Sie den Wert
connection
des Modells durch den Namen der neuen BigQuery-Verbindung. Speichern Sie dann die Modelldatei. - Öffnen Sie eines der Explores oder Dashboards des Modells, und führen Sie eine Abfrage aus. Wenn Sie versuchen, eine Abfrage auszuführen, werden Sie in Looker aufgefordert, sich mit Ihrem Google-Konto anzumelden. Befolgen Sie den Anweisungen zur Google OAuth-Anmeldung.
Jobbezeichnungen und Kontextkommentare für BigQuery-Verbindungen
Bei BigQuery-Verbindungen sendet Looker den Abfragekontext in Form von BigQuery-Joblabels. Looker sendet standardmäßig die folgenden Kontextbezeichnungsschlüssel für BigQuery-Verbindungen:
looker-context-user_id
: Die eindeutige Kennung für jeden Nutzer der Looker-Instanz. Sie können diese Nutzer-ID im Menü Verwaltung auf der Seite Nutzer mit den Nutzer-IDs abgleichen.looker-context-history_slug
: Die eindeutige Kennung für jede Abfrage, die von der Looker-Instanz in der Datenbank ausgeführt wird.looker-context-instance_slug
: Die ID der Looker-Instanz, von der die Abfrage erstellt wurde. Anhand dieser Informationen kann der Support von Looker Ihnen gegebenenfalls bei der Problembehebung helfen.
Sie können zusätzliche Joblabels für Looker konfigurieren, die mit jeder Abfrage über die BigQuery-Verbindung gesendet werden sollen. Verwenden Sie dazu das Textfeld Zusätzliche JDBC-Parameter auf der Seite Verbindungen. Fügen Sie im Feld Zusätzliche JDBC-Parameter den zusätzlichen JDBC-Parameter labels
hinzu und geben Sie eine durch Kommas getrennte Liste mit URL-codierten key=value
-Paaren an. Sie könnten beispielsweise folgenden Text im Feld Zusätzliche JDBC-Parameter angeben:
labels=this%3Dconnection-label,that%3Danother-connection-label
%3D
ist die URL-Codierung für =
. Dadurch werden jeder Abfrage, die Looker an die BigQuery-Datenbank sendet, zusätzlich zu den standardmäßigen Looker-Kontextlabels die folgenden beiden Labels hinzugefügt:
this
:connection-label
that
:another-connection-label
In BigQuery gelten Einschränkungen für Joblabels:
- Jede Verbindungsbezeichnung, deren Schlüssel mit einer Kontextbezeichnung übereinstimmt, wird ignoriert.
- Wenn die Gesamtmenge von Verbindungsbezeichnungen und Kontextbezeichnungen den Höchstwert von insgesamt 64 Bezeichnungen überschreitet, werden zuerst Kontextbezeichnungen und dann Verbindungsbezeichnungen verworfen, bis insgesamt höchstens 64 Bezeichnungen vorhanden sind.
Looker stellt sicher, dass Kontextlabels alle BigQuery-Anforderungen an die Labelgültigkeit erfüllen, prüft jedoch nicht die Gültigkeit von Verbindungslabels. Wenn Sie ungültige Verbindungsbezeichnungen konfigurieren, schlagen Abfragen möglicherweise fehl.
Die BigQuery-Joblabels, die von Looker standardmäßig gesendet werden (looker-context-user_id
, looker-context-history_id
und looker-context-instance_slug
), entsprechen den SQL-Kontextkommentaren, die Looker an SQL-Abfragen für andere Datenbankdialekte als BigQuery anhängt. Bei BigQuery-Verbindungen sind Kontextkommentare standardmäßig deaktiviert, da sie BigQuery die Fähigkeit zum cache beeinträchtigen und sich negativ auf die Cache-Leistung auswirken können. Sie können Kontextkommentare für eine BigQuery-Verbindung aktivieren, indem Sie die Ein/Aus-Schaltfläche Kontext deaktivieren für die BigQuery-Verbindung deaktivieren. Wir empfehlen, die Standardeinstellung für Disable Context Comment beizubehalten, damit Sie den BigQuery-Cache verwenden können. Wenn Sie die Option Kontextkommentar deaktivieren für eine BigQuery-Verbindung jedoch aufheben, sendet Looker SQL-Kontextkommentare und BigQuery-Joblabels an Ihre Datenbank.
SQL-Kontextkommentare und BigQuery-Joblabels enthalten dieselben Informationen. Looker könnte beispielsweise die folgenden SQL-Kontextkommentare für eine Abfrage generieren:
-- Looker Query Context
'{"user_id":1,"history_id":4757,"instance_slug":"ec2804ddef74c466f2a43e0afaa3ff6b"}'
In diesem Fall generiert Looker für dieselbe Abfrage die folgenden BigQuery-Joblabels:
[{"value":"1","key":"looker-context-user_id"},
{"value":"4757","key":"looker-context-history_id"},
{"value":"ec2804ddef74c466f2a43e0afaa3ff6b","key":"looker-context-instance_slug"}]
Funktionsunterstützung
Damit Looker einige Funktionen unterstützen kann, müssen diese auch von Ihrem Datenbankdialekt unterstützt werden.
Google BigQuery Standard SQL
Google BigQuery Standard-SQL unterstützt ab Looker 24.16 die folgenden Funktionen:
Funktion | Unterstützt? |
---|---|
Supportstufe | Unterstützt |
Looker (Google Cloud Core) | Ja |
Symmetrische Summen | Ja |
Abgeleitete Tabellen | Ja |
Persistente SQL-Abgeleitete Tabellen | Ja |
Nichtflüchtige native abgeleitete Tabellen | Ja |
Stabile Ansichten | Ja |
Abfrage beenden | Ja |
SQL-basierte Pivots | Ja |
Zeitzonen | Ja |
SSL | Ja |
Zwischensummen | Ja |
Zusätzliche JDBC-Parameter | Ja |
Groß-/Kleinschreibung beachten | Ja |
Standorttyp | Ja |
Listentyp | Ja |
Perzentil | Ja |
Perzentil der unterschiedlichen Werte | Ja |
SQL Runner – Prozesse anzeigen | Nein |
SQL Runner Describe Table | Nein |
SQL Runner – Indexe anzeigen | Nein |
SQL Runner Select 10 | Ja |
Anzahl der SQL Runner | Ja |
SQL Explain | Nein |
OAuth-Anmeldedaten | Ja |
Kontextkommentare | Ja |
Verbindungs-Pooling | Nein |
HLL-Skizzen | Ja |
Aggregatfunktion | Ja |
Inkrementelle PDTs | Ja |
Millisekunden | Ja |
Mikrosekunden | Ja |
Materialisierte Ansichten | Ja |
Ungefähre Anzahl einzelner | Ja |
Google BigQuery Legacy SQL
Google BigQuery Legacy SQL unterstützt ab Looker 24.16 die folgenden Funktionen:
Funktion | Unterstützt? |
---|---|
Supportstufe | Unterstützt |
Looker (Google Cloud Core) | Nein |
Symmetrische Summen | Ja |
Abgeleitete Tabellen | Ja |
Persistente SQL-Abgeleitete Tabellen | Ja |
Nichtflüchtige native abgeleitete Tabellen | Ja |
Stabile Ansichten | Nein |
Anfrage abbrechen | Ja |
SQL-basierte Pivots | Ja |
Zeitzonen | Nein |
SSL | Ja |
Zwischensummen | Nein |
Zusätzliche JDBC-Parameter | Ja |
Groß-/Kleinschreibung beachten | Ja |
Standorttyp | Ja |
Listentyp | Ja |
Perzentil | Ja |
Perzentil der unterschiedlichen Werte | Ja |
SQL Runner – Prozesse anzeigen | Nein |
SQL Runner Describe Table | Nein |
SQL Runner – Indexe anzeigen | Nein |
SQL Runner Select 10 | Ja |
Anzahl der SQL Runner | Ja |
SQL Explain | Nein |
OAuth-Anmeldedaten | Ja |
Kontextkommentare | Ja |
Verbindungs-Pooling | Nein |
HLL-Skizzen | Nein |
Aggregatfunktion | Ja |
Inkrementelle PDTs | Nein |
Millisekunden | Ja |
Mikrosekunden | Ja |
Materialisierte Ansichten | Nein |
Ungefähre Anzahl einzelner Aufrufe | Ja |
Nächste Schritte
Nachdem Sie die Datenbank mit Looker verbunden haben, konfigurieren Sie die Anmeldeoptionen für Ihre Nutzer.