加密网络流量
最佳做法是对 Looker 应用和数据库之间的网络流量进行加密。请考虑启用安全的数据库访问文档页面中所述的选项之一。
如果您有兴趣使用 SSL 加密,请参阅 Microsoft 文档。
配置服务器身份验证
Looker 需要“SQL Server 身份验证”。如果您的 MSSQL 服务器配置为“Windows 集成身份验证”将服务器配置更改为“Windows 集成身份验证和 SQL Server 身份验证”。
如果服务器配置未正确设置,Looker 将无法连接。这将显示在 SQL Server 日志消息中,例如:“尝试使用 SQL 身份验证登录失败。服务器仅针对 Windows 身份验证进行配置。”
如果需要进行更改,您可以完成以下步骤:
- 在 SQL Server Management Studio 对象资源管理器中,右键点击相应服务器,然后点击属性。
- 在安全页面的服务器身份验证下,选择新的服务器身份验证模式,然后点击确定。
- 在 SQL Server Management Studio 对话框中,点击 OK 确认需要重启 SQL Server。
- 在 Object Explorer 中,右键点击您的服务器,然后点击重启。如果 SQL Server Agent 正在运行,则必须也重新启动。
有关详情,请参见 Microsoft 文档。
创建 Looker 用户
Looker 使用 SQL Server 身份验证对您的数据库进行身份验证。不支持使用网域账号。
如需创建账号,请运行以下命令。将 some_password_here
更改为具有唯一性的安全密码:
CREATE LOGIN looker
WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO
向 Looker 用户授予从表中 SELECT 的权限
Looker 需要对您要查询的每个表或架构具备 SELECT
权限。您可以通过多种方式分配 SELECT
权限:
如需向各个架构授予
SELECT
权限,请针对每个架构运行以下命令:GRANT SELECT on SCHEMA :: 'schema_name' to looker;
如需向单个表授予
SELECT
权限,请针对每个表运行以下命令:GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;
对于 MSSQL 2012 或更高版本,您也可以使用以下命令为 Looker 用户分配
db_datareader
角色:USE MyDatabase; ALTER ROLE db_datareader ADD MEMBER looker; GO
向 Looker 用户授予查看和停止运行查询的权限
Looker 必须获得授权才能检测和停止运行查询,这需要以下权限:
ALTER ANY CONNECTION
VIEW SERVER STATE
如需授予这些权限,请运行以下命令:
USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO
向 Looker 用户授予创建表的权限
如需为 Looker 用户授予创建 PDT 的权限,请运行以下命令:
USE MyDatabase;
GRANT CREATE TABLE to looker;
GO
临时架构设置
如需创建归 Looker 用户所有的架构并向 Looker 用户授予必要的权限,请运行以下命令:
CREATE SCHEMA looker_scratch AUTHORIZATION looker;
配置 Kerberos 身份验证
如果您使用 Kerberos 身份验证与 MSSQL 数据库进行通信,请按照以下部分中所述的步骤配置 Looker 以使用 Kerberos 进行连接。
设置 Kerberos 客户端配置
首先,您需要确保在 Looker 机器上安装了多款软件,并确保有多个文件。
Kerberos 客户端
运行 kinit
以验证 Kerberos 客户端是否已安装在 Looker 计算机上。如果未安装 Kerberos 客户端,请安装 Kerberos 客户端的二进制文件。
例如,在 Redhat 或 CentOS 上,此路径如下所示:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
Java 8 必须安装在 Looker 机器上以及 Looker 用户的 PATH
和 JAVA_HOME
中。如有必要,请在本地的 looker
目录中安装该工具。
Java 加密扩展
从此 Oracle 下载页面下载并安装适用于 Java 8 的 Java 加密扩展 (JCE)。
- 找到 Java 安装的
jre/lib/security
目录。 - 从该目录中移除以下 JAR 文件:
local_policy.jar
和US_export_policy.jar
。 - 将这两个文件替换为下载的 JCE Unlimited Strength Jurisdiction Policy 文件中包含的 JAR 文件。
您可以在安装了 JCE 的情况下使用 Java 8 之前的 Java 版本,但不建议这样做。
- 找到 Java 安装的
更新
~looker/.bash_profile
中的JAVA_HOME
和PATH
,以指向正确安装的 Java 和source ~/.bash_profile
,或退出账号,然后重新登录。使用
java -version
验证 Java 版本。使用
echo $JAVA_HOME
验证JAVA_HOME
环境变量。
gss-jaas.conf
在 looker
目录中创建一个 gss-jaas.conf
文件,其中包含以下内容:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
如果需要进行测试,可以将 debug=true
添加到此文件中,如下所示:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
运行 Looker 的服务器还应具有有效的 krb5.conf
文件。默认情况下,此文件位于 /etc/krb5.conf
中。如果它位于其他位置,则必须在环境(在 shell 环境中为 KRB5_CONFIG
)中指明。
您可能需要从其他 Kerberos 客户端计算机复制此密钥。
lookerstart.cfg
在 looker
目录(包含 looker
启动脚本的同一目录)中创建一个名为 lookerstart.cfg
的文件,并在该文件中添加以下代码行,以指向 gss-jaas.conf
和 krb5.conf
文件:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
如果 krb5.conf
文件不在 /etc/krb5.conf
下,则还需要添加以下变量:
-Djava.security.krb5.conf=/path/to/krb5.conf
如需进行调试,请添加以下变量:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
然后,使用 ./looker restart
重启 Looker。
使用 Kerberos 进行身份验证
用户身份验证
如果
krb5.conf
不在/etc/
中,请使用环境变量KRB5_CONFIG
指明其位置。请运行
klist
命令,确保 Kerberos 票据缓存中有有效的票据。如果没有工单,请运行
kinit username@REALM
或kinit username
来创建工单。与 Looker 搭配使用的账号可能为无头账号,因此您可以从 Kerberos 获取 keytab 文件,以便存储长期使用的凭据。使用
kinit -k -t looker_user.keytab username@REALM
等命令获取 Kerberos 票据。
自动续订车票
设置一个每隔一段时间运行的 Cron 作业,以便将有效票据保留在 Kerberos 票据缓存中。其运行频率取决于集群的配置。klist
应指明票券的失效时间。
正在创建与数据库的 Looker 连接
请按照以下步骤创建 Looker 与数据库之间的连接:
- 在 Looker 的管理部分中,选择连接,然后点击添加连接。
从方言下拉菜单中,选择您的 Microsoft SQL Server 版本。
对于远程主机和端口,请输入主机名和端口(默认端口为 1433)。
如果您需要指定 1433 以外的非默认端口,并且您的数据库要求使用英文逗号(而不是英文冒号),您可以在连接设置下方的其他 JDBC 参数字段中添加
useCommaHostPortSeparator=true
,这样您就可以为远程主机:端口使用英文逗号。例如:jdbc:sqlserver://hostname,1434
填写连接详情的其余部分。大多数设置对大多数数据库方言都是通用的。如需了解详情,请参阅将 Looker 连接到您的数据库文档页面。
如需验证连接是否成功,请点击测试。如需了解问题排查信息,请参阅测试数据库连接文档页面。
如需保存这些设置,请点击连接。
配置 Looker 连接
按照将 Looker 连接到您的数据库文档页面中的说明,创建与 MSSQL 数据库的连接。在连接设置页面的其他 JDBC 参数部分,添加以下内容:
;integratedSecurity=true;authenticationScheme=JavaKerberos
某些网络配置了两个 Kerberos 领域,一个用于 Windows Active Directory,另一个用于 Linux 和其他非 Windows 系统。在这种情况下,如果将专注于 Linux 的 Realm 和 Active Directory Realm 配置为相互信任,则称为“跨 Realm 身份验证”。
如果您的网络使用跨网域身份验证,您必须为 MSSQL Server 显式指定 Kerberos 主体。在其他 JDBC 参数字段中,添加以下内容:
;serverSpn=service_name/FQDN\:PORT@REALM
将 FQDN
和 PORT@REALM
替换为您的网络信息。例如:
;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM
此外,Looker 中的连接设置页面要求在用户名和密码字段中输入内容,但 Kerberos 不需要这些信息。在这些字段中输入虚构值。
测试连接,确保其配置正确。
功能支持
为了让 Looker 支持某些功能,您的数据库方言也必须支持这些功能。
从 Looker 24.16 开始,Microsoft SQL Server 2008 及更高版本支持以下功能:
特征 | 是否支持? |
---|---|
支持级别 | 集成 |
Looker (Google Cloud Core) | 否 |
对称汇总 | 是 |
派生表 | 是 |
永久性 SQL 派生表 | 是 |
永久性原生派生表 | 是 |
稳定视图 | 是 |
终止查询 | 是 |
基于 SQL 的转换 | 是 |
时区 | 否 |
SSL | 是 |
小计 | 是 |
JDBC 其他参数 | 是 |
区分大小写 | 否 |
位置类型 | 是 |
名单类型 | 否 |
百分位 | 否 |
不同百分位 | 否 |
SQL Runner 显示进程 | 是 |
SQL Runner 中的“Describe Table”命令 | 是 |
SQL Runner 显示索引 | 是 |
SQL Runner 选择 10 | 是 |
SQL Runner 计数 | 是 |
SQL 说明 | 否 |
Oauth 凭据 | 否 |
上下文注释 | 是 |
连接池 | 否 |
HLL 素描 | 否 |
汇总认知度 | 是 |
增量 PDT | 否 |
毫秒 | 是 |
微秒 | 是 |
具体化视图 | 否 |
非重复近似计数 | 否 |
从 Looker 24.16 开始,Microsoft SQL Server 2016 支持以下功能:
特征 | 是否支持? |
---|---|
支持级别 | 支持 |
Looker (Google Cloud Core) | 否 |
对称汇总 | 是 |
派生表 | 是 |
永久性 SQL 派生表 | 是 |
永久性原生派生表 | 是 |
稳定视图 | 是 |
终止查询 | 是 |
基于 SQL 的转换 | 是 |
时区 | 是 |
SSL | 是 |
小计 | 是 |
JDBC 其他参数 | 是 |
区分大小写 | 否 |
位置类型 | 是 |
名单类型 | 否 |
百分位 | 否 |
不同百分位 | 否 |
SQL Runner 显示进程 | 是 |
SQL Runner 中的“Describe Table”命令 | 是 |
SQL Runner 显示索引 | 是 |
SQL Runner 选择 10 | 是 |
SQL Runner 计数 | 是 |
SQL 说明 | 否 |
Oauth 凭据 | 否 |
上下文注释 | 是 |
连接池 | 否 |
HLL 素描 | 否 |
汇总认知度 | 是 |
增量 PDT | 否 |
毫秒 | 是 |
微秒 | 是 |
具体化视图 | 否 |
非重复近似计数 | 否 |
从 Looker 24.16 开始,Microsoft SQL Server 2017 及更高版本支持以下功能:
特征 | 是否支持? |
---|---|
支持级别 | 支持 |
Looker (Google Cloud Core) | 是 |
对称汇总 | 是 |
派生表 | 是 |
永久性 SQL 派生表 | 是 |
永久性原生派生表 | 是 |
稳定视图 | 是 |
终止查询 | 是 |
基于 SQL 的转换 | 是 |
时区 | 是 |
SSL | 是 |
小计 | 是 |
JDBC 其他参数 | 是 |
区分大小写 | 否 |
位置类型 | 是 |
名单类型 | 否 |
百分位 | 否 |
不同百分位 | 否 |
SQL Runner 显示进程 | 是 |
SQL Runner 中的“Describe Table”命令 | 是 |
SQL Runner 显示索引 | 是 |
SQL Runner 选择 10 | 是 |
SQL Runner 计数 | 是 |
SQL 说明 | 否 |
Oauth 凭据 | 否 |
上下文注释 | 是 |
连接池 | 否 |
HLL 素描 | 否 |
汇总认知度 | 是 |
增量 PDT | 否 |
毫秒 | 是 |
微秒 | 是 |
具体化视图 | 否 |
非重复近似计数 | 否 |