对网络流量进行加密
最佳做法是对 Looker 应用和数据库之间的网络流量进行加密。请考虑启用安全的数据库访问文档页面中所述的选项之一。
如果您希望使用 SSL 加密,请参阅 Microsoft 文档。
配置服务器身份验证
Looker 需要“SQL Server 身份验证”您的 MSSQL 服务器上。如果您的 MSSQL 服务器配置为“Windows 集成身份验证”将服务器配置更改为“Windows 集成身份验证和 SQL Server 身份验证”。
如果服务器配置不正确,Looker 将无法连接。这将出现在您的 SQL Server 日志消息中,如:“尝试使用 SQL 身份验证登录失败。服务器仅针对 Windows 身份验证进行配置。”
如果需要进行更改,您可以完成以下步骤:
- 在 SQL Server Management Studio 对象资源管理器中,右键点击服务器,然后点击属性。
- 在安全页面的服务器身份验证下,选择新的服务器身份验证模式,然后点击确定。
- 在 SQL Server Management Studio 对话框中,点击确定以确认重启 SQL Server 的要求。
- 在对象资源管理器中,右键点击您的服务器,然后点击重启。如果 SQL Server Agent 正在运行,还必须将其重新启动。
有关详情,请参见 Microsoft 文档。
创建 Looker 用户
Looker 使用 SQL Server 身份验证向您的数据库进行身份验证。不支持使用网域账号。
如需创建账号,请运行以下命令。将 some_password_here
更改为具有唯一性的安全密码:
CREATE LOGIN looker
WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO
向 Looker 用户授予从表中进行选择的权限
Looker 需要对您要查询的每个表或架构具备 SELECT
权限。您可以通过多种方式分配 SELECT
权限:
如需向各个架构授予
SELECT
权限,请针对每个架构运行以下命令:GRANT SELECT on SCHEMA :: 'schema_name' to looker;
如需向单个表授予
SELECT
权限,请针对每个表运行以下命令:GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;
对于 MSSQL 2012 或更高版本,您也可以使用以下命令为 Looker 用户分配
db_datareader
角色:USE MyDatabase; ALTER ROLE db_datareader ADD MEMBER looker; GO
向 Looker 用户授予查看和停止运行查询的权限
Looker 必须获得授权才能检测和停止运行查询,这需要以下权限:
ALTER ANY CONNECTION
VIEW SERVER STATE
如需授予这些权限,请运行以下命令:
USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO
向 Looker 用户授予创建表的权限
如需为 Looker 用户授予创建 PDT 的权限,请运行以下命令:
USE MyDatabase;
GRANT CREATE TABLE to looker;
GO
临时架构设置
如需创建 Looker 用户拥有的架构并向 Looker 用户授予必要权限,请运行以下命令:
CREATE SCHEMA looker_scratch AUTHORIZATION looker;
配置 Kerberos 身份验证
如果您对 MSSQL 数据库使用 Kerberos 身份验证,请按照下一部分中的说明将 Looker 配置为使用 Kerberos 进行连接。
设置 Kerberos 客户端配置
首先,您需要确保安装了多款软件,并且 Looker 机器上存在多个文件。
Kerberos 客户端
运行 kinit
,验证 Looker 机器上是否已安装 Kerberos 客户端。如果未安装 Kerberos 客户端,请安装 Kerberos 客户端的二进制文件。
例如,在 Redhat 或 CentOS 上,此路径如下所示:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
Java 8 必须安装在 Looker 机器上以及 Looker 用户的 PATH
和 JAVA_HOME
中。如有必要,请将其安装在 looker
目录中。
Java 加密扩展
从此 Oracle 下载页面下载并安装适用于 Java 8 的 Java Cryptography Extension (JCE)。
- 找到用于安装 Java 的
jre/lib/security
目录。 - 从该目录中移除以下 JAR 文件:
local_policy.jar
和US_export_policy.jar
。 - 将这两个文件替换为下载的 JCE Unlimited Strength Jurisdiction Policy 文件中包含的 JAR 文件。
您可以在安装了 JCE 的情况下使用 Java 8 之前的 Java 版本,但不建议这样做。
- 找到用于安装 Java 的
更新
~looker/.bash_profile
中的JAVA_HOME
和PATH
,使其指向正确安装的 Java 和source ~/.bash_profile
,或者退出并重新登录。使用
java -version
验证 Java 版本。使用
echo $JAVA_HOME
验证JAVA_HOME
环境变量。
gss-jaas.conf
在 looker
目录中创建一个包含以下内容的 gss-jaas.conf
文件:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
如果需要进行测试,可将 debug=true
添加到此文件中,如下所示:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
运行 Looker 的服务器还应具有有效的 krb5.conf
文件。默认情况下,此文件位于 /etc/krb5.conf
。如果它位于其他位置,则必须在环境(在 shell 环境中为 KRB5_CONFIG
)中指明。
您可能需要从其他 Kerberos 客户端计算机复制此密钥。
lookerstart.cfg
在 looker
目录(包含 looker
启动脚本的同一目录)中创建一个名为 lookerstart.cfg
的文件,并在该文件中添加以下代码行,以指向 gss-jaas.conf
和 krb5.conf
文件:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
如果 krb5.conf
文件不在 /etc/krb5.conf
下,则还需要添加以下变量:
-Djava.security.krb5.conf=/path/to/krb5.conf
要进行调试,请添加以下变量:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
然后使用 ./looker restart
重启 Looker。
使用 Kerberos 进行身份验证
用户身份验证
如果
krb5.conf
不在/etc/
中,则使用环境变量KRB5_CONFIG
来指示其位置。运行命令
klist
以确保 Kerberos 票据缓存中有有效的票据。如果没有票证,请运行
kinit username@REALM
或kinit username
来创建票证。与 Looker 配合使用的账号可能是无头账号,因此您可以从 Kerberos 获取 keytab 文件,用于存储凭据以供长期使用。使用
kinit -k -t looker_user.keytab username@REALM
等命令获取 Kerberos 票据。
自动续订车票
请设置一个每隔一段时间运行的 Cron 作业,以便在 Kerberos 票据缓存中保留有效的票据。其运行频率取决于集群的配置。klist
应指明门票的过期时间。
正在创建与数据库的 Looker 连接
请按照以下步骤创建从 Looker 到数据库的连接:
- 在 Looker 的管理部分中,选择连接,然后点击添加连接。
从方言下拉菜单中,选择您的 Microsoft SQL Server 版本。
在 Remote Host(远程主机)和 Port(端口)部分,输入主机名和端口(默认端口为 1433)。
如果您需要指定 1433 以外的非默认端口,并且您的数据库需要使用英文逗号而不是冒号,则可以在连接设置中更靠下的其他 JDBC 参数字段中添加
useCommaHostPortSeparator=true
,这样就可以使用英文逗号作为 Remote Host:Port。例如:jdbc:sqlserver://hostname,1434
填写其余的连接详细信息。大多数设置对大多数数据库方言都是通用的。如需了解详情,请参阅将 Looker 连接到您的数据库文档页面。
如需验证连接是否成功,请点击测试。如需了解问题排查信息,请参阅测试数据库连接文档页面。
要保存这些设置,请点击连接。
配置 Looker 连接
按照将 Looker 连接到您的数据库文档页面中的说明,创建与 MSSQL 数据库的连接。在连接设置页面的其他 JDBC 参数部分,添加以下内容:
;integratedSecurity=true;authenticationScheme=JavaKerberos
某些网络配置为两个 Kerberos 领域:一个用于 Windows Active Directory,另一个用于 Linux 和其他非 Windows 系统。在这种情况下,当面向 Linux 的 Realm 和 Active Directory Realm 配置为相互信任时,就称为“跨域身份验证”。
如果您的网络使用跨域身份验证,您必须为 MSSQL Server 明确指定 Kerberos 正文。在其他 JDBC 参数字段中,添加以下内容:
;serverSpn=service_name/FQDN\:PORT@REALM
将 FQDN
和 PORT@REALM
替换为您的网络信息。例如:
;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM
此外,Looker 中的连接设置页面要求您在用户名和密码字段中输入内容,但对于 Kerberos,不需要填写这些信息。在这些字段中输入虚拟值。
测试连接,确保其配置正确。
功能支持
要让 Looker 支持某些功能,您的数据库方言也必须支持这些功能。
从 Looker 24.12 开始,Microsoft SQL Server 2008 及更高版本支持以下功能:
特征 | 是否支持? |
---|---|
支持级别 | 集成 |
Looker (Google Cloud Core) | 否 |
对称汇总 | 是 |
派生表 | 是 |
永久性 SQL 派生表 | 是 |
永久性原生派生表 | 是 |
稳定视图 | 是 |
终止查询 | 是 |
基于 SQL 的数据透视 | 是 |
时区 | 否 |
SSL | 是 |
小计 | 是 |
JDBC 其他参数 | 是 |
区分大小写 | 否 |
位置类型 | 是 |
名单类型 | 否 |
百分位 | 否 |
不同百分位 | 否 |
SQL Runner 显示进程 | 是 |
SQL Runner 描述表 | 是 |
SQL Runner 显示索引 | 是 |
SQL Runner 选择 10 | 是 |
SQL 运行程序数量 | 是 |
SQL 说明 | 否 |
OAuth 凭据 | 否 |
上下文注释 | 是 |
连接池 | 否 |
HLL 素描 | 否 |
聚合感知 | 是 |
增量 PDT | 否 |
毫秒 | 是 |
微秒 | 是 |
具体化视图 | 否 |
非重复近似计数 | 否 |
从 Looker 24.12 开始,Microsoft SQL Server 2016 支持以下功能:
特征 | 是否支持? |
---|---|
支持级别 | 受支持 |
Looker (Google Cloud Core) | 否 |
对称汇总 | 是 |
派生表 | 是 |
永久性 SQL 派生表 | 是 |
永久性原生派生表 | 是 |
稳定视图 | 是 |
终止查询 | 是 |
基于 SQL 的数据透视 | 是 |
时区 | 是 |
SSL | 是 |
小计 | 是 |
JDBC 其他参数 | 是 |
区分大小写 | 否 |
位置类型 | 是 |
名单类型 | 否 |
百分位 | 否 |
不同百分位 | 否 |
SQL Runner 显示进程 | 是 |
SQL Runner 描述表 | 是 |
SQL Runner 显示索引 | 是 |
SQL Runner 选择 10 | 是 |
SQL 运行程序数量 | 是 |
SQL 说明 | 否 |
OAuth 凭据 | 否 |
上下文注释 | 是 |
连接池 | 否 |
HLL 素描 | 否 |
聚合感知 | 是 |
增量 PDT | 否 |
毫秒 | 是 |
微秒 | 是 |
具体化视图 | 否 |
非重复近似计数 | 否 |
从 Looker 24.12 开始,Microsoft SQL Server 2017 及更高版本支持以下功能:
特征 | 是否支持? |
---|---|
支持级别 | 受支持 |
Looker (Google Cloud Core) | 是 |
对称汇总 | 是 |
派生表 | 是 |
永久性 SQL 派生表 | 是 |
永久性原生派生表 | 是 |
稳定视图 | 是 |
终止查询 | 是 |
基于 SQL 的数据透视 | 是 |
时区 | 是 |
SSL | 是 |
小计 | 是 |
JDBC 其他参数 | 是 |
区分大小写 | 否 |
位置类型 | 是 |
名单类型 | 否 |
百分位 | 否 |
不同百分位 | 否 |
SQL Runner 显示进程 | 是 |
SQL Runner 描述表 | 是 |
SQL Runner 显示索引 | 是 |
SQL Runner 选择 10 | 是 |
SQL 运行程序数量 | 是 |
SQL 说明 | 否 |
OAuth 凭据 | 否 |
上下文注释 | 是 |
连接池 | 否 |
HLL 素描 | 否 |
聚合感知 | 是 |
增量 PDT | 否 |
毫秒 | 是 |
微秒 | 是 |
具体化视图 | 否 |
非重复近似计数 | 否 |