加密网络流量
最佳做法是加密 Looker 应用与数据库之间的网络流量。不妨考虑启用安全的数据库访问文档页面中介绍的选项之一。
如果您有兴趣使用 SSL 加密,请参阅 Microsoft 文档。
配置服务器身份验证
Looker 需要在 MSSQL 服务器上启用“SQL Server 身份验证”。如果您的 MSSQL 服务器仅配置为“Windows 集成身份验证”,请将服务器配置更改为“Windows 集成身份验证和 SQL Server 身份验证”。
如果服务器配置未正确设置,Looker 将无法连接。这将显示在 SQL Server 日志消息中,例如:“尝试使用 SQL 身份验证登录失败。Server is configured for windows authentication only."
如果需要进行此更改,您可以完成以下步骤:
- 在 SQL Server Management Studio 对象资源管理器中,右键点击相应服务器,然后点击属性。
- 在安全页面上,选择服务器身份验证下的新服务器身份验证模式,然后点击确定。
- 在 SQL Server Management Studio 对话框中,点击 OK 确认需要重启 SQL Server。
- 在 Object Explorer 中,右键点击您的服务器,然后点击重启。如果 SQL Server Agent 正在运行,也必须将其重启。
如需了解详情,请参阅 Microsoft 文档。
创建 Looker 用户
Looker 使用 SQL Server 身份验证对您的数据库进行身份验证。不支持使用网域账号。
如需创建账号,请运行以下命令。将 some_password_here 更改为唯一的安全密码:
CREATE LOGIN looker
WITH PASSWORD = 'some_password_here';
USE MyDatabase;
CREATE USER looker FOR LOGIN looker;
GO
向 Looker 用户授予从表中 SELECT 的权限
Looker 需要对您要查询的每个表或架构拥有 SELECT 权限。您可以通过多种方式分配 SELECT 权限:
如需向各个架构授予
SELECT权限,请针对每个架构运行以下命令:GRANT SELECT on SCHEMA :: 'schema_name' to looker;如需向各个表授予
SELECT权限,请针对每个表运行以下命令:GRANT SELECT on OBJECT :: 'schema_name'.'table_name' to looker;对于 MSSQL 2012 或更高版本,您也可以使用以下命令为 Looker 用户分配
db_datareader角色:USE MyDatabase; ALTER ROLE db_datareader ADD MEMBER looker; GO
向 Looker 用户授予查看和停止运行查询的权限
Looker 必须获得授权才能检测和停止正在运行的查询,这需要以下权限:
ALTER ANY CONNECTIONVIEW SERVER STATE
如需授予这些权限,请运行以下命令:
USE Master;
GRANT ALTER ANY CONNECTION TO looker;
GRANT VIEW SERVER STATE to looker;
GO
向 Looker 用户授予创建表的权限
如需向 Looker 用户授予创建 PDT 的权限,请运行以下命令:
USE MyDatabase;
GRANT CREATE TABLE to looker;
GO
临时架构设置
如需创建归 Looker 用户所有的架构并向 Looker 用户授予必要的权限,请运行以下命令:
CREATE SCHEMA looker_scratch AUTHORIZATION looker;
配置 Kerberos 身份验证
如果您使用 Kerberos 身份验证与 MSSQL 数据库进行通信,请按照以下部分中所述的步骤配置 Looker 以使用 Kerberos 进行连接。
设置 Kerberos 客户端配置
首先,您需要确保在 Looker 机器上安装了多款软件,并确保有多个文件。
Kerberos 客户端
运行 kinit 以验证 Kerberos 客户端是否已安装在 Looker 计算机上。如果未安装 Kerberos 客户端,请安装 Kerberos 客户端的二进制文件。
例如,在 Redhat 或 CentOS 上,命令如下所示:
sudo yum install krb5-workstation krb5-libs krb5-auth-dialog
Java 8
必须在 Looker 机器上以及 Looker 用户的 PATH 和 JAVA_HOME 中安装 Java 8。如有必要,请在本地的 looker 目录中安装该工具。
Java 加密扩展
从此 Oracle 下载页面下载并安装适用于 Java 8 的 Java 加密扩展 (JCE)。
- 找到 Java 安装的
jre/lib/security目录。 - 从此目录中移除以下 JAR 文件:
local_policy.jar和US_export_policy.jar。 - 将这两个文件替换为 JCE 无限强度管辖区政策文件下载内容中包含的 JAR 文件。
您或许可以使用安装了 JCE 的 Java 8 之前的版本,但我们不建议这样做。
- 找到 Java 安装的
更新
~looker/.bash_profile中的JAVA_HOME和PATH,以指向正确安装的 Java 和source ~/.bash_profile,或退出并重新登录。使用
java -version验证 Java 版本。使用
echo $JAVA_HOME验证JAVA_HOME环境变量。
gss-jaas.conf
在 looker 目录中创建一个 gss-jaas.conf 文件,其中包含以下内容:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true;
};
如果需要进行测试,可以将 debug=true 添加到此文件中,如下所示:
com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=true
doNotPrompt=true
debug=true;
};
krb5.conf
运行 Looker 的服务器也应具有有效的 krb5.conf 文件。默认情况下,此文件位于 /etc/krb5.conf 中。如果它位于其他位置,则必须在环境中指明(在 shell 环境中为 KRB5_CONFIG)。
您可能需要从其他 Kerberos 客户端计算机复制此文件。
lookerstart.cfg
在 looker 目录(包含 looker 启动脚本的目录)中创建一个名为 lookerstart.cfg 的文件,并在其中添加以下代码行,以指向 gss-jaas.conf 和 krb5.conf 文件:
JAVAARGS="-Djava.security.auth.login.config=/path/to/gss-jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.krb5.conf=/etc/krb5.conf"
LOOKERARGS=""
如果 krb5.conf 文件不在 /etc/krb5.conf 下,则还需要添加此变量:
-Djava.security.krb5.conf=/path/to/krb5.conf
如需进行调试,请添加以下变量:
-Dsun.security.jgss.debug=true -Dsun.security.krb5.debug=true
然后,使用 ./looker restart 重启 Looker。
使用 Kerberos 进行身份验证
用户身份验证
如果
krb5.conf不在/etc/中,请使用环境变量KRB5_CONFIG指明其位置。运行命令
klist,确保 Kerberos 票据缓存中存在有效的票据。如果没有工单,请运行
kinit username@REALM或kinit username来创建工单。与 Looker 搭配使用的账号可能为无头账号,因此您可以从 Kerberos 获取 keytab 文件,以便存储长期使用的凭据。使用
kinit -k -t looker_user.keytab username@REALM等命令获取 Kerberos 票据。
自动续订支持服务工单
设置一个定期运行的 Cron 作业,以便在 Kerberos 票据缓存中保留有效的票据。此作业的运行频率取决于集群的配置。klist 应指明票券的失效时间。
创建 Looker 与数据库的连接
请按照以下步骤创建 Looker 与数据库之间的连接:
- 在 Looker 的管理部分中,选择连接,然后点击添加连接。
从方言下拉菜单中,选择您的 Microsoft SQL Server 版本。
对于远程主机和端口,请输入主机名和端口(默认端口为 1433)。
如果您需要指定 1433 以外的非默认端口,并且您的数据库要求使用英文逗号(而不是英文冒号),则可以在连接设置下方的其他 JDBC 参数字段中添加
useCommaHostPortSeparator=true,这样您就可以为远程主机:端口使用英文逗号。例如:jdbc:sqlserver://hostname,1434填写连接详情的其余部分。大多数设置对于大多数数据库方言都是通用的。如需了解详情,请参阅将 Looker 连接到数据库文档页面。
如需验证连接是否成功,请点击测试。如需了解问题排查信息,请参阅测试数据库连接文档页面。
如需保存这些设置,请点击连接。
配置 Looker 连接
按照将 Looker 连接到数据库文档页面上的说明创建与 MSSQL 数据库的连接。在连接设置页面的其他 JDBC 参数部分,添加以下内容:
;integratedSecurity=true;authenticationScheme=JavaKerberos
某些网络配置了两个 Kerberos 王国,一个用于 Windows Active Directory,另一个用于 Linux 和其他非 Windows 系统。在这种情况下,如果将专注于 Linux 的 Realm 和 Active Directory Realm 配置为相互信任,则称为“跨 Realm 身份验证”。
如果您的网络使用跨网域身份验证,您必须为 MSSQL Server 显式指定 Kerberos 正文。在 Additional JDBC parameters(其他 JDBC 参数)字段中,添加以下内容:
;serverSpn=service_name/FQDN\:PORT@REALM
将 FQDN 和 PORT@REALM 替换为您的网络信息。例如:
;serverSpn=MSSQLSvc/dbserver.internal.example.com:1433@AD.EXAMPLE.COM
此外,Looker 中的连接设置页面要求在用户名和密码字段中输入内容,但 Kerberos 不需要这些信息。在这些字段中输入虚构值。
请测试连接,确保其配置正确无误。
功能支持
为了让 Looker 支持某些功能,您的数据库方言也必须支持这些功能。
从 Looker 25.0 开始,Microsoft SQL Server 2008 及更高版本支持以下功能:
| 功能 | 是否支持? |
|---|---|
| 支持级别 | 集成 |
| Looker (Google Cloud Core) | 否 |
| 对称汇总 | 是 |
| 派生表 | 是 |
| 永久性 SQL 派生表 | 是 |
| 永久性原生派生表 | 是 |
| 稳定视图 | 是 |
| 查询终止 | 是 |
| 基于 SQL 的转换 | 是 |
| 时区 | 否 |
| SSL | 是 |
| 小计 | 是 |
| JDBC 其他参数 | 是 |
| 区分大小写 | 否 |
| 位置类型 | 是 |
| 列表类型 | 否 |
| 百分位 | 否 |
| 不同值百分位 | 否 |
| SQL Runner 显示进程 | 是 |
| SQL Runner 中的“Describe Table”命令 | 是 |
| SQL Runner 显示索引 | 是 |
| SQL Runner Select 10 | 是 |
| SQL Runner 计数 | 是 |
| SQL 说明 | 否 |
| Oauth 凭据 | 否 |
| 上下文注释 | 是 |
| 连接池 | 否 |
| HLL 草图 | 否 |
| 汇总认知度 | 是 |
| 增量 PDT | 否 |
| 毫秒 | 是 |
| 微秒 | 是 |
| 具体化视图 | 否 |
| 近似计数不同 | 否 |
从 Looker 25.0 开始,Microsoft SQL Server 2016 支持以下功能:
| 功能 | 是否支持? |
|---|---|
| 支持级别 | 支持 |
| Looker (Google Cloud Core) | 否 |
| 对称汇总 | 是 |
| 派生表 | 是 |
| 永久性 SQL 派生表 | 是 |
| 永久性原生派生表 | 是 |
| 稳定视图 | 是 |
| 查询终止 | 是 |
| 基于 SQL 的转换 | 是 |
| 时区 | 是 |
| SSL | 是 |
| 小计 | 是 |
| JDBC 其他参数 | 是 |
| 区分大小写 | 否 |
| 位置类型 | 是 |
| 列表类型 | 否 |
| 百分位 | 否 |
| 不同值百分位 | 否 |
| SQL Runner 显示进程 | 是 |
| SQL Runner 中的“Describe Table”命令 | 是 |
| SQL Runner 显示索引 | 是 |
| SQL Runner Select 10 | 是 |
| SQL Runner 计数 | 是 |
| SQL 说明 | 否 |
| Oauth 凭据 | 否 |
| 上下文注释 | 是 |
| 连接池 | 否 |
| HLL 草图 | 否 |
| 汇总认知度 | 是 |
| 增量 PDT | 否 |
| 毫秒 | 是 |
| 微秒 | 是 |
| 具体化视图 | 否 |
| 近似计数不同 | 否 |
从 Looker 25.0 开始,Microsoft SQL Server 2017 及更高版本支持以下功能:
| 功能 | 是否支持? |
|---|---|
| 支持级别 | 支持 |
| Looker (Google Cloud Core) | 是 |
| 对称汇总 | 是 |
| 派生表 | 是 |
| 永久性 SQL 派生表 | 是 |
| 永久性原生派生表 | 是 |
| 稳定视图 | 是 |
| 查询终止 | 是 |
| 基于 SQL 的转换 | 是 |
| 时区 | 是 |
| SSL | 是 |
| 小计 | 是 |
| JDBC 其他参数 | 是 |
| 区分大小写 | 否 |
| 位置类型 | 是 |
| 列表类型 | 否 |
| 百分位 | 否 |
| 不同值百分位 | 否 |
| SQL Runner 显示进程 | 是 |
| SQL Runner 中的“Describe Table”命令 | 是 |
| SQL Runner 显示索引 | 是 |
| SQL Runner Select 10 | 是 |
| SQL Runner 计数 | 是 |
| SQL 说明 | 否 |
| Oauth 凭据 | 否 |
| 上下文注释 | 是 |
| 连接池 | 否 |
| HLL 草图 | 否 |
| 汇总认知度 | 是 |
| 增量 PDT | 否 |
| 毫秒 | 是 |
| 微秒 | 是 |
| 具体化视图 | 否 |
| 近似计数不同 | 否 |