En esta página, se analiza cómo conectar Looker a PrestoDB o Trino.
Encripta el tráfico de red
Una práctica recomendada es encriptar el tráfico de red entre la aplicación de Looker y tu base de datos. Considera una de las opciones que se describen en la página de documentación Habilita el acceso seguro a bases de datos.
Crea la conexión de Looker a tu base de datos
En la sección Administrador de Looker, selecciona Conexiones y, luego, haz clic en Agregar conexión.
Completa los detalles de la conexión. La mayoría de los parámetros de configuración son comunes a la mayoría de los dialectos de bases de datos. Consulta la página de documentación Conecta Looker a tu base de datos para obtener más información. Algunos de los parámetros de configuración se describen a continuación:
Dialecto: Selecciona PrestoDB o Trino.
Se cambió la marca PrestoSQL a Trino. Si usas una versión de Trino anterior a la 352, selecciona PrestoSQL en el menú de dialecto de Looker.
Host: El nombre de host de la base de datos.
Puerto: Es el puerto de la base de datos. El puerto predeterminado es 8080.
Base de datos: El “catálogo” o el “conector”, en términos de Presto.
Nombre de usuario: Es el nombre de usuario del usuario que realizará las consultas.
Esta información solo se envía al servidor de la base de datos si SSL está habilitado.
Contraseña: Es la contraseña del usuario que realizará las consultas.
Esta información solo se envía al servidor de la base de datos si SSL está habilitado.
Esquema: Es el esquema predeterminado que se usa cuando no se especifica ningún esquema.
Autenticación: Selecciona OAuth o cuenta de base de datos:
- Usa Database Account para especificar el nombre de usuario y la contraseña de la cuenta de usuario de la base de datos que se usará para conectarse a Looker.
- Usa OAuth si deseas configurar OAuth para la conexión.
Habilitar PDT: Usa este botón de activación para habilitar las tablas derivadas persistentes (PDT). Esto revela campos de PDT adicionales y la sección PDT Overrides para la conexión.
Temp Database: Es el esquema para escribir las PDT. (La versión 3.50 agregó compatibilidad con PDT para Presto. Consulta la sección Cómo configurar PrestoDB o Trino para PDT en esta página si quieres obtener más información sobre cómo configurar Presto para la compatibilidad con PDT).
Parámetros adicionales de JDBC: Cualquier parámetro adicional del controlador JDBC de PrestoDB, el controlador JDBC Trino o el controlador JDBC Starburst.
SSL: marca esta opción para habilitar las conexiones SSL.
Verificar SSL: Ignora este campo. Todas las conexiones SSL usarán el almacén de confianza Java predeterminado, a menos que se indique lo contrario con los parámetros JDBC de PrestoDB, el controlador JDBC Trino o el controlador JDBC Starburst. Ingresa estos parámetros en el campo Parámetros adicionales de JDBC.
Para verificar que la conexión se haya realizado correctamente, haz clic en Probar. Consulta la página de documentación Prueba la conectividad de la base de datos para obtener información sobre la solución de problemas.
Para guardar esta configuración, haz clic en Conectar.
Para obtener más información sobre la configuración de conexión, consulta la página de documentación Conecta Looker a tu base de datos.
Configura PrestoDB o Trino para PDT
Las PDT no son compatibles con las conexiones que usan OAuth.
La compatibilidad con PDT depende del conector que utilices con PrestoDB o Trino . En esta sección, se explican los ajustes de configuración necesarios para una base de datos temporal. En este ejemplo, se supone que el conector que usas es hive.
El archivo de propiedades del catálogo de Hive debe contener algunas propiedades de configuración, que se describen en esta sección.
Esto es obligatorio porque Presto almacena en caché los resultados del almacén de metadatos de Hive y Looker debe poder ver las tablas de inmediato:
hive.metastore-cache-ttl = 0s
Estas dos propiedades son obligatorias porque Looker debe poder descartar las PDT y cambiarles el nombre:
hive.allow-rename-table=true
hive.allow-drop-table=true
Como referencia, en nuestros servidores de prueba internos de Presto usamos el siguiente archivo hive.properties, que se usa para todos los esquemas de Hive:
hive.s3.connect-timeout=1m
hive.s3.max-backoff-time=10m
hive.s3.max-error-retries=50
hive.metastore-cache-ttl = 0s
hive.metastore-refresh-interval = 5s
hive.s3.max-connections=500
hive.s3.max-client-retries=50
connector.name=hive-hadoop2
hive.s3.socket-timeout=2m
hive.s3.staging-directory=/mnt/tmp/
hive.s3.use-instance-credentials=true
hive.config.resources=/etc/hadoop/conf/core-site.xml,/etc/hadoop/conf/hdfs-site.xml
hive.parquet.use-column-names=true
hive.allow-drop-table=true
hive.metastore.uri=thrift://<metastore-server>:9083
hive.storage-format=ORC
hive.allow-rename-table=true
Cómo configurar OAuth para conexiones de Trino
Looker admite OAuth para las conexiones de Trino, lo que significa que cada usuario de Looker se autentica en la base de datos y autoriza a Looker a ejecutar consultas en la base de datos con su propia cuenta de usuario de OAuth.
OAuth permite a los administradores de bases de datos realizar las siguientes tareas:
- Audita qué usuarios de Looker ejecutan consultas en la base de datos
- Aplicar de manera forzosa controles de acceso basados en roles usando permisos a nivel de la base de datos
- Usar tokens de OAuth para todos los procesos y acciones que accedan a la base de datos, en lugar de incorporar los ID y las contraseñas de la base de datos en varios lugares
- Revocar la autorización para un usuario determinado directamente a través de la base de datos
Con las conexiones de Trino que usan OAuth, los usuarios deben volver a acceder periódicamente cuando venzan sus tokens de OAuth.
Ten en cuenta lo siguiente para las conexiones de OAuth a nivel de la base de datos:
- Si un usuario deja que venza su token de OAuth, se verán afectados los programas o las alertas de su propiedad. Como protección contra esto, Looker enviará una notificación por correo electrónico al propietario de cada programa y cada alerta antes de que venza el token de OAuth activo actual. Looker enviará estas notificaciones por correo electrónico 14, 7 días y 1 día antes de que venza el token. El usuario puede ir a su página de usuario de Looker para volver a autorizarlo a la base de datos y evitar interrupciones en sus programas y alertas. Consulta la página de documentación Personaliza la configuración de la cuenta de usuario para obtener más información.
- Debido a que las conexiones de bases de datos que usan OAuth son “por usuario”, las políticas de almacenamiento en caché también son por usuario y no solo por consulta. Esto significa que, en lugar de usar resultados almacenados en caché cada vez que se ejecute la misma consulta dentro del período de almacenamiento en caché, Looker usará los resultados almacenados en caché solo si el mismo usuario ejecutó la misma consulta dentro del período de almacenamiento en caché. Para obtener más información sobre el almacenamiento en caché, consulta la página de documentación Almacenamiento de consultas en caché.
- Las tablas derivadas persistentes (PDT) no son compatibles con las conexiones de Trino con OAuth.
- Cuando un administrador de Looker realiza la solicitud como otro usuario, usa el token de acceso de OAuth de ese usuario. Si el token de acceso del usuario venció, el administrador no puede crear un token nuevo en nombre del usuario sudoed. Consulta la página de documentación de Usuarios para obtener información sobre el uso del comando
sudo. - Cuando accedes a Azure AD desde Looker con OAuth, Looker no muestra un cuadro de diálogo de consentimiento explícito del usuario. Cuando configuras OAuth con Looker, das tu consentimiento implícitamente para que tu instancia de Looker acceda a tus datos de Trino.
Registra una aplicación
Si quieres habilitar OAuth para Trino, primero registra una aplicación con un proveedor de identidad compatible. Looker solo es compatible con Microsoft Entra ID (antes conocido como Azure AD) para OAuth con Trino.
Requisitos previos
- Debes tener una suscripción a Azure.
- Debes tener permisos administrativos en Microsoft Entra ID.
Para registrar una aplicación, sigue estos pasos:
- Ve al Portal de Azure y accede con tus credenciales.
- En la barra de búsqueda del portal de Azure, busca "Microsoft Entra ID" y selecciónalo en los resultados.
- En el servicio de Microsoft Entra ID, haz clic en Registro nuevo en la sección Registros de apps de la categoría Administrar.
- Completa el formulario de registro de la siguiente manera:
- Nombre: Proporciona un nombre descriptivo para la aplicación, como
Looker Trino Connection. - Tipos de cuentas admitidos: Selecciona la opción adecuada según cómo desees restringir el acceso. Para un caso de uso interno, selecciona Solo cuentas en este directorio de la organización.
- URI de redireccionamiento: Selecciona la plataforma Web y, luego, ingresa tu URI de redireccionamiento de Looker. Debería ser similar a
https://YOUR_LOOKER_HOSTNAME/external_oath/redirect.
- Nombre: Proporciona un nombre descriptivo para la aplicación, como
- Haz clic en Register.
- Recopila el ID de cliente, el ID de usuario y el Secreto de cliente para ingresarlos en tu conexión de Looker más tarde.
- Puedes encontrar el ID de cliente y el ID de usuario en la página Descripción general.
- Si no conoces tu Secreto de cliente, deberás crear uno nuevo. Haz clic en Certificados y secretos en la sección Administrar y, luego, en Secreto del cliente nuevo.
- Haz clic en Exponer una API en la sección Administrar.
- Junto a URI de ID de aplicación, haz clic en Agregar.
- Ingresa tu ID de cliente. Debe estar en el siguiente formato:
api://CLIENT_ID.
Luego, sigue estos pasos en el portal de Azure para crear un nuevo permiso para usar con Looker:
- Haz clic en Add a scope en la sección Alcances definidos por esta API.
Agrega un Nombre del alcance para el permiso nuevo. Looker espera que el nombre de tu permiso sea:
TrinoUsers.Read.All.El nombre
TrinoUsers.Read.Allimplica permisos de solo lectura, pero el nombre en sí no establece ni aplica ningún permiso. Asegúrate de configurar el permiso para que solo permita el acceso de lectura a tu base de datos.Agrega un nombre visible y una descripción.
En el selector ¿Quién puede consentir?, selecciona Administradores y usuarios.
Haz clic en Agregar alcance.
En la sección Aplicaciones cliente autorizadas, haz clic en Agregar una aplicación cliente.
Ingresa tu ID de cliente y el alcance que acabas de crear.
Haga clic en Add application.
Luego, para otorgarle a Looker los permisos de API necesarios, sigue estos pasos:
- En la sección Administrar, haz clic en Permisos de API.
- Haz clic en Agregar un permiso.
- Selecciona la pestaña Mis APIs en la parte superior.
- En la lista de registros de apps, selecciona el que acabas de crear, como
Looker Trino Connection. - Selecciona la casilla de verificación Permisos delegados.
- Selecciona la casilla de verificación TrinoUsers.Read.All.
- Selecciona Agregar permiso.
Configura la base de datos para usar OAuth
A continuación, para configurar tu base de datos de Trino de modo que use OAuth, agrega las siguientes líneas al archivo config.properties de Trino. (Reemplaza las primeras cinco líneas de variables en mayúscula con tus propios valores.)
YOUR_HTTPS_PORTPATH_TO_YOUR_SSL_CERTIFICATEYOUR_TENANT_IDYOUR_CLIENT_IDYOUR_SHARED_SECRET
# enable SSL for OAuth
http-server.https.enabled=true
http-server.https.port=YOUR_HTTPS_PORT
http-server.https.keystore.path=PATH_TO_YOUR_SSL_CERTIFICATE
# enable OAuth 2.0
http-server.authentication.type=oauth2
http-server.authentication.oauth2.issuer=https://sts.windows.net/YOUR_TENANT_ID/
http-server.authentication.oauth2.client-id=NA_required_but_not_used
http-server.authentication.oauth2.client-secret=NA_required_but_not_used
# turn off oidc discovery - Trino will inspect tokens locally instead
http-server.authentication.oauth2.oidc.discovery=false
# URLs that Trino requires for OAuth
http-server.authentication.oauth2.jwks-url=https://login.microsoftonline.com/common/discovery/v2.0/keys
http-server.authentication.oauth2.auth-url=NA_required_but_not_used
http-server.authentication.oauth2.token-url=NA_required_but_not_used
# add audience that matches the Azure AD's Application ID URI
http-server.authentication.oauth2.additional-audiences=api://YOUR_CLIENT_ID
# set shared-secret required for internal Trino communication when authentication is enabled, see: https://github.com/trinodb/trino/issues/12397
# can be generated with the following Linux command: openssl rand 512 | base64
internal-communication.shared-secret=YOUR_SHARED_SECRET
# optionally, allow some insecure http traffic
# http-server.authentication.allow-insecure-over-http=true
Acceder para ejecutar consultas
Una vez que se configure la conexión de la base de datos para usar OAuth, se les pedirá a los usuarios que accedan a Microsoft Entra ID antes de ejecutar consultas. Esto incluye las consultas de las exploraciones, los paneles, las vistas y el Ejecutor de SQL.
Los usuarios también pueden acceder a Microsoft Entra ID desde la sección Credenciales de conexión OAuth en la página de su Cuenta.
Para acceder a Microsoft Entra ID con Looker, sigue estos pasos:
- Haz clic en el menú de usuario de Looker.
- Selecciona Cuenta.
- En la página Cuenta, haz clic en Acceder en la sección Credenciales de conexión de OAuth.
Esta acción mostrará un diálogo de acceso. Ingresa tus credenciales de Microsoft Entra ID y selecciona Acceder para otorgarle a Looker acceso a tu cuenta de base de datos.
Una vez que accedas a Microsoft Entra ID a través de Looker, puedes salir de tus credenciales o volver a autorizarlas en cualquier momento desde la página Cuenta, como se describe en la página de documentación Personaliza tu cuenta de usuario.
Reference
Para obtener más información sobre cómo configurar tu conector de Hive, consulta Conector de Hive de PrestoDB, Conector de Hive de Trino o Conector de Hive de Starburst.
Compatibilidad de características
Para que Looker admita algunas funciones, el dialecto de la base de datos también debe admitirlas.
PrestoDB admite las siguientes funciones a partir de Looker 24.10:
| Atributo | ¿Es compatible? |
|---|---|
| Nivel de asistencia | Admitido |
| Looker (Google Cloud Core) | Sí |
| Agregados simétricos | Sí |
| Tablas derivadas | Sí |
| Tablas derivadas de SQL persistentes | Sí |
| Tablas derivadas persistentes nativas | Sí |
| Vistas estables | Sí |
| Cierre de consultas | Sí |
| Tablas dinámicas basadas en SQL | Sí |
| Zonas horarias | Sí |
| SSL | Sí |
| Subtotales | Sí |
| Parámetros adicionales de JDBC | Sí |
| Distingue mayúsculas de minúsculas | Sí |
| Tipo de ubicación | Sí |
| Tipo de lista | Sí |
| Percentil | Sí |
| Percentil distintivo | No |
| Procesos de presentación del ejecutor de SQL | Sí |
| Tabla de descripción del ejecutor de SQL | Sí |
| Índices de programas del ejecutor de SQL | No |
| Selección del ejecutor de SQL 10 | Sí |
| Recuento de ejecutores de SQL | Sí |
| Explicación de SQL | Sí |
| Credenciales de OAuth | No |
| Comentarios contextuales | Sí |
| Agrupación de conexiones | No |
| Bocetos de HLL | Sí |
| Reconocimiento agregado | Sí |
| PDT incrementales | No |
| Milisegundos | Sí |
| Microsegundos | No |
| Vistas materializadas | No |
| Recuento aproximado de valores distintos | Sí |
Trino admite las siguientes funciones a partir de Looker 24.10:
| Atributo | ¿Es compatible? |
|---|---|
| Nivel de asistencia | Admitido |
| Looker (Google Cloud Core) | Sí |
| Agregados simétricos | Sí |
| Tablas derivadas | Sí |
| Tablas derivadas de SQL persistentes | Sí |
| Tablas derivadas persistentes nativas | Sí |
| Vistas estables | No |
| Cierre de consultas | Sí |
| Tablas dinámicas basadas en SQL | Sí |
| Zonas horarias | Sí |
| SSL | Sí |
| Subtotales | Sí |
| Parámetros adicionales de JDBC | Sí |
| Distingue mayúsculas de minúsculas | Sí |
| Tipo de ubicación | Sí |
| Tipo de lista | Sí |
| Percentil | Sí |
| Percentil distintivo | No |
| Procesos de presentación del ejecutor de SQL | Sí |
| Tabla de descripción del ejecutor de SQL | Sí |
| Índices de programas del ejecutor de SQL | No |
| Selección del ejecutor de SQL 10 | Sí |
| Recuento de ejecutores de SQL | Sí |
| Explicación de SQL | Sí |
| Credenciales de OAuth | Sí |
| Comentarios contextuales | Sí |
| Agrupación de conexiones | No |
| Bocetos de HLL | Sí |
| Reconocimiento agregado | Sí |
| PDT incrementales | No |
| Milisegundos | Sí |
| Microsegundos | No |
| Vistas materializadas | No |
| Recuento aproximado de valores distintos | Sí |
Próximos pasos
Después de conectar tu base de datos a Looker, configura las opciones de acceso para tus usuarios.