PrestoDB y Trino

En esta página, se explica cómo conectar Looker a PrestoDB o Trino.

Encripta el tráfico de red

Una práctica recomendada es encriptar el tráfico de red entre la aplicación de Looker y tu base de datos. Considera una de las opciones que se describen en la página de documentación Habilita el acceso seguro a bases de datos.

Cómo crear la conexión de Looker a tu base de datos

En la sección Administrador de Looker, selecciona Conexiones y, luego, haz clic en Agregar conexión.

Completa los detalles de la conexión. La mayoría de los parámetros de configuración son comunes en la mayoría de los dialectos de bases de datos. Consulta la página de documentación Cómo conectar Looker a tu base de datos para obtener información. Algunos de los parámetros de configuración se describen a continuación:

• Dialecto: Selecciona PrestoDB o Trino.

  Se cambió la marca PrestoSQL a Trino. Si usas una versión de Trino anterior a la 352, selecciona PrestoSQL en el menú de dialecto de Looker.

• Host: Es el nombre de host de la base de datos.

• Puerto: Es el puerto de la base de datos. El puerto predeterminado es 8080.

• Base de datos: El “catálogo” o "conector", en términos de Presto.

• Nombre de usuario: Es el nombre de usuario del usuario que ejecutará las consultas.

  Esta información solo se envía al servidor de la base de datos si SSL está habilitado.

• Contraseña: Es la contraseña del usuario que ejecutará las consultas.

  Esta información solo se envía al servidor de la base de datos si SSL está habilitado.

• Esquema: Es el esquema predeterminado que se usará cuando no se especifique uno.

• Autenticación: Selecciona OAuth o cuenta de base de datos:

  • Usa Database Account para especificar el nombre de usuario y la contraseña de la cuenta de usuario de la base de datos que se usará para conectarse a Looker.
  • Usa OAuth si quieres configurar OAuth para la conexión.

• Habilitar PDT: Usa este botón de activación para habilitar las tablas derivadas persistentes (PDT). Se mostrarán campos de PDT adicionales y la sección Anulaciones de PDT para la conexión.

• Temp Database: Es el esquema para escribir las PDT. (La versión 3.50 agregó compatibilidad con PDT a Presto. Consulta la sección Cómo configurar PrestoDB o Trino para PDT en esta página si quieres obtener más información sobre cómo configurar Presto para la compatibilidad con PDT).

• Parámetros adicionales de JDBC: Cualquier parámetro adicional del controlador JDBC de PrestoDB, el controlador JDBC Trino o el controlador JDBC Starburst.

• SSL: Marca esta opción para habilitar las conexiones SSL.

• Verificar SSL: Ignora este campo. Todas las conexiones SSL usarán el almacén de confianza de Java predeterminado, a menos que se indique lo contrario con los parámetros de JDBC de PrestoDB, el controlador de JDBC de Trino o el controlador de JDBC de Starburst. Ingresa estos parámetros en el campo Parámetros adicionales de JDBC.

Para verificar que la conexión se haya realizado correctamente, haz clic en Probar. Consulta la página de documentación Cómo probar la conectividad de la base de datos para obtener información sobre la solución de problemas.

Para guardar esta configuración, haz clic en Conectar.

Para obtener más información sobre la configuración de conexión, consulta la página de documentación Conecta Looker a tu base de datos.

Cómo configurar PrestoDB o Trino para los PDT

Las PDT no son compatibles con las conexiones que usan OAuth.

La compatibilidad con PDT depende del conector que uses con PrestoDB o Trino. En esta sección, se explican los ajustes de configuración necesarios para una base de datos temporal. En este ejemplo, se supone que el conector que usas es hive.

El archivo de propiedades del catálogo de Hive debe contener algunas propiedades de configuración, que se describen en esta sección.

Esto es obligatorio porque Presto almacena en caché los resultados del almacén de metadatos de Hive y Looker debe poder ver las tablas de inmediato:

hive.metastore-cache-ttl = 0s

Estas dos propiedades son obligatorias porque Looker debe poder colocar y cambiar el nombre de los PDT:

hive.allow-rename-table=true
hive.allow-drop-table=true

Como referencia, en nuestros servidores de prueba internos de Presto usamos el siguiente archivo hive.properties, que se usa para todos los esquemas de Hive:

hive.s3.connect-timeout=1m
hive.s3.max-backoff-time=10m
hive.s3.max-error-retries=50
hive.metastore-cache-ttl = 0s
hive.metastore-refresh-interval = 5s
hive.s3.max-connections=500
hive.s3.max-client-retries=50
connector.name=hive-hadoop2
hive.s3.socket-timeout=2m
hive.s3.staging-directory=/mnt/tmp/
hive.s3.use-instance-credentials=true
hive.config.resources=/etc/hadoop/conf/core-site.xml,/etc/hadoop/conf/hdfs-site.xml
hive.parquet.use-column-names=true
hive.allow-drop-table=true
hive.metastore.uri=thrift://<metastore-server>:9083
hive.storage-format=ORC
hive.allow-rename-table=true

Configuración de OAuth para conexiones de Trino

Looker admite OAuth para las conexiones de Trino, lo que significa que cada usuario de Looker se autentica en la base de datos y autoriza a Looker a ejecutar consultas en la base de datos con su propia cuenta de usuario de OAuth.

OAuth permite a los administradores de bases de datos realizar las siguientes tareas:

• Audita qué usuarios de Looker ejecutan consultas en la base de datos
• Aplica controles de acceso basados en roles con permisos a nivel de la base de datos
• Usa tokens de OAuth para todos los procesos y acciones que acceden a la base de datos, en lugar de incorporar IDs y contraseñas de la base de datos en varios lugares.
• Cómo revocar la autorización de un usuario determinado directamente a través de la base de datos

Con las conexiones de Trino que usan OAuth, los usuarios deben volver a acceder periódicamente cuando venzan sus tokens de OAuth.

Ten en cuenta lo siguiente para las conexiones de OAuth a nivel de la base de datos:

• Si un usuario deja que venza su token de OAuth, se verán afectados los programas o las alertas de su propiedad. Para evitar esto, Looker enviará un correo electrónico de notificación al propietario de cada programación y cada alerta antes de que venza el token de OAuth activo actual. Looker enviará estos correos electrónicos de notificación 14 días, 7 días y 1 día antes de que venza el token. El usuario puede ir a su página de usuario de Looker para volver a autorizarlo a la base de datos y evitar interrupciones en sus programas y alertas. Consulta la página de documentación Personaliza la configuración de la cuenta de usuario para obtener más información.
• Debido a que las conexiones de bases de datos que usan OAuth son “por usuario”, las políticas de almacenamiento en caché también son por usuario y no solo por consulta. Esto significa que, en lugar de usar los resultados almacenados en caché cada vez que se ejecuta la misma consulta dentro del período de almacenamiento en caché, Looker usará los resultados almacenados en caché solo si el mismo usuario ejecutó la misma consulta dentro del período de almacenamiento en caché. Para obtener más información sobre el almacenamiento en caché, consulta la página de documentación Almacenamiento en caché de consultas.
• Las tablas derivadas persistentes (PDT) no son compatibles con las conexiones de Trino con OAuth.
• Cuando un administrador de Looker usa sudo como otro usuario, el administrador usará el token de acceso de OAuth de ese usuario. Si el token de acceso del usuario venció, el administrador no puede crear un token nuevo en nombre del usuario sudoed. Consulta la página de documentación de Usuarios para obtener información sobre el uso del comando sudo.
• Cuando accedes a Azure AD desde Looker con OAuth, Looker no muestra un diálogo de consentimiento del usuario explícito. Cuando configuras OAuth con Looker, das tu consentimiento implícitamente para que tu instancia de Looker acceda a tus datos de Trino.

Registra una aplicación

Para habilitar OAuth para Trino, primero registra una aplicación con un proveedor de identidad compatible. Looker solo admite Microsoft Entra ID (anteriormente conocido como Azure AD) para OAuth con Trino.

Requisitos previos

• Debes tener una suscripción a Azure.
• Debes tener permisos administrativos en Microsoft Entra ID.

Para registrar una aplicación, sigue estos pasos:

1. Ve al Portal de Azure y accede con tus credenciales.
2. En la barra de búsqueda del portal de Azure, busca "Microsoft Entra ID". y selecciónalo en los resultados.
3. En el servicio de Microsoft Entra ID, haz clic en Nuevo registro en la sección Registros de apps de la categoría Administrar.
4. Completa el formulario de registro de la siguiente manera:
   • Nombre: Proporciona un nombre descriptivo para la aplicación, como Looker Trino Connection.
   • Tipos de cuentas admitidos: Selecciona la opción adecuada según cómo desees restringir el acceso. Para un caso de uso interno, puedes seleccionar Cuentas solo en este directorio de la organización.
   • URI de redireccionamiento: Selecciona la plataforma Web y, luego, ingresa tu URI de redireccionamiento de Looker. Debería ser similar a https://YOUR_LOOKER_HOSTNAME/external_oath/redirect.
5. Haz clic en Register.
6. Recopila el ID de cliente, el ID de usuario y el Secreto de cliente para ingresarlos en tu conexión de Looker más tarde.
   • Puedes encontrar el ID de cliente y el ID de usuario en la página Descripción general.
   • Si no conoces tu Secreto de cliente, deberás crear uno nuevo. Haz clic en Certificados y Secrets en la sección Administrar y, luego, haz clic en Nuevo secreto del cliente.
7. Haz clic en Exponer una API en la sección Administrar.
8. Junto a URI de ID de aplicación, haz clic en Agregar.
9. Ingresa tu ID de cliente. Debe estar en el siguiente formato: api://CLIENT_ID.

Luego, sigue estos pasos en el portal de Azure para crear un nuevo permiso para usar con Looker:

1. Haz clic en Agregar un permiso en la sección Permisos definidos por esta API.

2. Agrega un Nombre del alcance para el permiso nuevo. Looker espera que el nombre de tu permiso sea: TrinoUsers.Read.All.

   El nombre TrinoUsers.Read.All implica permisos de solo lectura, pero el nombre en sí no establece ni aplica ningún permiso. Asegúrate de configurar el permiso para permitir solo el acceso de lectura a tu base de datos.

3. Agrega un Nombre visible y una Descripción.

4. En el selector ¿Quién puede dar su consentimiento?, selecciona Administradores y usuarios.

5. Haz clic en Agregar alcance.

6. En la sección Aplicaciones cliente autorizadas, haz clic en Agregar una aplicación cliente.

7. Ingresa tu ID de cliente y el alcance que acabas de crear.

8. Haga clic en Add application.

A continuación, para otorgarle a Looker los permisos de API necesarios, sigue estos pasos:

1. En la sección Administrar, haz clic en Permisos de API.
2. Haz clic en Agregar un permiso.
3. Selecciona la pestaña Mis APIs en la parte superior.
4. En la lista de registros de apps, selecciona el registro que acabas de crear, como Looker Trino Connection.
5. Selecciona la casilla de verificación Permisos delegados.
6. Selecciona la casilla de verificación TrinoUsers.Read.All.
7. Selecciona Agregar permiso.

Configura la base de datos para usar OAuth

A continuación, para configurar tu base de datos de Trino de modo que use OAuth, agrega las siguientes líneas al archivo config.properties de Trino. (Reemplaza las primeras cinco líneas de variables en mayúsculas con tus propios valores).

• YOUR_HTTPS_PORT
• PATH_TO_YOUR_SSL_CERTIFICATE
• YOUR_TENANT_ID
• YOUR_CLIENT_ID
• YOUR_SHARED_SECRET

# enable SSL for OAuth
http-server.https.enabled=true
http-server.https.port=YOUR_HTTPS_PORT
http-server.https.keystore.path=PATH_TO_YOUR_SSL_CERTIFICATE

# enable OAuth 2.0
http-server.authentication.type=oauth2
http-server.authentication.oauth2.issuer=https://sts.windows.net/YOUR_TENANT_ID/
http-server.authentication.oauth2.client-id=NA_required_but_not_used
http-server.authentication.oauth2.client-secret=NA_required_but_not_used

# turn off oidc discovery - Trino will inspect tokens locally instead
http-server.authentication.oauth2.oidc.discovery=false

# URLs that Trino requires for OAuth
http-server.authentication.oauth2.jwks-url=https://login.microsoftonline.com/common/discovery/v2.0/keys
http-server.authentication.oauth2.auth-url=NA_required_but_not_used
http-server.authentication.oauth2.token-url=NA_required_but_not_used

# add audience that matches the Azure AD's Application ID URI
http-server.authentication.oauth2.additional-audiences=api://YOUR_CLIENT_ID

# set shared-secret required for internal Trino communication when authentication is enabled, see: https://github.com/trinodb/trino/issues/12397
# can be generated with the following Linux command: openssl rand 512 | base64
internal-communication.shared-secret=YOUR_SHARED_SECRET

# optionally, allow some insecure http traffic
# http-server.authentication.allow-insecure-over-http=true

Acceder para ejecutar consultas

Una vez que la conexión de la base de datos esté configurada para usar OAuth, se les pedirá a los usuarios que accedan a Microsoft Entra ID antes de ejecutar consultas. Esto incluye las consultas de exploraciones, paneles, looks y SQL Runner.

Los usuarios también pueden acceder a Microsoft Entra ID desde la sección OAuth Connection Credentials en la página Account.

Para acceder a Microsoft Entra ID con Looker, sigue estos pasos:

1. Haz clic en el menú de usuario de Looker.
2. Selecciona Cuenta.
3. En la página Cuenta, haz clic en Acceder en la sección Credenciales de conexión de OAuth.

Esta acción mostrará un diálogo de acceso. Ingresa tus credenciales de Microsoft Entra ID y selecciona Acceder para otorgarle a Looker acceso a tu cuenta de base de datos.

Una vez que accedas a Microsoft Entra ID a través de Looker, puedes salir de tus credenciales o volver a autorizarlas en cualquier momento desde la página Cuenta, como se describe en la página de documentación Personaliza tu cuenta de usuario.

Reference

Para obtener más información sobre cómo configurar tu conector de Hive, consulta Conector de Hive de PrestoDB, Conector de Hive de Trino o Conector de Hive de Starburst.

Compatibilidad de características

Para que Looker admita algunas funciones, el dialecto de tu base de datos también debe admitirlas.

PrestoDB admite las siguientes funciones a partir de Looker 24.18:

Trino admite las siguientes funciones a partir de Looker 24/18:

Próximos pasos

Después de conectar tu base de datos a Looker, configura las opciones de acceso para tus usuarios.