PrestoDB y Trino

En esta página, se explica cómo conectar Looker a PrestoDB o Trino.

Encripta el tráfico de red

Se recomienda encriptar el tráfico de red entre la aplicación de Looker y tu base de datos. Considera una de las opciones que se describen en la página de documentación Habilita el acceso seguro a la base de datos.

Cómo crear la conexión de Looker a tu base de datos

En la sección Administrador de Looker, selecciona Conexiones y, luego, haz clic en Agregar conexión.

Completa los detalles de la conexión. La mayoría de los parámetros de configuración son comunes en la mayoría de los dialectos de bases de datos. Consulta la página de documentación Cómo conectar Looker a tu base de datos para obtener información. A continuación, se describen algunos de los parámetros de configuración:

• Dialecto: Selecciona PrestoDB o Trino.

  Se cambió el nombre de PrestoSQL a Trino. Si usas una versión de Trino anterior a la 352, selecciona PrestoSQL en el menú de dialecto de Looker.

• Host: Es el nombre de host de la base de datos.

• Puerto: Es el puerto de la base de datos. El puerto predeterminado es 8080.

• Base de datos: Es el "catálogo" o "conector", en términos de Presto.

• Nombre de usuario: Es el nombre de usuario del usuario que ejecutará las consultas.

  Esta información solo se envía al servidor de la base de datos si SSL está habilitado.

• Contraseña: Es la contraseña del usuario que ejecutará las consultas.

  Esta información solo se envía al servidor de la base de datos si SSL está habilitado.

• Esquema: Es el esquema predeterminado que se usará cuando no se especifique uno.

• Autenticación: Selecciona Cuenta de base de datos o OAuth:

  • Usa Cuenta de base de datos para especificar el Nombre de usuario y la Contraseña de la cuenta de usuario de la base de datos que se usará para conectarse a Looker.
  • Usa OAuth si quieres configurar OAuth para la conexión.

• Habilitar PDT: Usa este botón de activación para habilitar las tablas derivadas persistentes (PDT). Se mostrarán campos de PDT adicionales y la sección Anulaciones de PDT para la conexión.

• Base de datos temporal: Es el esquema para escribir PDT. (La versión 3.50 agregó compatibilidad con PDT a Presto. Consulta la sección Configura PrestoDB o Trino para PDT en esta página para obtener más información sobre cómo configurar Presto para la compatibilidad con PDT.

• Parámetros adicionales de JDBC: Cualquier parámetro adicional del controlador JDBC de PrestoDB, el controlador JDBC de Trino o el controlador JDBC de Starburst.

• SSL: Marca esta opción para habilitar las conexiones SSL.

• Verificar SSL: Ignora este campo. Todas las conexiones SSL usarán el almacén de confianza de Java predeterminado, a menos que se indique lo contrario con los parámetros de JDBC de PrestoDB, el controlador JDBC de Trino o el controlador JDBC de Starburst. Ingresa estos parámetros en el campo Parámetros adicionales de JDBC.

Para verificar que la conexión se haya establecido correctamente, haz clic en Probar. Consulta la página de documentación Cómo probar la conectividad de la base de datos para obtener información sobre la solución de problemas.

Para guardar esta configuración, haz clic en Conectar.

Para obtener más información sobre la configuración de la conexión, consulta la página de documentación Cómo conectar Looker a tu base de datos.

Configura PrestoDB o Trino para los PDT

Las PDT no son compatibles con las conexiones que usan OAuth.

La compatibilidad con PDT depende del conector que uses con PrestoDB o Trino . En esta sección, se explica la configuración necesaria para una base de datos en blanco. En este ejemplo, se supone que el conector que usas es hive.

El archivo de propiedades del catálogo de Hive debe contener algunas propiedades de configuración, que se describen en esta sección.

Se requiere lo siguiente porque Presto almacena en caché los resultados de Hive Metastore, y Looker debe poder ver las tablas de inmediato:

hive.metastore-cache-ttl = 0s

Estas dos propiedades son obligatorias porque Looker debe poder colocar y cambiar el nombre de los PDT:

hive.allow-rename-table=true
hive.allow-drop-table=true

A modo de referencia, en nuestros servidores de pruebas internos de Presto, usamos el siguiente archivo hive.properties, que se usa para todos los esquemas de Hive:

hive.s3.connect-timeout=1m
hive.s3.max-backoff-time=10m
hive.s3.max-error-retries=50
hive.metastore-cache-ttl = 0s
hive.metastore-refresh-interval = 5s
hive.s3.max-connections=500
hive.s3.max-client-retries=50
connector.name=hive-hadoop2
hive.s3.socket-timeout=2m
hive.s3.staging-directory=/mnt/tmp/
hive.s3.use-instance-credentials=true
hive.config.resources=/etc/hadoop/conf/core-site.xml,/etc/hadoop/conf/hdfs-site.xml
hive.parquet.use-column-names=true
hive.allow-drop-table=true
hive.metastore.uri=thrift://<metastore-server>:9083
hive.storage-format=ORC
hive.allow-rename-table=true

Cómo configurar OAuth para conexiones de Trino

Looker admite OAuth para conexiones de Trino, lo que significa que cada usuario de Looker se autentica en la base de datos y autoriza a Looker a ejecutar consultas en la base de datos con su propia cuenta de usuario de OAuth.

OAuth permite que los administradores de bases de datos realicen las siguientes tareas:

• Audita qué usuarios de Looker ejecutan consultas en la base de datos
• Aplica controles de acceso basados en roles con permisos a nivel de la base de datos
• Usa tokens de OAuth para todos los procesos y acciones que acceden a la base de datos, en lugar de incorporar IDs y contraseñas de la base de datos en varios lugares.
• Cómo revocar la autorización de un usuario determinado directamente a través de la base de datos

Con las conexiones de Trino que usan OAuth, los usuarios deben volver a acceder periódicamente cuando vencen sus tokens de OAuth.

Ten en cuenta lo siguiente para las conexiones de OAuth a nivel de la base de datos:

• Si un usuario permite que venza su token de OAuth, se verán afectadas las agendas o alertas que tenga. Para evitar esto, Looker enviará un correo electrónico de notificación al propietario de cada programación y cada alerta antes de que venza el token de OAuth activo actual. Looker enviará estos correos electrónicos de notificación 14 días, 7 días y 1 día antes de que venza el token. El usuario puede ir a su página de usuario de Looker para volver a autorizar a Looker en la base de datos y evitar interrupciones en sus programas y alertas. Consulta la página de documentación Personaliza la configuración de la cuenta de usuario para obtener más información.
• Debido a que las conexiones de base de datos que usan OAuth son "por usuario", las políticas de almacenamiento en caché también son por usuario y no solo por consulta. Esto significa que, en lugar de usar los resultados almacenados en caché cada vez que se ejecuta la misma consulta dentro del período de almacenamiento en caché, Looker usará los resultados almacenados en caché solo si el mismo usuario ejecutó la misma consulta dentro del período de almacenamiento en caché. Para obtener más información sobre el almacenamiento en caché, consulta la página de documentación Almacenamiento en caché de consultas.
• Las tablas derivadas persistentes (PDT) no son compatibles con las conexiones de Trino con OAuth.
• Cuando un administrador de Looker usa sudo como otro usuario, el administrador usará el token de acceso de OAuth de ese usuario. Si el token de acceso del usuario caducó, el administrador no puede crear un token nuevo en nombre del usuario con sudo. Consulta la página de documentación Usuarios para obtener información sobre el uso del comando sudo.
• Cuando accedes a Azure AD desde Looker con OAuth, Looker no muestra un diálogo de consentimiento del usuario explícito. Cuando configuras OAuth con Looker, das tu consentimiento de forma implícita para que tu instancia de Looker acceda a tus datos de Trino.

Registra una aplicación

Para habilitar OAuth para Trino, primero registra una aplicación con un proveedor de identidad compatible. Looker solo admite Microsoft Entra ID (anteriormente conocido como Azure AD) para OAuth con Trino.

Requisitos previos

• Debes tener una suscripción a Azure.
• Debes tener permisos de administrador en Microsoft Entra ID.

Para registrar una aplicación, sigue estos pasos:

1. Ve al Portal de Azure y accede con tus credenciales.
2. En la barra de búsqueda del portal de Azure, busca "Microsoft Entra ID" y selecciónalo en los resultados.
3. En el servicio de Microsoft Entra ID, haz clic en Nuevo registro en la sección Registros de apps de la categoría Administrar.
4. Completa el formulario de registro de la siguiente manera:
   • Nombre: Proporciona un nombre descriptivo para la aplicación, como Looker Trino Connection.
   • Tipos de cuentas compatibles: Selecciona la opción adecuada según cómo quieras restringir el acceso. Para un caso de uso interno, puedes seleccionar Cuentas solo en este directorio de la organización.
   • URI de redireccionamiento: Selecciona la plataforma Web y, luego, ingresa el URI de redireccionamiento de Looker. Debería verse como https://YOUR_LOOKER_HOSTNAME/external_oath/redirect.
5. Haz clic en Register.
6. Recopila el ID de cliente, el ID de inquilino y el Secreto de cliente para ingresarlos en tu conexión de Looker más adelante.
   • Puedes encontrar el ID de cliente y el ID de usuario en la página Descripción general.
   • Si no conoces tu Secreto de cliente, deberás crear uno nuevo. Haz clic en Certificados y secretos en la sección Administrar y, luego, en Nuevo secreto de cliente.
7. Haz clic en Exponer una API en la sección Administrar.
8. Junto a URI de ID de aplicación, haz clic en Agregar.
9. Ingresa tu ID de cliente. Debe tener el siguiente formato: api://CLIENT_ID.

A continuación, sigue estos pasos en el Portal de Azure para crear un nuevo alcance que se usará con Looker:

1. Haz clic en Agregar un permiso en la sección Permisos definidos por esta API.

2. Agrega un Nombre de permiso para el permiso nuevo. Looker espera que el nombre de tu alcance sea TrinoUsers.Read.All.

   El nombre TrinoUsers.Read.All implica permisos de solo lectura, pero el nombre en sí no establece ni aplica ningún permiso. Asegúrate de configurar el permiso para permitir solo el acceso de lectura a tu base de datos.

3. Agrega un Nombre visible y una Descripción.

4. En el selector ¿Quién puede dar su consentimiento?, selecciona Administradores y usuarios.

5. Haz clic en Agregar alcance.

6. En la sección Aplicaciones cliente autorizadas, haz clic en Agregar una aplicación cliente.

7. Ingresa tu ID de cliente y el alcance que creaste recientemente.

8. Haz clic en Add application.

A continuación, para otorgarle a Looker los permisos de API necesarios, sigue estos pasos:

1. En la sección Administrar, haz clic en Permisos de API.
2. Haz clic en Agregar un permiso.
3. Selecciona la pestaña Mis APIs en la parte superior.
4. En la lista de registros de apps, selecciona el registro que acabas de crear, como Looker Trino Connection.
5. Selecciona la casilla de verificación Permisos delegados.
6. Selecciona la casilla de verificación TrinoUsers.Read.All.
7. Selecciona Agregar permiso.

Configura la base de datos para usar OAuth

A continuación, para configurar tu base de datos de Trino para que use OAuth, agrega las siguientes líneas a tu archivo config.properties de Trino. (Reemplaza las primeras cinco líneas de variables en mayúsculas por tus propios valores).

• YOUR_HTTPS_PORT
• PATH_TO_YOUR_SSL_CERTIFICATE
• YOUR_TENANT_ID
• YOUR_CLIENT_ID
• YOUR_SHARED_SECRET

# enable SSL for OAuth
http-server.https.enabled=true
http-server.https.port=YOUR_HTTPS_PORT
http-server.https.keystore.path=PATH_TO_YOUR_SSL_CERTIFICATE

# enable OAuth 2.0
http-server.authentication.type=oauth2
http-server.authentication.oauth2.issuer=https://sts.windows.net/YOUR_TENANT_ID/
http-server.authentication.oauth2.client-id=NA_required_but_not_used
http-server.authentication.oauth2.client-secret=NA_required_but_not_used

# turn off oidc discovery - Trino will inspect tokens locally instead
http-server.authentication.oauth2.oidc.discovery=false

# URLs that Trino requires for OAuth
http-server.authentication.oauth2.jwks-url=https://login.microsoftonline.com/common/discovery/v2.0/keys
http-server.authentication.oauth2.auth-url=NA_required_but_not_used
http-server.authentication.oauth2.token-url=NA_required_but_not_used

# add audience that matches the Azure AD's Application ID URI
http-server.authentication.oauth2.additional-audiences=api://YOUR_CLIENT_ID

# set shared-secret required for internal Trino communication when authentication is enabled, see: https://github.com/trinodb/trino/issues/12397
# can be generated with the following Linux command: openssl rand 512 | base64
internal-communication.shared-secret=YOUR_SHARED_SECRET

# optionally, allow some insecure http traffic
# http-server.authentication.allow-insecure-over-http=true

Cómo acceder para ejecutar consultas

Una vez que se configure la conexión de la base de datos para usar OAuth, se les pedirá a los usuarios que accedan a Microsoft Entra ID antes de ejecutar consultas. Esto incluye las consultas de exploraciones, paneles, estilos y SQL Runner.

Los usuarios también pueden acceder a Microsoft Entra ID desde la sección OAuth Connection Credentials en la página Account.

Para acceder a Microsoft Entra ID con Looker, sigue estos pasos:

1. Haz clic en el menú de usuario de Looker.
2. Selecciona Cuenta.
3. En la página Cuenta, haz clic en Acceder en la sección Credenciales de conexión de OAuth.

Esta acción mostrará un diálogo de acceso. Ingresa tus credenciales de Microsoft Entra ID y selecciona Acceder para otorgarle a Looker acceso a tu cuenta de base de datos.

Una vez que accedas a Microsoft Entra ID a través de Looker, podrás salir o volver a autorizar tus credenciales en cualquier momento a través de la página Account, como se describe en la página de documentación Personalizing your user account.

Reference

Para obtener más información sobre cómo configurar tu conector de Hive, consulta Conector de Hive de PrestoDB, Conector de Hive de Trino o Conector de Hive de Starburst.

Compatibilidad de características

Para que Looker admita algunas funciones, el dialecto de tu base de datos también debe admitirlas.

PrestoDB admite las siguientes funciones a partir de Looker 25.0:

Trino admite las siguientes funciones a partir de Looker 25.0:

Próximos pasos

Después de conectar tu base de datos a Looker, configura las opciones de acceso para tus usuarios.