如需将 Looker 关联到 Snowflake,请按以下步骤操作:
- 在 Snowflake 上创建 Looker 用户并预配访问权限。
- 在 Looker 中设置数据库连接。
加密网络流量
最佳实践是对 Looker 应用和数据库之间的网络流量进行加密。考虑启用安全的数据库访问文档页面中介绍的某个选项。
在 Snowflake 上创建 Looker 用户
我们建议使用以下命令创建 Looker 用户。请务必单独运行每行代码。
(可选)添加
ON FUTURE关键字,以在新创建的对象上保留GRANT语句。我们建议对 Looker 将使用的所有架构中的表运行此命令,这样,在创建新表时,您无需重新运行GRANT语句。
-- change role to ACCOUNTADMIN
use role ACCOUNTADMIN;
-- create role for looker
create role if not exists looker_role;
grant role looker_role to role SYSADMIN;
-- Note that we are not making the looker_role a SYSADMIN,
-- but rather granting users with the SYSADMIN role to modify the looker_role
-- create a user for looker
create user if not exists looker_user
password = '<enter password here>';
grant role looker_role to user looker_user;
alter user looker_user
set default_role = looker_role
default_warehouse = 'looker_wh';
-- change role
use role SYSADMIN;
-- create a warehouse for looker (optional)
create warehouse if not exists looker_wh
-- set the size based on your dataset
warehouse_size = medium
warehouse_type = standard
auto_suspend = 1800
auto_resume = true
initially_suspended = true;
grant all privileges
on warehouse looker_wh
to role looker_role;
-- grant read only database access (repeat for all database/schemas)
grant usage on database <database> to role looker_role;
grant usage on schema <database>.<schema> to role looker_role;
-- rerun the following any time a table is added to the schema
grant select on all tables in schema <database>.<schema> to role looker_role;
-- or
grant select on future tables in schema <database>.<schema> to role looker_role;
-- create schema for looker to write back to
use database <database>;
create schema if not exists looker_scratch;
use role ACCOUNTADMIN;
grant ownership on schema looker_scratch to role SYSADMIN revoke current grants;
grant all on schema looker_scratch to role looker_role;
如果您将前面的命令批量粘贴到 Snowflake 连接面板中,请选中 All Query 复选框,以确保所有行都运行。默认情况下,Snowflake 仅运行选定的线条。
创建 Looker 与数据库的连接
在 Looker 的管理部分中,选择连接,然后点击添加连接。
填写连接详情。大多数设置对大多数数据库方言是通用的。如需了解详情,请参阅将 Looker 连接到您的数据库文档页面。下面将介绍其中一些设置:
- 名称:为连接命名。这就是 LookML 模型引用连接的方式。
- 方言:选择 Snowflake。
- Host(主机):输入 Snowflake 主机名。其外观类似于
<account_name>.snowflakecomputing.com。查看各区域的雪花帐号名称示例,确保在部署中使用正确的值。 - 端口:默认值为 443。
- 数据库:输入要使用的默认数据库。此字段区分大小写。
- 架构:输入默认架构。
- Authentication:选择数据库账号或 OAuth:
- 使用数据库账号指定将用于连接到 Looker 的 Snowflake 用户帐号的用户名和密码。
- 如果您希望为连接配置 OAuth,请使用 OAuth。
- 启用 PDT:使用此切换开关可启用永久性派生表 (PDT)。启用 PDT 会显示额外的 PDT 字段和连接的 PDT 替换部分。
- 临时数据库:如果启用了 PDT,请将此字段设置为用户拥有创建、删除、重命名和更改表的完整权限的架构。
- 每个节点的连接数上限:此设置最初可以保留默认值。如需详细了解此设置,请参阅将 Looker 连接到您的数据库文档页面的每个节点的连接数上限部分。
- 费用估算:启用“探索”查询的费用估算、SQL Runner 查询的费用估算以及汇总感知查询的计算节省量估算。
- 数据库时区:Snowflake 数据库用于存储日期和时间的时区。默认值为 UTC。这是可选操作。
- Query Time Zone:您希望查询显示的时区。例如,美国东部(美洲 – 纽约)。这是可选操作。
其他 JDBC 参数:添加来自 Snowflake JDBC 驱动程序的其他 JDBC 参数。
- 添加
warehouse=<YOUR WAREHOUSE NAME>。 此外,默认情况下,Looker 还会在每个会话中设置以下 Snowflake 参数:
TIMESTAMP_TYPE_MAPPING=TIMESTAMP_LTZJDBC_TREAT_DECIMAL_AS_INT=FALSETIMESTAMP_INPUT_FORMAT=AUTOAUTOCOMMIT=TRUE
您可以通过在其他 JDBC 参数字段中设置备用值来替换每个参数,例如:
&AUTOCOMMIT=FALSE
- 添加
如需验证连接是否成功,请点击 Test。如需了解问题排查信息,请参阅测试数据库连接文档页面。
如需保存这些设置,请点击连接。
按组或按用户指定 Snowflake 仓库
您可以使用 Looker 用户属性为各个 Looker 用户或群组分配单独的 Snowflake 仓库。举例来说,如果您的用户需要不同级别的计算能力,这种配置就非常实用。您可以将具有更大量计算资源的仓库只分配给需要它的用户,而将资源较少的仓库分配给需求较少的用户。
如需按组或按用户指定仓库,请执行以下操作:
- 在 Looker 中添加群组或用户。
在 Looker 中定义将用来存储 Snowflake 仓库名称的用户属性。您可以为此属性指定任何名称,例如
snowflake_wh。
在您刚刚定义的用户属性中,将仓库名称值分配给 groups 或 users。
在连接设置页面的其他 JDBC 参数字段中,添加以下内容,并将
snowflake_warehouse替换为您定义的用户属性的名称:warehouse={{ _user_attributes['snowflake_warehouse'] }}例如:
要测试各个连接设置,您可以以用户身份执行 sudo,且您已为其分配了仓库名称值。
如需查看有关此流程的更详细说明,请参阅 Red Pill Analytics 博客。
Snowflake 的自动挂起功能
Snowflake 仓库具有自动挂起功能,该功能默认处于启用状态。在指定期限过后,仓库会自动暂停。如果仓库被暂停,所有查询都会产生错误。此错误不会显示在信息中心内(通常不会显示任何数据),但使用“探索”页面查询时会看到该错误。
Snowflake 还具有自动恢复功能,会在有人查询仓库时恢复仓库。但是,恢复仓库时最多可能需要五分钟,导致查询在返回前会挂起五分钟。无法在 Looker 中配置这些功能。在 Snowflake 界面的仓库标签页中启用这些功能。
PDT 支持
为了支持永久性派生表,请为 PDT 创建一个 Snowflake 用户帐号,该帐号需对您的数据库以及 Looker 将用于创建 PDT 的临时架构拥有写入权限。在 Looker Connections Settings 页面的 Persistent Derived Tables (PDT) 部分中,将启用 PDT 开关切换到开启状态。然后,在临时数据库字段中,输入 Looker 将用于创建 PDT 的临时架构的名称。接下来,在 PDT 覆盖部分,输入 PDT 用户的用户名和密码。如需了解详情,请参阅将 Looker 连接到您的数据库文档页面。
使用 OAuth 的雪花型连接不支持 PDT。
对于 Snowflake 连接,Looker 会将 AUTOCOMMIT 参数的值设置为 TRUE(这是 Snowflake 的默认值)。Looker 为维护其 PDT 注册系统而运行的 SQL 命令需要 AUTOCOMMIT。
为 Snowflake 连接配置 OAuth
Looker 支持使用 OAuth for Snowflake 连接,这意味着每个 Looker 用户在 Snowflake 中都会进行身份验证,并授权 Looker 使用自己的 Snowflake 用户帐号在数据库中运行查询。
OAuth 可让数据库管理员执行以下操作:
- 审核哪些 Looker 用户正在对数据库运行查询
- 使用 Snowflake 权限实施基于角色的访问控制
- 对访问 Snowflake 的所有进程和操作都使用 OAuth 令牌,而不是在多个位置嵌入 Snowflake ID 和密码
- 通过 Snowflake 撤消对指定用户的授权
对于使用 OAuth 的 Snowflake 连接,用户必须定期在其 OAuth 令牌到期时再次登录。Snowflake OAuth 令牌的有效期通过 Snowflake 本身设置。
对于使用 OAuth 的 Snowflake,请注意以下事项:
- 如果用户让其 Snowflake 令牌过期,其拥有的所有时间表或提醒都会受到影响。为了防止出现这种情况,Looker 会在当前有效的 Snowflake OAuth 令牌到期之前,向每个时间表和每条提醒的所有者发送通知电子邮件。Looker 会在令牌过期前 14 天、7 天和 1 天发送这些通知电子邮件。用户可以前往其 Looker 用户页面,重新授权 Looker 访问数据库,并避免时间表和提醒出现任何中断。如需了解详情,请参阅个性化用户帐号设置文档页面。
- 由于使用 OAuth 的 Snowflake 连接是“针对用户的”,因此缓存政策也将针对用户而非查询。这意味着,只有当同一用户在缓存期间运行相同查询时,Looker 才会使用缓存结果,而不会使用缓存的结果。如需详细了解缓存,请参阅缓存查询文档页面。
- 使用 OAuth 时,您无法在 Snowflake 用户帐号中切换到其他角色。如 Snowflake 文档中所述,Snowflake 会使用 Snowflake 用户帐号的默认角色,除非默认角色为 ACCOUNTADMIN 或 SECURITYADMIN。由于 OAuth 屏蔽了这些角色,因此 Snowflake 将改用 PUBLIC 角色。有关信息,请参阅 Snowflake 文档。
- 使用 OAuth 的 Snowflake 连接不支持永久性派生表 (PDT)。
- 管理员以其他用户执行 sudo 时,将使用该用户的 OAuth 访问令牌。如果用户的访问令牌已过期,则管理员将无法代表已模拟的用户创建新令牌;用户必须登录 Snowflake 并重新授权 Looker。如需了解如何使用
sudo命令,请参阅用户文档页面。
使用 Looker 为 OAuth 配置 Snowflake 数据库
如需使用 OAuth 创建与 Looker 的 Snowflake 连接,您必须在 Snowflake 中设置 OAuth 集成。此操作需要具有 ACCOUNTADMIN 权限的 Snowflake 用户帐号。
在 Snowflake 中运行以下命令,其中
<looker_hostname>是您的 Looker 实例的主机名:CREATE SECURITY INTEGRATION LOOKER TYPE = OAUTH ENABLED = TRUE OAUTH_CLIENT = LOOKER OAUTH_REDIRECT_URI = 'https://<looker_hostname>/external_oauth/redirect';-
SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('LOOKER');响应将包含
OAUTH_CLIENT_ID和OAUTH_CLIENT_SECRET,此过程稍后需要用到。 在 Looker 中,按照将 Looker 连接到您的数据库文档页面中所述,建立与 Snowflake 仓库的新连接。创建新连接时,请在 Authentication 字段中选择 OAuth 选项。 选择 OAuth 选项后,Looker 会显示 OAuth Client ID 和 OAuth Client Secret 字段。
粘贴您在此过程中之前从数据库获取的
OAUTH_CLIENT_ID和OAUTH_CLIENT_SECRET值。完成将 Looker 连接到您的数据库过程的剩余步骤。
配置 Looker 与数据库的连接后,您可以通过执行以下任一操作来测试连接本身:
- 选择连接设置页面底部的测试按钮,如将 Looker 连接到数据库文档页面中所述。
- 按照连接管理员页面上的连接列表选择测试按钮,如连接文档页面中所述。
除此之外,您还可以执行以下操作,测试连接并将其部署到模型上:
- 在 Looker 中,进入开发模式。
- 转到使用您的 Snowflake 连接的 Looker 项目的项目文件。
- 打开模型文件,将模型的
connection值替换为新 Snowflake 连接的名称,然后保存模型文件。 - 打开模型的一个探索或信息中心,然后运行查询。当您尝试运行查询时,Looker 会提示您登录 Snowflake。
- 按照 Snowflake 的登录提示操作,然后输入您的 Snowflake 凭据。
成功登录 Snowflake 后,Looker 会返回到您的查询页面。如果查询运行正常,您可以提交新的连接值并将更改部署到生产环境。
登录 Snowflake 以运行查询
针对 OAuth 设置 Snowflake 连接后,系统会提示用户先登录 Snowflake,然后再运行查询。这包括来自探索、信息中心、Look 和 SQL Runner 的查询。
用户也可以从其帐号页面的 OAuth 连接凭据部分登录 Snowflake。
如需使用 Looker 登录您的 Snowflake 账号,请执行以下操作:
- 点击 Looker 用户菜单。
- 选择帐号。
- 在帐号页面中,向下滚动到 OAuth 连接凭据部分,然后选择所需 Snowflake 数据库的登录按钮。
系统会显示 Snowflake 登录弹出式窗口。输入您的 Snowflake 凭据并选择登录,然后选择允许,以授予 Looker 访问您的 Snowflake 账号的权限。
通过 Looker 登录 Snowflake 后,您可以随时通过账号页面退出您的凭据或重新授权您的凭据,如个性化您的用户帐号文档页面中所述。
功能支持
为了让 Looker 支持某些功能,您的数据库方言也必须支持这些功能。
从 Looker 24.8 开始,Snowflake 支持以下功能:
| 特征 | 是否支持? |
|---|---|
| 支持级别 | 受支持 |
| Looker (Google Cloud Core) | 是 |
| 对称聚合 | 是 |
| 派生表 | 是 |
| 永久性 SQL 派生表 | 是 |
| 永久性原生派生表 | 是 |
| 稳定版视图 | 是 |
| 查询终止 | 是 |
| 基于 SQL 的数据透视 | 是 |
| 时区 | 是 |
| SSL | 是 |
| 小计 | 是 |
| JDBC 其他参数 | 是 |
| 区分大小写 | 是 |
| 位置类型 | 是 |
| 列表类型 | 是 |
| 百分位 | 是 |
| 非重复百分位 | 否 |
| SQL Runner 显示进程 | 否 |
| SQL Runner 描述表 | 是 |
| SQL Runner 显示索引 | 否 |
| SQL Runner 优选 10 | 是 |
| SQL 运行程序数量 | 是 |
| SQL 说明 | 是 |
| OAuth 凭据 | 是 |
| 上下文注释 | 是 |
| 连接池 | 是 |
| HLL 素描 | 是 |
| 总体认知度 | 是 |
| 递增 PDT | 是 |
| 毫秒 | 是 |
| 微秒 | 是 |
| 具体化视图 | 否 |
| 近似计数不重复 | 否 |
后续步骤
将数据库连接到 Looker 后,请为用户配置登录选项。