Como instalar o aplicativo Looker

Nesta página, descrevemos como instalar o aplicativo Looker para uma implantação hospedada pelo cliente.

A hospedagem do aplicativo Looker não depende de onde os dados residem. Eles sempre permanecem no banco de dados e não são copiados para a instância do Looker.

Especificações de implantação

Se você quiser executar o Looker em uma rede que não se conecta à Internet, talvez seja necessário configurar um servidor proxy para se comunicar com o servidor de licença do Looker ou usar serviços da Web sem servidor que façam apenas chamadas na Web, como o BigQuery.

Instale o aplicativo Looker em uma máquina dedicada que atenda aos seguintes requisitos mínimos:

• CPU de 1,2 GHz.O Looker recomenda dois ou mais núcleos.
• 8 GB de RAM livre.
• 10 GB de espaço livre em disco.
• 2 GB de espaço para arquivos de troca
• Linux. Usamos o Ubuntu Linux (versões LTS) para a hospedagem interna do Looker e o recomendamos para clientes que não têm preferência pelo Linux. No entanto, oferecemos suporte ao Looker em versões de lançamento de todas as principais distribuições do Linux para empresas, incluindo RedHat, CentOS e Amazon Linux. O Looker só tem suporte nas versões Linux com conjuntos de instruções x64.

• Java OpenJDK 11.0.12+ ou HotSpot 1.8 atualização 161+. O Looker usa OpenJDK (versão 11) para melhorias de desempenho e uso de memória. O Looker recomenda o JDK, em vez do JRE, para aproveitar as outras ferramentas de solução de problemas. Além disso, o Looker recomenda fazer a transição para novas atualizações do Java à medida que são lançadas. Outras versões do Java, Oracle JDK e OpenJDK não são compatíveis no momento.

• libssl e um libcrypt.so precisam estar presentes no sistema.

• É preciso permitir o tráfego de entrada para sua instância do Looker pela porta TCP 9999.

• Se os usuários precisarem de acesso à API, permita o tráfego de entrada para sua instância do Looker pela porta TCP 19999.

• Se o Looker estiver se conectando ao AWS Redshift a partir de uma rede privada VPC da AWS, você precisará definir a MTU como 1.500. Para mais informações sobre essa configuração, consulte a seção Como configurar a MTU de uma instância deste artigo do Amazon Web Services. Se o Looker detectar que a configuração de MTU é maior que 1.500 durante um teste de conexão de banco de dados, o seguinte erro será exibido:

  MTU of network interface eth0 is too large (> 1500).
  If Looker instance and Redshift cluster are within the same VPC,
  this warning can be ignored.
  

• As configurações de sinal de atividade TCP a seguir. Para persistir após uma reinicialização, defina-as em /etc/sysctl.conf ou em um arquivo no diretório /etc/sysctl.d:

  net.ipv4.tcp_keepalive_time=200
  net.ipv4.tcp_keepalive_intvl=200
  net.ipv4.tcp_keepalive_probes=5
  

• Um usuário chamado looker no grupo looker para executar o aplicativo Looker.

• Um ulimit para o usuário looker de 4096 ou mais recente. Para fazer isso, adicione as seguintes linhas a /etc/security/limits.conf:

  looker     soft     nofile     4096
  looker     hard     nofile     4096
  

• Sincronização de tempo por NTP ou equivalente.

• A pasta /tmp não pode ser montada com a opção noexec.

• O diretório inicial looker não pode ser montado em um volume NFS.

• Recomendamos definir o fuso horário do servidor como UTC, mas isso não é obrigatório.

• O Git 2.39.1 ou posterior é necessário para o Looker 23.6 e posterior.

• Embora não seja obrigatório, o Netcat pode ser útil para solucionar problemas de conectividade de rede. Para instalar o Netcat em um servidor baseado em Ubuntu, por exemplo, um comando comum é:

  sudo apt-get install netcat
  

• Se necessário, configure um servidor proxy para processar as solicitações HTTP(S) que o Looker precisa fazer para o "principal" no localhost. Para se comunicar com o servidor proxy local do Looker, adicione alguns argumentos especiais em lookerstart.cfg: adicione http.nonProxyHosts=localhost para permitir o acesso ao localhost do Looker sem passar pelo proxy.

Para evitar conflitos de manutenção e recursos, não use o servidor Looker para hospedar outros aplicativos.

Ativar ntpd ou chronyd

NTP significa Protocolo de Tempo de Rede. Ela permite que o relógio do sistema do host mantenha sempre o horário correto, que o Looker precisa para funcionar corretamente. O Looker não exige que nenhum software de sincronização de horário seja usado, desde que os horários permaneçam sincronizados. Não é necessário executar um servidor NTP, somente o cliente NTP. Você pode substituir "chronyd" por "NTP".

Consulte a documentação do seu fornecedor de SO para informações sobre como ativar "ntpd" ou "chronyd".

Criar uma chave de criptografia

O Looker usa criptografia no modo Galois/Contador AES-256 (GCM, na sigla em inglês) para criptografar dados sensíveis armazenados internamente, incluindo:

• Backups do banco de dados interno do Looker
• Informações de conexão de banco de dados e serviço
• Informações de autenticação do usuário
• Valores de atributo do usuário
• Dados do cliente armazenados em cache ou prontos para entrega

Para ver uma lista detalhada dos dados criptografados pelo Looker, abra uma solicitação de suporte.

Os dados são criptografados usando uma chave de dados exclusiva e contêm um envelope de criptografia assinado e com controle de versões para garantir a verificação. Esse modo requer o uso de uma chave mestra do cliente (CMK, na sigla em inglês) externa. A CMK é usada para derivar, criptografar e descriptografar a chave de criptografia de chaves (KEK), que, por sua vez, é usada para derivar, criptografar e descriptografar as chaves de dados.

A criptografia é usada apenas no banco de dados e no cache internos do Looker. Os bancos de dados do cliente não são afetados pela criptografia do Looker. Além disso, somente dados estáticos (dados armazenados em disco) são criptografados dessa forma.

As instalações hospedadas pelo cliente podem usar as próprias contas do AWS KMS ou sistemas de gerenciamento de chaves personalizados. Todas as chaves de dados e a KEK são criptografadas e usadas internamente na instalação do Looker hospedada pelo cliente. Se você não estiver usando o AWS KMS, o CMK externo precisará ser mantido em um local seguro e permanente. Perder a CMK após criptografar o banco de dados interno pode resultar na perda da instância.

Se você estiver usando o AWS KMS

Se você estiver usando o AWS KMS, crie uma CMK usando o Console de Gerenciamento da AWS ou a API.

Depois de criar a CMK, o Looker recomenda criar um novo papel do IAM exclusivo para a CMK e anexá-lo à instância do Looker.

Veja a seguir um exemplo de papel do IAM que contém as permissões mínimas necessárias para sua CMK:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "kms:GenerateRandom",
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:Generate*",
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        }
    ]
}

Depois de criar a CMK e o novo papel do IAM, defina a variável de ambiente AWS_REGION como sua região da AWS e a variável de ambiente LKR_AWS_CMK como o alias da CMK:

export AWS_REGION=<AWS_region>
export LKR_AWS_CMK=alias/<CMK_alias>

Também é possível definir a variável de ambiente LKR_AWS_CMK_EC para configurar um contexto de criptografia personalizado da AWS. Se você não definir essa variável de ambiente, o Looker vai usar o contexto de criptografia padrão, a string Looker_Encryption_Context.

export LKR_AWS_CMK_EC=<My_Encryption_Context>

Se você não estiver usando o AWS KMS

Se você não estiver usando o AWS KMS, gere um CMK Base64 de 32 bytes. É possível armazenar a CMK em uma variável de ambiente ou em um arquivo:

• Para gerar a CMK e armazená-la em uma variável de ambiente, use o seguinte comando:

  openssl rand -base64 32
  

  Depois de gerar a CMK, copie-a e use o seguinte comando para armazená-la na variável de ambiente LKR_MASTER_KEY_ENV (em que <CMK_value> é a CMK gerada com o comando anterior):

  export LKR_MASTER_KEY_ENV=<CMK_value>
  

• Para gerar e armazenar a CMK em um arquivo, use o seguinte comando, em que <path_to_key_file> é o caminho e o nome de arquivo para armazenar a CMK:

  openssl rand -base64 32 > <path_to_key_file>
  

  Depois de gerar o arquivo CMK, defina as permissões do arquivo de chave como somente leitura do usuário atual:

  chmod 0400 <path_to_key_file>
  

Depois de gerar uma CMK, armazene-a em um local seguro e permanente antes de continuar. Perder a CMK após criptografar o banco de dados interno pode resultar na perda da instância.

Depois de gerar e armazenar o CMK, defina a variável de ambiente LKR_MASTER_KEY_ENV:

• Se você estiver armazenando a CMK em uma variável de ambiente, defina a variável de ambiente LKR_MASTER_KEY_ENV como o valor da CMK:

  export LKR_MASTER_KEY_ENV=<CMK_value>
  

• Se você estiver armazenando a CMK em um arquivo, defina a variável de ambiente LKR_MASTER_KEY_FILE como o caminho do arquivo CMK:

  export LKR_MASTER_KEY_FILE=<path_to_key_file>
  

Depois de gerar uma CMK, armazene-a em um local seguro e permanente antes de continuar. Perder a CMK após criptografar o banco de dados interno pode resultar na perda da instância.

Instalar o aplicativo Looker

1. Criar o grupo looker.

   sudo groupadd looker
   

2. Crie o usuário looker e o diretório inicial dele.

   sudo useradd -m  -g looker  looker
   

3. Mude para o usuário looker. Não execute o Looker como raiz.

   sudo su - looker
   

4. Crie o subdiretório looker no diretório principal.

   mkdir ~/looker
   

5. Mude para o subdiretório looker.

   cd ~/looker
   

6. Verifique se você está no diretório correto.

   pwd
   

   Se os diretórios do usuário estiverem em /home, a saída desse comando será /home/looker/looker.

7. Faça o download dos arquivos JAR do Looker escolhidos usando um dos métodos na página de documentação Como fazer o download dos arquivos JAR do Looker. Confira se os dois arquivos JAR são da mesma versão. Usar versões diferentes dos arquivos JAR principal e de dependência pode causar instabilidade na instalação do Looker.

8. Faça o download do script de inicialização mais recente no repositório do GitHub de código aberto Looker (em inglês). Se quiser que o Looker seja executado na inicialização do sistema, baixe o script looker_init e use as opções de script systemd e init.

9. Mova o script de inicialização (chamado looker) e os arquivos JAR do Looker (chamados looker-x.x.x.jar e looker-dependencies-x.x.x.jar, em que x.x.x é o número da versão) para o novo diretório ~/looker.

10. Renomeie looker-x.x.x.jar para looker.jar e looker-dependencies-x.x.x.jar para looker-dependencies.jar.

11. O script de inicialização determina automaticamente quanta memória Java alocar para o Looker. Se quiser personalizar esse valor manualmente, consulte a página de documentação Configurações recomendadas de memória Java para mais informações.

12. Torne o script de inicialização do Looker executável (defina as permissões como 0750).

    chmod 0750 looker
    

13. Inicie o processo do Looker no shell como o usuário looker.

    ./looker start
    

14. Para receber ajuda com a sinalização de inicialização, use:

    java -jar looker.jar --help
    

    Ou, para receber ajuda com o comando de inicialização, use:

    java -jar looker.jar help
    

15. Abra um navegador no https://hostname:9999, em que hostname é o nome DNS do host que executa o Looker.

    Use https no URL. Isso criará um aviso de segurança que você precisará ignorar. Esse aviso será mantido até que um certificado SSL válido seja instalado no servidor.

16. Insira a chave de licença recebida do seu analista do Looker.

17. Digite um nome, um e-mail e uma senha para criar sua primeira conta.

Criar um registro DNS

Adicione um registro DNS looker.[yourdomain].com para o servidor. Esta etapa é opcional, mas recomendada.

Como implantar o Looker automaticamente

O Looker pode ser implantado usando uma ferramenta de gerenciamento de configuração, como Ansible ou Chef. Um exemplo de papel do Ansible para implantação automática está disponível na página de documentação das Ferramentas de gerenciamento de configuração.

Ajuste de hipervisor

O Looker é executado como uma máquina virtual Java. Se a instância do Looker estiver em um convidado da VMware, talvez seja necessário ajustar o desempenho. Consulte o guia de práticas recomendadas do Java do VMware.

Em outras plataformas de virtualização, reservar a memória do host do Looker do hipervisor pode melhorar o desempenho. Isso não é controlável no Amazon EC2. No entanto, para outros fornecedores, você deve consultar a documentação deles para mais informações.

Como configurar um banco de dados opcional de back-end do MySQL

Por padrão, o Looker usa um banco de dados na memória HyperSQL para armazenar configurações, usuários e outros dados. No entanto, é possível usar um banco de dados MySQL externo para armazenar as informações internas do Looker. Consulte a página de documentação Como migrar para o MySQL para saber como configurar e ajustar um banco de dados de back-end do MySQL.

Próximas etapas

Depois de instalar o Looker, está tudo pronto para configurar as opções de inicialização do Looker.