Sobald Ihre Looker (Google Cloud Core)-Instanz bereitgestellt wurde, wird sie auf der Seite Instanzen Ihres Google Cloud-Projekts aufgeführt. Klicken Sie auf die Instanz-URL, um auf die Instanz zuzugreifen und sich an ihr anzumelden.
Nachdem Sie sich in Ihrer Looker (Google Cloud Core)-Instanz angemeldet haben, können Sie eine Datenbankverbindung zu Ihrer Looker (Google Cloud Core)-Instanz einrichten.
Datenbankverbindung einrichten
Looker (Google Cloud Core) muss für die Datenerkundung mit einer Datenbank verbunden sein. In der Liste der unterstützten Dialekte finden Sie Informationen dazu, welche Dialekte von Looker (Google Cloud Core) unterstützt werden.
Sie können eine Datenbankverbindung in einer Looker (Google Cloud Core)-Instanz erstellen, wenn Sie eine der folgenden Berechtigungen haben:
Sie können der Anleitung zum Einrichten von Looker folgen, die dynamisch in der Looker-Instanz (Google Cloud Core) angezeigt wird, um eine Verbindung zu Ihrer Datenbank herzustellen. Alternativ können Sie auch die Schritte auf den dialektspezifischen Dokumentationsseiten ausführen. Der Großteil der Einstellungen gilt für die meisten Datenbankdialekte. Auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden finden Sie Informationen zu häufigen Feldern im Fenster zum Einrichten der Looker-Verbindung.
Wenn Sie die Verbindung zu Looker (Google Cloud Core) mit einer der folgenden Optionen einrichten möchten, sind weitere Schritte erforderlich:
Private IP-Verbindung: Wenn Ihre Looker (Google Cloud Core)-Instanz eine private IP-Verbindung verwendet, müssen Sie eine Route oder eine private Verbindung einrichten, um sie mit einem der folgenden Datenbanktypen zu verbinden:
- Eine Datenbank in einem anderen Netzwerk innerhalb von Google Cloud
- Eine Datenbank, die von einem anderen Cloud-Dienstanbieter gehostet wird
- Eine lokale Datenbank
Weitere Informationen zu privaten Netzwerken und externen Diensten finden Sie auf der Dokumentationsseite Private IP-Netzwerke mit Looker (Google Cloud Core).
Mit Standardanmeldedaten für Anwendungen für BigQuery- und Cloud SQL-Datenbanken authentifizieren: Looker (Google Cloud Core)-Instanzen können sich mit Standardanmeldedaten für Anwendungen bei Ihrer Datenbank authentifizieren, wie in den folgenden Abschnitten beschrieben:
- Mit Standardanmeldedaten für Anwendungen eine Verbindung zu einer BigQuery-Datenbank herstellen
- Standardanmeldedaten für Anwendungen mit einer BigQuery-Datenbank in einem anderen Google Cloud-Projekt verwenden
- Mit Standardanmeldedaten für Anwendungen eine Verbindung zu einer Cloud SQL-Datenbank herstellen
Über OAuth bei einer BigQuery-Datenbank authentifizieren: Für BigQuery-Verbindungen kann Looker (Google Cloud Core) automatisch die Anmeldedaten für OAuth-Anwendungen verwenden, die Ihr Looker-Administrator beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet hat. Weitere Informationen finden Sie im Abschnitt OAuth-Authentifizierung mit BigQuery konfigurieren auf dieser Seite.
Mit Standardanmeldedaten für Anwendungen eine Verbindung zu einer BigQuery-Datenbank herstellen
Looker (Google Cloud Core)-Instanzen können Standardanmeldedaten für Anwendungen verwenden, um sich zu authentifizieren, wenn Sie eine Verbindung zu einer BigQuery Standard-SQL-Datenbank herstellen. Wenn Sie Standardanmeldedaten für Anwendungen verwenden, wird die Verbindung mithilfe der Anmeldedaten des Dienstkontos des Looker-Projekts (Google Cloud Core) bei der Datenbank authentifiziert.
Um ADC mit einer BigQuery-Datenbank zu verwenden, wählen Sie auf der Seite Verbindungseinstellungen der Looker-Instanz im Feld Authentifizierung die Option Standardanmeldedaten für Anwendungen aus. Eine vollständige Anleitung finden Sie in der Dokumentation zum Verbinden von Looker mit einer BigQuery-Datenbank.
Wenn in Ihrer Looker-Instanz (Google Cloud Core) persistente abgeleitete Tabellen mit einem BigQuery-Dataset verwendet werden, müssen Sie dem Looker-Dienstkonto auch die IAM-Rolle „BigQuery-Datenbearbeiter“ zuweisen.
Wenn Sie eine Verbindung zu einer BigQuery-Datenbank herstellen, die sich in einem anderen Projekt als Ihrer Looker-Instanz (Google Cloud Core) befindet, sind einige zusätzliche Schritte erforderlich. Weitere Informationen finden Sie im Abschnitt Standardanmeldedaten für Anwendungen mit einer BigQuery-Datenbank in einem anderen Google Cloud-Projekt verwenden.
Identitätsübertragung für ein Dienstkonto
Wenn Sie sich mit einem anderen Dienstkonto als dem Dienstkonto des Looker-Projekts (Google Cloud Core) bei der BigQuery-Datenbank authentifizieren möchten, können Sie einen delegierten Anfrageablauf erstellen, indem Sie ein anderes Dienstkonto oder eine kommagetrennte Kette von Dienstkonten in das Feld Impersonated Service Account (Anonymisiertes Dienstkonto) eingeben. Das Looker-Dienstkonto (Google Cloud Core) wird automatisch als erstes Dienstkonto in der Kette verwendet und muss dem Feld nicht hinzugefügt werden. Das letzte Dienstkonto in der Kette (auch als übernommenes Dienstkonto bezeichnet) ist dasjenige, das sich bei der Datenbank authentifiziert.
Wenn Sie die Identitätsübernahme für Dienstkonten verwenden, gehen Sie so vor:
- Aktivieren Sie die Service Consumer Management API.
- Achten Sie darauf, dass alle Dienstkonten in der Kette, einschließlich des Dienstkontos des Looker-Projekts (Google Cloud Core), die entsprechenden IAM-Berechtigungen haben.
- Das imitierte Dienstkonto muss die Rolle Nutzer der Servicenutzung, die Rolle BigQuery-Jobnutzer und die Rolle BigQuery-Datenbetrachter haben.
Standardanmeldedaten für Anwendungen mit einer BigQuery-Datenbank in einem anderen Google Cloud-Projekt verwenden
Die Schritte zur Verwendung von ADC für eine BigQuery Standard SQL-Datenbank, die sich außerhalb des Projekts befindet, in dem sich Ihre Looker-Instanz (Google Cloud Core) befindet, sind dieselben wie beim Einrichten einer Verbindung innerhalb desselben Projekts. Bevor Sie die Verbindung in Ihrer Looker (Google Cloud Core)-Instanz einrichten, muss das Dienstkonto Ihres Looker (Google Cloud Core)-Projekts jedoch die folgenden IAM-Rollen haben:
- Rolle „BigQuery-Datenbetrachter“ für das Projekt, das das BigQuery-Dataset enthält.
- Die Rolle BigQuery-Jobnutzer und die Rolle Nutzer der Dienstnutzung für das Abrechnungsprojekt, die auf der Seite Verbindungseinstellungen aufgeführt sind.
- Wenn Ihre Looker (Google Cloud Core)-Instanz persistente abgeleitete Tabellen mit einem BigQuery-Dataset verwendet, muss das Dienstkonto auch die Rolle BigQuery-Dateneditor für das Projekt haben, das das BigQuery-Dataset enthält.
Wenn das Looker (Google Cloud Core)-Dienstkonto noch keine IAM-Rollen in dem Projekt hat, das das BigQuery-Dataset enthält, verwenden Sie die E-Mail-Adresse des Dienstkontos, um Rollen in diesem Projekt zu gewähren. Wenn Sie die E-Mail-Adresse des Dienstkontos ermitteln möchten, rufen Sie in der Google Cloud Console die Seite IAM auf und klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen. Die E-Mail hat das Format service-<project number>@gcp-sa-looker.iam.gserviceaccount.com. Verwenden Sie diese E-Mail-Adresse, um dem Dienstkonto die entsprechenden Rollen zuzuweisen.
Sobald die entsprechenden Rollen gewährt wurden, folgen Sie der Anleitung zur Verwendung von ADC.
Sie können ADC jetzt mit dieser BigQuery-Standard-SQL-Datenbank verwenden. Das Projekt, das mit dem Dienstkonto verknüpft ist, das auf der Seite Verbindungseinstellungen angegeben ist, wird für die Abrechnung verwendet und dient auch als Standardprojekt.
Standardanmeldedaten für Anwendungen verwenden, um eine Verbindung zu einer Cloud SQL-Datenbank herzustellen
Looker (Google Cloud Core)-Instanzen können ADC verwenden, um eine Verbindung zu einer Cloud SQL-Datenbank (entweder Cloud SQL for PostgreSQL oder Cloud SQL for MySQL) zu authentifizieren. Wenn Sie sich mit ADC bei Ihrer Cloud SQL-Datenbank authentifizieren, werden Looker-Abfragen dem Google Cloud-Projekt in Rechnung gestellt, in dem die Cloud SQL-Datenbank ausgeführt wird.
Bei Looker-Verbindungen zu Cloud SQL, die Standardanmeldedaten für Anwendungen verwenden, übernimmt ADC die Identität eines Dienstkontos oder einer Dienstkontokette, um auf Ihre Datenbank zuzugreifen. Wenn Sie die Looker-Verbindung zu Ihrer Datenbank herstellen, geben Sie im Feld Nutzername(n) der IAM-Datenbank das Dienstkonto oder die Kette von Dienstkonten an, die von ADC übernommen werden. Das Looker-Dienstkonto, das beim Erstellen der Looker (Google Cloud Core)-Instanz automatisch erstellt wurde, wird automatisch als erstes Dienstkonto in der Kette verwendet und muss dem Feld nicht hinzugefügt werden.
Wenn Sie sich mit einem anderen Dienstkonto als dem Looker-Dienstkonto bei Ihrer Cloud SQL-Datenbank authentifizieren möchten, können Sie einen Ablauf mit delegierter Anfrage erstellen. Geben Sie dazu ein anderes Dienstkonto oder eine durch Kommas getrennte Kette von Dienstkonten in das Feld Nutzername(n) der IAM-Datenbank ein.
Das letzte Dienstkonto in der Kette (auch als Dienstkonto mit Identitätsübernahme bezeichnet) authentifiziert sich bei der Datenbank. Dieses Konto muss Ihrer Cloud SQL-Datenbank als Nutzer hinzugefügt werden. Wenn Sie das Looker-Dienstkonto als letztes Dienstkonto in der Kette verwenden und das Feld Nutzername(n) der IAM-Datenbank leer lassen, müssen Sie das Looker-Dienstkonto Ihrer Cloud SQL-Datenbank als Nutzer hinzufügen.
Im Folgenden werden die allgemeinen Schritte beschrieben, um eine Cloud SQL for PostgreSQL- oder Cloud SQL for MySQL-Datenbank über ADC mit Looker zu verbinden:
- Fügen Sie Ihrer Cloud SQL-Datenbank das Dienstkonto mit Identitätsübernahme hinzu.
- Identitätsdiebstahl für Dienstkonten in Ihrer Cloud SQL-Datenbank einrichten
- Stellen Sie eine Verbindung zu Ihrer Datenbank her, um zusätzliche Konfigurationsbefehle für Cloud SQL for PostgreSQL oder Cloud SQL for MySQL auszuführen.
- Erstellen Sie die Looker-Verbindung zu Ihrer Datenbank.
Dem Cloud SQL-Datenbankkonto das imitierte Dienstkonto hinzufügen
Wenn Sie die Looker-Verbindung zu Ihrer Datenbank erstellen, geben Sie im Feld IAM-Datenbanknutzername(n) das Dienstkonto oder die Dienstkontokette an, die von ADC impersoniert wird, um Aktionen in Ihrer Datenbank auszuführen. Das letzte Dienstkonto in der Identitätsübernahmekette wird als Identität des Dienstkontos betrachtet.
Damit Sie ADC mit Cloud SQL verwenden können, müssen Sie Ihrer Cloud SQL-Datenbank das Dienstkonto mit Identitätsübernahme hinzufügen:
- Wenn Sie das Feld IAM-Datenbanknutzername(n) leer lassen, übernimmt ADC standardmäßig die Identität des Looker-Dienstkontos. In diesem Fall ist das Looker-Dienstkonto das Dienstkonto mit Identitätsübernahme. Daher müssen Sie das Looker-Dienstkonto Ihrer Cloud SQL-Datenbank hinzufügen. Informationen zum Looker-Dienstkonto und zur Vorgehensweise zum Aufrufen der E-Mail-Adresse des Looker-Dienstkontos finden Sie auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz erstellen.
- Wenn Sie ein anderes Dienstkonto als das Looker-Dienstkonto oder eine Kette von Dienstkonten im Feld Nutzername(n) der IAM-Datenbank angeben, müssen Sie Ihrer Cloud SQL-Datenbank das letzte Dienstkonto in der Kette der Identitätsübernahme hinzufügen.
Sie benötigen die IAM-Rolle Cloud SQL Admin, um Ihrer Cloud SQL-Datenbank ein Dienstkonto hinzuzufügen.
Folgen Sie der Anleitung unter "Ihrer Datenbankinstanz einen IAM-Nutzer oder ein Dienstkonto hinzufügen" Verfahren für Ihren Datenbankdialekt, um das Dienstkonto, dessen Identität übernommen wurde, zu Ihrer Cloud SQL-Datenbank hinzuzufügen:
Identitätsdiebstahl für Dienstkonten in Ihrer Cloud SQL-Datenbank einrichten
Nachdem Sie den Cloud SQL-Nutzer in Ihrer Datenbank erstellt haben, müssen Sie Ihre Cloud SQL-Datenbank für die Identitätsübernahme von Diensten einrichten. Gehen Sie dazu so vor:
- Folgen Sie der Anleitung zum Aktivieren der Cloud SQL Admin API.
- Achten Sie darauf, dass alle Dienstkonten in der Kette, einschließlich des Looker-Dienstkontos, die entsprechenden IAM-Berechtigungen haben.
Folgen Sie der Anleitung zum Zuweisen einer einzelnen Rolle in der Google Cloud Console. Gewähren Sie dem Dienstkonto, für das Sie sich ausgegeben haben und das Sie Ihrer Cloud SQL-Datenbank hinzugefügt haben, die folgenden Cloud SQL-Rollen:
Wenn Sie ein anderes Dienstkonto als das Looker-Dienstkonto oder eine Kette von Dienstkonten im Feld Nutzername(n) der IAM-Datenbank angeben, gewähren Sie jedem Dienstkonto in der Kette die folgende Berechtigung:
Zusätzliche Konfigurationsbefehle für Cloud SQL for MySQL
Für Cloud SQL for MySQL müssen Sie eine Verbindung zu Ihrer Datenbankinstanz herstellen und den folgenden Befehl in der Cloud SQL for MySQL-Datenbank ausführen:
GRANT ALL on DATABASE_NAME.* to 'DATABASE_USER'@'%'
Ersetzen Sie Folgendes:
- DATABASE_NAME: Der Name Ihrer Datenbank.
- DATABASE_USER: Der gekürzte Nutzername des Dienstkontos für das Dienstkonto mit Identitätsübernahme, das Sie Ihrer Cloud SQL-Datenbank hinzugefügt haben. Das Dienstkonto hat das Format
service-<project number>@gcp-sa-looker.iam.gserviceaccount.com. Kürzen Sie den Nutzernamen, indem Sie@und alle folgenden Elemente entfernen. Nach dem Kürzen würde der Nutzername so aussehen:service-<project number>.
Wenn der Nutzername des Dienstkontos beispielsweise service-12345678901@gcp-sa-looker.iam.gserviceaccount.com und der Datenbankname looker-test lautet, lautet der Befehl so:
GRANT ALL on looker-test.* to 'service-12345678901'@'%'
Zusätzliche Konfigurationsbefehle für Cloud SQL for PostgreSQL
Für Cloud SQL for PostgreSQL müssen Sie eine Verbindung zu Ihrer Datenbankinstanz herstellen und einige Konfigurationsbefehle in der Cloud SQL for PostgreSQL-Datenbank ausführen:
- Gewähren Sie dem Nutzer Berechtigungen für Ihre Datenbank, wie im Abschnitt Nutzer und Sicherheit der PostgreSQL-Dokumentation beschrieben.
- Legen Sie den Suchpfad für den Looker SQL Runner fest, über den Metadaten aus Ihrer Datenbank abgerufen werden sollen, wie im Abschnitt
search_pathfestlegen auf der PostgreSQL-Seite der Looker-Dokumentation beschrieben.
Verbindung von Looker (Google Cloud Core) zu Ihrer Cloud SQL-Datenbank herstellen
So stellen Sie die Verbindung von Looker zu Ihrer Datenbank her:
- Wählen Sie in Looker im Bereich Verwaltung die Option Verbindungen und dann Verbindung hinzufügen aus.
- Wählen Sie im Drop-down-Menü Dialekt die Option Google Cloud PostgreSQL oder für Cloud SQL for MySQL Google Cloud SQL aus.
- Klicken Sie im Abschnitt Authentication (Authentifizierung) auf die Option Application Standard Credentials (Standardanmeldedaten für Anwendungen).
Geben Sie im Feld Nutzername(n) der IAM-Datenbank das Dienstkonto oder die Kette von Dienstkonten an, deren Identität von ADC zur Ausführung von Aktionen für Ihre Datenbank übernommen werden soll:
- Wenn Sie möchten, dass sich Looker über das Dienstkonto des Looker (Google Cloud Core)-Projekts bei der Cloud SQL-Datenbank authentifiziert, lassen Sie dieses Feld leer.
- Wenn Sie möchten, dass sich Looker bei der Cloud SQL-Datenbank mit einem anderen Dienstkonto als dem Dienstkonto des Looker (Google Cloud Core)-Projekts authentifiziert, können Sie einen Ablauf mit delegierter Anfrage erstellen. Geben Sie dazu ein anderes Dienstkonto oder eine durch Kommas getrennte Kette von Dienstkonten ein.
Füllen Sie die restlichen Verbindungsdetails aus. Der Großteil der Einstellungen gilt für die meisten Datenbankdialekte. Weitere Informationen finden Sie auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden.
Klicken Sie auf Testen, um zu prüfen, ob die Verbindung erfolgreich hergestellt wurde. Informationen zur Fehlerbehebung finden Sie auf der Dokumentationsseite Datenbankverbindung testen.
Klicken Sie auf Verbinden, um diese Einstellungen zu speichern.
Sobald eine Datenbankverbindung eingerichtet ist, können Sie ein LookML-Projekt einrichten.
OAuth-Authentifizierung mit BigQuery konfigurieren
Wenn Sie für Verbindungen zu einer BigQuery-Datenbank in einer Looker (Google Cloud Core)-Instanz die Authentifizierungsoption OAuth auswählen, kann Looker automatisch die Anmeldedaten für OAuth-Anwendungen verwenden, die Ihr Looker-Administrator beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet hat.
Wenn Sie für diese Verbindung andere OAuth-Anmeldedaten manuell eingeben möchten, aktivieren Sie die Ein/Aus-Schaltfläche OAuth-Anmeldedaten manuell konfigurieren und füllen Sie die Felder OAuth-Client-ID und OAuth-Clientschlüssel aus. Durch die manuelle Eingabe von OAuth-Anmeldedaten werden die Anmeldedaten, die beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet wurden, nicht geändert oder aktualisiert.
Unterstützte Dialekte für Looker (Google Cloud Core)
Die folgende Tabelle zeigt die Unterstützung von Datenbankdialekten durch Looker (Google Cloud Core):
| Dialekt | Unterstützt? |
|---|---|
| Actian Avalanche | Nein |
| Amazon Athena | Ja |
| Amazon Aurora MySQL | Ja |
| Amazon Redshift | Ja |
| Apache Druid | Nein |
| Apache Druid 0.13+ | Nein |
| Apache Druid 0.18+ | Ja |
| Apache Hive 2.3+ | Nein |
| Apache Hive 3.1.2+ | Ja |
| Apache Spark 3+ | Ja |
| ClickHouse | Ja |
| Cloudera Impala 3.1+ | Ja |
| Cloudera Impala 3.1+ with Native Driver | Nein |
| Cloudera Impala with Native Driver | Nein |
| DataVirtuality | Nein |
| Databricks | Ja |
| Denodo 7 | Nein |
| Denodo 8 | Ja |
| Dremio | Nein |
| Dremio 11+ | Ja |
| Exasol | Nein |
| Firebolt | Nein |
| Google BigQuery Legacy SQL | Nein |
| Google BigQuery Standard SQL | Ja |
| Google Cloud PostgreSQL | Ja |
| Google Cloud SQL | Ja |
| Google Spanner | Ja |
| Greenplum | Nein |
| HyperSQL | Nein |
| IBM Netezza | Ja |
| MariaDB | Ja |
| Microsoft Azure PostgreSQL | Ja |
| Microsoft Azure SQL Database | Ja |
| Microsoft Azure Synapse Analytics | Ja |
| Microsoft SQL Server 2008+ | Nein |
| Microsoft SQL Server 2012+ | Nein |
| Microsoft SQL Server 2016 | Nein |
| Microsoft SQL Server 2017+ | Ja |
| MongoBI | Nein |
| MySQL | Nein |
| MySQL 8.0.12+ | Ja |
| Oracle | Ja |
| Oracle ADWC | Nein |
| PostgreSQL 9.5+ | Ja |
| PostgreSQL pre-9.5 | Nein |
| PrestoDB | Ja |
| PrestoSQL | Ja |
| SAP HANA 2+ | Ja |
| SingleStore | Nein |
| SingleStore 7+ | Ja |
| Snowflake | Ja |
| Teradata | Ja |
| Trino | Ja |
| Vector | Nein |
| Vertica | Ja |
Anweisungen zur Datenbankkonfiguration
Anleitungen sind für die folgenden SQL-Dialekte verfügbar:
Nächste Schritte
- Looker-Instanz (Google Cloud Core) erstellen
- Nutzer in Looker (Google Cloud Core) verwalten
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten
- Looker-Verwaltungseinstellungen (Google Cloud Core)
- LookML-Beispielprojekt auf einer Looker (Google Cloud Core)-Instanz verwenden