Sobald Ihre Looker-Instanz (Google Cloud Core) bereitgestellt wurde, wird sie auf der Seite Instanzen Ihres Google Cloud -Projekts aufgeführt. Klicken Sie auf die Instanz-URL, um auf die Instanz zuzugreifen und sich an ihr anzumelden.
Nachdem Sie sich in Ihrer Looker (Google Cloud Core)-Instanz angemeldet haben, können Sie eine Datenbankverbindung zu Ihrer Looker (Google Cloud Core)-Instanz einrichten.
Datenbankverbindung einrichten
Looker (Google Cloud Core) muss mit einer Datenbank verbunden sein, damit eine explorative Datenanalyse möglich ist. In der Liste der unterstützten Dialekte finden Sie Informationen dazu, welche Dialekte von Looker (Google Cloud Core) unterstützt werden.
Sie können eine Datenbankverbindung in einer Looker (Google Cloud Core)-Instanz erstellen, wenn Sie eine der folgenden Berechtigungen haben:
- die Looker-Administratorrolle
- die Looker-Berechtigung
manage_project_connections
Sie können der Anleitung Looker einrichten folgen, die dynamisch in der Looker (Google Cloud Core)-Instanz angezeigt wird, um eine Verbindung zu Ihrer Datenbank herzustellen. Alternativ können Sie auch die Schritte auf den dialektspezifischen Dokumentationsseiten ausführen. Der Großteil der Einstellungen gilt für die meisten Datenbankdialekte. Auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden finden Sie Informationen zu gängigen Feldern im Fenster für die Einrichtung der Looker-Verbindung.
Wenn Sie die Looker-Verbindung (Google Cloud Core) mit einer der folgenden Optionen einrichten möchten, sind zusätzliche Schritte erforderlich:
Private IP-Verbindung: Wenn Ihre Looker (Google Cloud Core)-Instanz eine private IP-Verbindung verwendet, müssen Sie eine Route oder eine private Verbindung einrichten, um eine Verbindung zu einer der folgenden Datenbanktypen herzustellen:
- Eine Datenbank in einem anderen Netzwerk innerhalb von Google Cloud
- Eine Datenbank, die von einem anderen Cloud-Dienstanbieter gehostet wird
- Eine lokale Datenbank
Weitere Informationen zu privaten Netzwerken und externen Diensten finden Sie auf der Dokumentationsseite Privates IP-Netzwerk mit Looker (Google Cloud Core).
Mit Standardanmeldedaten für Anwendungen für BigQuery- und Cloud SQL-Datenbanken authentifizieren: Looker-Instanzen (Google Cloud Core) können Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) verwenden, um sich in Ihrer Datenbank zu authentifizieren. Weitere Informationen finden Sie in den folgenden Abschnitten:
- Mit Standardanmeldedaten für Anwendungen eine Verbindung zu einer BigQuery-Datenbank herstellen
- Standardanmeldedaten für Anwendungen mit einer BigQuery-Datenbank in einem anderen Google Cloud -Projekt verwenden
- Mit Standardanmeldedaten für Anwendungen eine Verbindung zu einer Cloud SQL-Datenbank herstellen
Über OAuth bei einer BigQuery-Datenbank authentifizieren: Für BigQuery-Verbindungen kann Looker (Google Cloud Core) automatisch die Anmeldedaten für OAuth-Anwendungen verwenden, die Ihr Looker-Administrator beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet hat. Weitere Informationen finden Sie auf dieser Seite im Abschnitt OAuth-Authentifizierung mit BigQuery konfigurieren.
Standardanmeldedaten für Anwendungen für die Verbindung zu einer BigQuery-Datenbank verwenden
Looker (Google Cloud Core)-Instanzen können Standardanmeldedaten für Anwendungen verwenden, um sich zu authentifizieren, wenn Sie eine Verbindung zu einer BigQuery Standard-SQL-Datenbank herstellen. Wenn Sie ADC verwenden, wird die Verbindung mithilfe der Anmeldedaten des Dienstkontos des Looker-Projekts (Google Cloud Core) bei der Datenbank authentifiziert.
Wenn Sie ADC mit einer BigQuery-Datenbank verwenden möchten, wählen Sie auf der Seite Verbindungseinstellungen der Looker-Instanz im Feld Authentifizierung die Option Standardanmeldedaten für Anwendungen aus. Eine vollständige Anleitung finden Sie in der Dokumentation zum Verbinden von Looker mit einer BigQuery-Datenbank.
Wenn in Ihrer Looker-Instanz (Google Cloud Core) persistente abgeleitete Tabellen mit einem BigQuery-Dataset verwendet werden, müssen Sie dem Looker-Dienstkonto auch die IAM-Rolle „BigQuery-Datenbearbeiter“ zuweisen.
Wenn Sie eine Verbindung zu einer BigQuery-Datenbank herstellen, die sich in einem anderen Projekt als Ihrer Looker-Instanz (Google Cloud Core) befindet, sind einige zusätzliche Schritte erforderlich. Weitere Informationen finden Sie im Abschnitt Standardanmeldedaten für Anwendungen mit einer BigQuery-Datenbank in einem anderen Google Cloud -Projekt verwenden.
Identitätsübertragung für ein Dienstkonto
Wenn Sie sich mit einem anderen Dienstkonto als dem Dienstkonto des Looker-Projekts (Google Cloud Core) bei der BigQuery-Datenbank authentifizieren möchten, können Sie einen delegierten Anfrageablauf erstellen, indem Sie ein anderes Dienstkonto oder eine kommagetrennte Kette von Dienstkonten in das Feld Impersonated Service Account (Anonymisiertes Dienstkonto) eingeben. Das Looker (Google Cloud Core)-Dienstkonto wird automatisch als erstes Dienstkonto in der Kette verwendet und muss dem Feld nicht hinzugefügt werden. Das letzte Dienstkonto in der Kette (auch als übernommenes Dienstkonto bezeichnet) authentifiziert sich bei der Datenbank.
Wenn Sie die Identitätsübernahme des Dienstkontos verwenden, gehen Sie so vor:
- Aktivieren Sie die Service Consumer Management API.
- Achten Sie darauf, dass alle Dienstkonten in der Kette, einschließlich des Dienstkontos des Looker-Projekts (Google Cloud Core), die entsprechenden IAM-Berechtigungen haben.
- Das imitierte Dienstkonto muss die Rolle Nutzer der Dienstnutzung, die Rolle BigQuery-Jobnutzer und die Rolle BigQuery-Datenbetrachter haben.
Standardanmeldedaten für Anwendungen mit einer BigQuery-Datenbank in einem anderen Google Cloud -Projekt verwenden
Die Schritte zur Verwendung von ADC für eine BigQuery Standard SQL-Datenbank, die sich außerhalb des Projekts befindet, in dem sich Ihre Looker-Instanz (Google Cloud Core) befindet, sind dieselben wie beim Einrichten einer Verbindung innerhalb desselben Projekts. Bevor Sie die Verbindung in Ihrer Looker (Google Cloud Core)-Instanz einrichten, muss das Dienstkonto Ihres Looker (Google Cloud Core)-Projekts die folgenden IAM-Rollen haben:
- Die Rolle BigQuery-Datenbetrachter für das Projekt, das das BigQuery-Dataset enthält.
- Die Rolle BigQuery-Jobnutzer und die Rolle Nutzer der Dienstnutzung für das Abrechnungsprojekt, die auf der Seite Verbindungseinstellungen aufgeführt sind.
- Wenn in Ihrer Looker-Instanz (Google Cloud Core) persistente abgeleitete Tabellen mit einem BigQuery-Dataset verwendet werden, muss das Dienstkonto außerdem die Rolle BigQuery-Datenbearbeiter für das Projekt haben, das das BigQuery-Dataset enthält.
Wenn das Looker-Dienstkonto (Google Cloud Core) noch keine IAM-Rollen im Projekt hat, das das BigQuery-Dataset enthält, verwenden Sie die E-Mail-Adresse des Dienstkontos, wenn Sie Rollen in diesem Projekt gewähren. Die E-Mail-Adresse des Dienstkontos finden Sie in der Google Cloud -Konsole auf der Seite IAM. Klicken Sie dazu auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen. Die E-Mail hat das Format service-<project number>@gcp-sa-looker.iam.gserviceaccount.com. Verwenden Sie diese E-Mail-Adresse, um dem Dienstkonto die entsprechenden Rollen zuzuweisen.
Sobald die entsprechenden Rollen gewährt wurden, folgen Sie der Anleitung zur Verwendung von ADC.
Sie können ADC jetzt mit dieser BigQuery-Standard-SQL-Datenbank verwenden. Das Projekt, das mit dem Dienstkonto verknüpft ist, das auf der Seite Verbindungseinstellungen angegeben ist, wird für die Abrechnung verwendet und dient auch als Standardprojekt.
Standardanmeldedaten für Anwendungen verwenden, um eine Verbindung zu einer Cloud SQL-Datenbank herzustellen
Looker-Instanzen (Google Cloud Core) können ADC verwenden, um eine Verbindung zu einer Cloud SQL-Datenbank (Cloud SQL for PostgreSQL oder Cloud SQL for MySQL) zu authentifizieren. Wenn Sie sich mit ADC in Ihrer Cloud SQL-Datenbank authentifizieren, wird für Looker-Abfragen das Google Cloud -Projekt in Rechnung gestellt, in dem die Cloud SQL-Datenbank ausgeführt wird.
Bei Looker-Verbindungen zu Cloud SQL, die Standardanmeldedaten für Anwendungen verwenden, gibt sich ADC als ein Dienstkonto oder eine Dienstkontokette aus, um auf Ihre Datenbank zuzugreifen. Wenn Sie die Looker-Verbindung zu Ihrer Datenbank erstellen, geben Sie im Feld IAM-Datenbanknutzername(n) das Dienstkonto oder die Dienstkontokette an, die von ADC imitiert werden soll. Das Looker-Dienstkonto, das beim Erstellen der Looker (Google Cloud Core)-Instanz automatisch erstellt wurde, wird automatisch als erstes Dienstkonto in der Kette verwendet und muss dem Feld nicht hinzugefügt werden.
Wenn Sie sich mit einem anderen Dienstkonto als dem Looker-Dienstkonto bei Ihrer Cloud SQL-Datenbank authentifizieren möchten, können Sie einen delegierten Anfrageablauf erstellen. Geben Sie dazu ein anderes Dienstkonto oder eine kommagetrennte Kette von Dienstkonten in das Feld IAM-Datenbanknutzername(n) ein.
Das letzte Dienstkonto in der Kette (auch als übernommenes Dienstkonto bezeichnet) wird bei der Datenbankauthentifizierung verwendet. Dieses Konto muss als Nutzer in Ihrer Cloud SQL-Datenbank hinzugefügt werden. Wenn Sie das Looker-Dienstkonto als letztes Dienstkonto in der Kette verwenden (indem Sie das Feld IAM-Datenbanknutzer leer lassen), müssen Sie das Looker-Dienstkonto als Nutzer in Ihrer Cloud SQL-Datenbank hinzufügen.
Im Folgenden finden Sie die allgemeinen Schritte zum Herstellen einer Verbindung zwischen einer Cloud SQL for PostgreSQL- oder Cloud SQL for MySQL-Datenbank und Looker mithilfe von ADC:
- Fügen Sie der Cloud SQL-Datenbank das imitierte Dienstkonto hinzu.
- Identitätsdiebstahl für Dienstkonten in Ihrer Cloud SQL-Datenbank einrichten
- Stellen Sie eine Verbindung zu Ihrer Datenbank her, um zusätzliche Konfigurationsbefehle für Cloud SQL for PostgreSQL oder Cloud SQL for MySQL auszuführen.
- Erstellen Sie die Looker-Verbindung zu Ihrer Datenbank.
Dem Cloud SQL-Datenbankkonto das imitierte Dienstkonto hinzufügen
Wenn Sie die Looker-Verbindung zu Ihrer Datenbank erstellen, geben Sie im Feld IAM-Datenbanknutzername(n) das Dienstkonto oder die Dienstkontokette an, die von ADC impersoniert wird, um Aktionen in Ihrer Datenbank auszuführen. Das letzte Dienstkonto in der Identitätsübernahmekette wird als Identität des Dienstkontos betrachtet.
Wenn Sie Standardanmeldedaten für Anwendungen mit Cloud SQL verwenden möchten, müssen Sie der Cloud SQL-Datenbank das Dienstkonto hinzufügen, dessen Identität übernommen werden soll:
- Wenn Sie das Feld IAM-Datenbanknutzername(n) leer lassen, übernimmt ADC standardmäßig die Identität des Looker-Dienstkontos. In diesem Fall ist das Looker-Dienstkonto das Dienstkonto, dessen Identität übernommen wird. Sie müssen es also Ihrer Cloud SQL-Datenbank hinzufügen. Auf der Dokumentationsseite Looker (Google Cloud Core)-Instanz erstellen finden Sie Informationen zum Looker-Dienstkonto und zum Aufrufen der E-Mail-Adresse des Looker-Dienstkontos.
- Wenn Sie ein anderes Dienstkonto als das Looker-Dienstkonto angeben oder im Feld IAM-Datenbanknutzername(n) eine Kette von Dienstkonten angeben, müssen Sie Ihrer Cloud SQL-Datenbank das letzte Dienstkonto in der Identitätsdiebstahl-Kette hinzufügen.
Wenn Sie Ihrer Cloud SQL-Datenbank ein Dienstkonto hinzufügen möchten, benötigen Sie die IAM-Rolle Cloud SQL Admin.
Folgen Sie der Anleitung für Ihren Datenbankdialekt unter „Ihrer Datenbankinstanz einen IAM-Nutzer oder ein Dienstkonto hinzufügen“, um der Cloud SQL-Datenbank das imitierte Dienstkonto hinzuzufügen:
Dienstkonto-Identitätsdiebstahl in Ihrer Cloud SQL-Datenbank einrichten
Nachdem Sie den Cloud SQL-Nutzer in Ihrer Datenbank erstellt haben, müssen Sie Ihre Cloud SQL-Datenbank für die Dienst-Identitätsdiebstahl-Funktion einrichten. Führen Sie dazu die folgenden Schritte aus:
- Aktivieren Sie die Cloud SQL Admin API.
- Achten Sie darauf, dass alle Dienstkonten in der Kette, einschließlich des Looker-Dienstkontos, die entsprechenden IAM-Berechtigungen haben.
Folgen Sie der Anleitung zum Zuweisen einer einzelnen Rolle in der Google Cloud Console. Gewähren Sie dem Dienstkonto, für das Sie sich ausgeben, und das Sie Ihrer Cloud SQL-Datenbank hinzugefügt haben, die folgenden Cloud SQL-Rollen:
Wenn Sie ein anderes Dienstkonto als das Looker-Dienstkonto angeben oder im Feld IAM-Datenbanknutzername(n) eine Kette von Dienstkonten angeben, gewähren Sie jedem Dienstkonto in der Kette die folgende Berechtigung:
Zusätzliche Konfigurationsbefehle für Cloud SQL for MySQL
Bei Cloud SQL for MySQL müssen Sie eine Verbindung zu Ihrer Datenbankinstanz herstellen und den folgenden Befehl in der Cloud SQL for MySQL-Datenbank ausführen:
GRANT ALL on DATABASE_NAME.* to 'DATABASE_USER'@'%'
Ersetzen Sie Folgendes:
- DATABASE_NAME: Der Name Ihrer Datenbank.
- DATABASE_USER: Der abgeschnittene Nutzername des Dienstkontos für das imitierte Dienstkonto, das Sie Ihrer Cloud SQL-Datenbank hinzugefügt haben. Das Dienstkonto hat das Format
service-<project number>@gcp-sa-looker.iam.gserviceaccount.com. Kürzen Sie den Nutzernamen, indem Sie@und alles, was danach folgt, entfernen. Nach dem Kürzen würde der Nutzername so aussehen:service-<project number>.
Wenn der Nutzername des Dienstkontos beispielsweise service-12345678901@gcp-sa-looker.iam.gserviceaccount.com und der Datenbankname looker-test lautet, würde der Befehl so lauten:
GRANT ALL on looker-test.* to 'service-12345678901'@'%'
Zusätzliche Konfigurationsbefehle für Cloud SQL for PostgreSQL
Bei Cloud SQL for PostgreSQL müssen Sie eine Verbindung zu Ihrer Datenbankinstanz herstellen und einige Konfigurationsbefehle in der Cloud SQL for PostgreSQL-Datenbank ausführen:
- Gewähren Sie dem Nutzer Berechtigungen für Ihre Datenbank, wie im Abschnitt Nutzer und Sicherheit der PostgreSQL-Dokumentation beschrieben.
- Legen Sie den Suchpfad für den Looker SQL Runner fest, über den Metadaten aus Ihrer Datenbank abgerufen werden sollen, wie im Abschnitt
search_pathfestlegen der PostgreSQL-Seite der Looker-Dokumentation beschrieben.
Verbindung von Looker (Google Cloud Core) zu Ihrer Cloud SQL-Datenbank herstellen
So erstellen Sie die Verbindung von Looker zu Ihrer Datenbank:
- Wählen Sie in Looker im Bereich Verwaltung die Option Verbindungen aus und klicken Sie dann auf Verbindung hinzufügen.
- Wählen Sie im Drop-down-Menü Dialekt die Option Google Cloud PostgreSQL oder für Cloud SQL for MySQL Google Cloud SQL aus.
- Klicken Sie im Abschnitt Authentifizierung auf die Option Standardanmeldedaten der Anwendung.
Geben Sie im Feld IAM-Datenbanknutzername(n) das Dienstkonto oder die Dienstkontokette an, die ADC impersonieren soll, um Aktionen in Ihrer Datenbank auszuführen:
- Wenn Looker sich mit dem Dienstkonto des Looker-Projekts (Google Cloud Core) bei der Cloud SQL-Datenbank authentifizieren soll, lassen Sie dieses Feld leer.
- Wenn Sie möchten, dass sich Looker mit einem anderen Dienstkonto als dem Dienstkonto des Looker-Projekts (Google Cloud Core) bei der Cloud SQL-Datenbank authentifiziert, können Sie einen delegierten Anfrageablauf erstellen, indem Sie ein anderes Dienstkonto oder eine kommagetrennte Kette von Dienstkonten eingeben.
Füllen Sie die restlichen Verbindungsdetails aus. Der Großteil der Einstellungen gilt für die meisten Datenbankdialekte. Weitere Informationen finden Sie auf der Dokumentationsseite Looker mit Ihrer Datenbank verbinden.
Klicken Sie auf Testen, um zu prüfen, ob die Verbindung erfolgreich hergestellt wurde. Informationen zur Fehlerbehebung finden Sie auf der Dokumentationsseite Datenbankkonnektivität testen.
Klicken Sie auf Verbinden, um diese Einstellungen zu speichern.
Sobald eine Datenbankverbindung eingerichtet ist, können Sie ein LookML-Projekt einrichten.
OAuth-Authentifizierung mit BigQuery konfigurieren
Wenn Sie für Verbindungen zu einer BigQuery-Datenbank in einer Looker-Instanz (Google Cloud Core) die Authentifizierungsoption OAuth auswählen, kann Looker automatisch die Anmeldedaten für OAuth-Anwendungen verwenden, die Ihr Looker-Administrator beim Erstellen der Looker-Instanz (Google Cloud Core) verwendet hat.
Wenn Sie für diese Verbindung andere OAuth-Anmeldedaten manuell eingeben möchten, aktivieren Sie die Ein/Aus-Schaltfläche OAuth-Anmeldedaten manuell konfigurieren und füllen Sie die Felder OAuth-Client-ID und OAuth-Clientschlüssel aus. Wenn Sie OAuth-Anmeldedaten manuell eingeben, werden die Anmeldedaten, die beim Erstellen der Looker (Google Cloud Core)-Instanz verwendet wurden, nicht geändert oder aktualisiert.
Unterstützte Dialekte für Looker (Google Cloud Core)
In der folgenden Tabelle sehen Sie, welche Datenbankdialekte in Looker (Google Cloud Core) unterstützt werden:
| Dialekt | Unterstützt? |
|---|---|
| Actian Avalanche | Nein |
| Amazon Athena | Ja |
| Amazon Aurora MySQL | Ja |
| Amazon Redshift | Ja |
| Apache Druid | Nein |
| Apache Druid 0.13+ | Nein |
| Apache Druid 0.18+ | Ja |
| Apache Hive 2.3+ | Nein |
| Apache Hive 3.1.2+ | Ja |
| Apache Spark 3+ | Ja |
| ClickHouse | Ja |
| Cloudera Impala 3.1+ | Ja |
| Cloudera Impala 3.1+ with Native Driver | Nein |
| Cloudera Impala with Native Driver | Nein |
| DataVirtuality | Nein |
| Databricks | Ja |
| Denodo 7 | Nein |
| Denodo 8 | Ja |
| Dremio | Nein |
| Dremio 11+ | Ja |
| Exasol | Nein |
| Firebolt | Nein |
| Google BigQuery Legacy SQL | Nein |
| Google BigQuery Standard SQL | Ja |
| Google Cloud PostgreSQL | Ja |
| Google Cloud SQL | Ja |
| Google Spanner | Ja |
| Greenplum | Nein |
| HyperSQL | Nein |
| IBM Netezza | Ja |
| MariaDB | Ja |
| Microsoft Azure PostgreSQL | Ja |
| Microsoft Azure SQL Database | Ja |
| Microsoft Azure Synapse Analytics | Ja |
| Microsoft SQL Server 2008+ | Nein |
| Microsoft SQL Server 2012+ | Nein |
| Microsoft SQL Server 2016 | Nein |
| Microsoft SQL Server 2017+ | Ja |
| MongoBI | Nein |
| MySQL | Nein |
| MySQL 8.0.12+ | Ja |
| Oracle | Ja |
| Oracle ADWC | Nein |
| PostgreSQL 9.5+ | Ja |
| PostgreSQL pre-9.5 | Nein |
| PrestoDB | Ja |
| PrestoSQL | Ja |
| SAP HANA 2+ | Ja |
| SingleStore | Nein |
| SingleStore 7+ | Ja |
| Snowflake | Ja |
| Teradata | Ja |
| Trino | Ja |
| Vector | Nein |
| Vertica | Ja |
Anweisungen zur Datenbankkonfiguration
Anleitungen sind für die folgenden SQL-Dialekte verfügbar:
Nächste Schritte
- Looker-Instanz (Google Cloud Core) erstellen
- Nutzer in Looker (Google Cloud Core) verwalten
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten
- Looker-Verwaltungseinstellungen (Google Cloud Core)
- LookML-Beispielprojekt auf einer Looker (Google Cloud Core)-Instanz verwenden