预配 Looker (Google Cloud Core) 实例后,该实例会显示在 Google Cloud 项目的实例页面中。点击实例网址以访问实例并对实例进行身份验证。
登录 Looker (Google Cloud Core) 实例后,您可以设置数据库连接到 Looker (Google Cloud Core) 实例。
设置数据库连接
Looker (Google Cloud Core) 必须连接到数据库才能启用数据探索功能。请参阅受支持的方言列表,了解 Looker (Google Cloud Core) 支持哪些方言。
如果您拥有以下任一权限,则可以在 Looker (Google Cloud Core) 实例中创建数据库连接:
您可以按照 Looker (Google Cloud Core) 实例中动态显示的设置 Looker 指南连接数据库,也可以按照特定方言文档页面上列出的步骤操作。大多数设置对于大多数数据库方言都是通用的。如需了解 Looker 连接设置窗口中的常用字段,请参阅将 Looker 连接到数据库文档页面。
如果您想使用以下任一选项设置 Looker (Google Cloud core) 连接,则需要执行其他步骤:
专用 IP 连接:如果您的 Looker (Google Cloud Core) 实例使用专用 IP 连接,您必须设置路由或专用连接,才能将其连接到以下任一类型的数据库:
- Google Cloud中不同网络中的数据库
- 由其他云服务提供商托管的数据库
- 本地数据库
如需详细了解专用网络和外部服务,请参阅使用 Looker (Google Cloud Core) 的专用 IP 网络文档页面。
使用应用默认凭据对 BigQuery 和 Cloud SQL 数据库进行身份验证:Looker(Google Cloud 核心)实例可以使用应用默认凭据 (ADC) 对数据库进行身份验证,如下部分所述:
使用 OAuth 对 BigQuery 数据库进行身份验证:对于 BigQuery 连接,Looker (Google Cloud Core) 可以自动使用 Looker 管理员创建 Looker (Google Cloud Core) 实例时使用的 OAuth 应用凭据。如需了解详情,请参阅本页的使用 BigQuery 配置 OAuth 身份验证部分。
使用应用默认凭据连接到 BigQuery 数据库
在您设置连接到 BigQuery 标准 SQL 数据库时,Looker (Google Cloud Core) 实例可以使用应用默认凭据 (ADC) 进行身份验证。使用 ADC 时,连接将使用 Looker(Google Cloud 核心)项目的服务账号的凭据对数据库进行身份验证。
如需将 ADC 与 BigQuery 数据库搭配使用,请在 Looker 实例的连接设置页面中的身份验证字段中选择应用默认凭据。如需了解完整过程,请参阅将 Looker 连接到 BigQuery 数据库的文档。
如果您的 Looker(Google Cloud 核心)实例将永久派生表与 BigQuery 数据集搭配使用,您还必须向 Looker 服务账号授予 BigQuery Data Editor IAM 角色。
如果您要连接到与 Looker(Google Cloud 核心)实例位于不同项目中的 BigQuery 数据库,则需要进行一些额外的设置。请参阅将应用默认凭据用于其他 Google Cloud 项目中的 BigQuery 数据库部分。
服务账号模拟
如果您想使用 Looker(Google Cloud 核心)项目的服务账号以外的服务账号对 BigQuery 数据库进行身份验证,可以通过在被冒充的服务账号字段中输入其他服务账号或以英文逗号分隔的服务账号链,创建委托请求流程。Looker (Google Cloud Core) 服务账号会自动用作链中的第一个服务账号,无需添加到该字段。链中的最后一个服务账号(也称为模拟的服务账号)是与数据库进行身份验证的服务账号。
使用服务账号模拟时,请执行以下操作:
- 启用 Service Consumer Management API。
- 确保链中的所有服务账号(包括 Looker [Google Cloud 核心] 项目的服务账号)都具有适当的 IAM 权限。
- 确保被冒充的服务账号具有 Service Usage Consumer 角色、BigQuery Job User 角色和 BigQuery Data Viewer 角色。
将应用默认凭据与其他项目中的 BigQuery 数据库搭配使用 Google Cloud
若要为位于 Looker (Google Cloud Core) 实例所在项目之外的 BigQuery 标准 SQL 数据库使用 ADC,所需的步骤与在同一项目中设置连接的步骤相同。不过,在 Looker (Google Cloud Core) 实例中设置连接之前,Looker (Google Cloud Core) 项目的服务账号必须具有以下 IAM 角色:
- 包含 BigQuery 数据集的项目的 BigQuery Data Viewer 角色。
- “连接设置”页面上列出的结算项目中的 BigQuery Job User 角色和 Service Usage Consumer 角色。
- 如果您的 Looker(Google Cloud 核心)实例将永久派生表与 BigQuery 数据集搭配使用,则服务账号还必须对包含 BigQuery 数据集的项目拥有 BigQuery Data Editor 角色。
如果 Looker(Google Cloud 核心)服务账号尚未在包含 BigQuery 数据集的项目中拥有 IAM 角色,请在该项目中授予角色时使用该服务账号的电子邮件地址。如需查找服务账号的电子邮件地址,请前往 Google Cloud 控制台中的 IAM 页面,然后选中包括 Google 提供的角色授予复选框。电子邮件的格式为 service-<project number>@gcp-sa-looker.iam.gserviceaccount.com。使用该电子邮件地址向服务账号授予适当的角色。
授予适当的角色后,请按照使用 ADC 的步骤操作。
现在,您可以将 ADC 与此 BigQuery 标准 SQL 数据库搭配使用了。与“连接设置”页面中指定的服务账号关联的项目将用于结算,同时也是默认项目。
使用应用默认凭据连接到 Cloud SQL 数据库
Looker(Google Cloud 核心)实例可以使用 ADC 对与 Cloud SQL 数据库(Cloud SQL for PostgreSQL 或 Cloud SQL for MySQL)的连接进行身份验证。当您使用 ADC 对 Cloud SQL 数据库进行身份验证时,运行 Cloud SQL 数据库的 Google Cloud 项目就是 Looker 查询的计费项目。
对于使用 ADC 的 Looker 与 Cloud SQL 的连接,ADC 会冒充服务账号或服务账号链来访问您的数据库。创建与数据库的 Looker 连接时,您可以使用 IAM 数据库用户名字段指定 ADC 将要冒充的服务账号或服务账号链。在您创建 Looker (Google Cloud Core) 实例时自动创建的 Looker 服务账号会自动用作链中的第一个服务账号,而无需添加到该字段。
如果您想使用 Looker 服务账号以外的服务账号对 Cloud SQL 数据库进行身份验证,可以通过在 IAM 数据库用户名字段中输入其他服务账号或以英文逗号分隔的服务账号链,创建委托请求流程。
链中的最后一个服务账号(也称为被模拟的服务账号)是与数据库进行身份验证的服务账号,并且此账号必须添加为 Cloud SQL 数据库中的用户。如果您将 Looker 服务账号用作链中的最后一个服务账号(通过将 IAM database username(s) 字段留空),则必须将 Looker 服务账号添加为 Cloud SQL 数据库中的用户。
以下是使用 ADC 将 Cloud SQL for PostgreSQL 或 Cloud SQL for MySQL 数据库连接到 Looker 的一般步骤:
- 将被冒充的服务账号添加到 Cloud SQL 数据库。
- 在 Cloud SQL 数据库上设置服务账号冒用。
- 连接到数据库,为 Cloud SQL for PostgreSQL 或 Cloud SQL for MySQL 运行其他配置命令。
- 创建 Looker 与数据库之间的连接。
将被冒充的服务账号添加到 Cloud SQL 数据库
创建与数据库的 Looker 连接时,您可以使用 IAM 数据库用户名字段指定 ADC 将冒充哪个服务账号或服务账号链来对数据库执行操作。模拟链中的最后一个服务账号被视为被模拟的服务账号。
如需将 ADC 与 Cloud SQL 搭配使用,您必须将被冒充的服务账号添加到 Cloud SQL 数据库:
- 在默认情况下,如果您将 IAM database username(s) 字段留空,ADC 将会冒充 Looker 服务账号。在本例中,Looker 服务账号是被模拟的服务账号,因此您需要将 Looker 服务账号添加到 Cloud SQL 数据库。如需了解 Looker 服务账号以及查看 Looker 服务账号电子邮件地址的步骤,请参阅创建 Looker (Google Cloud Core) 实例文档页面。
- 如果您指定了 Looker 服务账号以外的服务账号,或者在 IAM 数据库用户名字段中指定了服务账号链,则必须将冒充链中的最后一个服务账号添加到 Cloud SQL 数据库。
如需向 Cloud SQL 数据库添加服务账号,您必须拥有 Cloud SQL Admin IAM 角色。
按照数据库方言的“将 IAM 用户或服务账号添加到数据库实例”过程,将被冒充的服务账号添加到 Cloud SQL 数据库:
在 Cloud SQL 数据库上设置服务账号冒用
在数据库上创建 Cloud SQL 用户后,您必须执行以下步骤,将 Cloud SQL 数据库设置为服务冒充:
- 按照相应步骤启用 Cloud SQL Admin API。
- 确保链中的所有服务账号(包括 Looker 服务账号)都具有适当的 IAM 权限。
请按照在 Google Cloud 控制台中授予单个角色的步骤操作。向您添加到 Cloud SQL 数据库的被冒充服务账号授予以下 Cloud SQL 角色:
如果您指定了 Looker 服务账号以外的服务账号,或者在 IAM 数据库用户名字段中指定了服务账号链,请向链中的每个服务账号授予以下权限:
Cloud SQL for MySQL 的其他配置命令
对于 Cloud SQL for MySQL,您必须连接到数据库实例,然后在 Cloud SQL for MySQL 数据库上运行以下命令:
GRANT ALL on DATABASE_NAME.* to 'DATABASE_USER'@'%'
替换以下内容:
- DATABASE_NAME:您的数据库的名称。
- DATABASE_USER:您添加到 Cloud SQL 数据库的被冒充服务账号的截断服务账号用户名。服务账号的格式为
service-<project number>@gcp-sa-looker.iam.gserviceaccount.com。移除@及其后面的所有内容,截断用户名。截断后,用户名将如下所示:service-<project number>。
例如,如果服务账号用户名为 service-12345678901@gcp-sa-looker.iam.gserviceaccount.com,数据库名称为 looker-test,则命令如下所示:
GRANT ALL on looker-test.* to 'service-12345678901'@'%'
Cloud SQL for PostgreSQL 的其他配置命令
对于 Cloud SQL for PostgreSQL,您必须连接到数据库实例,并在 Cloud SQL for PostgreSQL 数据库上运行一些配置命令:
- 按照 PostgreSQL 文档页面中的用户和安全部分所述,向用户授予对数据库的权限。
- 为 Looker SQL Runner 设置搜索路径,以便从数据库检索元数据,如 Looker 文档 PostgreSQL 页面中的设置
search_path部分所述。
创建 Looker (Google Cloud Core) 与 Cloud SQL 数据库之间的连接
如需创建 Looker 与数据库之间的连接,请按以下步骤操作:
- 在 Looker 的管理部分中,选择连接,然后点击添加连接。
- 从方言下拉菜单中,选择 Google Cloud PostgreSQL;对于 Cloud SQL for MySQL,请选择 Google Cloud SQL。
- 在身份验证部分中,点击应用默认凭据选项。
在 IAM 数据库用户名字段中,指定您希望 ADC 冒充以对数据库执行操作的服务账号或服务账号链:
- 如果您希望 Looker 使用 Looker (Google Cloud Core) 项目的服务账号对 Cloud SQL 数据库进行身份验证,请将此字段留空。
- 如果您希望 Looker (Google Cloud Core) 使用 Looker (Google Cloud Core) 项目的服务账号以外的服务账号对 Cloud SQL 数据库进行身份验证,可以通过输入其他服务账号或以英文逗号分隔的服务账号链来创建委托请求流程。
填写连接详情的其余部分。大多数设置对于大多数数据库方言都是通用的。如需了解详情,请参阅将 Looker 连接到数据库文档页面。
如需验证连接是否成功,请点击测试。如需了解问题排查信息,请参阅测试数据库连接文档页面。
如需保存这些设置,请点击连接。
设置数据库连接后,您就可以设置 LookML 项目了。
使用 BigQuery 配置 OAuth 身份验证
对于与 Looker (Google Cloud Core) 实例上的 BigQuery 数据库的连接,如果您选择 OAuth 身份验证选项,Looker 可以自动使用 Looker 管理员创建 Looker (Google Cloud Core) 实例时使用的 OAuth 应用凭据。
如果您想为此连接手动输入其他 OAuth 凭据,请启用手动配置 OAuth 凭据切换开关,然后填写 OAuth 客户端 ID 和 OAuth 客户端密钥字段。如果您手动输入 OAuth 凭据,则不会更改或更新创建 Looker (Google Cloud Core) 实例时所用的凭据。
Looker (Google Cloud Core) 支持的方言
下表显示了 Looker (Google Cloud Core) 对数据库方言的支持情况:
| 方言 | 是否支持? |
|---|---|
| Actian Avalanche | 否 |
| Amazon Athena | 是 |
| Amazon Aurora MySQL | 是 |
| Amazon Redshift | 是 |
| Apache Druid | 否 |
| Apache Druid 0.13+ | 否 |
| Apache Druid 0.18+ | 是 |
| Apache Hive 2.3+ | 否 |
| Apache Hive 3.1.2+ | 是 |
| Apache Spark 3+ | 是 |
| ClickHouse | 是 |
| Cloudera Impala 3.1+ | 是 |
| Cloudera Impala 3.1+ with Native Driver | 否 |
| Cloudera Impala with Native Driver | 否 |
| DataVirtuality | 否 |
| Databricks | 是 |
| Denodo 7 | 否 |
| Denodo 8 | 是 |
| Dremio | 否 |
| Dremio 11+ | 是 |
| Exasol | 否 |
| Firebolt | 否 |
| Google BigQuery Legacy SQL | 否 |
| Google BigQuery Standard SQL | 是 |
| Google Cloud PostgreSQL | 是 |
| Google Cloud SQL | 是 |
| Google Spanner | 是 |
| Greenplum | 否 |
| HyperSQL | 否 |
| IBM Netezza | 是 |
| MariaDB | 是 |
| Microsoft Azure PostgreSQL | 是 |
| Microsoft Azure SQL Database | 是 |
| Microsoft Azure Synapse Analytics | 是 |
| Microsoft SQL Server 2008+ | 否 |
| Microsoft SQL Server 2012+ | 否 |
| Microsoft SQL Server 2016 | 否 |
| Microsoft SQL Server 2017+ | 是 |
| MongoBI | 否 |
| MySQL | 否 |
| MySQL 8.0.12+ | 是 |
| Oracle | 是 |
| Oracle ADWC | 否 |
| PostgreSQL 9.5+ | 是 |
| PostgreSQL pre-9.5 | 否 |
| PrestoDB | 是 |
| PrestoSQL | 是 |
| SAP HANA 2+ | 是 |
| SingleStore | 否 |
| SingleStore 7+ | 是 |
| Snowflake | 是 |
| Teradata | 是 |
| Trino | 是 |
| Vector | 否 |
| Vertica | 是 |
数据库配置说明
以下 SQL 方言提供了相关说明:
后续步骤
- 配置 Looker (Google Cloud Core) 实例
- 在 Looker (Google Cloud Core) 中管理用户
- 通过 Google Cloud 控制台管理 Looker (Google Cloud Core) 实例
- Looker (Google Cloud Core) 管理设置
- 在 Looker (Google Cloud Core) 实例上使用 LookML 示例项目