本文档简要介绍了将现有 Looker 实例从 Looker(原始)环境迁移到 Looker (Google Cloud Core) 的技术步骤。
Looker (Google Cloud Core) 是一个与 Google Cloud Platform 深度集成的部署环境。Looker (Google Cloud Core) 托管在 Google Cloud 基础架构上;您可以直接通过 Google Cloud 控制台管理这些数据;并且与 Google Cloud 的许多其他产品、服务和功能深度集成。
准备工作
- 参阅以下文档,熟悉 Google Cloud 的原则和工具:
- 请与您的客户代表联系,了解迁移事宜以及您的 Looker(原始版本)实例是否符合条件。如果您的实例符合条件,并且您已升级现有 Looker(原始版本)合同以涵盖 Looker (Google Cloud Core),则可以完成本文档中的步骤来迁移您的实例。
-
为了获得准备迁移所需的权限, 请让管理员授予您 Looker (Google Cloud Core) 实例将驻留的 Google Cloud 项目中的以下 IAM 角色:
-
创建 Looker (Google Cloud Core) 实例:
Looker 管理员 (
roles/looker.admin)。 -
在 Google Cloud 项目中分配 IAM 角色:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin)。 -
创建 Cloud Storage 存储桶:
存储空间管理员 (
roles/storage.admin)。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
-
创建 Looker (Google Cloud Core) 实例:
Looker 管理员 (
- 如需管理 Looker(原始)实例以便为迁移做好准备,您必须在该实例中拥有 Looker 管理员角色。
创建新的“空”Looker (Google Cloud Core) 实例。
请务必为新的 Looker (Google Cloud Core) 实例选择适当的版本、网络连接类型(公有 IP 或专用 IP)以及其他配置属性(CMEK、VPC-SC),以确保该实例具有必要的功能。Looker (Google Cloud Core) 中的部分功能取决于所选版本或所选网络类型。
将实例留空;不会在其中填充任何数据,例如模型文件、用户、连接、探索、信息中心或文件夹。在导入步骤期间,所有设置或内容都将被清除,并替换为迁移中的数据。
不过,通过 Google Cloud 控制台指定或只能在实例创建期间指定的 Looker (Google Cloud Core) 配置属性不会在迁移过程中被覆盖。
概览
概括来讲,迁移过程包括以下步骤。
- 确保您的 Looker(原始)实例已准备好进行迁移。
- 从 Looker(原始)实例导出数据。
- 将数据导入新的“空白”Looker (Google Cloud Core) 实例。
- 完成 Looker (Google Cloud Core) 实例的设置。
- 停用 Looker(原始)实例。
以下部分详细介绍了每个步骤。
确保您的 Looker(原始)实例已准备好进行迁移
您的 Looker(原始)实例必须满足以下前提条件,才符合迁移条件:
- 您的 Looker(原始)实例必须由 Google 管理(换言之,不能由客户托管),并托管在 Google Cloud 或 Amazon Web Services 上。
您的 Looker(原始)实例必须使用当前 Looker (Google Cloud Core) 版本的一个月度版本内的版本。如需查找当前的 Looker (Google Cloud Core) 版本,请参阅 Looker 版本说明,并找到最新的部署公告。
此外,请在迁移前执行以下活动:
Looker(原始版本)和 Looker (Google Cloud Core) 之间存在一小部分功能差异。请查看这些差异,确保 Looker (Google Cloud Core) 中的功能能够满足您的持续需求。
迁移操作会复制所有生产模式项目及其包含的模型文件,但不会复制属于各个用户的开发模式项目。为了确保通过迁移转移开发模式文件,您必须先将所有开发模式项目中的所有文件提交到 Git 代码库,然后再开始迁移。
Looker (Google Cloud Core) 仅支持 Google OAuth、SAML 和 OpenID Connect 身份验证方法。
- 如果您的 Looker(原始)实例使用其他身份验证方法(例如电子邮件地址和密码、LDAP 等),您需要将所有用户转换为 Looker (Google Cloud Core) 支持的身份验证方法。
- 如果您的 Looker(原始)实例已在使用 Google OAuth,那么所有用户记录都将转移,但您仍须为 Looker (Google Cloud Core) 实例所属项目中的用户手动创建 IAM 权限。
- 如果您的 Looker(原始)实例使用 SAML,则必须将 SAML 身份验证管理控制台页面上的合并用户设置设为 Google 或 OIDC,以免测试 SAML 身份验证时出错。
- 如果您的 Looker(原始)实例使用 OIDC,则必须将“OpenID Connect 身份验证”管理控制台页面上的使用以下方法合并用户设置设为 Google 或 SAML,以免在测试 OpenID Connect 身份验证时出现错误。
- 如果您使用的是外部身份提供方,则必须将身份提供方中的回调网址更新为 Looker(Google Cloud 核心)网址,以允许对新的 Looker(Google Cloud 核心)实例进行身份验证。
- 如果您的 Looker (Google Cloud Core) 实例将使用 SAML 或 OpenID Connect 作为身份验证方法,建议您同时设置 Google OAuth,将其作为 Looker (Google Cloud Core) 的备用身份验证方法。
- 如果您要将自定义网域与 Looker (Google Cloud Core) 实例搭配使用,在自定义网域启用之前,请勿为该实例设置 SAML 或 OpenID Connect。
在迁移期间,两个 Looker 实例(一个是 Looker [原始版本],一个是 Looker [Google Cloud Core])将并行运行一段时间。自动发生的任何活动(例如提醒和定期报告,以及访问后端数据库的后台活动)都可能是重复的。为避免重复活动,请在 Looker(原始版本)或 Looker (Google Cloud Core) 实例中删除自动提醒和时间表。
从 Looker(原始)实例导出数据
从 Looker(原始)实例导出数据需要执行两个步骤:
创建用于存储迁移数据的位置
在创建 Looker (Google Cloud Core) 实例的同一 Google Cloud 项目中执行以下所有操作。
- 创建新的 Cloud Storage 存储桶(例如
<bucket-name>)。- 此存储桶将用于存储迁移数据。
- 按照创建存储分区文档页面中的说明操作。
- 请注意,
<bucket-name>在整个 Google Cloud 中必须是唯一的。我们建议您在存储桶名称前加上唯一标识符(例如项目 ID)作为前缀。
- 确定 Cloud Storage 存储桶中的文件夹名称(例如
<folder-name>)。现在不创建文件夹。在导出请求期间指定文件夹名称。系统会在导出过程中自动创建该文件。 - 在 Cloud KMS 中创建密钥环和密钥(例如
<kms_keyring_id>和<kms-key-id>)。- 此密钥将用于加密迁移数据。由于它是 KMS 密钥,因此您只需在 Looker(原始)管理面板中的导出页面中披露密钥名称,而无需披露密钥本身。
- 按照创建密钥环和创建密钥文档页面上的说明操作。
- 专门为迁移创建一个新服务账号(例如
<export-service-account>)。- 此账号与 Looker 服务账号不同。
- 按照创建服务账号文档页面上的说明操作。
向
<export-service-account>授予两个特定的 IAM 角色:- Cloud Storage 存储桶上的
Storage Object Creator - 针对 KMS 密钥的
Cloud KMS CryptoKey Encrypter - 按照使用 IAM 权限 (Cloud Storage) 和通过 IAM (KMS) 进行访问权限控制文档页面上的说明操作。
- Cloud Storage 存储桶上的
创建与
<export-service-account>关联的服务账号密钥,并下载 JSON 密钥文件。- 按照创建和删除服务账号密钥文档页面上的说明操作。
请求导出
确保实例已准备好进行迁移后,创建“空”Looker (Google Cloud Core) 实例并创建迁移数据的位置后,请在 Looker(原始)实例的管理面板的导出页面中输入以下信息:
- 您创建的 Cloud Storage 存储桶的名称。
- Cloud Storage 文件夹名称 - 导出期间将自动创建一个采用此名称的文件夹。导出完成后,在您创建的 Cloud Storage 存储桶中,导出的文件将出现在带有时间戳的子文件夹中。
- KMS 密钥名称。
- 包含服务账号密钥的 JSON 文本。
在导出页面输入相应信息后,点击请求导出以开始导出。
导出过程需要几分钟到几小时。导出完成后,您会在 Cloud Storage 存储桶和文件夹中看到多个导出文件(采用非人类可读格式)。这些文件是以下导入步骤的输入。
将数据导入新的“空”Looker (Google Cloud Core) 实例
实例数据导出后,您可以将其导入 Looker (Google Cloud Core) 实例。
按照将数据从 Cloud Storage 导入到 Looker (Google Cloud Core) 实例页面上的说明,将命令指向存放导出文件的存储桶和文件夹。
简而言之,这包括以下内容:
- 向 Looker 服务账号(而不是
<export-service-account>)授予以下用于访问存储桶和 KMS 密钥的角色:- 针对 Cloud Storage 存储桶的
Storage Object User - 针对 KMS 密钥的
Cloud KMS CryptoKey Decrypter
- 针对 Cloud Storage 存储桶的
- 通过 Google Cloud 控制台或 gcloud CLI 触发导入
导入操作需要几分钟到几小时才能完成。完成后,您的 Looker (Google Cloud Core) 实例将重启,并显示所有迁移后的数据。
完成 Looker (Google Cloud Core) 实例的设置
此时,Looker 管理员可以前往实例网址,然后登录实例以完成设置。
迁移过程会复制尽可能多的 Looker(原始)实例配置。但是,某些内容无法迁移,或在 Looker (Google Cloud Core) 中的运行方式略有不同,必须进行调整。
已知需要特别注意的一些项目包括:
常规设置(位于 Looker 管理面板中) |
系统不会自动复制大多数常规设置(以及 **管理** 面板中的其他设置),因为这些设置往往不同,或者并非以相同形式存在于 Looker (Google Cloud Core) 中。您应该仔细查看和配置所选 Looker (Google Cloud Core) 配置中的所有设置。如需详细了解 Looker (Google Cloud Core) 中的设置,请参阅通过 Looker 管理 Looker (Google Cloud Core) 实例和通过 Google Cloud 控制台管理 Looker (Google Cloud Core) 实例文档页面。 |
Users |
Looker (Google Cloud Core) 仅支持 Google OAuth、SAML 和 OpenID Connect 身份验证方法。 如果 Looker(原始)实例也配置了 Google OAuth,系统会复制用户记录及其属性(前提是这两种实例中的用户记录与同一 Google ID 和电子邮件地址相关联)。Project IAM Admin 必须向每个用户授予实例所在 Google Cloud 项目的 Looker Admin 或 Looker Instance User IAM 角色。 如果 Looker(原始)实例配置了 SAML 或 OpenID Connect,请确保身份验证方法的合并用户字段仅指明 Looker (Google Cloud Core) 支持的身份验证方法。 如果 Looker(原始)实例的部分用户通过 Looker (Google Cloud Core) 不支持的机制(例如 LDAP 或电子邮件/密码)进行身份验证,则需要重新创建这些用户账号,并将其转换为受支持的身份验证方法。 |
数据库连接数 |
Looker (Google Cloud Core) 支持的数据库方言与 Looker(原始版本)略有不同。系统会复制数据库连接的所有配置属性(包括连接字符串和密码,如适用)。不过,Looker(Google Cloud 核心)中的不同网络拓扑结构可能会导致数据库连接无法立即正常运行。例如,如果通过 Looker(原始)实例专用的防火墙或隧道访问数据库,则可能需要重新配置防火墙或隧道。您应测试每个连接,并根据需要重新建立连接。 |
使用 OAuth 的数据库连接 |
从 Looker(原始版本)迁移到 Looker (Google Cloud Core) 时,系统不会保留个别用户的 OAuth 访问令牌或刷新令牌与 BigQuery 或 Snowflake 之间的数据库连接。迁移后,当 Looker (Google Cloud Core) 用户查看引用 OAuth 数据库连接的探索或信息中心时,系统会提示他们重新进行 OAuth 身份验证。用户还可以前往账号页面,然后在 OAuth 连接凭据标题下为每个数据库选择登录,以重新对数据库进行身份验证。任何归单个用户所有并引用 OAuth 连接的自动化时间表或提醒都会中断,直到该用户使用自己的 OAuth 凭据登录为止。 |
Git 代码库连接 |
如果该实例使用的是裸 Git 代码库,则这些代码库应不加修改地运行(复制但不共享)。但是,如果实例连接到远程仓库,这些连接可能需要验证并重新启用,这与数据库连接类似。 |
其他网络配置 |
Looker 实例可能具有其他类型的入站和出站网络连接(例如,在专用 IP、Action Hub、Marketplace、电子邮件等环境中)。此外,还必须验证这些网络连接。 |
用于访问 Looker (Google Cloud Core) 实例的网址 |
Looker (Google Cloud Core) 实例附带一个随机分配的主网址。如果需要通过特定网址访问该实例,您可以配置一个自定义网域。 |
时间表和提醒 |
如果 Looker(原始版本)实例和 Looker (Google Cloud Core) 实例同时处于活动状态,它们可能会生成重复的计划操作和提醒,并执行重复的后台操作来访问已连接的数据库。在其中一个实例中,应尽快停用这些活动。 除非用户使用 OAuth 凭据登录,否则仅由单个用户所有的自动时间表或提醒以及引用该用户的单独 OAuth 连接都会中断。 |
维护窗口 |
与 Looker(原始版本)不同,您可以为 Looker (Google Cloud Core) 指定维护政策。 |
Elite 系统活动 |
Elite System Activity 数据不会在迁移过程中复制。Looker (Google Cloud Core) 实例将从全新的历史记录开始。 |
自定义网域 |
您可以为 Looker (Google Cloud Core) 实例创建自定义网域。您必须设置 DNS 记录,以确保 SSL 证书已部署。此外,在启用自定义网域并设置身份验证方法后,请务必将身份验证客户端中的回调网址更新为自定义网域。您无法使用 如果您要使用 Looker(原始)实例的自定义网址为 Looker (Google Cloud Core) 实例创建自定义网域,则应在迁移完成后且确认 Looker (Google Cloud Core) 实例可供使用后设置自定义网域。启用自定义网域后,用户在访问实例网址时将看到 Looker (Google Cloud Core) 实例,而不是 Looker(原始)实例。 请勿为 Looker (Google Cloud Core) 实例设置 SAML 或 OpenID Connect,除非该实例已准备就绪、DNS 记录已更新且自定义网域已启用。 |
书签 |
如果您在 Looker(原始)实例中使用自定义网址(不使用 启用自定义网域后,指向 Looker(原始版本)内容(例如 此过程不能用于使用网域 |
该列表并不详尽。请先测试对您而言最重要的实例的所有方面,然后再考虑迁移是否完成。
迁移完成后,如果您确定不再需要再次导出,可以删除之前创建的 <export-service-account>,这会导致为其共享的 JSON 密钥变得毫无用处。
停用 Looker(原始)实例
迁移后的 Looker (Google Cloud Core) 实例正常运行后,您可以向用户发送实例的网址,并指示他们开始访问该实例,停止访问 Looker(原始)实例。
问题排查
以下部分可能有助于您解决导入或导出过程中遇到的问题。
导出过程中的问题
如果导出 Looker(原始)数据时出现问题,则管理面板的导出页面上会显示错误状态。点击 ERROR 状态会显示一条错误消息。
常见的错误来源如下:
- Cloud Storage 存储桶、KMS 密钥或
<export-service-account>无效。 <export-service-account>缺少必要的权限。
在提交导出请求之前,确认这些对象的状态会很有帮助。
导入过程中遇到的问题
如果导入操作在 4 小时后仍未完成(如果来源实例非常大,则可能需要更长时间),或者在导入过程中出错,您可能需要向 Cloud Customer Care 提交工单来解决问题。对于此操作,客户直接可见的诊断信息相对较少。
后续步骤
- 管理设置 - 导出
- 将 Looker (Google Cloud Core) 连接到您的数据库
- 设置 Looker (Google Cloud Core) 实例
- 管理用户对 Looker (Google Cloud Core) 实例的访问权限
- 通过 Google Cloud 控制台管理 Looker (Google Cloud Core) 实例
- 通过 Looker 管理您的 Looker (Google Cloud Core) 实例