从 Looker(原始版本)到 Looker (Google Cloud Core) 的自助迁移

本文档简要介绍了将现有 Looker 实例从 Looker(原始版本)环境迁移到 Looker (Google Cloud Core) 的技术步骤。

Looker (Google Cloud Core) 是一个与 Google Cloud 平台深度集成的部署环境。Looker (Google Cloud Core) 托管在 Google Cloud 基础架构上;您可以直接通过 Google Cloud 控制台进行管理;并且它与 Google Cloud的许多其他产品、服务和功能深度集成。

准备工作

  1. 请参阅以下文档,熟悉 Google Cloud 相关原则和工具:
  2. 请与您的客户代表联系,了解迁移事宜以及您的 Looker(原始版本)实例是否符合条件。如果您的实例符合条件,并且您已将现有的 Looker(原始版本)合约升级为涵盖 Looker (Google Cloud Core),则可以完成本文档中的步骤来迁移您的实例。
  3. 如需获得为迁移做准备所需的权限,请让管理员向您授予将要存放 Looker (Google Cloud Core) 实例的 Google Cloud 项目的以下 IAM 角色:

    • 创建 Looker (Google Cloud Core) 实例: Looker 管理员 (roles/looker.admin)。
    • 在 Google Cloud 项目中分配 IAM 角色: Project IAM Admin (roles/resourcemanager.projectIamAdmin)。
    • 创建 Cloud Storage 存储分区: Storage Admin (roles/storage.admin)。

    如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    您也可以通过自定义角色或其他预定义角色来获取所需的权限。

  4. 如需管理 Looker(原始)实例以准备进行迁移,您必须拥有该实例中的 Admin Looker 角色。
  5. 创建新的“空”Looker (Google Cloud Core) 实例。

    请务必为新的 Looker (Google Cloud Core) 实例选择适当的版本、网络连接类型(公共 IP 或专用 IP)以及其他配置属性(CMEK、VPC-SC),以确保该实例具有必要的功能。Looker (Google Cloud Core) 中的某些功能取决于所选版本所选网络类型

    请将实例保持“空”状态;不要向其中填充任何数据,例如模型文件、用户、关联、探索、信息中心或文件夹。在导入步骤期间,所有设置或内容都将被清除,并替换为迁移中的数据。

    不过,通过 Google Cloud 控制台指定或只能在实例创建期间指定的 Looker (Google Cloud Core) 配置属性不会在迁移过程中被覆盖。

概览

概括来讲,迁移过程包括以下步骤。

  1. 确保您的 Looker(原始版本)实例已准备好进行迁移。
  2. 从 Looker(原始版本)实例导出数据。
  3. 将数据导入新的“空”Looker (Google Cloud Core) 实例。
  4. 完成 Looker (Google Cloud Core) 实例的最终设置。
  5. 停用 Looker(原始版本)实例。

以下部分详细介绍了这些步骤。

确保您的 Looker(原始)实例已准备好进行迁移

您的 Looker(原始)实例必须满足以下前提条件,才能进行迁移:

  • 您的 Looker(原始版本)实例必须由 Google 管理(换句话说,不是客户托管),并托管在 Google Cloud 或 Amazon Web Services 上。 Google Cloud
  • 您的 Looker(原始版本)实例必须使用与当前 Looker (Google Cloud Core) 版本相差不超过 一个月发布版本的版本。如需查找当前的 Looker(Google Cloud 核心)版本,请参阅 Looker 版本说明,并查找最新的部署公告。

此外,请在迁移前执行以下活动:

  • Looker(原始版本)和 Looker (Google Cloud Core) 之间存在一小部分功能差异。请查看这些差异,确保 Looker (Google Cloud Core) 中的功能能够满足您持续的需求。

  • 迁移会复制所有生产模式项目及其包含的模型文件,但不会复制属于个人用户的开发模式项目。为确保开发者模式文件能够通过迁移进行传输,您必须先将所有开发者模式项目中的所有文件提交到 Git 代码库,然后才能发起迁移。

  • Looker (Google Cloud Core) 仅支持 Google OAuthSAMLOpenID Connect 身份验证方法。

    • 如果您的 Looker(原始版本)实例使用其他身份验证方法(例如电子邮件和密码、LDAP 等),您需要将所有用户转换为使用 Looker (Google Cloud Core) 支持的身份验证方法
    • 如果您的 Looker(原始)实例已在使用 Google OAuth,则系统会转移所有用户记录,但您仍必须为 Looker (Google Cloud Core) 实例项目中的用户手动创建 IAM 权限
    • 如果您的 Looker(原始)实例使用 SAML,则必须将“SAML 身份验证”管理控制台页面上的使用以下方法合并用户设置设为 GoogleOIDC,以免在测试 SAML 身份验证时出现错误。
    • 如果您的 Looker(原始)实例使用 OIDC,则必须将 OpenID Connect 身份验证管理控制台页面上的使用以下方法合并用户设置设为 GoogleSAML,以免在测试 OpenID Connect 身份验证时出现错误。
    • 如果您使用的是外部身份提供方,则必须将身份提供方中的回调网址更新为 Looker(Google Cloud 核心)网址,以允许对新的 Looker(Google Cloud 核心)实例进行身份验证。
    • 如果您的 Looker (Google Cloud Core) 实例将使用 SAML 或 OpenID Connect 作为身份验证方法,建议您还设置 Google OAuth,以用作 Looker (Google Cloud Core) 的备用身份验证方法
    • 如果您打算为 Looker (Google Cloud Core) 实例使用自定义网域,请先启用自定义网域,然后再为该实例设置 SAML 或 OpenID Connect。
  • 在迁移期间,两个 Looker 实例(一个是 Looker [原始版本],一个是 Looker [Google Cloud Core])将并行运行一段时间。发生的任何自动活动(例如提醒和定期数据传送,以及访问后端数据库的后台活动)都可能会重复。为避免重复活动,请在 Looker(原始版本)或 Looker (Google Cloud Core) 实例中删除自动提醒和时间表。

从 Looker(原始)实例导出数据

若要从 Looker(原始)实例导出数据,需要完成以下两个步骤:

  1. 创建用于存储迁移数据的位置
  2. 启动导出

创建用于存储迁移数据的位置

在创建 Looker (Google Cloud Core) 实例的 Google Cloud 同一项目中执行以下所有操作。

  1. 创建一个新的 Cloud Storage 存储分区(例如 <bucket-name>)。
    • 此存储分区将用于存储迁移数据。
    • 请按照创建存储分区文档页面上的说明操作。
    • 请注意,<bucket-name> 在整个 Google Cloud中都必须是唯一的。我们建议在存储分区名称前面添加唯一标识符(例如项目 ID)。
  2. 为 Cloud Storage 存储分区中的文件夹确定一个名称(例如 <folder-name>)。暂时不要创建该文件夹。在导出请求期间指定文件夹名称。系统会在导出过程中自动创建该文件。
  3. 在 Cloud KMS 中创建密钥环和密钥(例如 <kms_keyring_id><kms-key-id>)。
  4. 专门为迁移创建一个新的服务账号(例如 <export-service-account>)。
  5. <export-service-account> 授予两个特定的 IAM 角色:

  6. 创建与 <export-service-account> 关联的服务账号密钥,并下载 JSON 密钥文件。

请求导出

确保实例已准备好进行迁移、创建了“空”Looker (Google Cloud Core) 实例,并创建了用于存储迁移数据的位置后,请在 Looker(原始)实例的管理面板中的导出页面中输入以下信息:

  • 您创建的 Cloud Storage 存储分区的名称。
  • Cloud Storage 文件夹名称 - 系统会在导出期间自动创建一个此名称的文件夹。导出完成后,导出文件将显示在您创建的 Cloud Storage 存储分区中此文件夹内的带时间戳的子文件夹中。
  • KMS 密钥名称
  • 包含服务账号密钥的 JSON 文本。

导出页面上输入信息后,点击请求导出以启动导出。

导出过程需要几分钟到几小时。导出完成后,您会在 Cloud Storage 存储分区和文件夹中看到多个导出文件(采用非人类可读格式)。这些文件是下一步导入步骤的输入内容。

将数据导入新的“空”Looker (Google Cloud Core) 实例

导出实例数据后,您可以将其导入 Looker (Google Cloud Core) 实例。

按照将数据从 Cloud Storage 导入 Looker (Google Cloud Core) 实例页面上的说明操作,将命令指向存放导出文件的存储分区和文件夹。

简而言之,这意味着:

  1. Looker 服务账号(而非 <export-service-account>)授予以下角色,以便其访问存储分区和 KMS 密钥:
  2. 通过 Google Cloud 控制台或 gcloud CLI 触发导入

导入操作需要几分钟到几小时的时间。完成后,您的 Looker (Google Cloud Core) 实例将会重启,并包含所有迁移的数据。

完成 Looker (Google Cloud Core) 实例的最终设置

此时,Looker 管理员可以前往实例网址登录实例,以完成最终设置。

迁移过程会尽可能复制 Looker(原始)实例配置。不过,有些内容无法迁移,或者在 Looker (Google Cloud Core) 中运行方式略有不同,因此必须进行调整。

已知需要特别注意的一些事项包括:

常规设置(在 Looker 的管理面板中)

系统不会自动复制常规设置的大多数选项(以及管理面板中的其他设置),因为这些设置在 Looker(Google Cloud 核心)中通常有所不同,或者不以相同的形式存在。您应根据所选的 Looker (Google Cloud Core) 配置仔细检查并配置所有设置。如需详细了解 Looker (Google Cloud Core) 中的设置,请参阅通过 Looker 管理 Looker (Google Cloud Core) 实例通过 Google Cloud 控制台管理 Looker (Google Cloud Core) 实例文档页面。

用户

Looker (Google Cloud Core) 仅支持 Google OAuthSAMLOpenID Connect 身份验证方法。

如果 Looker(原始)实例也配置了 Google OAuth,系统会复制用户记录及其属性(前提是这两种实例中的用户记录与同一 Google ID 和电子邮件地址相关联)。Project IAM Admin 必须向每个用户授予实例所在 Google Cloud 项目的 Looker Admin 或 Looker Instance User IAM 角色

如果 Looker(原始)实例已配置为使用 SAML 或 OpenID Connect,请确保身份验证方法的使用以下方法合并用户字段仅指示 Looker(Google Cloud 核心)支持的身份验证方法

如果 Looker(原始)实例的部分用户通过 Looker (Google Cloud Core) 不支持的机制(例如 LDAP 或电子邮件/密码)进行身份验证,则需要重新创建这些用户账号,并将其转换为受支持的身份验证方法。

数据库连接数

Looker(原始版本)相比,Looker (Google Cloud Core) 支持的一组数据库方言略有不同。系统会复制数据库连接的所有配置属性(包括连接字符串和密码,如果适用)。不过,Looker(Google Cloud 核心)中的不同网络拓扑结构可能会导致数据库连接无法立即生效。例如,如果通过特定于 Looker(原始)实例的防火墙或隧道访问数据库,您可能需要重新配置防火墙或隧道。您应测试每个连接,并根据需要重新建立连接。

使用 OAuth 进行数据库连接

从 Looker(原始版本)迁移到 Looker(Google Cloud 核心版)不会保留个别用户与 BigQuerySnowflake 的数据库连接的 OAuth 访问令牌或刷新令牌。迁移后,当 Looker (Google Cloud Core) 用户查看引用 OAuth 数据库连接的探索或信息中心时,系统会提示他们重新进行 OAuth 身份验证。用户还可以前往账号页面,然后在 OAuth 连接凭据标题下为每个数据库选择登录,以重新对数据库进行身份验证。在用户使用 OAuth 凭据登录之前,由单个用户拥有且引用 OAuth 连接的所有自动安排或提醒都会中断。

Git 代码库关联

如果实例使用的是裸 Git 代码库,则这些代码库在运行时不应进行任何修改(复制,但不共享)。但是,如果实例连接到远程代码库,则可能需要验证并重新启用这些连接,与数据库连接类似。

其他网络配置

Looker 实例可能还有其他类型的网络连接(包括入站和出站连接,例如在专用 IPAction HubMarketplace电子邮件等情境中)。这些网络连接也必须经过验证。

用于访问 Looker (Google Cloud Core) 实例的网址

Looker (Google Cloud Core) 实例附带一个随机分配的主网址。如果需要通过特定网址访问实例,您可以配置自定义网域

时间表和提醒

如果 Looker(原始版)和 Looker (Google Cloud Core) 实例同时处于活动状态,则可能会生成重复的定期操作和提醒,并执行访问关联数据库的重复后台操作。应尽快在其中一个实例中停用这些 activity。

在用户使用 OAuth 凭据登录之前,任何归单个用户所有且引用该用户的个人 OAuth 连接的自动安排或提醒都会中断。

维护窗口

与 Looker(原始版本)不同,您可以为 Looker (Google Cloud Core) 指定维护政策

精英系统活动

在迁移过程中,系统不会复制 Elite 系统活动数据。Looker (Google Cloud Core) 实例将从全新的历史记录开始。

自定义网域

您可以为 Looker (Google Cloud Core) 实例创建自定义网域。您必须设置 DNS 记录,以确保 SSL 证书部署。此外,在启用自定义网域并设置身份验证方法后,请务必将身份验证客户端中的回调网址更新为自定义网域。您无法使用 looker.com 网域为 Looker (Google Cloud Core) 创建自定义网域。

如果您想使用 Looker(原始)实例的自定义网址为 Looker (Google Cloud Core) 实例创建自定义网域,则应在迁移完成并确认 Looker (Google Cloud Core) 实例可以使用后设置自定义网域。启用自定义网域后,用户访问实例网址时会看到 Looker (Google Cloud Core) 实例,而不是 Looker(原始版本)实例。

请勿为 Looker (Google Cloud Core) 实例设置 SAML 或 OpenID Connect,除非该实例已准备就绪、DNS 记录已更新且自定义网域已启用。

书签

如果您在 Looker(原始)实例中使用自定义网址(不使用 looker.com 网域),那么如果您为 Looker (Google Cloud Core) 实例创建的自定义网域与 Looker(原始)实例使用相同的网址,此迁移流程应会保留用户的书签。

启用自定义网域后,指向 Looker(原始版本)内容(例如 https://www.yourcustomdomain.com/dashboard/123)的书签将指向 Looker (Google Cloud Core) 实例中的内容。(注意:Looker(Google Cloud Core)的企业版嵌入版在网址中使用字母数字内容标签,而不是数字内容 ID,但包含内容 ID 的书签仍会正确重定向到同一内容。)

此流程不适用于使用网域 looker.com 的 Looker(原始)网址。

该列表并不详尽。请先测试实例中对您最重要的所有方面,然后再考虑迁移是否已完成。

迁移完成后,如果您确定不需要再次导出,可以删除您之前创建的 <export-service-account>,这样系统就会废弃为其共享的 JSON 键。

停用 Looker(原始版本)实例

迁移后的 Looker (Google Cloud Core) 实例正常运行后,您可以向用户发送实例的网址,并指示他们开始访问该实例,停止访问 Looker(原始)实例。

问题排查

以下部分可能会帮助您解决导入或导出期间的问题。

导出过程中出现的问题

如果 Looker(原始)数据导出出现问题,管理面板的导出页面上会显示状态为错误。点击 ERROR 状态可显示错误消息。

常见的错误来源包括:

  • Cloud Storage 存储分区、KMS 密钥或 <export-service-account> 无效。
  • <export-service-account> 缺少必要的权限。

在提交导出请求之前,请先确认这些对象的状态。

导入过程中出现的问题

如果导入操作在 4 小时后仍未完成(如果来源实例非常大,则可能需要更长时间),或者导入操作在退出时出错,您可能需要向 Cloud Customer Care 提交工单来解决此问题。客户对此操作的诊断信息相对较少。

后续步骤