Pour un chiffrement optimal entre Looker et votre base de données, vous pouvez créer un tunnel SSH vers un serveur de tunnel ou le serveur de base de données lui-même.
Les tunnels SSH ne sont pas disponibles pour les bases de données n'ayant pas d'adresse hôte unique, telles que les bases de données Google BigQuery et Amazon Athena. Les utilisateurs de BigQuery et d'Athena doivent passer directement à la configuration de la base de données.
Étape 1 : Choisir l'hôte sur lequel mettre fin au tunnel
La première étape pour configurer l'accès au tunnel SSH pour votre base de données consiste à choisir l'hôte qui sera utilisé pour mettre fin au tunnel. Le tunnel peut être arrêté sur l'hôte de la base de données ou sur un hôte distinct (le serveur du tunnel).
Utiliser le serveur de base de données
Lorsque vous n'utilisez pas de serveur de tunnel, Looker se connecte directement à votre serveur de base de données via un tunnel SSH sur l'Internet public. L'arrêt sur base de données présente l'avantage de simplifier. Il y a moins d'hôte impliqué ; il n'y a donc pas de machines supplémentaires ni de coûts associés. Cette option peut ne pas être réalisable si votre serveur de base de données se trouve sur un réseau protégé sans accès direct depuis Internet.
Utiliser un serveur de tunnel
Lorsque vous utilisez un serveur de tunnel, Looker se connecte à votre serveur de base de données via un serveur de tunnel distinct sur un réseau restreint. L'arrêt du tunnel sur un serveur distinct présente l'avantage de garder votre serveur de base de données inaccessible depuis Internet. Si la sécurité du serveur du tunnel est compromise, cette étape est supprimée du serveur de base de données. Nous vous recommandons de supprimer tous les utilisateurs et les logiciels non essentiels du serveur du tunnel, et de les surveiller de près avec des outils tels qu'un IDS.
Le serveur du tunnel peut être un hôte Unix/Linux qui :
- Accessible sur Internet via SSH
- Peut accéder à la base de données
Étape 2: Créez une liste d'autorisation d'adresses IP
La deuxième étape consiste à autoriser le trafic réseau à atteindre le serveur du tunnel ou l'hôte de la base de données via SSH, qui se trouve généralement sur le port TCP 22.
Autorisez le trafic réseau provenant de chacune des adresses IP listées ici pour la région où votre instance Looker est hébergée. Par défaut, il s'agit des États-Unis.
Instances hébergées sur Google Cloud
Les instances hébergées par Looker sont hébergées sur Google Cloud par défaut. Pour les instances hébergées sur Google Cloud, ajoutez à la liste d'autorisation les adresses IP correspondant à votre région.
Cliquez ici pour obtenir la liste complète des adresses IP pour les instances hébergées sur Google Cloud
Moncks Corner, Caroline du Sud, États-Unis (us-east1)
34.75.58.12335.196.30.11035.243.254.16634.111.239.10235.237.174.1734.73.200.23535.237.168.216
Ashburn, Virginie du Nord, États-Unis (us-east4)
35.221.30.17735.245.82.7335.194.74.18535.245.177.11234.86.118.23934.86.52.18835.221.3.16335.245.211.10934.86.136.19034.86.214.22635.221.62.21834.86.34.13535.236.240.16834.150.212.934.150.174.5434.85.200.21734.145.147.14635.245.20.1634.145.139.2234.150.217.2035.199.35.17635.245.72.3535.236.220.22534.150.180.9434.85.187.175
Council Bluffs, Iowa, États-Unis (us-central1)
34.69.207.17634.70.128.7435.239.118.197104.154.21.23135.192.130.12635.184.100.5134.172.2.22734.71.191.21034.173.109.50
The Dalles, Oregon, États-Unis (us-west1)
34.82.120.2535.247.5.9935.197.64.5735.233.172.2335.233.249.16035.247.55.3335.247.117.035.247.61.15134.82.193.21535.233.222.22634.83.94.15135.203.184.4834.83.138.10535.197.35.18834.127.116.8534.145.90.8334.127.41.19934.82.57.22535.197.66.24434.105.127.12235.233.191.8434.145.93.130
Los Angeles, Californie, États-Unis (us-west2)
35.236.22.7735.235.83.17735.236.51.71
Montréal, Québec, Canada (northamerica-northeast1)
35.234.253.10335.203.46.25534.152.60.21035.234.252.15035.203.0.635.203.96.235
Londres, Angleterre, Royaume-Uni (europe-west2)
35.189.94.10535.246.36.6735.234.140.7734.142.77.1834.105.131.13334.89.54.8434.89.124.13934.89.25.534.105.209.4434.105.181.13335.242.138.13334.105.219.15434.89.127.5135.246.10.20635.189.111.17335.197.222.22034.105.198.15135.246.117.5834.142.123.9634.105.176.20935.189.95.16734.89.55.235.197.199.2035.242.174.15834.89.3.120
Francfort, Allemagne (europe-west3)
34.159.224.18734.159.10.5934.159.72.7735.242.243.25534.159.247.21135.198.128.12634.89.159.13834.159.253.10334.159.244.43
Mumbai, Inde (asia-south1)
34.93.221.13735.244.24.19835.244.52.179
Eemshaven, Pays-Bas (europe-west4)
35.204.118.2835.204.216.734.90.52.19135.204.176.2934.90.199.9534.90.145.226
Comté de Changhua, Taïwan (asia-east1)
104.199.206.20934.80.173.21235.185.137.114
Tokyo, Japon (asia-northeast1)
34.85.3.19834.146.68.20334.84.4.21835.200.82.7234.84.163.2734.85.31.212
Jurong West, Singapour (asia-southeast1)
34.143.210.11634.143.132.20634.87.134.20235.197.143.535.247.186.6834.142.215.2635.198.246.81
Jakarta, Indonésie (asia-southeast2)
34.101.158.8834.101.157.23834.101.184.52
Sydney, Australie (australia-southeast1)
34.87.195.3634.116.85.14034.151.78.4835.189.13.2935.189.9.8135.244.68.217
Osasco (São Paulo), Brésil (southamerica-east1)
34.151.199.20135.199.122.1934.95.180.12234.95.168.3834.151.235.24134.95.181.19
Instances hébergées sur Amazon Elastic Kubernetes Service (Amazon EKS)
En ce qui concerne les instances hébergées sur Amazon EKS, ajoutez les adresses IP qui correspondent à votre région à la liste blanche.Cliquez ici pour obtenir la liste complète des adresses IP des instances hébergées sur Amazon EKS.
Est des États-Unis (Virginie (Virginie) (us-east-1)
18.210.137.13054.204.171.25350.17.192.8754.92.246.22375.101.147.9718.235.225.16352.55.239.16652.86.109.6854.159.176.1993.230.52.22054.211.95.15052.55.10.236184.73.10.8552.203.92.11452.3.47.18952.7.255.5454.196.92.552.204.125.24434.200.64.24318.206.32.25454.157.231.7654.162.175.24454.80.5.1735.168.173.23852.44.187.2218.213.96.4023.22.133.20634.239.90.16934.236.92.873.220.81.24154.197.142.23834.200.121.563.83.72.4154.159.42.1443.229.81.10134.225.255.22054.162.193.16534.235.77.1173.233.169.6354.87.86.11318.208.86.2952.44.90.201
Est des États-Unis (Ohio) (us-east-2)
3.135.171.2918.188.208.2313.143.85.223
US West (Oregon) (us-west-2)
44.237.129.3254.184.191.25035.81.99.30
Canada (Centre) (ca-central-1)
52.60.157.6135.182.169.2552.60.59.12835.182.207.12815.222.172.643.97.27.5135.183.191.13315.222.86.12352.60.52.14
Europe (Irlande) (eu-west-1)
54.74.243.24654.195.216.9554.170.208.6752.49.220.10352.31.69.11734.243.112.7652.210.85.11052.30.198.16334.249.159.11252.19.248.17654.220.245.17154.247.22.227176.34.116.19754.155.205.15952.16.81.13954.75.200.18834.248.52.454.228.110.3234.248.104.9854.216.117.22552.50.172.40
Europe (Francfort) (eu-central-1)
18.157.231.10818.157.207.3318.157.64.19818.198.116.1333.121.148.1783.126.54.154
Asie-Pacifique (Tokyo) (ap-northeast-1)
54.250.91.5713.112.30.11054.92.76.241
Asie-Pacifique (Sydney) (ap-southeast-2)
13.238.132.1743.105.238.713.105.113.36
Amérique du Sud (São Paulo) (sa-east-1)
54.232.58.18154.232.58.98177.71.134.208
Instances hébergées sur Microsoft Azure
En ce qui concerne les instances hébergées sur Azure, ajoutez les adresses IP qui correspondent à votre région à la liste blanche.Cliquez ici pour obtenir la liste complète des adresses IP pour les instances hébergées sur Microsoft Azure
Virginie, États-Unis (us-east2)
52.147.190.201
Hébergement hérité
Utilisez ces adresses IP pour toutes les instances hébergées sur AWS et créées avant le 07/07/2020.Cliquez ici pour obtenir la liste complète des adresses IP pour l'ancien hébergement.
États-Unis (AWS par défaut)
54.208.10.16754.209.116.19152.1.5.22852.1.157.15654.83.113.5
Canada
99.79.117.12735.182.216.56
Asie
52.68.85.4052.68.108.109
Irlande
52.16.163.15152.16.174.170
Allemagne
18.196.243.9418.184.246.171
Australie
52.65.128.17052.65.124.87
Amérique du Sud
52.67.8.10354.233.74.59
Étape 3: Tunnelisation SSH
Si l'onglet Serveurs SSH est activé, suivez les instructions de cette page pour ajouter les informations de configuration de votre serveur SSH dans Looker.
L'option SSH Server est disponible si l'instance est déployée sur l'infrastructure Kubernetes, et uniquement si la possibilité d'ajouter des informations de configuration de serveur SSH à votre instance Looker a été activée. Si cette option n'est pas activée sur votre instance Looker et que vous souhaitez l'activer, contactez un spécialiste des ventes Google Cloud ou ouvrez une demande d'assistance.
Sur la page Connexions de la section Administration de Looker, sélectionnez l'onglet Serveur SSH.
Sélectionnez ensuite Ajouter un serveur. Looker affiche la page Ajouter un serveur SSH:
- Saisissez un nom pour la configuration du serveur SSH.
- Sélectionnez Télécharger la clé pour télécharger la clé publique dans un fichier texte. Assurez-vous d'enregistrer ce fichier, car vous devrez ajouter la clé publique au fichier de clé autorisée de votre serveur SSH ultérieurement.
- Saisissez le nom d'utilisateur que Looker utilisera pour se connecter au serveur SSH.
- Saisissez l'adresse IP ou le nom d'hôte du serveur SSH.
- Saisissez le numéro de port utilisé pour vous connecter au serveur SSH.
Étape 4: Préparez l'hôte du tunnel
Ajouter la clé publique à votre fichier authorized_keys
Pour authentifier la session du tunnel SSH, Looker requiert une clé publique unique (Looker ne permet pas de se connecter avec un mot de passe). Si l'onglet Serveurs SSH est activé sur votre instance, vous pouvez télécharger la clé publique dans un fichier texte en sélectionnant le bouton Télécharger la clé lorsque vous saisissez vos informations de configuration SSH. Si vous configurez votre tunnel SSH avec l'aide d'un analyste Looker, celui-ci vous fournira une clé publique unique.
Vous devrez préparer votre hôte (le serveur de base de données ou le serveur de tunnel) en créant un utilisateur looker et en ajoutant la clé publique Looker au fichier .ssh/authorized_keys Looker. Voici comment procéder :
Dans votre ligne de commande, créez un groupe appelé
looker:sudo groupadd lookerCréez l'utilisateur
lookeret son répertoire d'accueil:sudo useradd -m -g looker lookerPassez à l'utilisateur
looker:sudo su - lookerCréez le répertoire
.ssh:mkdir ~/.sshDéfinissez les autorisations:
chmod 700 ~/.sshAccédez au répertoire
.ssh:cd ~/.sshCréez le fichier
authorized_keys:touch authorized_keysDéfinissez les autorisations:
chmod 600 authorized_keys
À l'aide de votre éditeur de texte préféré, ajoutez la clé SSH fournie par votre analyste Looker au fichier authorized_keys. La clé doit figurer sur une seule ligne. Dans certains cas, lorsque vous récupérez la clé de votre messagerie, votre client de messagerie insère des sauts de ligne. Si vous ne les supprimez pas, vous ne pourrez pas établir de tunnel SSH.
Ajouter ssh-rsa à votre fichier sshd_config
OpenSSH a désactivé ssh-rsa par défaut, ce qui peut entraîner des erreurs lors de la configuration d'un tunnel SSH. Pour résoudre ce problème, ajoutez ssh-rsa à la liste des algorithmes acceptés sur votre serveur. Voici comment procéder :
- Modifiez votre fichier
sshd_config. Il se trouve généralement dans~/etc/ssh/sshd_config. Ajoutez le code ci-dessous à votre fichier
sshd_config:HostKeyAlgorithms +ssh-rsa PubKeyAcceptedAlgorithms +ssh-rsa
Remarques sur la sécurité du tunnel
Lorsqu'un tunnel SSH est arrêté sur le serveur de base de données, la connexion depuis Looker semble être une connexion locale sur le serveur de base de données. Par conséquent, il contourne les mécanismes de sécurité basés sur les connexions intégrés aux plates-formes de bases de données telles que MySQL. Par exemple, il est très courant d'accorder un accès local à l'utilisateur racine sans mot de passe.
Par défaut, l'ouverture de l'accès SSH permet également le transfert de n'importe quel port, contournant ainsi les pare-feu entre Looker et l'hôte de la base de données qui met fin au tunnel SSH. Ce risque de sécurité peut être considéré comme inacceptable. Vous pouvez contrôler le transfert de port et la possibilité de se connecter au serveur de votre tunnel en configurant correctement l'entrée .ssh/authorized_keys pour la clé publique Looker.
Par exemple, le texte suivant peut être ajouté à la clé SSH Looker dans votre fichier authorized_keys. Notez que ce texte DOIT être personnalisé pour votre environnement.
no-pty,no-X11-forwarding,permitopen="localhost:3306",permitopen="localhost:3307",
command="/bin/echo Login Not Permitted"
Consultez la documentation Linux de man ssh et de man authorized_keys pour obtenir des exemples et des informations détaillées.
Étapes suivantes
Si l'onglet Serveurs SSH est activé sur votre instance, revenez à la page Ajouter un serveur SSH, puis sélectionnez Tester et demander l'empreinte numérique pour vérifier votre connexion au serveur SSH. Looker affiche un écran présentant la nouvelle configuration SSH et les options pour télécharger ou afficher la clé publique, et pour afficher l'empreinte unique de la configuration du serveur SSH.
Sur la page Paramètres de connexion de votre base de données:
- Activez l'option Serveur SSH, puis sélectionnez la configuration de votre serveur SSH dans la liste déroulante.
- Dans les champs Hôte distant et Port, saisissez l'adresse IP ou le nom d'hôte et le numéro de port de votre base de données.
Les connexions à une base de données utilisant un tunnel SSH ne peuvent pas appliquer d'attribut utilisateur aux champs Hôte distant et Port.
Si vous configurez votre tunnel SSH avec l'aide d'un analyste Looker, informez-le que vous êtes prêt à tester le tunnel SSH. Après avoir confirmé que le tunnel a bien été créé, il vous fournira le numéro de port correspondant au côté Looker du tunnel SSH.
Sur la page Paramètres de connexion de votre base de données:
- Saisissez
localhostdans le champ Hôte distant. - Dans le champ Port, saisissez le numéro de port côté tunnel Looker fourni par votre analyste Looker.
Désactivez l'option Vérifier le certificat SSL sur la page Connexions de votre base de données.
Les certificats SSL ne sont pas compatibles avec la configuration d'un tunnel SSH vers votre base de données depuis Looker. En revanche, la clé SSH que vous avez ajoutée à l'étape 4 assure la sécurité du handshake entre Looker et votre base de données.