Transfert de port pour une URL plus claire

Par défaut, HTTPS suppose que le port est le 443. Cela signifie que https://looker.yourdomain.com sera automatiquement traité comme si l'utilisateur avait saisi https://looker.yourdomain.com:443. Toutefois, l'utilisation du port HTTPS standard (443) nécessiterait d'exécuter Looker en tant que root, ce qui n'est pas pris en charge et n'est pas recommandé.

Une option consiste à demander aux utilisateurs de spécifier un numéro de port dans l'URL lorsqu'ils accèdent à Looker. Par exemple, si vous utilisez le port 9999, saisissez: https://looker.yourdomain.com:9999.

Sur les instances hébergées par le client, nous vous recommandons de configurer un autre port par défaut pour que vos utilisateurs puissent saisir https://looker.yourdomain.com et accéder au bon port. Vous pouvez configurer un port par défaut pour Looker ou rediriger le trafic vers un autre port de plusieurs manières:

Notez qu'il est préférable de transférer les paquets directement vers Looker plutôt que de manière indirecte (via un proxy Web), car Looker dispose d'une fonctionnalité permettant d'arrêter une requête de base de données lorsqu'il détecte que le navigateur a annulé une requête.

iptables sur l'hôte Looker

Vous pouvez accéder à Looker à partir d'un autre port à l'aide d'iptables. Le script suivant transfère le trafic du port 443 vers le port 9999. Il a été écrit pour Linux Ubuntu et peut nécessiter d'être modifié si vous exécutez une autre distribution Linux.

  1. Créez le fichier de script:

    /etc/network/if-up.d/looker-https-forward

  2. Ajoutez le contenu suivant au fichier:

    #!/bin/sh
# Forward HTTPS traffic to the Looker app
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9999

  3. Rendez-le exécutable:

    sudo chmod 755 /etc/network/if-up.d/looker-https-forward

  4. Exécutez le script, qui s'exécutera automatiquement au prochain redémarrage du système ou du réseau:

    sudo /etc/network/if-up.d/looker-https-forward

xinetd sur l'hôte Looker

Une autre technique consiste à utiliser xinetd.

  1. Assurez-vous que xinetd autorise le trafic entrant de toutes les adresses souhaitées. Dans la section par défaut de /etc/xinetd.conf, ajoutez:

    {
only_from = 0.0.0.0
# or replace 0.0.0.0 with an IP range
# (i.e., 128.0.0.0/16) if desired
}

  2. Créez un fichier nommé /etc/xinetd.d/lookerhttps :

  3. Ajoutez le contenu suivant au fichier:

    # default: on
# description: Redirect HTTPS/443 requests to
# Looker default port 9999
service https
{
disable = no
id = lookerhttps
socket_type = stream
protocol = tcp
user = root
wait = no
redirect = 127.0.0.1 9999
}

Serveurs proxy inverses

Vous pouvez utiliser des proxys inverses avec Looker. Nous vous recommandons d'utiliser Nginx comme serveur proxy inverse. Il s'agit du seul proxy inverse que nous testons et que nous prenons entièrement en charge, bien que nous n'interdisions pas nécessairement d'autres options. Vous trouverez un exemple de configuration Nginx sur la page de documentation Exemple de configuration Nginx.

Notez qu'un bug est présent dans le proxy inverse Apache, ce qui empêche Looker de fermer correctement les connexions. Cela signifie que chaque requête de base de données s'exécutera jusqu'à son achèvement, même si un utilisateur l'annule. Pour cette raison, nous vous recommandons d'éviter d'utiliser le proxy inverse Apache avec Looker.

Équilibreur de charge

De nombreuses solutions d'équilibrage de charge sont disponibles. De manière générale, l'équilibreur de charge doit être configuré pour écouter sur le port 443 et transférer toutes les requêtes vers Looker sur le port 9999. Dans ce cas, vos certificats de serveur SSL sont installés sur l'équilibreur de charge.

Étapes suivantes

Une fois le transfert de port configuré, vous pouvez autoriser l'assistance Looker à accéder à votre déploiement.