配置完成后,您的 Looker (Google Cloud Core) 实例会列在 Google Cloud 项目的实例页面中。点击实例网址以访问该实例并验证身份。
登录 Looker (Google Cloud Core) 实例后,您可以设置数据库连接到 Looker (Google Cloud Core) 实例。
设置数据库连接
Looker (Google Cloud Core) 必须连接到数据库才能启用数据探索功能。请参阅受支持的方言列表,了解 Looker (Google Cloud Core) 支持哪些方言。
如果您拥有以下任一权限,则可以在 Looker (Google Cloud Core) 实例中创建数据库连接:
您可以按照 Looker (Google Cloud Core) 实例中动态显示的设置 Looker 指南连接您的数据库,也可以按照针对方言的文档页面中列出的步骤操作。大多数设置对于大多数数据库方言都是通用的。如需了解 Looker 连接设置窗口中的常用字段,请参阅将 Looker 连接到您的数据库文档页面。
如果您想使用以下任一选项设置 Looker (Google Cloud core) 连接,则需要执行其他步骤:
专用 IP 连接:如果您的 Looker (Google Cloud Core) 实例使用专用 IP 连接,您必须设置路由或专用连接,才能将其连接到以下任一类型的数据库:
- Google Cloud 中其他网络中的数据库
- 由其他云服务提供商托管的数据库
- 本地数据库
如需详细了解专用网络和外部服务,请参阅使用 Looker (Google Cloud Core) 的专用 IP 网络文档页面。
使用应用默认凭据对 BigQuery 和 Cloud SQL 数据库进行身份验证:Looker(Google Cloud 核心)实例可以使用应用默认凭据 (ADC) 对数据库进行身份验证,如下部分所述:
使用 OAuth 对 BigQuery 数据库进行身份验证:对于 BigQuery 连接,Looker (Google Cloud Core) 可以自动使用 Looker 管理员创建 Looker (Google Cloud Core) 实例时使用的 OAuth 应用凭据。如需了解详情,请参阅本页的使用 BigQuery 配置 OAuth 身份验证部分。
使用应用默认凭据连接到 BigQuery 数据库
当您设置与 BigQuery 标准 SQL 数据库的连接时,Looker (Google Cloud Core) 实例可以使用应用默认凭据 (ADC) 进行身份验证。当您使用 ADC 时,连接将使用 Looker (Google Cloud Core) 项目的服务账号的凭据对数据库进行身份验证。
如需将 ADC 与 BigQuery 数据库搭配使用,请在 Looker 实例的连接设置页面的身份验证字段中选择应用默认凭据。如需了解完整过程,请参阅有关将 Looker 连接到 BigQuery 数据库的文档。
如果您的 Looker(Google Cloud 核心)实例使用 永久派生表与 BigQuery 数据集搭配使用,您还必须向 Looker 服务账号授予 BigQuery Data Editor IAM 角色。
如果您要连接到与 Looker(Google Cloud 核心)实例位于不同项目中的 BigQuery 数据库,则需要进行一些额外的设置。请参阅将应用默认凭据与其他 Google Cloud 项目中的 BigQuery 数据库搭配使用部分。
服务账号模拟
如果您想使用 Looker(Google Cloud 核心)项目的服务账号以外的服务账号对 BigQuery 数据库进行身份验证,可以通过在被冒充的服务账号字段中输入其他服务账号或以英文逗号分隔的服务账号链,创建委托请求流程。Looker (Google Cloud Core) 服务账号会自动用作链中的第一个服务账号,不需要添加到字段中。链中的最后一个服务账号(也称为模拟服务账号)是向数据库进行身份验证的账号。
使用服务账号模拟时,请执行以下操作:
- 启用 Service Consumer Management API。
- 确保链中的所有服务账号(包括 Looker (Google Cloud Core) 项目的服务账号)具有适当的 IAM 权限。
- 确保被冒充的服务账号具有 Service Usage Consumer 角色、BigQuery Job User 角色和 BigQuery Data Viewer 角色。
将应用默认凭据与其他 Google Cloud 项目中的 BigQuery 数据库搭配使用
对于位于 Looker (Google Cloud Core) 实例所在项目之外的 BigQuery 标准 SQL 数据库,为 BigQuery 标准 SQL 数据库使用 ADC 的步骤与在同一项目内建立连接的步骤相同。不过,在 Looker (Google Cloud Core) 实例中设置连接之前,您的 Looker (Google Cloud Core) 项目的服务账号必须具有以下 IAM 角色:
- 包含 BigQuery 数据集的项目的 BigQuery Data Viewer 角色。
- 连接设置页面上所列结算项目的 BigQuery Job User 角色和 Service Usage Consumer 角色。
- 如果您的 Looker(Google Cloud 核心)实例将永久派生表与 BigQuery 数据集搭配使用,则服务账号还必须对包含 BigQuery 数据集的项目拥有 BigQuery Data Editor 角色。
如果 Looker(Google Cloud 核心)服务账号尚未在包含 BigQuery 数据集的项目中拥有 IAM 角色,请在该项目中授予角色时使用该服务账号的电子邮件地址。如需查找服务账号的电子邮件地址,请前往 Google Cloud 控制台中的 IAM 页面,然后选中包括 Google 提供的角色授权复选框。电子邮件的格式为 service-<project number>@gcp-sa-looker.iam.gserviceaccount.com
。使用该电子邮件地址向服务账号授予适当的角色。
授予适当的角色后,请按照使用 ADC 的步骤操作。
您现在可以将 ADC 与此 BigQuery 标准 SQL 数据库搭配使用。与“连接设置”页面中指定的服务账号关联的项目将用于结算,同时也是默认项目。
使用应用默认凭据连接到 Cloud SQL 数据库
Looker (Google Cloud Core) 实例可以使用 ADC 对与 Cloud SQL 数据库(Cloud SQL for PostgreSQL 或 Cloud SQL for MySQL)的连接进行身份验证。当您使用 ADC 对 Cloud SQL 数据库进行身份验证时,运行 Cloud SQL 数据库的 Google Cloud 项目是针对 Looker 查询计费的项目。
对于使用 ADC 的 Looker 与 Cloud SQL 连接,ADC 会模拟一个或一组服务账号来访问您的数据库。创建与数据库的 Looker 连接时,您可以使用 IAM 数据库用户名字段指定 ADC 将要冒充的服务账号或服务账号链。在您创建 Looker (Google Cloud Core) 实例时自动创建的 Looker 服务账号会自动用作链中的第一个服务账号,而无需添加到该字段。
如果您想使用 Looker 服务账号以外的服务账号对 Cloud SQL 数据库进行身份验证,可以通过在 IAM 数据库用户名字段中输入其他服务账号或以英文逗号分隔的服务账号链,创建委托请求流程。
链中的最后一个服务账号(也称为被模拟的服务账号)是与数据库进行身份验证的服务账号,并且此账号必须添加为 Cloud SQL 数据库中的用户。如果您将 Looker 服务账号用作链中的最后一个服务账号(通过将 IAM 数据库用户名字段留空),则必须将 Looker 服务账号添加为 Cloud SQL 数据库的用户。
以下是使用 ADC 将 Cloud SQL for PostgreSQL 或 Cloud SQL for MySQL 数据库连接到 Looker 的常规步骤:
- 将模拟的服务账号添加到您的 Cloud SQL 数据库。
- 在 Cloud SQL 数据库上设置服务账号冒用。
- 请连接到您的数据库,以运行适用于 Cloud SQL for PostgreSQL 或 Cloud SQL for MySQL 的其他配置命令。
- 创建 Looker 与数据库之间的连接。
将模拟的服务账号添加到您的 Cloud SQL 数据库
创建与数据库的 Looker 连接时,您可以使用 IAM 数据库用户名字段指定 ADC 将模拟的服务账号或服务账号链,以对您的数据库执行操作。模拟链中的最后一个服务账号被视为被模拟的服务账号。
如需将 ADC 与 Cloud SQL 搭配使用,您必须将模拟的服务账号添加到您的 Cloud SQL 数据库:
- 在默认情况下,如果您将 IAM database username(s) 字段留空,ADC 将会冒充 Looker 服务账号。在本例中,Looker 服务账号是被模拟的服务账号,因此您需要将 Looker 服务账号添加到 Cloud SQL 数据库。如需了解 Looker 服务账号以及查看 Looker 服务账号电子邮件地址的步骤,请参阅创建 Looker (Google Cloud Core) 实例文档页面。
- 如果您指定了 Looker 服务账号以外的服务账号,或者在 IAM 数据库用户名字段中指定了服务账号链,则必须将冒充链中的最后一个服务账号添加到 Cloud SQL 数据库。
如需向 Cloud SQL 数据库添加服务账号,您必须拥有 Cloud SQL Admin IAM 角色。
按照“将 IAM 用户或服务账号添加到您的数据库实例”中的说明操作执行数据库方言将模拟服务账号添加到 Cloud SQL 数据库的过程:
在 Cloud SQL 数据库上设置服务账号模拟
在数据库上创建 Cloud SQL 用户后,您必须按照以下步骤设置 Cloud SQL 数据库以进行服务模拟:
- 按照过程启用 Cloud SQL Admin API。
- 确保链中的所有服务账号(包括 Looker 服务账号)都具有适当的 IAM 权限。
请按照在 Google Cloud 控制台中授予单个角色的过程操作。向您添加到 Cloud SQL 数据库中的模拟服务账号授予以下 Cloud SQL 角色:
如果您指定了 Looker 服务账号以外的服务账号,或者在 IAM 数据库用户名字段中指定了服务账号链,请向链中的每个服务账号授予以下权限:
Cloud SQL for MySQL 的其他配置命令
对于 Cloud SQL for MySQL,您必须连接到您的数据库实例,并在 Cloud SQL for MySQL 数据库上运行以下命令:
GRANT ALL on DATABASE_NAME.* to 'DATABASE_USER'@'%'
替换以下内容:
- DATABASE_NAME:您的数据库的名称。
- DATABASE_USER:您添加到 Cloud SQL 数据库中的模拟服务账号的截断服务账号用户名。服务账号的格式为
service-<project number>@gcp-sa-looker.iam.gserviceaccount.com
。移除@
及其后面的所有内容,以截断用户名。截断后,用户名应类似于service-<project number>
。
例如,如果服务账号用户名为 [email protected]
,数据库名称为 looker-test
,则命令如下所示:
GRANT ALL on looker-test.* to 'service-12345678901'@'%'
Cloud SQL for PostgreSQL 的其他配置命令
对于 Cloud SQL for PostgreSQL,您必须连接到您的数据库实例,并对 Cloud SQL for PostgreSQL 数据库运行一些配置命令:
- 按照 PostgreSQL 文档页面的用户和安全性部分所述,授予用户对数据库的权限。
- 设置 Looker SQL Runner 用于从数据库中检索元数据的搜索路径,如 Looker 文档 PostgreSQL 页面的设置
search_path
部分所述。
创建 Looker (Google Cloud Core) 与 Cloud SQL 数据库之间的连接
如需创建 Looker 与数据库之间的连接,请按以下步骤操作:
- 在 Looker 的管理部分中,选择连接,然后点击添加连接。
- 从方言下拉菜单中,选择 Google Cloud PostgreSQL;对于 Cloud SQL for MySQL,选择 Google Cloud SQL。
- 在 Authentication(身份验证)部分中,点击 Application Default Credentials(应用默认凭据)选项。
在 IAM 数据库用户名字段中,指定您希望 ADC 模拟对数据库执行操作的服务账号或服务账号链:
- 如果您希望 Looker 使用 Looker (Google Cloud Core) 项目的服务账号向 Cloud SQL 数据库进行身份验证,请将此字段留空。
- 如果您希望 Looker 使用 Looker (Google Cloud Core) 项目服务账号以外的服务账号向 Cloud SQL 数据库进行身份验证,可以输入其他服务账号或以英文逗号分隔的服务账号链来创建委托请求流程。
填写连接详情的其余部分。大多数设置对于大多数数据库方言都是通用的。如需了解详情,请参阅将 Looker 连接到您的数据库文档页面。
如需验证连接是否成功,请点击测试。如需了解问题排查信息,请参阅测试数据库连接文档页面。
要保存这些设置,请点击连接。
设置数据库连接后,您就可以设置 LookML 项目了。
使用 BigQuery 配置 OAuth 身份验证
对于与 Looker (Google Cloud Core) 实例上的 BigQuery 数据库的连接,如果您选择 OAuth 身份验证选项,Looker 可以自动使用 Looker 管理员创建 Looker (Google Cloud Core) 实例时使用的 OAuth 应用凭据。
如果您要为此连接手动输入不同的 OAuth 凭据,请启用手动配置 OAuth 凭据切换开关,然后填写 OAuth 客户端 ID 和 OAuth 客户端密钥字段。如果您手动输入 OAuth 凭据,将不会更改或更新创建 Looker (Google Cloud Core) 实例时使用的凭据。
Looker (Google Cloud Core) 支持的方言
下表显示了 Looker (Google Cloud Core) 对数据库方言的支持:
方言 | 是否支持? |
---|---|
Actian Avalanche | 否 |
Amazon Athena | 是 |
Amazon Aurora MySQL | 是 |
Amazon Redshift | 是 |
Apache Druid | 否 |
Apache Druid 0.13+ | 否 |
Apache Druid 0.18+ | 是 |
Apache Hive 2.3+ | 否 |
Apache Hive 3.1.2+ | 是 |
Apache Spark 3+ | 是 |
ClickHouse | 是 |
Cloudera Impala 3.1+ | 是 |
Cloudera Impala 3.1+ with Native Driver | 否 |
Cloudera Impala with Native Driver | 否 |
DataVirtuality | 否 |
Databricks | 是 |
Denodo 7 | 否 |
Denodo 8 | 是 |
Dremio | 否 |
Dremio 11+ | 是 |
Exasol | 否 |
Firebolt | 否 |
Google BigQuery Legacy SQL | 否 |
Google BigQuery Standard SQL | 是 |
Google Cloud PostgreSQL | 是 |
Google Cloud SQL | 是 |
Google Spanner | 是 |
Greenplum | 否 |
HyperSQL | 否 |
IBM Netezza | 是 |
MariaDB | 是 |
Microsoft Azure PostgreSQL | 是 |
Microsoft Azure SQL Database | 是 |
Microsoft Azure Synapse Analytics | 是 |
Microsoft SQL Server 2008+ | 否 |
Microsoft SQL Server 2012+ | 否 |
Microsoft SQL Server 2016 | 否 |
Microsoft SQL Server 2017+ | 是 |
MongoBI | 否 |
MySQL | 否 |
MySQL 8.0.12+ | 是 |
Oracle | 是 |
Oracle ADWC | 否 |
PostgreSQL 9.5+ | 是 |
PostgreSQL pre-9.5 | 否 |
PrestoDB | 是 |
PrestoSQL | 是 |
SAP HANA 2+ | 是 |
SingleStore | 否 |
SingleStore 7+ | 是 |
Snowflake | 是 |
Teradata | 是 |
Trino | 是 |
Vector | 否 |
Vertica | 是 |
数据库配置说明
以下 SQL 方言提供了相关说明:
后续步骤
- 配置 Looker (Google Cloud Core) 实例
- 在 Looker (Google Cloud Core) 中管理用户
- 通过 Google Cloud 控制台管理 Looker (Google Cloud Core) 实例
- Looker (Google Cloud Core) 管理设置
- 在 Looker (Google Cloud Core) 实例上使用 LookML 示例项目