加密网络流量
最佳做法是对 Looker 应用与数据库之间的网络流量进行加密。考虑使用启用安全的数据库访问文档页面上介绍的某个选项。
创建 Looker 用户
Looker 通过个人访问令牌向 Databricks 进行身份验证。按照 Databricks 文档中的说明,为 Databricks 用户创建可在 Looker 中使用的个人访问令牌。
使用 GRANT 为此用户添加权限。
Looker 用户至少应拥有 SELECT 和 READ_METADATA 权限。
GRANT SELECT ON DATABASE <YOUR_DATABASE> TO `<looker>@<your.databricks.com>`
GRANT READ_METADATA ON DATABASE <YOUR_DATABASE> TO `<looker>@<your.databricks.com>`
服务器信息
按照 Databricks 文档查找 Databricks 集群的 HTTP 路径。在此页面上,此项称为 <YOUR_HTTP_PATH>。
设置永久性派生表
如需使用持久性派生表,请创建单独的数据库。
CREATE DATABASE <YOUR_SCRATCH_DATABASE>
这还需要授予额外的基于写入的用户权限。
GRANT SELECT CREATE MODIFY ON DATABASE <YOUR_SCRATCH_DATABASE> TO `<looker>@<your.databricks.com>`
GRANT READ_METADATA ON DATABASE <YOUR_SCRATCH_DATABASE> TO `<looker>@<your.databricks.com>`
创建 Looker 与数据库的连接
在 Looker 的管理部分中,选择连接,然后点击添加连接。
填写连接详情。这些设置中的大多数设置对于大多数数据库方言都是通用的。如需了解相关信息,请参阅将 Looker 连接到数据库文档页面。接下来将介绍部分设置:
- 名称:指定连接的名称。这是您在 LookML 项目中引用连接的方式。
- 方言:指定方言 Databricks。
- 主机:指定 Databricks 工作区网址。例如
dbc-xxxxxxxx.cloud.databricks.com/。 - 端口:指定数据库端口。默认值为 443。
- 数据库:指定要用于 Looker 查询的数据库的名称。默认值为
default。 - 目录:对于已启用 Unity Catalog 的 Databricks 数据库,请指定要用于 Looker 查询的目录的名称。如果您未指定目录,Looker 将仅访问默认目录中的架构。如需了解详情,请参阅将 Looker 功能与 Databricks Unity Catalog 搭配使用。
- 身份验证:选择数据库账号或 OAuth:
- 使用数据库账号指定将用于连接到 Looker 的 Databricks 个人访问令牌(有关说明,请参阅创建 Looker 用户部分)。
- 对于用户名,输入值
token(请勿在此字段中输入 Databricks 用户电子邮件地址)。 - 对于密码,输入 Databricks 个人访问令牌。
- 对于用户名,输入值
- 使用 OAuth 为连接配置 OAuth。如需了解详情,请参阅为 Databricks 连接配置 OAuth 部分。
- 使用数据库账号指定将用于连接到 Looker 的 Databricks 个人访问令牌(有关说明,请参阅创建 Looker 用户部分)。
- 启用 PDT:使用此切换开关可启用永久性派生表。启用 PDT 后,“连接”窗口会显示其他 PDT 设置和“PDT 覆盖”部分。 注意:使用 OAuth 的 Databricks 连接不支持 PDT。
- 临时数据库:输入您要用于存储 PDT 的数据库。
- PDT 构建器连接数上限:指定此连接上可能存在的并发 PDT 构建数量。将此值设置得过高可能会对查询时间产生负面影响。如需了解详情,请参阅将 Looker 连接到数据库文档页面。
其他 JDBC 参数:添加任何其他 Spark JDBC 参数。
维护时间表:一个
cron表达式,用于指示 Looker 应何时检查数据组和永久性派生表。如需详细了解此设置,请参阅维护时间表文档。SSL:选中此复选框可使用 SSL 连接。
验证 SSL:选中此复选框可强制执行严格的 SSL 证书验证。
每个节点的最大连接数:您可以先将此设置保留为默认值。如需详细了解此设置,请参阅将 Looker 连接到数据库文档页面中的每个节点的最大连接数部分。
连接池超时时间:您可以先将此设置保留为默认值。如需详细了解此设置,请参阅将 Looker 连接到数据库文档页面中的连接池超时部分。
SQL Runner 预缓存:如需让 SQL Runner 不预加载表信息,仅在选择表时加载表信息,请清除此复选框。如需详细了解此设置,请参阅将 Looker 连接到数据库文档页面中的 SQL Runner 预缓存部分。
数据库时区:指定要在数据库中使用的时区。如果您不想进行时区转换,请将此字段留空。如需了解详情,请参阅使用时区设置文档页面。
点击测试以测试连接,并确保连接配置正确无误。如果您看到可连接,请按连接。此命令会运行其余的连接测试,以验证服务账号是否已正确设置并具备适当的角色。如需了解问题排查信息,请参阅测试数据库连接文档页面。
Looker 与 Databricks Unity Catalog 的集成
Looker 支持连接到已启用 Unity Catalog 的 Databricks 数据库。您可以在创建 Looker 与数据库的连接时,或在修改 Looker 与 Databricks 数据库的现有连接时,于 Looker 连接窗口的目录字段中指定目录名称。
如果您的 Databricks 数据库已启用 Unity Catalog,您可以在 Looker 连接的目录字段中指定 Databricks 目录。指定 Databricks 目录后,Looker 会在以下场景中使用该目录:
- 根据数据库生成新的 LookML 项目时,Looker 会根据连接的已配置目录中的表创建项目文件。
- 对于现有项目,当使用 Looker IDE 根据表创建视图时,Looker 将仅根据连接的已配置目录中的表创建视图文件。
- 使用 SQL Runner 时,您只能从连接的已配置目录中选择架构。
如果您的 Databricks 数据库已启用 Unity Catalog,并且 Looker 连接的目录字段中没有值,则大多数 Looker 功能将仅从默认目录访问架构,例如在以下场景中:
- 从数据库生成新的 LookML 项目时,Looker 将基于 Unity Catalog 默认目录中的表创建项目文件。
- 对于现有项目,当使用 Looker IDE 基于表创建视图时,Looker 只能基于 Unity Catalog 默认目录中的表创建视图文件。
- 使用 SQL Runner 时,您只能从 Unity Catalog 默认目录中选择架构。
为 Databricks 连接配置 OAuth
Looker 支持 Databricks 连接的 OAuth,这意味着每位 Looker 用户都可以通过自己的 OAuth 用户账号向数据库进行身份验证,并授权 Looker 在数据库中运行查询。
借助 OAuth,数据库管理员可以执行以下任务:
- 审核哪些 Looker 用户正在针对数据库运行查询
- 使用数据库级权限强制执行基于角色的访问权限控制
- 使用 OAuth 令牌来处理所有访问数据库的流程和操作,而不是在多个位置嵌入数据库 ID 和密码
- 直接通过数据库撤消指定用户的授权
对于使用 OAuth 的 Databricks 连接,用户必须在 OAuth 令牌过期时定期重新登录。
请注意以下有关数据库级 OAuth 连接的事项:
- 如果用户让自己的 OAuth 令牌过期,那么该用户拥有的所有 Looker 安排或提醒都会受到影响。为防范这种情况,在当前有效的 OAuth 令牌过期之前,Looker 会向每个安排和每个提醒的所有者发送电子邮件通知。Looker 会在令牌过期前 14 天、7 天和 1 天发送这些电子邮件通知。用户可以前往 Looker 用户页面,重新授权 Looker 访问数据库,以免其安排和提醒受到任何中断。如需了解详情,请参阅个性化设置用户账号文档页面。
- 由于使用 OAuth 的数据库连接是“按用户”进行的,因此缓存政策也是按用户而非仅按查询进行的。这意味着,Looker 不会在缓存期内每次运行同一查询时都使用缓存的结果,而只会在缓存期内同一用户运行同一查询时使用缓存的结果。如需详细了解缓存,请参阅缓存查询文档页面。
- 对于采用 OAuth 的 Databricks 连接,不支持永久性派生表 (PDT)。
- 当 Looker 管理员以其他用户的身份执行 sudo 命令时,该管理员将使用相应用户的 OAuth 访问令牌。如果用户的访问令牌已过期,管理员无法代表 sudo 用户创建新令牌。如需了解如何使用
sudo命令,请参阅用户文档页面。 - 当用户使用 OAuth 从 Looker 登录 Databricks 时,Looker 不会显示明确的用户同意对话框。通过设置 Looker 的 OAuth,您即表示同意 Looker 实例访问您的 Databricks 数据库。
- 如需为 Databricks 连接使用 OAuth,您必须拥有可用于 Looker 查询的 Databricks 用户或服务正文,并且必须为这些用户和服务正文提供 Looker 需要的 Databricks 权限,以便 Looker 能够访问数据源并在 Databricks 中执行所需的操作。
如需使用 OAuth 创建从 Databricks 到 Looker 的连接,您必须执行以下常规步骤,这些步骤将在以下部分中详细介绍:
在 Databricks 中启用自定义 OAuth 应用
如需使用 OAuth 将 Looker 连接到 Databricks,您必须按照以下步骤将 Looker 启用为 Databricks 数据库的自定义 OAuth 应用:
- 登录 Databricks 账号控制台。
- 点击侧边栏中的设置图标。
- 在设置窗口中,点击应用关联标签页。
- 在应用连接标签页中,点击添加连接。
在 Databricks Add connection 对话框中输入以下值:
- 应用名称:提供一个描述性名称,例如“Looker 集成”。
重定向网址:输入 Looker 网址,Databricks 将在用户成功授权后将用户重定向到该网址,格式如下(将
example.looker.com替换为您的 Looker 实例的网址):https://example.looker.com/external_oauth/redirect访问范围:选择 SQL,以允许 Looker 通过 SQL 查询数据。
生成客户端密钥:启用此选项。
在 Databricks 添加连接对话框中,点击添加。
复制并妥善存储 Databricks 生成的客户端 ID 和客户端密钥。
在 Databricks 数据库中注册 OAuth 应用可能需要最多 30 分钟才能完成处理。如需了解详情,请参阅官方 Databricks 文档。
在 Looker 中配置连接
在 Databricks 数据库中将 Looker 配置为自定义 OAuth 应用后,您可以配置使用 OAuth 的 Looker 与 Databricks 之间的连接。
- 在 Looker 的管理部分中,选择连接,然后点击添加连接。
- 填写连接详情,如本页面的创建 Looker 与数据库的连接部分中所述。
- 在身份验证字段中,选择 OAuth 选项。
- 选择 OAuth 选项后,Looker 会显示 OAuth 客户端 ID 和 OAuth 客户端密钥字段。对于这些值,请输入您在 Databricks 中将 Looker 启用为自定义 OAuth 应用时由 Databricks 生成的客户端 ID 和客户端密钥。
- 选择连接设置页面底部的测试按钮,确保 Looker 可以成功建立 OAuth 流程并连接到您的 Databricks 实例。
功能支持
如需让 Looker 支持某些功能,您的数据库方言也必须支持这些功能。
截至 Looker 25.10,Databricks 支持以下功能:
| 功能 | 是否支持? |
|---|---|
| 支持级别 | 支持 |
| Looker (Google Cloud Core) | 是 |
| 对称聚合 | 是 |
| 派生表 | 是 |
| 基于 SQL 的永久性派生表 | 是 |
| 永久性原生派生表 | 是 |
| 稳定视图 | 是 |
| 终止查询 | 是 |
| 基于 SQL 的透视 | 是 |
| 时区 | 是 |
| SSL | 是 |
| 小计 | 是 |
| JDBC 其他参数 | 是 |
| 区分大小写 | 是 |
| 位置类型 | 是 |
| 列表类型 | 是 |
| 百分位 | 是 |
| 不同值百分位 | 否 |
| SQL Runner“显示进程” | 否 |
| SQL Runner“描述表” | 是 |
| SQL Runner 显示索引 | 否 |
| SQL Runner 选择 10 | 是 |
| SQL Runner 计数 | 是 |
| SQL Explain | 是 |
| OAuth 2.0 凭据 | 是 |
| 上下文注释 | 是 |
| 连接池 | 否 |
| HLL 草图 | 否 |
| 汇总认知度 | 是 |
| 增量 PDT | 是 |
| 毫秒 | 是 |
| 微秒 | 是 |
| 具体化视图 | 否 |
| 与前一时间段相比的指标 | 否 |
| 近似计数不同 | 否 |