Como instalar o aplicativo Looker

Esta página descreve como instalar o aplicativo Looker para uma implantação hospedada pelo cliente.

A hospedagem do aplicativo Looker é independente de onde os dados residem. Os dados sempre permanecem no banco de dados e não são copiados para a instância do Looker.

Especificações de implantação

Se você for executar o Looker em uma rede que não se conecta à Internet, talvez seja necessário configurar um servidor proxy para se comunicar com o servidor de licenças do Looker ou usar serviços da Web sem servidor que só fazem chamadas da Web, como o BigQuery.

Instale o aplicativo Looker em uma máquina dedicada que atenda aos seguintes requisitos mínimos:

CPU de 1,2 GHz.O Looker recomenda dois ou mais núcleos.
8 GB de RAM livre.
10 GB de espaço livre em disco.
2 GB de espaço de arquivo de troca .
Linux. Usamos o Ubuntu Linux (versões LTS) para nossa hospedagem interna do Looker e o recomendamos para clientes que não têm preferência pelo Linux. No entanto, oferecemos suporte ao Looker em versões de todas as principais distribuições do Linux empresarial, incluindo RedHat, CentOS e Amazon Linux. O Looker só tem suporte em versões do Linux com conjuntos de instruções x64.
Java OpenJDK 11.0.12 ou HotSpot 1.8 update 161 ou mais recente. O Looker usa o OpenJDK (versão 11) para melhorias de desempenho e uso da memória. O Looker recomenda o JDK, em vez do JRE, para aproveitar as ferramentas extras de solução de problemas. Além disso, o Looker recomenda que você faça a transição para novas atualizações do Java à medida que forem lançadas. Outras versões do Java, Oracle JDK e OpenJDK não têm suporte no momento.

Observação: recomendamos que você inicie o Looker com a flag da JVM -Dnashorn.args=--optimistic-types=false ao executar o Looker no JDK11.
libssl e libcrypt.so precisam estar presentes no sistema.
Localidade e codificação de caracteres: para garantir que o Looker processe e mostre corretamente os caracteres internacionais em todas as partes do aplicativo, o ambiente do servidor precisa ser configurado para usar uma localidade UTF-8. Isso é essencial para processar dados que contêm conjuntos de caracteres multibyte, como os usados em japonês, chinês e muitos outros idiomas. Recomendamos definir as seguintes variáveis de ambiente na máquina ou no contêiner que está executando o aplicativo Looker:
```
export LANG=en_US.UTF-8 
export LC_ALL=en_US.UTF-8
```
É possível adicionar esses comandos ao perfil do shell (por exemplo, ~/.bashrc, ~/.profile) ou aos arquivos de configuração do ambiente para sua implantação. A falha ao configurar uma localidade UTF-8 pode levar a problemas de codificação de caracteres, em que caracteres especiais podem aparecer como pontos de interrogação, caixas ou outros símbolos incorretos na interface do Looker, downloads e respostas da API.
É necessário permitir o tráfego de entrada para a instância do Looker pela porta TCP 9999.
Se os usuários exigirem acesso à API, permita o tráfego de entrada para a instância do Looker pela porta TCP 19999.
Se o Looker estiver se conectando ao AWS Redshift de uma rede privada da VPC da AWS, defina a MTU como 1500. Para mais informações sobre essa configuração, consulte a seção Configurar a MTU de uma instância deste artigo da Amazon Web Services. Se o Looker detectar que a configuração da MTU é maior que 1500 durante um teste de conexão de banco de dados, ele vai mostrar o seguinte erro:
```
MTU of network interface eth0 is too large (> 1500).
If Looker instance and Redshift cluster are within the same VPC,
this warning can be ignored.
```
As seguintes configurações de keepalive TCP. Para persistir em uma reinicialização, elas precisam ser definidas em /etc/sysctl.conf ou em um arquivo no diretório /etc/sysctl.d:
```
net.ipv4.tcp_keepalive_time=200
net.ipv4.tcp_keepalive_intvl=200
net.ipv4.tcp_keepalive_probes=5
```
Um usuário chamado looker no grupo chamado looker para executar o aplicativo Looker.
Um ulimit para o usuário looker de 4096 ou mais. Para fazer isso, adicione as seguintes linhas a /etc/security/limits.conf:
```
looker     soft     nofile     4096
looker     hard     nofile     4096
```
Sincronização de tempo por NTP ou equivalente.
A pasta /tmp não pode ser ativada com a opção noexec.
O diretório inicial looker não pode ser ativado em um volume NFS.
Definir o fuso horário do servidor como UTC é recomendado, mas não obrigatório.
O Git 2.39.1 ou mais recente é necessário para o Looker 23.6 e versões mais recentes.
Embora não seja obrigatório, Netcat pode ser útil para resolver problemas de conectividade de rede. Para instalar o Netcat em um servidor baseado no Ubuntu, por exemplo, um comando comum é:
```
sudo apt-get install netcat
```
Se necessário, configure um servidor proxy para processar as solicitações HTTP(S) que o Looker precisa fazer para "core" no localhost. Para se comunicar com o servidor proxy local do Looker, adicione alguns argumentos especiais em lookerstart.cfg: adicione http.nonProxyHosts=localhost para ativar o acesso ao localhost do Looker sem passar pelo proxy.

Para evitar conflitos de manutenção e recursos, não use o servidor do Looker para hospedar outros aplicativos.

Ativar o ntpd ou o chronyd

NTP é a sigla em inglês para Network Time Protocol. Ele permite que o relógio do sistema do host sempre mantenha a hora correta, o que é necessário para o Looker funcionar corretamente. O Looker não exige que nenhum software de sincronização de tempo específico seja usado, desde que os horários permaneçam sincronizados. Não é necessário executar um servidor NTP. Somente o cliente NTP é necessário. É possível substituir o chronyd pelo NTP.

Consulte a documentação do fornecedor do SO para informações sobre como ativar o ntpd ou o chronyd.

Criar uma chave de criptografia

O Looker usa a criptografia AES-256 Galois/Counter Mode (GCM) para criptografar dados sensíveis armazenados internamente, incluindo:

Backups do banco de dados interno do Looker
Informações de conexão de banco de dados e serviço
Informações de autenticação do usuário
Valores de atributos do usuário
Dados do cliente armazenados em cache ou preparados para entrega

Para uma lista detalhada dos dados que o Looker criptografa, abra uma solicitação de suporte.

Os dados são criptografados usando uma chave de dados exclusiva e contêm um envelope de criptografia assinado e com versão para garantir a verificação. Esse modo exige o uso de uma chave mestra do cliente (CMK, na sigla em inglês) externa. A CMK é usada para derivar, criptografar e descriptografar a chave de criptografia de chaves (KEK, na sigla em inglês), que, por sua vez, é usada para derivar, criptografar e descriptografar chaves de dados.

A criptografia é usada apenas para o banco de dados e o cache internos do Looker. Os bancos de dados do cliente não são afetados pela criptografia do Looker de forma alguma. Além disso, apenas dados estáticos (dados armazenados em disco) são criptografados dessa maneira.

As instalações hospedadas pelo cliente podem usar as próprias contas do AWS KMS ou os próprios sistemas de gerenciamento de chaves personalizados. Todas as chaves de dados e a KEK são criptografadas e usadas internamente na instalação do Looker hospedada pelo cliente. Se você não estiver usando o AWS KMS, a CMK externa precisará ser mantida em um local seguro e permanente. Perder a CMK após criptografar o banco de dados interno pode resultar na perda da instância.

Se você estiver usando o AWS KMS

Se você estiver usando o AWS KMS, crie uma CMK usando o Console de gerenciamento da AWS ou a API.

Depois de criar a CMK, o Looker recomenda que você crie um novo papel do IAM exclusivo para a CMK e o anexe à instância do Looker.

A seguir, um exemplo de um papel do IAM que contém as permissões mínimas necessárias para a CMK:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "kms:GenerateRandom",
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:Generate*",
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        }
    ]
}

Depois de criar a CMK e o novo papel do IAM, defina a variável de ambiente AWS_REGION para sua região da AWS e a variável de ambiente LKR_AWS_CMK para o alias da CMK:

export AWS_REGION=<AWS_region>
export LKR_AWS_CMK=alias/<CMK_alias>

Opcionalmente, também é possível definir a variável de ambiente LKR_AWS_CMK_EC para definir um contexto de criptografia personalizado da AWS. Se você não definir essa variável de ambiente, o Looker vai usar o contexto de criptografia padrão, a string Looker_Encryption_Context.

export LKR_AWS_CMK_EC=<My_Encryption_Context>

Se você não estiver usando o AWS KMS

Se você não estiver usando o AWS KMS, gere uma CMK Base64 de 32 bytes. É possível armazenar a CMK em uma variável de ambiente ou em um arquivo:

Para gerar a CMK e armazená-la em uma variável de ambiente, use o seguinte comando para gerar a CMK:
```
openssl rand -base64 32
```
Depois de gerar a CMK, copie-a e use o seguinte comando para armazená-la na variável de ambiente LKR_MASTER_KEY_ENV (em que <CMK_value> é a CMK gerada com o comando anterior):
```
export LKR_MASTER_KEY_ENV=<CMK_value>
```
Para gerar e armazenar a CMK em um arquivo, use o seguinte comando (em que <path_to_key_file> é o caminho e o nome do arquivo para armazenar a CMK):
```
openssl rand -base64 32 > <path_to_key_file>
```
Depois de gerar o arquivo CMK, defina as permissões do arquivo de chave como somente leitura do usuário atual:
```
chmod 0400 <path_to_key_file>
```

Depois de gerar uma CMK, armazene-a em um local seguro e permanente antes de continuar. Perder a CMK após criptografar o banco de dados interno pode resultar na perda da instância.

Depois de gerar e armazenar a CMK, defina a variável de ambiente LKR_MASTER_KEY_ENV:

Se você estiver armazenando a CMK em uma variável de ambiente, defina a variável de ambiente LKR_MASTER_KEY_ENV como o valor da CMK:
```
export LKR_MASTER_KEY_ENV=<CMK_value>
```
Se você estiver armazenando a CMK em um arquivo, defina a variável de ambiente LKR_MASTER_KEY_FILE como o caminho do arquivo CMK:
```
export LKR_MASTER_KEY_FILE=<path_to_key_file>
```

Depois de gerar uma CMK, armazene-a em um local seguro e permanente antes de continuar. Perder a CMK após criptografar o banco de dados interno pode resultar na perda da instância.

Instalar o aplicativo Looker

Crie o grupo looker.
```
sudo groupadd looker
```
Crie o usuário looker e o diretório inicial dele.
```
sudo useradd -m  -g looker  looker
```
Mude para o usuário looker. Não execute o Looker como raiz.
```
sudo su - looker
```
Crie o subdiretório looker no diretório inicial.
```
mkdir ~/looker
```
Mude para o subdiretório looker.
```
cd ~/looker
```
Verifique se você está no diretório correto.
```
pwd
```
Se os diretórios de usuários estiverem em /home, a saída desse comando será /home/looker/looker.
Faça o download dos arquivos JAR do Looker escolhidos usando um dos métodos na página de documentação Fazer o download dos arquivos JAR do Looker. Verifique se os dois arquivos JAR são da mesma versão. O uso de versões diferentes dos arquivos JAR principais e de dependência pode causar instabilidade na instalação do Looker.
Faça o download do script de inicialização mais recente no repositório do GitHub looker-open-source. Se você quiser que o Looker seja executado na inicialização do sistema, faça o download do script looker_init e use as opções de script systemd e init.
Mova o script de inicialização (chamado looker) e os arquivos JAR do Looker (chamados looker-x.x.x.jar e looker-dependencies-x.x.x.jar, em que x.x.x é o número da versão) para o novo diretório ~/looker.
Renomeie looker-x.x.x.jar para looker.jar e looker-dependencies-x.x.x.jar para looker-dependencies.jar.
O script de inicialização determina automaticamente a quantidade de memória Java a ser alocada para o Looker. Se você quiser personalizar esse valor manualmente, consulte a página de documentação Configurações recomendadas de memória Java para mais informações.
Torne o script de inicialização do Looker executável (defina as permissões como 0750).
```
chmod 0750 looker
```
Inicie o processo do Looker no shell como o usuário looker.

Observação: se você quiser criar uma nova instância do Looker compatível com o FIPS 140-2, inclua a --fips opção de inicialização ao iniciar a instância pela primeira vez. Isso vai colocar a nova instância no modo compatível com o FIPS. Para mais informações, consulte a página de documentação Ativar a conformidade com o nível 1 do FIPS 140-2.
```
./looker start
```
Para ajuda com a flag de inicialização, use:
```
java -jar looker.jar --help
```
Ou, para ajuda com o comando de inicialização, use:
```
java -jar looker.jar help
```
Abra um navegador em https://hostname:9999, em que hostname é o nome DNS do host que executa o Looker.

Use https no URL, que vai criar um aviso de segurança que você precisará ignorar. Esse aviso vai persistir até que um certificado SSL válido seja instalado no servidor.
Insira a chave de licença recebida do analista do Looker.
Insira um nome, um e-mail e uma senha para criar sua primeira conta.

Criar um registro DNS

Adicione um registro DNS looker.[yourdomain].com para o servidor. Esta etapa é opcional, mas recomendada.

Como implantar o Looker automaticamente

O Looker pode ser implantado usando uma ferramenta de gerenciamento de configuração, como Ansible ou Chef. Um exemplo de papel do Ansible para implantação automatizada está disponível na página de documentação Ferramentas de gerenciamento de configuração.

Ajuste do hipervisor

O Looker é executado como uma máquina virtual Java. Se a instância do Looker estiver em um convidado do VMware, talvez seja necessário fazer alguns ajustes de desempenho. Consulte o guia de práticas recomendadas do VMware Java.

Em outras plataformas de virtualização, pode melhorar o desempenho reservar a memória do host do Looker do hipervisor. Isso não é controlável no Amazon EC2. No entanto, para outros fornecedores, consulte a documentação deles para mais informações.

Como configurar um banco de dados de back-end MySQL opcional

Por padrão, o Looker usa um banco de dados HyperSQL na memória para armazenar a configuração, os usuários e outros dados. No entanto, é possível usar um banco de dados MySQL externo para armazenar as informações internas do Looker. Consulte a página de documentação Migrar para o MySQL para informações sobre como configurar e ajustar um banco de dados de back-end MySQL.

Próximas etapas

Depois de instalar o Looker, você estará pronto para configurar as opções de inicialização do Looker.