Выполнение федеративных запросов в Snowflake

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

В этой статье описывается, как настроить Федерацию Lakehouse для выполнения федеративных запросов к данным Snowflake, которые не управляются Azure Databricks. Дополнительные сведения о Федерации Lakehouse см. в статье "Что такое Федерация Lakehouse".

Чтобы подключиться к базе данных Snowflake с помощью Федерации Lakehouse, необходимо создать следующее в хранилище метаданных каталога Azure Databricks Unity:

• Подключение к базе данных Snowflake.
• Внешний каталог , который отражает базу данных Snowflake в каталоге Unity, чтобы использовать синтаксис запросов каталога Unity и средства управления данными для управления доступом пользователей Azure Databricks к базе данных.

Подготовка к работе

Требования к рабочей области:

• Рабочая область включена для каталога Unity.

Требования к вычислениям:

• Сетевое подключение из кластера среды выполнения Databricks или хранилища SQL к целевым системам баз данных. См . рекомендации по сети для Федерации Lakehouse.
• Кластеры Azure Databricks должны использовать Databricks Runtime 13.3 LTS или более поздней версии и режим общего или однопользовательского доступа.
• Склады SQL должны быть профессиональными или бессерверными.

Необходимые разрешения:

• Чтобы создать подключение, необходимо быть администратором хранилища метаданных или пользователем с CREATE CONNECTION привилегиями в хранилище метаданных каталога Unity, подключенном к рабочей области.
• Чтобы создать внешний каталог, необходимо иметь CREATE CATALOG разрешение на хранилище метаданных и быть владельцем подключения или иметь CREATE FOREIGN CATALOG привилегии для подключения.

Дополнительные требования к разрешениям указываются в каждом разделе на основе задач, который следует выполнить.

• Если вы планируете пройти проверку подлинности с помощью единого входа, создайте интеграцию безопасности в консоли Snowflake. Дополнительные сведения см. в следующем разделе.

(Необязательно) Создание интеграции безопасности в консоли Snowflake

Если вы хотите выполнить проверку подлинности с помощью единого входа, выполните этот шаг перед созданием подключения Snowflake. Чтобы выполнить проверку подлинности с помощью имени пользователя и пароля, пропустите этот раздел.

Примечание.

Поддерживается только встроенная интеграция OAuth Snowflake. Внешние интеграции OAuth, такие как Okta или Идентификатор Microsoft Entra, не поддерживаются.

В консоли Snowflake выполните команду CREATE SECURITY INTEGRATION. Измените следующие значения:

• <integration-name>: уникальное имя для интеграции OAuth.

• <workspace-url>: URL-адрес рабочей области Azure Databricks. Необходимо задать значение OAUTH_REDIRECT_URIhttps://<workspace-url>/login/oauth/snowflake.html, где <workspace-url> используется уникальный URL-адрес рабочей области Azure Databricks, где будет создано подключение Snowflake.

• <duration-in-seconds>: продолжительность времени для маркеров обновления.

  Внимание

  OAUTH_REFRESH_TOKEN_VALIDITY — это настраиваемое поле, которое по умолчанию имеет значение 90 дней. После истечения срока действия маркера обновления необходимо повторно пройти проверку подлинности подключения. Задайте для поля разумное время.

CREATE SECURITY INTEGRATION <integration-name>
TYPE = oauth
ENABLED = true
OAUTH_CLIENT = custom
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://<workspace-url>/login/oauth/snowflake.html'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = <duration-in-seconds>
OAUTH_ENFORCE_PKCE = TRUE;

Создание подключения

Подключение задает путь и учетные данные для доступа к внешней системе базы данных. Чтобы создать подключение, можно использовать обозреватель каталогов или команду SQL в записной книжке Azure Databricks или CREATE CONNECTION редакторе sql-запросов Databricks.

Необходимые разрешения: администратор хранилища метаданных или пользователь с привилегиями CREATE CONNECTION .

Обозреватель каталогов

1. В рабочей области Azure Databricks щелкните "Каталог".

2. В левой области разверните меню "Внешние данные" и выберите "Подключения".

3. Нажмите Create connection (Создать подключение).

4. Введите понятное имя подключения.

5. Выберите типподключения Snowflake.

6. Введите следующие свойства подключения для хранилища Snowflake.

   • Тип проверки подлинности: OAuth или Username and password
   • Узел: например, snowflake-demo.east-us-2.azure.snowflakecomputing.com
   • Порт: например, 443
   • Склад Snowflake: например, my-snowflake-warehouse
   • Пользователь: например, snowflake-user
   • (OAuth) Идентификатор клиента: в консоли Snowflake запустите SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security_integration_name>') , чтобы получить идентификатор клиента для интеграции безопасности.
   • (OAuth): секрет клиента: в консоли Snowflake запуститеSELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security_integration_name>'), чтобы получить секрет клиента для интеграции безопасности.
   • (OAuth) Область клиента: refresh_token session:role:<role-name>. Укажите роль Snowflake для использования <role-name>.
   • (Имя пользователя и пароль) Пароль: например, password123

   (OAuth) Вам будет предложено войти в Snowflake с помощью учетных данных единого входа.

7. (Необязательно) Нажмите кнопку "Проверить подключение" , чтобы убедиться, что она работает.

8. (Необязательно) Добавьте комментарий.

9. Нажмите кнопку Создать.

SQL

Выполните следующую команду в записной книжке или редакторе sql-запросов Databricks.

CREATE CONNECTION <connection-name> TYPE snowflake
OPTIONS (
  host '<hostname>',
  port '<port>',
  sfWarehouse '<warehouse-name>',
  user '<user>',
  password '<password>'
);

Рекомендуется использовать секреты Azure Databricks вместо строк открытого текста для конфиденциальных значений, таких как учетные данные. Например:

CREATE CONNECTION <connection-name> TYPE snowflake
OPTIONS (
  host '<hostname>',
  port '<port>',
  sfWarehouse '<warehouse-name>',
  user secret ('<secret-scope>','<secret-key-user>'),
  password secret ('<secret-scope>','<secret-key-password>')
)

Сведения о настройке секретов см. в разделе "Управление секретами".

Создание внешнего каталога

Внешний каталог зеркально отражает базу данных во внешней системе данных, чтобы можно было запрашивать и управлять доступом к данным в этой базе данных с помощью Azure Databricks и каталога Unity. Чтобы создать внешний каталог, вы используете подключение к источнику данных, который уже определен.

Чтобы создать внешний каталог, можно использовать обозреватель каталогов или CREATE FOREIGN CATALOG команду SQL в записной книжке Azure Databricks или редакторе sql-запросов Databricks.

Необходимые разрешения:CREATE CATALOG разрешение на хранилище метаданных и право владения подключением или CREATE FOREIGN CATALOG привилегией подключения.

Обозреватель каталогов

1. В рабочей области Azure Databricks щелкните "Каталог".
2. Нажмите кнопку Создать каталог.
3. В диалоговом окне "Создание нового каталога" введите имя каталога и выберите типвнешнего пользователя.
4. Выберите подключение, которое предоставляет доступ к базе данных, которую вы хотите зеркально отражать в качестве каталога каталога Unity.
5. Введите имя базы данных , которую вы хотите зеркально отражать в качестве каталога.
6. Нажмите кнопку Создать.

SQL

Выполните следующую команду SQL в записной книжке или редакторе SQL Databricks. Элементы в квадратных скобках являются необязательными. Замените значения-заполнители:

• <catalog-name>: имя каталога в Azure Databricks.
• <connection-name>: объект подключения, указывающий источник данных, путь и учетные данные доступа.
• <database-name>: имя базы данных, которую вы хотите зеркально отражать в качестве каталога в Azure Databricks.

CREATE FOREIGN CATALOG [IF NOT EXISTS] <catalog-name> USING CONNECTION <connection-name>
OPTIONS (database '<database-name>');

Поддерживаемые pushdowns

Поддерживаются следующие pushdown:

• Фильтры
• Проекции.
• Лимит
• Объединения
• Агрегаты (Average, Corr, CovPopulation, CovSample, Count, Max, Min, StddevPop, StdevSamp, Sum, VariancePop, VarianceSamp)
• Функции (строковые функции, математические функции, функции data, time и timestamp и другие прочие функции, такие как псевдоним, приведение, сортировка)
• Функции Windows (DenseRank, Rank, RowNumber)
• Сортировка

Сопоставление типов данных

При чтении из Snowflake в Spark типы данных сопоставляются следующим образом:

Тип Snowflake	Тип Spark
десятичная, числовая, числовая	DecimalType
bigint, byteint, int, integer, smallint, tinyint	IntegerType
float, float4, float8	FloatType
double, double precision, real	DoubleType
char, character, string, text, time, varchar	StringType
binary	BinaryType
boolean	BooleanType
Дата	DateType
datetime, timestamp, timestamp_ltz, timestamp_ntz, timestamp_tz	TimestampType

Ограничения OAuth

Ниже перечислены ограничения поддержки OAuth:

• Конечная точка OAuth Snowflake должна быть доступна из IP-адресов уровня управления Databricks. См. исходящий трафик из плоскости управления Azure Databricks. Snowflake поддерживает настройку политик сети на уровне интеграции безопасности, что позволяет отдельной сетевой политике, которая обеспечивает прямое подключение от плоскости управления Databricks к конечной точке OAuth для авторизации.
• Использование параметров конфигурации роли Proxy, Прокси-узла, прокси-порта и Snowflake. Укажите роль Snowflake в рамках области OAuth.

Дополнительные ресурсы

• Настройка OAuth Snowflake для пользовательских клиентов в документации по Snowflake
• Справочник по SQL: CREATE SECURITY INTEGRATION (Snowflake OAuth) в документации по Snowflake