execução de consultas federadas no Snowflake

Este artigo descreve como configurar o Lakehouse Federation para executar consultas federadas nos dados do site Snowflake que não são gerenciados pelo site Databricks. Para saber mais sobre a lakehouse Federation, consulte O que é a lakehouse Federation?

Para se conectar ao banco de dados Snowflake usando lakehouse Federation, você deve criar o seguinte no metastore do Databricks Unity Catalog:

• Uma conexão com seu banco de dados Snowflake.

• Um catálogo externo que espelha seu banco de dados Snowflake no Unity Catalog para que você possa usar a sintaxe query Unity Catalog e as ferramentas de governança de dados para gerenciar o acesso do usuário do Databricks ao banco de dados.

Antes de começar

Requisitos workspace :

• workspace ativado para Unity Catalog.

requisitos compute :

• Conectividade de rede do seu recurso compute para os sistemas de banco de dados de destino. Veja as recomendações do Networking para a Lakehouse Federation.

• Databricks compute deve usar Databricks Runtime 13.3 LTS ou acima e modo de acesso de usuário compartilhado ou único.

• Os SQL warehouse devem ser Pro ou Serverless e devem utilizar a versão 2023.40 ou superior.

Permissões necessárias:

• Para criar uma conexão, você deve ser um administrador do metastore ou um usuário com o privilégio CREATE CONNECTION no metastore do Unity Catalog anexado ao workspace.

• Para criar um catálogo externo, você deve ter a permissão CREATE CATALOG no metastore e ser o proprietário da conexão ou ter o privilégio CREATE FOREIGN CATALOG na conexão.

Requisitos de permissão adicionais são especificados em cada seção baseada em tarefa a seguir.

• Se planeja autenticar usando o OAuth, crie uma integração de segurança no console do Snowflake.

• Se o senhor planeja se autenticar usando um OAuth access token, também deve solicitar um access token.

(Opcional) Crie uma integração de segurança no console do Snowflake

Se o senhor quiser se autenticar usando OAuth, siga este passo antes de criar uma conexão Snowflake. Para se autenticar usando um nome de usuário e uma senha, ignore esta seção.

Observação

Somente a integração Snowflake's integrada OAuth é suportada. Não há suporte para integrações OAuth externas, como Okta ou Microsoft Entra ID.

No console Snowflake, execute CREATE SECURITY INTEGRATION. Substitua os seguintes valores:

• <integration-name>: Um nome exclusivo para sua integração OAuth.

• <workspace-url>: A Databricks workspace URL. O senhor deve definir OAUTH_REDIRECT_URI como https://<workspace-url>/login/oauth/snowflake.html, em que <workspace-url> é o URL exclusivo do site Databricks workspace onde criará a conexão Snowflake.

• <duration-in-seconds>: Uma duração de tempo para refresh tokens.

  Importante

  OAUTH_REFRESH_TOKEN_VALIDITY é um campo personalizado que é definido como 90 dias por default. Após a expiração dos tokens refresh, o senhor deve autenticar novamente a conexão. Defina o campo para uma duração de tempo razoável.

CREATE SECURITY INTEGRATION <integration-name>
TYPE = oauth
ENABLED = true
OAUTH_CLIENT = custom
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://<workspace-url>/login/oauth/snowflake.html'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = <duration-in-seconds>
OAUTH_ENFORCE_PKCE = TRUE;

(Opcional) Solicite um OAuth access token

Siga How To: Generate and use an OAuth tokens using Snowflake OAuth for custom clients na Base de Conhecimento Snowflake.

Criar uma conexão

Uma conexão especifica um caminho e credenciais para acessar um sistema de banco de dados externo. Para criar uma conexão, você pode usar o Catalog Explorer ou o comando SQL CREATE CONNECTION em um Notebook do Databricks ou no editor query Databricks SQL .

Observação

O senhor também pode usar a API REST da Databricks ou a CLI da Databricks para criar uma conexão. Veja POST /api/2.1/unity-catalog/connections e Unity Catalog comando.

Permissões necessárias: administrador ou usuário do metastore com o privilégio CREATE CONNECTION .

1. No seu workspace do Databricks, clique em Catálogo.

2. Na parte superior do painel Catálogo, clique no ícone Add e selecione Add a connection (Adicionar uma conexão ) no menu.

   Como alternativa, na página Quick access (Acesso rápido ), clique no botão External data (Dados externos) >, acesse Connections (Conexões ) tab e clique em Create connection (Criar conexão).

3. Na página Noções básicas de conexão do assistente de configuração de conexão, insira um nome de conexão fácil de usar.

4. Selecione um tipo de conexão de Snowflake.

5. Em Tipo de autenticação, selecione Username and password (autenticação básica), OAuth access token, PEM Private Key ou OAuth no menu suspenso.

6. (Opcional) Adicione um comentário.

7. Clique em Avançar.

8. Insira os seguintes detalhes de autenticação e conexão para o seu depósito do Snowflake. As propriedades específicas do método de autenticação selecionado são precedidas pelo Auth type entre parênteses.

   • Anfitrião: Por exemplo, snowflake-demo.east-us-2.azure.snowflakecomputing.com

   • Porto: Por exemplo, 443

   • Usuário: Por exemplo, snowflake-user

   • (Autenticação básica) Senha: Por exemplo, password123

   • (OAuth access tokens) Access tokens: Access tokens from (Opcional) Solicite um OAuth access tokens.

   • (OAuth access tokens) Expira em segundos: O tempo de expiração (em segundos) para os tokens de acesso de (Opcional) Solicitar um OAuth access tokens (expires_in).

   • (OAuth) ID do cliente: No console Snowflake, execute SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security-integration-name>') para recuperar o ID do cliente para a integração de segurança.

   • (OAuth) Segredo do cliente: no console Snowflake, execute SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security-integration-name>') para recuperar o segredo do cliente para a integração de segurança.

   • (OAuth) Escopo do OAuth: refresh_token session:role:<role-name>. Especifique a função do Snowflake a ser usada em <role-name>.

   • (OAuth) Faça login com o Snowflake: Clique e faça login no Snowflake usando suas credenciais OAuth.

   • (PEM Private key) PEM private key: Privada key da RSA key par no formato HEX64.

   • (Chave privada PEM) Expira em segundos: O tempo de expiração (em segundos) da conexão feita com uma chave privada key.

     Após o login bem-sucedido, você será direcionado de volta ao assistente de configuração de conexão.

9. Clique em Criar conexão.

10. (Autenticação básica) Na página de detalhes da conexão, especifique o seguinte:

    • ArmazémSnowflake : Por exemplo, my-snowflake-warehouse

    • (Opcional) Host do proxy: host do proxy usado para se conectar ao Snowflake. Você também deve selecionar Usar proxy e especificar Porta proxy.

    • (Opcional) Usar proxy: Se o senhor deve se conectar ao Snowflake usando um servidor proxy.

    • (Opcional) Porta do proxy: Porta do proxy usado para se conectar ao Snowflake. Você também deve selecionar Usar proxy e especificar Host proxy.

    • (Opcional) Snowflake role: A função de segurança default a ser usada para a sessão após a conexão.

11. Clique em Avançar.

12. Na página Noções básicas do catálogo, insira um nome para o catálogo estrangeiro. Um catálogo externo espelha um banco de dados em um sistema de dados externo para que o senhor possa consultar e gerenciar o acesso aos dados desse banco de dados usando o Databricks e o Unity Catalog.

13. (Opcional) Clique em Testar conexão para confirmar se funciona.

14. Clique em Criar catálogo.

15. Na página Access (Acesso), selecione o espaço de trabalho no qual os usuários podem acessar o catálogo que o senhor criou. O senhor pode selecionar All workspace have access (Todos os espaços de trabalho têm acesso) ou clicar em Assign to workspace (Atribuir ao espaço de trabalho), selecionar o espaço de trabalho e clicar em Assign (Atribuir).

16. Altere o proprietário que poderá gerenciar o acesso a todos os objetos no catálogo. comece a digitar um diretor na caixa de texto e, em seguida, clique no diretor nos resultados retornados.

17. Conceda privilégios no catálogo. Clique em Conceder:

    1. Especifique os diretores que terão acesso aos objetos no catálogo. comece a digitar um diretor na caixa de texto e, em seguida, clique no diretor nos resultados retornados.

    2. Selecione as predefinições de privilégios a serem concedidas a cada diretor. Todos os usuários de account recebem BROWSE de default.

       • Selecione Leitor de dados no menu suspenso para conceder privilégios read em objetos no catálogo.

       • Selecione Editor de dados no menu suspenso para conceder os privilégios read e modify aos objetos no catálogo.

       • Selecione manualmente os privilégios a serem concedidos.

    3. Clique em Conceder.

18. Clique em Avançar.

19. Na página Metadata (Metadados ), especifique as tags em key-value. Para obter mais informações, consulte Apply tags to Unity Catalog securable objects.

20. (Opcional) Adicione um comentário.

21. Clique em Salvar.

execução do seguinte comando em um Notebook ou no editor query Databricks SQL .

CREATE CONNECTION <connection-name> TYPE snowflake
OPTIONS (
  host '<hostname>',
  port '<port>',
  sfWarehouse '<warehouse-name>',
  user '<user>',
  password '<password>'
);

Recomendamos que você use segredos do Databricks em vez de strings de texto sem formatação para valores confidenciais, como credenciais. Por exemplo:

CREATE CONNECTION <connection-name> TYPE snowflake
OPTIONS (
  host '<hostname>',
  port '<port>',
  sfWarehouse '<warehouse-name>',
  user secret ('<secret-scope>','<secret-key-user>'),
  password secret ('<secret-scope>','<secret-key-password>')
)

Para obter informações sobre como configurar segredos, consulte Gerenciamento de segredos.

Criar um catálogo estrangeiro

Observação

Se o senhor usar a interface do usuário para criar uma conexão com a fonte de dados, a criação do catálogo externo estará incluída e o senhor poderá ignorar essa etapa.

Um catálogo externo espelha um banco de dados em um sistema de dados externo para que você possa query e gerenciar o acesso aos dados nesse banco de dados usando Databricks e Unity Catalog. Para criar um catálogo externo, você usa uma conexão com a fonte de dados que já foi definida.

Para criar um catálogo externo, o senhor pode usar o Catalog Explorer ou o comando CREATE FOREIGN CATALOG SQL em um Databricks Notebook ou o editor de consultas SQL.

O senhor também pode usar a API REST da Databricks ou a CLI da Databricks para criar um catálogo. Veja POST /api/2.1/unity-catalog/catalogs e Unity Catalog comando.

Permissões necessárias: permissão CREATE CATALOG no metastore e propriedade da conexão ou o privilégio CREATE FOREIGN CATALOG na conexão.

1. Em seu site Databricks workspace, clique em Catalog para abrir o Catalog Explorer.

2. Na parte superior do painel Catalog (Catálogo ), clique no ícone Add (Adicionar ) e selecione Add a catalog (Adicionar um catálogo ) no menu.

   Como alternativa, na página de acesso rápido, clique no botão Catalogs (Catálogos ) e, em seguida, clique no botão Create catalog (Criar catálogo ).

3. Siga as instruções para criar catálogos estrangeiros em Criar catálogos.

Execute o seguinte comando SQL em um editor de consultas Notebook ou SQL. Os itens entre parênteses são opcionais. Substitua os valores do espaço reservado:

• <catalog-name>: Nome do catálogo no Databricks.

• <connection-name>: O objeto de conexão que especifica a fonte de dados, o caminho e as credenciais de acesso.

• <database-name>: Nome do banco de dados que você deseja espelhar como um catálogo no Databricks.

CREATE FOREIGN CATALOG [IF NOT EXISTS] <catalog-name> USING CONNECTION <connection-name>
OPTIONS (database '<database-name>');

Identificadores de banco de dados que diferenciam maiúsculas de minúsculas

O campo database do catálogo externo mapeia para um identificador de banco de dados do Snowflake. Se o identificador do banco de dados do Snowflake não diferenciar maiúsculas de minúsculas, a caixa que o senhor usar no catálogo externo <database-name> será preservada. No entanto, se o identificador do banco de dados Snowflake diferenciar maiúsculas de minúsculas, o senhor deverá colocar o catálogo estrangeiro <database-name> entre aspas duplas para preservar as maiúsculas e minúsculas.

Por exemplo:

• database é convertido para DATABASE

• "database" é convertido para database

• "database""" é convertido para database"

  Para escapar de uma aspa dupla, use outra aspa dupla.

• "database"" resulta em um erro porque as aspas duplas não são escapadas corretamente.

Para obter mais informações, consulte os requisitos do identificador na documentação do site Snowflake.

Empurrões suportados

Os seguintes pushdowns são suportados:

• Filtros

• Projeções

• Limite

• join

• Agregados (Average, Corr, CovPopulation, CovSample, Count, Max, Min, StddevPop, StddevSamp, Sum, VariancePop, VarianceSamp)

• Funções (funções strings , funções matemáticas, funções Data, Time e Timestamp e outras funções diversas, como Alias, Cast, SortOrder)

• Funções do Windows (DenseRank, Rank, RowNumber)

• Ordenação

Mapeamentos de tipo de dados

Quando você lê do Snowflake para o Spark, os tipos de dados são mapeados da seguinte maneira:

tipo Snowflake	Tipo Spark
decimal, número, numérico	Tipo Decimal
bigint, byteint, int, inteiro, smallint, tinyint	Tipo inteiro
flutuar, flutuar4, flutuar8	FloatType
duplo, dupla precisão, real	DoubleType
char, caractere, strings, texto, hora, varchar	StringType
binário	Tipo Binário
Boolean	BooleanType
data	DataTipo
datetime, timestamp, timestamp_ltz, timestamp_ntz, timestamp_tz	Tipo de carimbo de data/hora

Limitações do OAuth

As limitações de suporte do OAuth são as seguintes:

• O endpoint do Snowflake OAuth deve ser acessível a partir dos IPs do plano de controle do Databricks. Veja os endereços IP e domínios para Databricks serviço e ativo. O Snowflake oferece suporte à configuração de políticas de rede no nível de integração de segurança, o que permite uma política de rede separada que possibilita a conectividade direta do plano de controle do Databricks com o endpoint OAuth para autorização.

• Não há suporte para as opções de configuração Use Proxy, Proxy host, Proxy port e Snowflake role. Especifique a função do Snowflake como parte do escopo do OAuth.

Limitações da chave privada PEM

A seguir, as limitações de suporte do PEM private key:

• Snowflake JDBC O driver não oferece suporte à autenticação com chave privada criptografada. Para evitar erros, gere um key com a opção -nocrypt adicionada, da seguinte forma:

  openssl genrsa 2048 | openssl pkcs8 -topk8 -inform PEM -out rsa_key.p8 -nocrypt
  

Recursos adicionais

Consulte os artigos a seguir na documentação do Snowflake:

• Configurar o Snowflake OAuth para clientes personalizados

• Referência SQL: CREATE SECURITY INTEGRATION (Snowflake OAuth)

• Snowflake: autenticação de pares de chaves e key- rotação de pares