本页介绍如何设置 Lakehouse 联邦查询系统,以对未由 Azure Databricks 管理的 Snowflake 数据运行联邦查询。 若要了解有关 Lakehouse 联合的更多信息,请参阅 什么是 Lakehouse 联合?
若要使用 Lakehouse Federation 连接到 Snowflake 数据库,必须在 Azure Databricks Unity Catalog 元存储中创建以下内容:
- 与 Snowflake 数据库的连接。
- 一个外部目录,它镜像 Unity Catalog 中的 Snowflake 数据库,以便你可使用 Unity Catalog 查询语法和数据治理工具来管理 Azure Databricks 用户对数据库的访问。
本页介绍如何使用 OAuth 访问令牌连接到 Snowflake。 有关其他身份验证方法,请参阅以下页面:
工作区要求:
- 已为 Unity Catalog 启用工作区。
计算要求:
- 计算资源与目标数据库系统之间的网络连接。 请参阅 Lakehouse Federation 网络建议。
- Azure Databricks 计算必须使用 Databricks Runtime 13.3 LTS 或更高版本以及 标准 或 专用 访问模式。
- SQL 仓库必须是专业或无服务器,并且必须使用 2023.40 或更高版本。
所需的权限:
- 若要创建连接,你必须是元存储管理员或对附加到工作区的 Unity Catalog 元存储具有
CREATE CONNECTION权限的用户。 - 若要创建外部目录,你必须对元存储具有
CREATE CATALOG权限,并且是连接的所有者或对连接具有CREATE FOREIGN CATALOG特权。
后面的每个基于任务的部分中都指定了其他权限要求。
在 Snowflake 控制台中,运行CREATE SECURITY INTEGRATION。 请替换以下值:
<integration-name>:OAuth 集成的唯一名称。<workspace-url>:一个 Azure Databricks 工作区 URL。 必须将OAUTH_REDIRECT_URI设置为https://<workspace-url>/login/oauth/snowflake.html,其中<workspace-url>是创建 Snowflake 连接的 Azure Databricks 工作区的唯一 URL。<duration-in-seconds>:刷新令牌的时间长度。重要
OAUTH_REFRESH_TOKEN_VALIDITY是默认设置为 90 天的自定义字段。 刷新令牌过期后,必须重新对连接进行身份验证。 将字段设置为合理的时间长度。
例如:
CREATE SECURITY INTEGRATION <integration-name>
TYPE = oauth
ENABLED = true
OAUTH_CLIENT = custom
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://<workspace-url>/login/oauth/snowflake.html'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = <duration-in-seconds>
OAUTH_ENFORCE_PKCE = TRUE;
按照 Snowflake 知识库中的操作方法:使用 Snowflake OAuth 为自定义客户端生成和使用 OAuth 令牌执行操作。
连接指定用于访问外部数据库系统的路径和凭据。 若要创建连接,可以使用目录资源管理器,或者使用 Azure Databricks 笔记本或 Databricks SQL 查询编辑器中的 CREATE CONNECTION SQL 命令。
备注
你还可以使用 Databricks REST API 或 Databricks CLI 来创建连接。 请参阅 POST /api/2.1/unity-catalog/connections 和 Unity Catalog 命令。
所需的权限:具有 CREATE CONNECTION 特权的元存储管理员或用户。
在 Azure Databricks 工作区中,单击
目录。在目录窗格顶部,单击
“添加”或“加号”图标,然后从菜单中选择“添加连接”。或者,在“快速访问”页中,单击“外部数据 >”按钮,转到“连接”选项卡,然后单击“创建连接。
在“设置连接”向导的“连接基本信息”页面上,输入用户友好的连接名称。
选择“Snowflake”的连接类型。
对于 身份验证类型,
OAuth Access Token请从下拉菜单中进行选择。(可选)添加注释。
单击 “下一步” 。
输入 Snowflake 仓库的以下身份验证和连接详细信息。
主机:例如
snowflake-demo.east-us-2.azure.snowflakecomputing.com端口:例如
443用户:例如
snowflake-user访问令牌:从 请求 OAuth 访问令牌 中获取。
过期时间(以秒为单位):请求 OAuth 访问令牌 后获得的访问令牌的过期时间
expires_in。客户端 ID:在 Snowflake 控制台中,运行
SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security-integration-name>')以检索安全集成的客户端 ID。客户端密码:在 Snowflake 控制台中,运行
SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security-integration-name>')以检索安全集成的客户端密码。OAuth 作用域:
refresh_token session:role:<role-name>。 指定要在<role-name>中使用的 Snowflake 角色。使用 Snowflake 登录:使用 OAuth 凭据单击并登录到 Snowflake。
成功登录后,将定向回“设置连接”向导。
单击“ 创建连接”。
在 “目录基本信息 ”页上,输入外国目录的名称。 外部目录镜像外部数据系统中的数据库,以便可以使用 Azure Databricks 和 Unity Catalog 查询和管理对该数据库中数据的访问。
(可选)单击“测试连接”以确认它是否正常工作。
单击“创建目录”。
在 “访问 ”页上,选择用户可以在其中访问所创建的目录的工作区。 您可以选择所有工作区均具有访问权限,或单击分配到工作区,选择工作区,然后单击分配。
更改能够管理对目录中所有对象的访问的 所有者 。 开始在文本框中键入主体,然后单击返回的结果中的主体。
授予对目录的“特权”。 单击“授权”:
- 指定将有权访问目录中对象的 主体 。 开始在文本框中键入主体,然后单击返回的结果中的主体。
- 选择“特权预设”以对每个主体授权。 默认情况下,向所有帐户用户授予
BROWSE。- 从下拉菜单中选择 “数据读取者 ”,以授予
read对目录中对象的权限。 - 从下拉菜单中选择 “数据编辑器”,以向
read和modify授予目录中对象的权限。 - 手动选择要授予的权限。
- 从下拉菜单中选择 “数据读取者 ”,以授予
- 单击授权。
单击 “下一步” 。
在“元数据”页上,指定标记键值对。 有关详细信息,请参阅 将标记应用于 Unity 目录安全对象。
(可选)添加注释。
单击“ 保存”。
外部目录的 database 字段映射到 Snowflake 数据库标识符。 如果 Snowflake 数据库标识符不区分大小写,则会保留在外部目录 <database-name> 中使用的大小写。 但是,如果 Snowflake 数据库标识符区分大小写,则必须用双引号将外部目录 <database-name> 括起来以保留大小写。
例如:
database转换为DATABASE"database"转换为database"database"""转换为database"若要转义双引号,请使用另一个双引号。
"database""会导致出错,因为双引号未正确进行转义。
有关详细信息,请参阅 Snowflake 文档中的标识符要求。
支持以下下推:
- 过滤 器
- 预测
- 限度
- 加入
- 聚合(Average、Corr、CovPopulation、CovSample、Count、Max、Min、StddevPop、StddevSamp、Sum、VariancePop、VarianceSamp)
- 函数(字符串函数、数学函数、数据、时间和时间戳函数以及其他杂项函数,例如 Alias、Cast、SortOrder)
- Windows 函数(DenseRank、Rank、RowNumber)
- 排序
从 Snowflake 读取到 Spark 时,数据类型映射如下所示:
| Snowflake 类型 | Spark 类型 |
|---|---|
| decimal、number、numeric | DecimalType |
| bigint、byteint、int、integer、smallint、tinyint | 整数类型 |
| float、float4、float8 | FloatType |
| double、double precision、real | DoubleType |
| char、character、string、text、time、varchar | 字符串类型 |
| 二进制 | 二进制类型 |
| 布尔 | BooleanType |
| 日期 | 日期类型 |
| datetime、timestamp、timestamp_ltz、timestamp_ntz、timestamp_tz | 时间戳类型 |
- 必须可从 Databricks 控制平面 IP 访问 Snowflake OAuth 终结点。 请参阅从 Azure Databricks 控制平面出站。 Snowflake 支持在安全集成级别配置网络策略,这允许使用单独的网络策略,该策略允许从 Databricks 控制平面直接连接到 OAuth 终结点以进行授权。
- 不支持使用代理、代理主机、代理端口和 Snowflake 角色配置选项。 指定Snowflake 角色作为 OAuth 范围的一部分。
请参阅 Snowflake 文档中的以下文章: