通过

在 Snowflake 上运行联合查询 (OAuth)

本页介绍如何设置 Lakehouse 联邦查询系统,以对未由 Azure Databricks 管理的 Snowflake 数据运行联邦查询。 若要了解有关 Lakehouse 联合的详细信息,请参阅 什么是 Lakehouse 联合?

若要使用 Lakehouse Federation 连接到 Snowflake 数据库,必须在 Azure Databricks Unity Catalog 元存储中创建以下内容:

  • 与 Snowflake 数据库的连接。
  • 一个外部目录,它镜像 Unity Catalog 中的 Snowflake 数据库,以便你可使用 Unity Catalog 查询语法和数据治理工具来管理 Azure Databricks 用户对数据库的访问。

本页介绍如何使用 Snowflake 的内置 OAuth 集成对 Snowflake 数据运行联合查询。 有关其他身份验证方法,请参阅以下页面:

可以使用查询联合或目录联合在 Snowflake 上运行联合查询。

在查询联合中,JDBC 将 Unity 目录查询向下推送到外部数据库。 这非常适合在您的 ETL 管道上进行按需生成报告或概念验证工作。

在目录联合中,Unity 目录查询直接针对文件存储运行。 这种方法对于没有代码调整的增量迁移很有帮助,或者对于那些必须在 Unity Catalog 中注册数据的同时在 Snowflake 中维护一些数据的组织来说,这是一个长期的混合模型。 请参阅 启用 Snowflake 数据目录联邦

查询联合

准备工作

工作区要求:

  • 已为 Unity Catalog 启用工作区。

计算要求:

  • 从计算资源到目标数据库系统的网络连接。 请参阅 Lakehouse Federation 的网络建议
  • Azure Databricks 计算必须使用 Databricks Runtime 13.3 LTS 或更高版本以及 标准专用 访问模式。
  • SQL 仓库必须是专业或无服务器,并且必须使用 2023.40 或更高版本。

所需的权限:

  • 若要创建连接,必须是元存储管理员或对附加到工作区的 Unity Catalog 元存储具有 CREATE CONNECTION 特权的用户。
  • 若要创建外部目录,你必须对元存储具有 CREATE CATALOG 权限,并且是连接的所有者或对连接具有 CREATE FOREIGN CATALOG 特权。

后面每个基于任务的部分都指定了其他权限要求。

创建安全集成

在 Snowflake 控制台中,运行CREATE SECURITY INTEGRATION。 请替换以下值:

  • <integration-name>:OAuth 集成的唯一名称。

  • <workspace-url>:Azure Databricks 工作区 URL。 必须将OAUTH_REDIRECT_URI设置为https://<workspace-url>/login/oauth/snowflake.html,其中<workspace-url>是创建 Snowflake 连接的 Azure Databricks 工作区的唯一 URL。

  • <duration-in-seconds>:刷新令牌的时间长度。

    Important

    OAUTH_REFRESH_TOKEN_VALIDITY 是默认设置为 90 天的自定义字段。 刷新令牌过期后,必须重新对连接进行身份验证。 将字段设置为合理的时间长度。

例如:

CREATE SECURITY INTEGRATION <integration-name>
TYPE = oauth
ENABLED = true
OAUTH_CLIENT = custom
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://<workspace-url>/login/oauth/snowflake.html'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = <duration-in-seconds>
OAUTH_ENFORCE_PKCE = TRUE;

创建连接

连接指定用于访问外部数据库系统的路径和凭据。 若要创建连接,可以使用目录资源管理器,或者使用 Azure Databricks 笔记本或 Databricks SQL 查询编辑器中的 CREATE CONNECTION SQL 命令。

Note

你还可以使用 Databricks REST API 或 Databricks CLI 来创建连接。 请参阅 POST /api/2.1/unity-catalog/connectionsUnity Catalog 命令

所需的权限:具有 CREATE CONNECTION 特权的元存储管理员或用户。

  1. 在 Azure Databricks 工作区中,单击 “数据”图标。目录

  2. 在“目录”窗格顶部,单击 添加或加号图标“添加”图标,然后从菜单中选择“添加连接”

    也可在“快速访问”页中单击“外部数据 >”按钮,转到“连接”选项卡,然后单击“创建连接”

  3. 在“设置连接”向导的“连接基本信息”页上,输入一个用户友好的“连接名称”

  4. 选择“Snowflake”的连接类型

  5. 对于 身份验证类型OAuth 请从下拉菜单中进行选择。

  6. (可选)添加注释。

  7. 单击 “下一步”

  8. 输入 Snowflake 仓库的以下身份验证和连接详细信息。

    • 主机:例如 snowflake-demo.east-us-2.azure.snowflakecomputing.com

    • 端口:例如 443

    • 用户:例如 snowflake-user

    • 客户端 ID:在 Snowflake 控制台中,运行 SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security-integration-name>') 以检索安全集成的客户端 ID。

    • 客户端密码:在 Snowflake 控制台中,运行 SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security-integration-name>') 以检索安全集成的客户端密码。

    • OAuth 作用域refresh_token session:role:<role-name>。 指定要在 <role-name> 中使用的 Snowflake 角色。

    • 使用 Snowflake 登录:使用 OAuth 凭据单击并登录到 Snowflake。

      成功登录后,你会被引导回“设置连接”向导。

  9. 单击 创建连接

  10. 目录基础 页上,输入外国目录的名称。 外部目录镜像外部数据系统中的数据库,以便可以使用 Azure Databricks 和 Unity Catalog 查询和管理对该数据库中数据的访问。

  11. (可选)单击“测试连接”以确认它是否正常工作。

  12. 单击 创建目录

  13. 在“访问权限”页上,选择用户可以在其中访问你所创建的目录的工作区。 可以选择 让所有工作区都有访问权限,或单击 分配给工作区,选择工作区,然后单击 分配

  14. 更改 所有者,使其能够管理对目录中所有对象的访问。 开始在文本框中键入主体,然后单击返回的结果中的主体。

  15. 授予对目录的“特权”。 单击“授权”

    1. 指定 主体 谁有权访问目录中的对象。 开始在文本框中键入主体,然后单击返回的结果中的主体。
    2. 选择要授予每个主体的“特权预设”。 默认情况下,向所有帐户用户授予 BROWSE
      • 从下拉菜单中选择 数据读取器,以授予对目录中对象的 read 特权。
      • 从下拉菜单中选择 数据编辑器,以授予对目录中对象的 readmodify 权限。
      • 手动选择要授予的权限。
    3. 单击授权

  16. 单击 “下一步”

  17. 在“元数据”页上,指定标记键值对。 有关详细信息,请参阅 将标记应用于 Unity 目录安全对象

  18. (可选)添加注释。

  19. 单击“ 保存”。

区分大小写的数据库标识符

外部目录的 database 字段映射到 Snowflake 数据库标识符。 如果 Snowflake 数据库标识符不区分大小写,则会保留在外部目录 <database-name> 中使用的大小写。 但是,如果 Snowflake 数据库标识符区分大小写,则必须用双引号将外部目录 <database-name> 括起来以保留大小写。

例如:

  • database 转换为 DATABASE

  • "database" 转换为 database

  • "database""" 转换为 database"

    若要转义双引号,请使用另一个双引号。

  • "database"" 会导致出错,因为双引号未正确进行转义。

有关详细信息,请参阅 Snowflake 文档中的标识符要求

支持的下推

支持以下下推:

  • Filters
  • Projections
  • Limit
  • Joins
  • 聚合(Average、Corr、CovPopulation、CovSample、Count、Max、Min、StddevPop、StddevSamp、Sum、VariancePop、VarianceSamp)
  • 函数(字符串函数、数学函数、数据、时间和时间戳函数以及其他杂项函数,例如 Alias、Cast、SortOrder)
  • Windows 函数(DenseRank、Rank、RowNumber)
  • Sorting

数据类型映射

从 Snowflake 读取到 Spark 时,数据类型映射如下所示:

Snowflake 类型 Spark 类型
decimal、number、numeric DecimalType
bigint、byteint、int、integer、smallint、tinyint IntegerType
float、float4、float8 FloatType
double、double precision、real DoubleType
char、character、string、text、time、varchar StringType
二进制 BinaryType
boolean BooleanType
date DateType
datetime、timestamp、timestamp_ltz、timestamp_ntz、timestamp_tz TimestampType

查询联合限制

  • 必须可从 Azure Databricks 控制平面 IP 访问 Snowflake OAuth 终结点。 请参阅 Azure Databricks 控制平面中的出站 IP。 Snowflake 支持在安全集成级别配置网络策略,该策略允许使用单独的网络策略,以便从 Azure Databricks 控制平面直接连接到 OAuth 终结点进行授权。
  • 不支持使用代理代理主机代理端口和 Snowflake 角色配置选项。 指定Snowflake 角色作为 OAuth 范围的一部分。

其他资源

请参阅 Snowflake 文档中的以下文章: