Compartilhar via

Executar consultas federadas no Snowflake

  • Artigo

Este artigo descreve como configurar a Federação de Lakehouse para executar consultas federadas em dados Snowflake que não são gerenciados pelo Azure Databricks. Para saber mais sobre a Federação do Lakehouse, consulte O que é a Federação do Lakehouse?.

Para se conectar ao seu banco de dados Snowflake usando a Federação de Lakehouse, você deve criar o seguinte no metastore do Catálogo do Unity do Azure Databricks:

  • Uma conexão com seu banco de dados do Snowflake.
  • Um catálogo estrangeiro que espelha seu banco de dados do Snowflake no Catálogo do Unity para que você possa usar a sintaxe de consulta do Catálogo do Unity e as ferramentas de governança de dados para gerenciar o acesso do usuário do Azure Databricks ao banco de dados.

Antes de começar

Requisitos do workspace:

  • Workspace habilitado para o Catálogo do Unity.

Requisitos de computação:

  • Conectividade de rede do cluster do Databricks Runtime ou do Warehouse SQL para os sistemas de banco de dados de destino. Confira Recomendações de rede para a Federação de Lakehouse.
  • Os clusters do Azure Databricks devem usar o Databricks Runtime 13.3 LTS ou superior e o modo de acesso compartilhado ou de usuário único.
  • Os SQL warehouses precisam ser Pro ou sem servidor e precisam usar a versão 2023.40 ou superior.

Permissões necessárias:

  • Para criar uma conexão, você deve ser um administrador de metastore ou um usuário com o privilégio de CREATE CONNECTION no metastore do Catálogo do Unity anexado ao workspace.
  • Para criar um catálogo estrangeiro, você deve ter a permissão de CREATE CATALOG no metastore e ser o proprietário da conexão ou ter o privilégio de CREATE FOREIGN CATALOG na conexão.

Requisitos de permissão adicionais são especificados em cada seção baseada em tarefa a seguir.

  • Se você planeja se autenticar usando o OAuth, crie uma integração de segurança no console do Snowflake. Para obter detalhes, confira as seções a seguir.

(Opcional) Criar uma integração de segurança no console do Snowflake

Se você deseja se autenticar usando o OAuth, siga esta etapa antes de criar uma conexão do Snowflake. Para autenticar usando um nome de usuário e senha, ignore esta seção.

Observação

Há suporte apenas para a integração OAuth nativa do Snowflake. Não há suporte para integrações externas do OAuth, como Okta ou Microsoft Entra ID.

Insira o console do Snowflake., execute CREATE SECURITY INTEGRATION. Substitua os seguintes valores:

  • <integration-name>: um nome exclusivo para a integração do OAuth.

  • <workspace-url>: Uma URL de workspace do Azure Databricks. Você deve definir OAUTH_REDIRECT_URI como https://<workspace-url>/login/oauth/snowflake.html, em que <workspace-url> é a URL exclusiva do workspace do Azure Databricks em que você criará a conexão Snowflake.

  • <duration-in-seconds>: um período de tempo para tokens de atualização.

    Importante

    OAUTH_REFRESH_TOKEN_VALIDITY é um campo personalizado definido como 90 dias por padrão. Depois que o token de atualização expirar, você deverá autenticar novamente a conexão. Defina o campo como um período de tempo razoável.

CREATE SECURITY INTEGRATION <integration-name>
TYPE = oauth
ENABLED = true
OAUTH_CLIENT = custom
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://<workspace-url>/login/oauth/snowflake.html'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = <duration-in-seconds>
OAUTH_ENFORCE_PKCE = TRUE;

Criar uma conexão

Uma conexão especifica um caminho e credenciais para acessar um sistema de banco de dados externo. Para criar uma conexão, você pode usar o Explorador do Catálogo ou o comando SQL CREATE CONNECTION em um notebook do Azure Databricks, ou o editor de consulta do Databricks SQL.

Observação

Você também pode usar a API REST do Databricks ou a CLI do Databricks para criar uma conexão. Consulte POST /api/2.1/unity-catalog/connections e Comandos do Catálogo do Unity.

Permissões necessárias: administrador ou usuário do metastore com o privilégio de CREATE CONNECTION.

Explorador do Catálogo

  1. No workspace do Azure Databricks, clique em Ícone do catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone Ícone de adição ou mais Adicionar e selecione Adicionar uma conexão no menu.

    Como alternativa, na página Acesso rápido, clique no botão Dados externos >, vá até a guia Conexões e clique em Criar conexão.

  3. Insira um nome de conexão simples.

  4. Selecione um Tipo de Conexão do Snowflake.

  5. Insira as propriedades de conexão a seguir para o warehouse Snowflake.

    • Auth type: OAuth ou Username and password
    • Host: por exemplo, snowflake-demo.east-us-2.azure.snowflakecomputing.com
    • Porta: por exemplo, 443
    • Warehouse Snowflake: por exemplo, my-snowflake-warehouse
    • Usuário: por exemplo, snowflake-user
    • (OAuth) ID do cliente: no console do Snowflake, execute SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security_integration_name>') para recuperar a ID do cliente para sua integração de segurança.
    • (OAuth): Segredo do cliente: no console snowflake, execute SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('<security_integration_name>') para recuperar o segredo do cliente para sua integração de segurança.
    • (OAuth) Escopo do cliente: refresh_token session:role:<role-name>. Especifique a função Snowflake a ser usada em <role-name>.
    • (Nome de usuário e senha) Senha: por exemplo, password123

    (OAuth) Será solicitado que você entre no Snowflake usando as credenciais de OAuth.

  6. (Opcional) Clique em Testar conectividade para confirmar se está funcionando.

  7. (Opcional) Adicione um comentário.

  8. Clique em Criar.

SQL

Execute o comando a seguir em um notebook ou no editor de SQL do Databricks.

CREATE CONNECTION <connection-name> TYPE snowflake
OPTIONS (
  host '<hostname>',
  port '<port>',
  sfWarehouse '<warehouse-name>',
  user '<user>',
  password '<password>'
);

Recomendamos usar segredos do Azure Databricks em vez de cadeias de caracteres de texto não criptografado para valores confidenciais, como credenciais. Por exemplo:

CREATE CONNECTION <connection-name> TYPE snowflake
OPTIONS (
  host '<hostname>',
  port '<port>',
  sfWarehouse '<warehouse-name>',
  user secret ('<secret-scope>','<secret-key-user>'),
  password secret ('<secret-scope>','<secret-key-password>')
)

Para obter informações sobre configuração de segredos, confira Gestão de segredos.

Criar um catálogo estrangeiro

Um catálogo estrangeiro espelha um banco de dados em um sistema de dados externo para que você possa consultar e gerenciar o acesso aos dados nesse banco de dados usando o Azure Databricks e o Catálogo do Unity. Para criar um catálogo estrangeiro, use uma conexão com a fonte de dados que já foi definida.

Para criar um catálogo estrangeiro, você pode usar o Explorador de Catálogos ou o comando SQL CREATE FOREIGN CATALOG em um notebook do Azure Databricks ou no editor de consultas SQL.

Observação

Além disso, é possível usar a API REST do Databricks ou a CLI do Databricks para criar um catálogo. Confira POST /api/2.1/unity-catalog/catalogs e Comandos do Unity Catalog.

Permissões necessárias: permissão de CREATE CATALOG no metastore e a propriedade da conexão ou o privilégio de CREATE FOREIGN CATALOG na conexão.

Explorador do Catálogo

  1. Em seu workspace do Azure Databricks, clique em Ícone do catálogo Catálogo para abrir o Explorador de Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone Ícone de adição ou mais Adicionar e selecione Adicionar um catálogo no menu.

    Como alternativa, na página Acesso rápido, clique no botão Catálogos e depois no botão Criar catálogo.

  3. Siga as instruções para criar catálogos estrangeiros em Criar catálogos.

SQL

Execute o comando SQL a seguir em um notebook ou editor de consultas SQL. Os itens entre colchetes são opcionais. Substitua os valores de espaço reservado:

  • <catalog-name>: nome do catálogo no Azure Databricks.
  • <connection-name>: o objeto de conexão que especifica a fonte de dados, o caminho e as credenciais de acesso.
  • <database-name>: nome do banco de dados que você deseja espelhar como um catálogo no Azure Databricks.
CREATE FOREIGN CATALOG [IF NOT EXISTS] <catalog-name> USING CONNECTION <connection-name>
OPTIONS (database '<database-name>');

Identificadores de banco de dados que diferenciam maiúsculas de minúsculas

O campo database do catálogo estrangeiro é mapeado para um identificador de banco de dados Snowflake. Se o identificador do banco de dados Snowflake não diferencia maiúsculas de minúsculas, a maiúscula que você usa no catálogo estrangeiro <database-name> será preservada. No entanto, se o identificador de banco de dados Snowflake diferencia maiúsculas de minúsculas, você precisa encapsular o catálogo estrangeiro <database-name> entre aspas duplas para preservar as maiúsculas e minúsculas.

Por exemplo:

  • database é convertido em DATABASE

  • "database" é convertido em database

  • "database""" é convertido em database"

    Para escapar uma aspa dupla, use outra aspa dupla.

  • "database"" resulta em um erro porque a aspa dupla não é escapada corretamente.

Para obter mais informações, confira Requisitos do identificador na documentação do Snowflake.

Pushdowns com suporte

Há suporte para os seguintes pushdowns:

  • Filtros
  • Projeções
  • Limite
  • Junções
  • Agregações (Average, Corr, CovPopulation, CovSample, Count, Max, Min, StddevPop, StddevSamp, Sum, VariancePop, VarianceSamp)
  • Funções (Funções de cadeia de caracteres, funções matemáticas, dados, tempo e carimbo de data/hora e outras funções diversas, como Alias, Cast, SortOrder)
  • Funções do Windows (DenseRank, Rank, RowNumber)
  • Classificação

Mapeamentos de tipo de dados

Quando você lê do Snowflake para o Spark, os tipos de dados são mapeados da seguinte maneira:

Tipo do Snowflake Tipo do Spark
decimal, number, numeric DecimalType
bigint, byteint, int, integer, smallint, tinyint IntegerType
float, float4, float8 FloatType
double, double precision, real DoubleType
char, character, string, text, time, varchar StringType
binary BinaryType
booleano BooleanType
date DateType
datetime, timestamp, timestamp_ltz, timestamp_ntz, timestamp_tz TimestampType

Limitações do OAuth

Veja a seguir as limitações de suporte do OAuth:

  • O ponto de extremidade Snowflake OAuth deve estar acessível a partir de IPs do plano de controle do Databricks. Consulte Painel de controle Saída do Azure Databricks. O Snowflake dá suporte à configuração de políticas de rede no nível de integração de segurança, o que permite uma política de rede separada que permite a conectividade direta do plano de controle do Databricks para o ponto de extremidade OAuth para autorização.
  • As opções de configuração Use Proxy, Proxy host, Proxy port e Snowflake role não são suportadas. Especifique a função Snowflake como parte do escopo OAuth.

Recursos adicionais