Snowflake High Performance connector for Kafka: インストールと構成¶
このトピックでは、 Snowflake High Performance connector for Kafka をインストールして構成する手順について説明します。
Kafkaコネクタのインストール¶
Kafkaコネクタは JAR (Java実行可能ファイル)として提供されます。
Snowflakeは、次の2つのバージョンのコネクタを提供します。
Confluent Kafkaインストール 用のバージョン。
open source software (OSS) Apache Kafka https://mvnrepository.com/artifact/com.snowflake/snowflake-kafka-connector/ エコシステム用のバージョン。
このトピックの手順では、どちらかのバージョンのコネクタにのみ適用される手順を指定します。
インストールの前提条件¶
Kafkaコネクタは、次のパッケージバージョンをサポートしています。
パッケージ
Snowflake Kafkaコネクタバージョン
パッケージのサポート(Snowflakeによりテスト済み)
Apache Kafka
2.0.0以降
Apache Kafka 2.8.2、3.7.2
Confluent
2.0.0以降
Confluent 6.2.15、7.8.2
Kafkaコネクタは、Kafka Connect API 3.9.0で使用するために構築されています。Kafka Connect API のそれ以降のバージョンはテストされていません。3.9.0以前のバージョンはコネクタと互換性があります。詳細については、 Kafkaの互換性 をご参照ください。
Kafkaコネクタと JDBC ドライバーのjarファイルの両方が環境にある場合、 JDBC バージョンが、目的のKafkaコネクタバージョンの
pom.xmlファイルで指定されたsnowflake-jdbcバージョンと一致していることを確認します。お好みのKafkaコネクタのリリースバージョン、例えば v4.0.0-rc4 に移動できます。次にpom.xmlファイルをブラウズしてsnowflake-jdbcのバージョンを調べます。データのインジェストにAvro形式を使用している場合:
https://mvnrepository.com/artifact/org.apache.avroから入手可能なAvroパーサー、バージョン1.8.2(またはそれ以上)を使用します。
Avroでスキーマレジストリ機能を使用する場合は、https://mvnrepository.com/artifact/io.confluentで入手可能なバージョン5.0.0(またはそれ以上)のKafka Connect Avro Converterを使用してください。
スキーマレジストリ機能は OSS Apache Kafkaパッケージでは使用できないことに注意してください。
希望のデータ保持時間やストレージ制限でKafkaを構成します。
Kafka Connectクラスターをインストールして構成します。
各Kafka Connectクラスタノードには、Kafkaコネクタに十分な RAM を含める必要があります。推奨される最小量は、Kafkaパーティションごとに5 MB です。これは、Kafka Connectが行っている他の作業に必要な RAM に追加する分です。
Kafka BrokerとKafka Connect Runtimeで同じバージョンを使用することをお勧めします。
Snowflakeアカウントと同じクラウドプロバイダー 地域 でKafka Connectインスタンスを実行することを強くお勧めします。これは厳密な要件ではありませんが、通常はスループットが向上します。
Snowflakeクライアントでサポートされているオペレーティングシステムのリストについては、 オペレーティングシステムのサポート をご参照ください。
コネクタのインストール¶
このセクションでは、Confluent用のKafkaコネクタのインストールと構成の手順を説明します。次のテーブルは、サポートされているバージョンと、プレリリースおよびリリース候補に関する情報について説明しています。
リリースシリーズ |
ステータス |
メモ |
|---|---|---|
4.x.x |
公開プレビュー |
早期アクセス。サポート中 Snowpipe Streaming High Performance Architecture https://docs.snowflake.com/en/user-guide/snowpipe-streaming/snowpipe-streaming-high-performance-overview 現在、3.xおよび2.xバージョンからの移行は手動で行う必要があります。以前のバージョンの代わりに、ドロップとして使用することはできません。バージョン3.x、2.x、1.xとは異なる機能セットがあります。 |
3.x.x |
正式にサポート |
サポート対象外 Snowpipe Streaming High Performance Architecture https://docs.snowflake.com/en/user-guide/snowpipe-streaming/snowpipe-streaming-high-performance-overview |
2.x.x |
正式にサポート |
アップグレード推奨。サポート対象外 Snowpipe Streaming High Performance Architecture https://docs.snowflake.com/en/user-guide/snowpipe-streaming/snowpipe-streaming-high-performance-overview |
1.x.x |
サポート対象外 |
このリリースシリーズは使用しないでください。 |
Confluent用のコネクタのインストール¶
Kafkaコネクタファイルのダウンロード¶
次のいずれかの場所からKafkaコネクタ JAR ファイルをダウンロードします。
- Confluentハブ:
-
このパッケージには、キーペア認証に暗号化または非暗号化秘密キーを使用するために必要なすべての依存関係が含まれています。詳細については、このトピックの後半にある キーペア認証とキーローテーションの使用 をご参照ください。
- Maven Central Repository:
https://mvnrepository.com/artifact/com.snowflake
このバージョンを使用する場合は、 Bouncy Castle 暗号化ライブラリ(JAR ファイル)をダウンロードする必要があります。
これらのファイルをKafkaコネクタ JAR ファイルと同じローカルフォルダーにダウンロードします。
コネクタのソースコードはhttps://github.com/snowflakedb/snowflake-kafka-connectorから入手できます。
Kafkaコネクタのインストール¶
他のコネクタをインストールするために提供されている手順を使用して、Kafkaコネクタをインストールします。
オープンソースApache Kafka用のコネクタのインストール¶
このセクションでは、オープンソースのApache Kafka用にKafkaコネクタをインストールおよび構成する手順について説明します。
Apache Kafkaのインストール¶
Kafka公式ウェブサイト からKafkaパッケージをダウンロードします。
ターミナルウィンドウで、パッケージファイルをダウンロードしたディレクトリに移動します。
次のコマンドを実行して、
kafka_<scalaバージョン>-<kafkaバージョン>.tgzファイルを解凍します。tar xzvf kafka_<scala_version>-<kafka_version>.tgz
JDK のインストール¶
Java Development Kit(JDK)バージョン11以降をインストールして構成します。Snowflakeは、 SEのStandard Edition(JDK)でテストします。Enterprise Edition(EE)は互換性があると予想されますが、テストされていません。
以前に JDK をインストールしている場合 、このセクションをスキップできます。
`Oracle JDK ウェブサイト<https://www.oracle.com/technetwork/java/javase/downloads/index.html>`_ から JDK をダウンロードします。
JDKをインストールまたは解凍します。
ご使用のオペレーティングシステムの手順に従って、環境変数 JAVA_HOME が JDKを含むディレクトリを指すように設定します。
Kafka Connector JAR ファイルをダウンロードします¶
Maven Central RepositoryからKafkaコネクタ JAR ファイルをダウンロードします。
`Bouncy Castle<https://www.bouncycastle.org/>`_ 暗号化ライブラリjarファイルをダウンロードします。
Kafkaデータが Apache Avro 形式でストリーミングされている場合、Avro JAR ファイル(1.11.4)をダウンロードします。
コネクタのソースコードはhttps://github.com/snowflakedb/snowflake-kafka-connectorから入手できます。
Kafkaコネクタのインストール¶
オープンソースApache Kafka用のコネクタのインストール でダウンロードした JAR ファイルを <kafka_dir>/libs フォルダーにコピーします。
Kafkaコネクタの構成¶
スタンドアロンモードでデプロイされる場合、コネクタは、Snowflakeログイン認証情報、トピック名、Snowflakeテーブル名などのパラメーターを指定するファイルを作成して構成されます。分散モードでデプロイすると、コネクタはKafka接続クラスターの RESTAPI エンドポイントを呼び出すことで構成されます。
重要
Kafka Connectフレームワークは、Kafkaコネクタの構成設定をマスターノードからワーカーノードにブロードキャストします。構成設定には、機密情報(具体的にはSnowflakeユーザー名とプライベートキー)が含まれます。Kafka Connectノード間の通信チャネルを必ず保護してください。詳細については、Apache Kafkaソフトウェア用ドキュメントをご参照ください。
各設定は、1つのデータベースとそのデータベース内の1つのスキーマのトピックと対応するテーブルを指定します。1つのコネクタは任意の数のトピックからメッセージを取り込むことができますが、対応するテーブルはすべて単一のデータベースとスキーマに保存される必要があります。
このセクションでは、分散モードとスタンドアロンモードの両方について説明します。
構成フィールドの説明については、 コネクタ構成プロパティ をご参照ください。
重要
通常、構成ファイルには秘密キーなどのセキュリティ関連情報が含まれているため、ファイルに読み取り/書き込み権限を適切に設定してアクセスを制限してください。
さらに、設定ファイルを安全な外部の場所またはキー管理サービスに保存することを検討してください。詳細については、 秘密の外部化 (このトピック内)をご覧ください。
分散モード¶
Kafka設定ファイルを作成します(例: <path>/<config_file>.json)すべてのコネクタ構成情報をファイルに入力します。ファイルは JSON 形式にする必要があります。
サンプル構成ファイル
{
"name":"XYZCompanySensorData",
"config":{
"connector.class": "com.snowflake.kafka.connector.SnowflakeStreamingSinkConnector",
"tasks.max": "1",
"snowflake.topic2table.map": "topic1:table_1,topic2:table_2",
"snowflake.url.name": "myorganization-myaccount.snowflakecomputing.com:443",
"snowflake.warehouse.name": "WH",
"snowflake.private.key": "-----BEGIN PRIVATE KEY-----\n .... \n-----END PRIVATE KEY-----\n",
"snowflake.schema.name": "MY_SCHEMA",
"snowflake.database.name": "MY_DATABASE",
"snowflake.role.name": "MY_ROLE",
"snowflake.user.name": "MY_USER",
"value.converter": "org.apache.kafka.connect.json.JsonConverter",
"key.converter": "org.apache.kafka.connect.storage.StringConverter",
"errors.log.enable": "true",
"topics": "topic1,topic2",
"value.converter.schemas.enable": "false",
"errors.tolerance": "none"
}
}
スタンドアロンモード¶
設定ファイルを作成します。例: :file:`<kafka_dir>/config/SF_connect.properties`すべてのコネクタ構成情報をファイルに入力します。
サンプル構成ファイル
connector.class=com.snowflake.kafka.connector.SnowflakeStreamingSinkConnector
tasks.max=1
snowflake.topic2table.map=topic1:table_1,topic2:table_2
snowflake.url.name=myorganization-myaccount.snowflakecomputing.com:443
snowflake.warehouse.name=WH
snowflake.private.key=-----BEGIN PRIVATE KEY-----\n .... \n-----END PRIVATE KEY-----\n
snowflake.schema.name=MY_SCHEMA
snowflake.database.name=MY_DATABASE
snowflake.role.name=MY_ROLE
snowflake.user.name=MY_USER
value.converter=org.apache.kafka.connect.json.JsonConverter
key.converter=org.apache.kafka.connect.storage.StringConverter
errors.log.enable=true
topics=topic1,topic2
name=XYZCompanySensorData
value.converter.schemas.enable=false
errors.tolerance=none
テストとプロトタイピングのためのキャッシュに関する考慮事項¶
コネクタはテーブルとパイプの存在チェックをキャッシュし、パーティションの再バランス調整中のパフォーマンスを向上させます。ただし、テストおよびプロトタイピング中は、このキャッシュ動作により、コネクタが手動で作成されたテーブルまたはパイプをすぐに検出しない可能性があります。
問題: コネクタの実行中にテーブルやパイプを手動で作成した場合、コネクタはデフォルトで最大5分間、キャッシュされた存在チェック結果(オブジェクトが存在しないことを示すこともあります)を使用し続ける可能性があります。これにより、テスト中に予期しないエラーや動作が発生する可能性があります。
テストの推奨: テストおよびプロトタイピング中にキャッシュ関連の問題を回避するには、両方のキャッシュ有効期限パラメーターを最小値の 1 ミリ秒に設定するか、キャッシュを無効にします。
snowflake.cache.table.exists.expire.ms=1
snowflake.cache.pipe.exists.expire.ms=1
この構成により、パーティションの再バランスごとにコネクタが最新の存在チェックを実行でき、手動で作成されたテーブルやパイプの効果をすぐに確認できるようになります。
重要
これらの最小限のキャッシュ設定は、 テストとプロトタイプ作成のみ に推奨されます。実稼働環境では、デフォルトのキャッシュ有効期限値(5分以上)を使用して、Snowflakeへのメタデータクエリを最小限に抑え、特に多数のパーティションを処理する場合に再バランスのパフォーマンスを向上させます。
コネクタ構成プロパティ¶
必須のプロパティ¶
nameアプリケーション名。これは、顧客が使用するすべてのKafkaコネクタで一意でなければなりません。この名前は、引用符で囲まれていないSnowflakeの有効な識別子である必要があります。有効な識別子については、 識別子の要件 をご参照ください。
connector.classcom.snowflake.kafka.connector.SnowflakeStreamingSinkConnectortopicsトピックのコンマ区切りリスト。デフォルトでは、Snowflakeはテーブル名がトピック名と同じであると想定します。テーブル名がトピック名と同じでない場合は、オプションの
topic2table.mapパラメーター(下記)を使用して、トピック名からテーブル名へのマッピングを指定します。このテーブル名は、引用符で囲まれていないSnowflakeの有効な識別子である必要があります。有効なテーブル名については、 識別子の要件 をご参照ください。注釈
両方ではなく、
topicsまたはtopics.regexの いずれか が必要です。topics.regexこれは、Snowflakeテーブルに読み込むメッセージを含むトピックを指定する正規表現(「regex」)です。コネクタは、正規表現に一致するトピック名からデータをロードします。正規表現は、Java正規表現のルールに従う必要があります(つまり、java.util.regex.Patternと互換性があります)。構成ファイルには、両方ではなく、
topicsまたはtopics.regexの いずれか を含める必要があります。snowflake.url.nameSnowflakeアカウントにアクセスするための URL。この URL には、使用する アカウント識別子 が含まれている必要があります。プロトコル(
https://)とポート番号はオプションです。snowflake.user.nameSnowflakeアカウントのユーザーログイン名。
snowflake.role.nameコネクタがテーブルにデータを挿入するために使用するロールの名前。
snowflake.private.keyユーザーを認証するための秘密キー。ヘッダーまたはフッターではなく、キーのみを含めます。キーが複数の行に分割されている場合、改行を削除します。暗号化されていないキーを提供するか、暗号化されたキーを提供して
snowflake.private.key.passphraseパラメーターを提供し、Snowflakeがキーを復号化できるようにします。:emph:` パラメーター値が暗号化されている時に限り``snowflake.private.key`、このパラメーターを使用します。これにより、 キーペア認証とキーペアローテーション の指示に従って暗号化された秘密キーが復号化されます。注釈
オプションのプロパティ の
snowflake.private.key.passphraseもご参照ください。snowflake.database.name行を挿入するテーブルを含むデータベースの名前。
snowflake.schema.name行を挿入するテーブルを含むスキーマの名前。
header.converterレコードがAvroでフォーマットされ、ヘッダーが含まれている場合にのみ必要です。値は
"org.apache.kafka.connect.storage.StringConverter"です。key.converterこれは、Kafkaの記録のキーコンバーターです(例:
"org.apache.kafka.connect.storage.StringConverter")。これはKafkaコネクタでは使用されませんが、Kafka Connectプラットフォームでは必要です。現在の制限については Kafkaコネクタの制限 をご参照ください。
value.converterコネクタは、標準のKafkaコミュニティコンバーターをサポートしています。データ形式に基づいて適切なコンバーターを選択します。
JSON 記録の場合:
"org.apache.kafka.connect.json.JsonConverter"スキーマレジストリを使用するAvro記録の場合:
"io.confluent.connect.avro.AvroConverter"
現在の制限については Kafkaコネクタの制限 をご参照ください。
オプションのプロパティ¶
snowflake.private.key.passphraseこのパラメーターの値が空でない場合、コネクタはこのフレーズを使用して秘密キーの復号化を試みます。
tasks.maxタスクの数。通常、Kafka Connectクラスタのワーカーノード全体の CPU コアの数と同じです。最適なパフォーマンスを実現するために、タスク数をKafkaパーティションの総数と等しく、CPU コアの数を超えないように設定することをお勧めします。タスク数が多いとメモリ消費量が増え、頻繁にリバランスが発生する可能性があります。
snowflake.topic2table.mapこのオプションのパラメータにより、ユーザーはどのトピックをどのテーブルにマッピングするかを指定できます。各トピックとそのテーブル名はコロンで区切る必要があります(以下を参照)。このテーブル名は、引用符で囲まれていないSnowflakeの有効な識別子である必要があります。有効なテーブル名については、 識別子の要件 をご参照ください。トピック設定では、
topics.regexの使用と同様に、正規表現を使ってトピックを定義することができます。正規表現はあいまいであってはならず、一致するトピックは単一のターゲットテーブルのみに一致しなければなりません。例:
topics="topic1,topic2,topic5,topic6" snowflake.topic2table.map="topic1:low_range,topic2:low_range,topic5:high_range,topic6:high_range"
次のように書くことができます:
topics.regex="topic[0-9]" snowflake.topic2table.map="topic[0-4]:low_range,topic[5-9]:high_range"
value.converter.schema.registry.url形式がAvroで、スキーマレジストリサービスを使用している場合、これはスキーマレジストリサービスの URL である必要があります。それ以外の場合、このフィールドは空でなければなりません。
value.converter.break.on.schema.registry.errorSchema Registry ServiceからAvroデータをロードする場合、このプロパティは、スキーマIDのフェッチ中にエラーが発生した場合にKafkaコネクタがレコードの消費を停止するかどうかを決定します。デフォルト値は
falseです。この動作を有効にするには、値をtrueに設定します。jvm.proxy.hostSnowflake Kafka Connectorがプロキシサーバー経由でSnowflakeにアクセスできるようにするには、このパラメーターを設定して、そのプロキシサーバーのホストを指定します。
jvm.proxy.portSnowflake Kafka Connectorがプロキシサーバーを介してSnowflakeにアクセスできるようにするには、このパラメーターを設定してそのプロキシサーバーのポートを指定します。
snowflake.streaming.max.client.lagコネクタがSnowflakeにデータをフラッシュする頻度を秒単位で指定します。
- 値:
最小:
1秒最大:
600秒
- デフォルト:
1秒
jvm.proxy.usernameプロキシサーバーで認証するユーザー名。
jvm.proxy.passwordプロキシサーバーで認証するユーザー名のパスワード。
snowflake.jdbc.map例:
"snowflake.jdbc.map": "networkTimeout:20,tracing:WARNING"その他の JDBC プロパティ(JDBC ドライバーの接続パラメーター参照 参照)は検証されません。これらの追加プロパティは検証されず、以下のような必須プロパティをオーバーライドしたり、その代わりに使ったりしてはなりません:
jvm.proxy.xxx、snowflake.user.name、snowflake.private.key、snowflake.schema.nameなど。- 以下の組み合わせのいずれかを指定します:
tracingプロパティとJDBC_TRACE環境変数databaseプロパティとsnowflake.database.name
曖昧な動作となり、動作は JDBC ドライバーによって決定されます。
value.converter.basic.auth.credentials.sourceAvroデータ形式を使用していて、Kafkaスキーマレジストリへの安全なアクセスが必要な場合、このパラメーターを文字列「USER_INFO」に設定し、以下で説明する
value.converter.basic.auth.user.infoパラメーターを設定します。それ以外の場合は、このパラメーターを省略します。value.converter.basic.auth.user.infoAvroデータ形式を使用していて、Kafkaスキーマレジストリへの安全なアクセスが必要な場合は、上記のとおりこのパラメーターを文字列「<user_ID>:<password>」に設定し、value.converter.basic.auth.credentials.sourceパラメーターを設定します。それ以外の場合は、このパラメーターを省略します。
snowflake.metadata.createtime値が FALSE に設定されている場合、
CreateTimeプロパティ値は RECORD_METADATA 列のメタデータから省略されます。デフォルト値は TRUE です。snowflake.metadata.topic値が FALSE に設定されている場合、
topicプロパティ値は RECORD_METADATA 列のメタデータから省略されます。デフォルト値は TRUE です。snowflake.metadata.offset.and.partition値が FALSE に設定されている場合、
OffsetおよびPartitionプロパティ値は RECORD_METADATA 列のメタデータから省略されます。デフォルト値は TRUE です。snowflake.metadata.all値が FALSE に設定されている場合、 RECORD_METADATA 列のメタデータは完全に空です。デフォルト値は TRUE です。
transformsKafkaコネクタが検出したtombstoneレコードをスキップし、それらをターゲットテーブルにロードしないように指定します。tombstoneレコードは、値フィールド全体がnullであるレコードとして定義されます。
プロパティ値を
"tombstoneHandlerExample"に設定します。注釈
このプロパティは、Kafkaコミュニティコンバーター(つまり、
value.converterプロパティ値)でのみ使用します(例:org.apache.kafka.connect.json.JsonConverterまたはorg.apache.kafka.connect.json.AvroConverter)。Snowflakeコンバーターでtombstoneレコードの処理を管理するには、代わりにbehavior.on.null.valuesプロパティを使用します。transforms.tombstoneHandlerExample.typetransformsプロパティを設定するときに必要です。プロパティ値を
"io.confluent.connect.transforms.TombstoneHandler"に設定behavior.on.null.valuesKafkaコネクタがtombstoneレコードを処理する方法を指定します。tombstoneレコードは、値フィールド全体がnullであるレコードとして定義されます。 Snowpipe では、このプロパティは Kafkaコネクタのバージョン1.5.5以降でサポートされています。Snowpipeストリーミング では、このプロパティはKafkaコネクタのバージョン2.1.0以降でサポートされています。
このプロパティは、次の値をサポートします。
DEFAULTKafkaコネクタがtombstoneレコードを検出すると、コンテンツ列に空の JSON 文字列を挿入します。
IGNOREKafkaコネクタはtombstoneレコードをスキップし、これらのレコードの行を挿入しません。
デフォルト値は
DEFAULTです。注釈
Tombstone記録のインジェスチョンは、インジェスチョンメソッドによって異なります。
Snowpipeでは、KafkaコネクタはSnowflakeコンバーターのみを使用します。Kafkaコミュニティコンバーターを使用してtombstoneレコードの処理を管理するには、代わりに
transformプロパティとtransforms.tombstoneHandlerExample.typeプロパティを使用します。Snowpipe Streamingでは、Kafkaコネクタはコミュニティコンバーターのみを使用します。
Kafkaブローカーに送信された記録は、Kafkaコネクタによって削除され、オフセットが欠落するため、 NULL であってはなりません。オフセットの欠落は、特定のユースケースにおいてKafkaコネクタを破壊します。NULL の記録ではなく、tombstoneの記録を使用することをお勧めします。
キーペア認証とキーローテーションの使用¶
Kafkaコネクタは、ユーザー名とパスワード認証の代わりに、キーペア認証に依存しています。この認証方法には、2048ビット(最小)の RSA キーペアが必要です。OpenSSLを使用して公開キーと秘密キーのペアを生成します。公開キーは、構成ファイルで定義されたSnowflakeユーザーに割り当てられます。
このページのキーペア認証タスクと キーペアのローテーション</user-guide/key-pair-auth>`のタスクを完了した後、このトピックの後半にある :ref:`label-kafkahp_externalize_secrets の推奨事項を評価します。
公開/秘密キーペアを構成するには、
ターミナルウィンドウのコマンドラインから、秘密キーを生成します。
秘密キーの暗号化バージョンまたは非暗号化バージョンを生成できます。
注釈
Kafkaコネクタは、連邦情報処理標準(140-2)(つまり、 FIPS 140-2)要件を満たすように検証された暗号化アルゴリズムをサポートしています。詳細については、 FIPS 140-2 をご参照ください。
非暗号化バージョンを生成するには、次のコマンドを使用します。
$ openssl genrsa -out rsa_key.pem 2048
暗号化バージョンを生成するには、次のコマンドを使用します。
$ openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 <algorithm> -inform PEM -out rsa_key.p8
<アルゴリズム>は、 FIPS 140-2準拠の暗号化アルゴリズムです。たとえば、暗号化アルゴリズムとして AES 256を指定するには、
$ openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 aes256 -inform PEM -out rsa_key.p8
秘密キーの暗号化されたバージョンを生成する場合、パスフレーズを記録します。後で、Kafka構成ファイルの
snowflake.private.key.passphraseプロパティでパスフレーズを指定します。サンプル PEM 秘密キー
-----BEGIN ENCRYPTED PRIVATE KEY----- MIIE6TAbBgkqhkiG9w0BBQMwDgQILYPyCppzOwECAggABIIEyLiGSpeeGSe3xHP1 wHLjfCYycUPennlX2bd8yX8xOxGSGfvB+99+PmSlex0FmY9ov1J8H1H9Y3lMWXbL ... -----END ENCRYPTED PRIVATE KEY-----
コマンドラインから、秘密キーを参照して公開キーを生成します。
秘密キーが暗号化され、「
rsa_key.p8」という名前のファイルに含まれていると仮定して、次のコマンドを使用します。$ openssl rsa -in rsa_key.p8 -pubout -out rsa_key.pub
サンプル PEM 公開キー
-----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy+Fw2qv4Roud3l6tjPH4 zxybHjmZ5rhtCz9jppCV8UTWvEXxa88IGRIHbJ/PwKW/mR8LXdfI7l/9vCMXX4mk ... -----END PUBLIC KEY-----
公開キーファイルと秘密キーファイルを保存用のローカルディレクトリにコピーします。ファイルへのパスを記録します。秘密キーは PKCS#8(公開キー暗号化標準)形式を使用して格納され、前の手順で指定したパスフレーズを使用して暗号化されることに注意してください。ただし、オペレーティングシステムが提供するファイル権限メカニズムを使用して、ファイルを不正アクセスから保護する必要があります。ファイルが使用されていない場合、ファイルを保護するのはユーザーの責任です。
Snowflakeにログインします。 ALTER USER を使用して、Snowflakeユーザーに公開キーを割り当てます。
例:
ALTER USER jsmith SET RSA_PUBLIC_KEY='MIIBIjANBgkqh...';
注釈
ユーザーを変更できるのは、セキュリティ管理者(つまり、 SECURITYADMIN ロールのユーザー)以上のみです。
SQL ステートメントで公開キーのヘッダーとフッターを除外します。
DESCRIBE USER を使用してユーザーの公開キーの指紋を検証します。
DESC USER jsmith; +-------------------------------+-----------------------------------------------------+---------+-------------------------------------------------------------------------------+ | property | value | default | description | |-------------------------------+-----------------------------------------------------+---------+-------------------------------------------------------------------------------| | NAME | JSMITH | null | Name | ... ... | RSA_PUBLIC_KEY_FP | SHA256:nvnONUsfiuycCLMXIEWG4eTp4FjhVUZQUQbNpbSHXiA= | null | Fingerprint of user's RSA public key. | | RSA_PUBLIC_KEY_2_FP | null | null | Fingerprint of user's second RSA public key. | +-------------------------------+-----------------------------------------------------+---------+-------------------------------------------------------------------------------+
注釈
RSA_PUBLIC_KEY_2_FPプロパティは、 キーペアローテーションの構成 で説明されています。秘密キー全体をコピーして、構成ファイルの
snowflake.private.keyフィールドに貼り付けます。ファイルを保存します。
シークレットの外部化¶
Snowflakeは、秘密キーなどの秘密を外部化し、暗号化された形式、または AWS Key Management Service(KMS)、Microsoft Azure Key Vault、 HashiCorp Vaultなどのキー管理サービスで保存することを強くお勧めします。これは、Kafka Connectクラスターで ConfigProvider 実装を使用して実現できます。
詳細については、この サービス のConfluent説明をご参照ください。
コネクタの開始¶
サードパーティのConfluentまたはApache Kafkaのドキュメントに記載されている手順を使用して、Kafkaを開始します。Kafkaコネクタは、分散モードまたはスタンドアロンモードで開始できます。それぞれの手順を以下に示します。
分散モード¶
ターミナルウィンドウから次のコマンドを実行します。
curl -X POST -H "Content-Type: application/json" --data @<path>/<config_file>.json http://localhost:8083/connectors
スタンドアロンモード¶
ターミナルウィンドウから次のコマンドを実行します。
<kafka_dir>/bin/connect-standalone.sh <kafka_dir>/<path>/connect-standalone.properties <kafka_dir>/config/SF_connect.properties
注釈
Apache KafkaまたはConfluent Kafkaのデフォルトのインストールには、すでにファイル connect-standalone.properties が含まれているはずです)