Menyiapkan Lakehouse lintas cloud untuk Databricks Unity Catalog

Dokumen ini menjelaskan cara menyiapkan Lakehouse lintas cloud untuk mengkueri data dari katalog Databricks Unity Catalog langsung dalam Google Cloud. Kemampuan ini menyatukan analisis data Anda dengan mengintegrasikan sumber data eksternal dengan lingkunganGoogle Cloud yang ada.

Setelah itu, Anda dapat menggunakan Lakehouse untuk Apache Iceberg guna mengelola akses ke data gabungan Anda.

Sebelum memulai

  1. Tinjau Ringkasan Lakehouse untuk memahami cara Lakehouse mengelola akses ke data.
  2. Baca Tentang Lakehouse lintas cloud untuk memahami cara kerjanya.
  3. Tinjau katalog yang didukung untuk memverifikasi persyaratan lokasi eksternal dan konfigurasi yang didukung.
  4. Pahami cara menggunakan secret Secret Manager regional. Langkah ini diperlukan untuk menyiapkan Lakehouse lintas cloud dengan Databricks Unity Catalog.
  5. Buat OAuth Service Principal (client ID dan rahasia klien) dalam penyedia katalog jarak jauh Anda yang memiliki akses baca ke katalog target. Proses ini berada di luar cakupan dokumentasi ini.
  6. Opsional: Jika Anda berencana merutekan kueri melalui interkoneksi pribadi antara Google Cloud VPC Anda dan VPC penyedia cloud jarak jauh Anda (misalnya, AWS), pastikan Anda memiliki akun aktif dengan penyedia jarak jauh Anda, sediakan Cross-Cloud Interconnect atau Partner Interconnect, buat sesi BGP dengan Cloud Router Anda, dan verifikasi bahwa Anda memiliki izin IAM yang diperlukan di kedua lingkungan cloud.
  7. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the BigLake, Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the BigLake, Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    12.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk menyiapkan Lakehouse lintas cloud, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

  • Mengelola katalog Lakehouse: BigLake Admin (roles/biglake.admin)
  • Mengelola secret: Secret Manager Admin (roles/secretmanager.admin)
  • Merutekan traffic melalui interkoneksi pribadi: Admin Jaringan Compute (roles/compute.networkAdmin), Pelihat Direktori Layanan (roles/servicedirectory.viewer), dan Layanan yang Diizinkan PSC Direktori Layanan (roles/servicedirectory.pscAuthorizedService)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Detail katalog yang didukung

Panduan ini memberikan petunjuk untuk menyiapkan Lakehouse lintas cloud dengan katalog Databricks Unity Catalog di Amazon Web Services (AWS) atau Google Cloud. Untuk mengetahui informasi mendetail terkait persyaratan lokasi eksternal dan konfigurasi yang didukung, lihat Katalog yang didukung.

Batasan dan pertimbangan

Bagian ini mencantumkan batasan dan pertimbangan untuk menggunakan Lakehouse lintas cloud.

  • Penyedia Cloud yang Didukung: Penggunaan Private Interconnect dengan Lakehouse lintas cloud Anda didukung dengan penyedia cloud jarak jauh berikut: Amazon Web Services (AWS). Anda dapat menggunakan Cross-Cloud Interconnect atau Partner Interconnect.
  • Hanya katalog Databricks Unity Catalog yang menggunakan lokasi eksternal di AWS atau lokasi eksternal di Google Cloud yang didukung. Katalog Unity Catalog yang menggunakan penyimpanan default di AWS atau penyimpanan default di Google Cloud tidak didukung.
  • Anda harus mengaktifkan akses data eksternal di metastore yang digunakan oleh Unity Catalog, yang dinonaktifkan secara default.
  • Perutean jaringan: Jika interkoneksi pribadi (seperti CCI milik pelanggan atau Partner Interconnect) tidak dikonfigurasi, kueri akan dirutekan melalui internet publik. Hal ini dapat menyebabkan biaya traffic keluar yang lebih tinggi dari penyedia cloud jarak jauh Anda dan performa yang kurang dapat diprediksi.
  • Keaktualan data: Flag --refresh-interval untuk katalog gabungan menentukan seberapa sering metadata disinkronkan. Interval yang lebih pendek memberikan data yang lebih baru, tetapi dapat menimbulkan biaya API tambahan dari penyedia katalog jarak jauh.

  • Pelaporan Metrik Iceberg: Pelaporan Metrik Iceberg tidak tersedia untuk katalog gabungan. Tetapkan properti rest-metrics-reporting-enabled ke false di klien Iceberg Anda saat mengakses katalog gabungan.

Alur kerja umum

Untuk menyiapkan dan menggunakan Lakehouse lintas cloud, ikuti langkah-langkah umum berikut:

  • Siapkan Cross-Cloud Interconnect (Opsional): Konfigurasi koneksi pribadi antara Google Cloud VPC Anda dan penyedia cloud jarak jauh Anda.
  • Siapkan federasi: Buat secret di Secret Manager dengan kredensial katalog jarak jauh Anda. Kemudian, buat katalog gabungan di Lakehouse dan beri akses ke secret tersebut.
  • Verifikasi koneksi: Verifikasi bahwa Lakehouse dapat berhasil terhubung ke katalog jarak jauh Anda.
  • Kueri data: Jalankan kueri terhadap data gabungan Anda menggunakan BigQuery atau Managed Service untuk Apache Spark. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Lakehouse lintas cloud.
  • Mengonfigurasi izin: Gunakan Identity and Access Management (IAM) untuk mengelola siapa yang dapat melihat dan membuat kueri data gabungan.

Menyiapkan Cross-Cloud Interconnect (Opsional)

Kueri ke katalog jarak jauh Anda dikirim melalui internet publik secara default. Untuk membantu meningkatkan keamanan dan kepatuhan, memberikan performa yang dapat diprediksi, dan mengurangi biaya transfer data, gunakan interkoneksi pribadi. Hal ini akan membuat koneksi jaringan pribadi khusus antara Google Cloud Virtual Private Cloud (VPC) Anda dan jaringan penyedia cloud jarak jauh Anda (misalnya, AWS).

Anda dapat menyediakan dan mengonfigurasi salah satu opsi interkoneksi pribadi berikut antara VPC Anda dan VPC penyedia cloud jarak jauh Anda (misalnya, AWS): Google Cloud

Buat sesi BGP antara Cloud Router Anda di Google Cloud dan VPC penyedia cloud jarak jauh Anda untuk memastikan pertukaran rute.

Untuk mengaktifkan pembuatan kueri pribadi, Anda harus mengonfigurasi jalur dari Lakehouse ke bucket penyimpanan jarak jauh Anda (misalnya, bucket AWS Amazon S3) melalui interkoneksi pribadi Anda. Ada dua alur arsitektur yang dapat Anda ikuti untuk mengonfigurasi pemilihan rute ini:

  • Perutean Load Balancer Jaringan proxy regional internal: Alur ini menggunakan Google Cloud Load Balancer Jaringan proxy regional internal untuk mendistribusikan permintaan di seluruh Grup Endpoint Jaringan (NEG) Konektivitas Hybrid yang mengarah ke beberapa Elastic Network Interface (ENI) AWS. Alur ini sangat penting untuk load balancing, skalabilitas, dan ketersediaan tinggi. Hal ini diperlukan untuk Partner Interconnect dan direkomendasikan untuk Cross-Cloud Interconnect untuk load balancing, skalabilitas, dan ketersediaan tinggi.
  • Perutean endpoint langsung: Alur ini menghubungkan Service Directory langsung ke satu alamat IP Endpoint VPC Antarmuka AWS. Alur ini hanya berfungsi untuk Cross-Cloud Interconnect dan tidak didukung untuk Partner Interconnect.

Pilih alur konfigurasi yang sesuai dengan persyaratan arsitektur Anda:

Load Balancer Jaringan proxy internal regional

Untuk mengonfigurasi Load Balancer Jaringan proxy regional internal guna mendistribusikan permintaan di beberapa ENI AWS untuk ketersediaan tinggi dan load balancing, ikuti langkah-langkah berikut:

Mengonfigurasi jaringan AWS

Pertama, buat Endpoint Antarmuka VPC Amazon S3 (AWS PrivateLink):

  1. Di konsol AWS VPC, buat Endpoint Antarmuka untuk Amazon S3.
  2. Untuk nama layanan, tentukan com.amazonaws.<var>AWS_REGION</var>.s3.
  3. Pilih VPC dan subnet yang terhubung melalui Direct Connect ke VPC Anda. Google Cloud
  4. Lampirkan Grup Keamanan ke endpoint untuk mengontrol akses masuk.
  5. Tindakan ini menyediakan Elastic Network Interface (ENI) di setiap subnet yang dipilih. Catat alamat IP pribadi ENI ini.

Selanjutnya, konfigurasikan Grup Keamanan:

  • Pastikan Grup Keamanan atau grup yang terpasang ke ENI Endpoint Amazon S3 mengizinkan traffic TCP masuk di port 443 dari rentang IP yang relevan di Google Cloud VPC Anda.

Mengonfigurasi Google Cloud jaringan

Ikuti petunjuk untuk menyiapkan Load Balancer Jaringan proxy internal regional untuk endpoint hybrid.

Saat mengikuti petunjuk, pastikan Anda melakukan hal berikut:

  • Buat NEG konektivitas hibrida (NON_GCP_PRIVATE_IP_PORT) dan tambahkan alamat IP pribadi ENI AWS yang Anda buat sebelumnya.
  • Gunakan port TCP 443 untuk NEG, health check, dan aturan penerusan.
  • Siapkan load balancer di Google Cloud region yang sama dengan katalog gabungan Anda.

Setelah membuat aturan penerusan untuk load balancer, catat alamat IP internal yang ditetapkan untuknya. Ini adalah ILB_IP_ADDRESS Anda.

Mengonfigurasi Service Directory

Daftarkan alamat IP ILB di Service Directory, sehingga Lakehouse dapat menemukannya.

  1. Buat namespace untuk cloud jarak jauh Anda:

    gcloud service-directory namespaces create NAMESPACE \
    --project=PROJECT_ID \
    --location=REGION

    Ganti kode berikut:

    • NAMESPACE: ID unik untuk namespace Anda.
    • PROJECT_ID: Google Cloud Project ID Anda.
    • REGION: Google Cloud region. Contoh, us-east4. Region ini harus sama dengan region katalog gabungan.

  2. Buat layanan di namespace Direktori Layanan:

    gcloud service-directory services create SERVICE_NAME \
    --namespace=NAMESPACE \
    --project=PROJECT_ID \
    --location=REGION

    Ganti kode berikut:

    • SERVICE_NAME: ID unik untuk layanan Anda.

  3. Buat endpoint untuk ILB di layanan:

    gcloud service-directory endpoints create ENDPOINT_NAME \
    --project=PROJECT_ID \
    --namespace=NAMESPACE \
    --service=SERVICE_NAME \
    --location=REGION \
    --network=projects/PROJECT_NUMBER/global/networks/VPC_NETWORK \
    --address=ILB_IP_ADDRESS \
    --port=443

    Ganti kode berikut:

    • ENDPOINT_NAME: ID unik untuk endpoint Anda.
    • PROJECT_NUMBER: nomor project Google Cloud Anda. Gunakan nomor project Anda di flag --network.
    • ILB_IP_ADDRESS: alamat IP internal aturan penerusan ILB Anda.

Endpoint langsung

Untuk mengonfigurasi Service Directory agar merutekan traffic langsung ke satu alamat IP Endpoint VPC Antarmuka AWS, ikuti langkah-langkah berikut:

  1. Buat Endpoint VPC Antarmuka untuk Amazon S3 di dalam VPC AWS Anda. Catat alamat IP dan port endpoint ini.

  2. Buat namespace untuk cloud jarak jauh Anda:

    gcloud service-directory namespaces create NAMESPACE \
    --project=PROJECT_ID \
    --location=REGION

    Ganti kode berikut:

    • NAMESPACE: ID unik untuk namespace Anda.
    • PROJECT_ID: Google Cloud Project ID Anda.
    • REGION: Google Cloud region. Contoh, us-east4. Region ini harus sama dengan region katalog gabungan.

  3. Buat layanan di namespace Direktori Layanan:

    gcloud service-directory services create SERVICE_NAME \
    --namespace=NAMESPACE \
    --project=PROJECT_ID \
    --location=REGION

    Ganti kode berikut:

    • SERVICE_NAME: ID unik untuk layanan Anda.

  4. Buat endpoint di layanan yang berisi informasi perutean untuk Endpoint VPC Antarmuka Amazon S3 Anda:

    gcloud service-directory endpoints create ENDPOINT_NAME \
    --service=SERVICE_NAME \
    --namespace=NAMESPACE \
    --project=PROJECT_ID \
    --location=REGION \
    --address=S3_VPCE_IP_ADDRESS \
    --port=S3_VPCE_PORT \
    --network=projects/PROJECT_NUMBER/global/networks/VPC_NETWORK

    Ganti kode berikut:

    • ENDPOINT_NAME: ID unik untuk endpoint Anda.
    • S3_VPCE_IP_ADDRESS: alamat IP Endpoint VPC Antarmuka Amazon S3 Anda. Contoh, 10.0.1.45.
    • S3_VPCE_PORT: nomor port Endpoint VPC Antarmuka Amazon S3. Contoh, 443.
    • PROJECT_NUMBER: nomor project Google Cloud Anda. Gunakan nomor project Anda di flag --network.
    • VPC_NETWORK: nama jaringan Google Cloud VPC yang terkait dengan interkoneksi pribadi Anda.

Menyiapkan penggabungan

Untuk membuat kueri data, Anda harus menyiapkan katalog gabungan Lakehouse yang terhubung ke katalog jarak jauh Anda.

Membuat secret regional

Federasi memerlukan kredensial untuk mengakses katalog jarak jauh. Lakehouse menggunakan secret Secret Manager regional untuk menyimpan dan mengambil kredensial ini dengan aman guna mengautentikasi penyedia jarak jauh Anda.

Untuk Databricks, Anda harus membuat Service Principal di akun Databricks dan membuat client ID dan secret klien OAuth. Verifikasi bahwa Service Principal ini memiliki akses baca ke katalog Unity Catalog target. Kemudian, format kredensial ini sebagai payload JSON untuk disimpan di Secret Manager.

  1. Buat file JSON bernama credentials.json dengan payload Anda:

    {
  "client_id": "CLIENT_ID",
  "client_secret": "CLIENT_SECRET"
}

    Ganti kode berikut:

    • CLIENT_ID: Client ID OAuth untuk Akun Utama Layanan Databricks Anda.
    • CLIENT_SECRET: Rahasia klien OAuth untuk Principal Layanan Databricks Anda.

  2. Konfigurasi endpoint regional untuk Secret Manager:

    Secara default, Secret Manager menggunakan endpoint global. Namun, Lakehouse lintas cloud mengharuskan secret Anda disimpan di region yang sama dengan katalog Lakehouse Anda. Untuk berinteraksi dengan secret regional menggunakan CLI gcloud, Anda harus mengganti endpoint API default untuk sesi atau profil saat ini. Untuk menghindari masalah konektivitas, secret dan katalog Anda harus dibuat di region yang sama. Contoh, secretmanager.us-east4.rep.googleapis.com.

    gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.REGION.rep.googleapis.com/

    Ganti kode berikut:

    • REGION: Region Google Cloud tempat secret Secret Manager Anda disimpan. Misalnya, us-east4. Untuk menghindari masalah konektivitas, rahasia dan katalog Anda harus dibuat di region yang sama. Contoh, secretmanager.us-east4.rep.googleapis.com.

  3. Upload payload ke Secret Manager:

    gcloud secrets create DATABRICKS_SECRET_NAME \
  --location="REGION" \
  --project="PROJECT_ID" \
  --data-file=credentials.json

    Ganti kode berikut:

    • DATABRICKS_SECRET_NAME: Nama untuk secret Databricks Anda.

Membuat katalog gabungan

Buat katalog gabungan menggunakan perintah gcloud biglake iceberg catalogs create.

Konsol

  1. Di konsol Google Cloud , buka Lakehouse.

    Buka Lakehouse

  2. Klik Buat katalog.

  3. Klik Federated catalog.

    Detail Konfigurasi katalog akan muncul.

  4. Untuk Sumber katalog gabungan, pilih Unity (Databricks).

  5. Untuk Lokasi data, pilih region Lakehouse tempat Anda ingin membuat katalog gabungan. Contoh, us-east4. Untuk meminimalkan latensi (bahkan melalui internet publik), lakukan hal berikut saat memilih region:

    • Jika katalog Unity Catalog Anda ada di AWS, pilih Google Cloud region yang paling dekat dengan region AWS Anda.
    • Jika katalog Unity Catalog Anda aktif Google Cloud, pilih region yang sama persis.

  6. Klik Lanjutkan.

    Detail Detail koneksi akan muncul.

  7. Di bagian Detail katalog jarak jauh, di kolom Nama instance Unity, masukkan nama instance Databricks target Anda. Misalnya: abcd.cloud.databricks.com.

  8. Di kolom Unity catalog name, masukkan nama katalog Unity Catalog Databricks target yang akan difederasikan.

  9. Di bagian Authentication and network, di kolom Secret, masukkan nama secret Databricks Anda. Gunakan format berikut projects/PROJECT_ID/locations/REGION/secrets/DATABRICKS_SECRET_NAME.

  10. Opsional: Di kolom Nama direktori layanan, masukkan jalur ke layanan Service Directory Anda. Contoh: projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE_NAME. Langkah ini hanya diperlukan jika Anda mengonfigurasi Cross-Cloud Interconnect.

  11. Klik Create.

gcloud CLI

Internet publik (tanpa CCI)

Jika Anda tidak mengonfigurasi CCI, koneksi akan berjalan dengan aman melalui internet publik.

gcloud biglake iceberg catalogs create FEDERATED_CATALOG_NAME \
    --project="PROJECT_ID" \
    --primary-location="REGION" \
    --catalog-type="federated" \
    --federated-catalog-type="unity" \
    --secret-name="projects/PROJECT_ID/locations/REGION/secrets/DATABRICKS_SECRET_NAME" \
    --unity-instance-name="UNITY_INSTANCE_NAME" \
    --unity-catalog-name="UNITY_CATALOG_NAME" \
    --refresh-interval="REFRESH_INTERVAL" \
    --namespace-filters="NAMESPACE_FILTERS"

Ganti kode berikut:

  • PROJECT_ID: Google Cloud Project ID Anda.
  • REGION: region Lakehouse tempat katalog gabungan dibuat. Contoh, us-east4. Untuk meminimalkan latensi, lakukan hal berikut saat memilih wilayah:
    • Jika katalog Unity Catalog Anda ada di AWS, pilih Google Cloud region yang paling dekat dengan region AWS Anda.
    • Jika katalog Unity Catalog Anda aktif Google Cloud, pilih wilayah yang sama persis.
  • DATABRICKS_SECRET_NAME: nama secret Databricks Anda.
  • UNITY_INSTANCE_NAME: nama instance Databricks target Anda. Contoh: abcd.cloud.databricks.com.
  • UNITY_CATALOG_NAME: nama target katalog Databricks Unity Catalog yang akan difederasikan.
  • REFRESH_INTERVAL: Menentukan seberapa sering informasi katalog diperbarui. Tetapkan nilai ini sebagai durasi, misalnya, 330s atau 5m30s. Interval yang lebih pendek memperbarui data lebih sering, tetapi dapat menimbulkan biaya panggilan API yang lebih besar. Interval yang lebih panjang dapat lebih murah, tetapi data yang dikueri mungkin tidak mencerminkan set data terbaru Anda. Jika dihilangkan atau jika Anda menetapkan nilai ke 0s, update akan dinonaktifkan.
  • NAMESPACE_FILTERS: Opsional: Daftar namespace yang dipisahkan koma untuk difederasikan. Contoh, ns1,ns2. Jika tidak disertakan, semua namespace akan disertakan.

Milik pelanggan (CCI)

Jika Anda mengonfigurasi Private Interconnect (seperti Dedicated CCI atau Partner Interconnect), berikan referensi layanan Service Directory agar Lakehouse merutekan traffic secara pribadi.

gcloud biglake iceberg catalogs create FEDERATED_CATALOG_NAME \
    --project="PROJECT_ID" \
    --primary-location="REGION" \
    --catalog-type="federated" \
    --federated-catalog-type="unity" \
    --secret-name="projects/PROJECT_ID/locations/REGION/secrets/DATABRICKS_SECRET_NAME" \
    --unity-instance-name="UNITY_INSTANCE_NAME" \
    --unity-catalog-name="UNITY_CATALOG_NAME" \
    --refresh-interval="REFRESH_INTERVAL" \
    --namespace-filters="NAMESPACE_FILTERS" \
    --service-directory-name="projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE_NAME"

Ganti kode berikut:

  • PROJECT_ID: Google Cloud Project ID Anda.
  • PROJECT_NUMBER: nomor project Google Cloud Anda.
  • REGION: region Lakehouse tempat katalog gabungan dibuat. Contoh, us-east4. Untuk meminimalkan latensi, lakukan hal berikut saat memilih wilayah:
    • Jika katalog Unity Catalog Anda ada di AWS, pilih Google Cloud region yang paling dekat dengan region AWS Anda.
    • Jika katalog Unity Catalog Anda berada di Google Cloud, pilih region yang sama persis. Catatan: Region ini harus sama dengan namespace Service Directory dan rahasia regional.
  • DATABRICKS_SECRET_NAME: nama secret Databricks Anda.
  • UNITY_INSTANCE_NAME: nama instance Databricks target Anda. Contoh: abcd.cloud.databricks.com.
  • UNITY_CATALOG_NAME: nama katalog Databricks Unity Catalog target yang akan digabungkan.
  • REFRESH_INTERVAL: Menentukan seberapa sering informasi katalog diperbarui. Tetapkan nilai ini sebagai durasi, misalnya, 330s atau 5m30s. Interval yang lebih pendek memperbarui data lebih sering, tetapi dapat menimbulkan biaya panggilan API yang lebih besar. Interval yang lebih panjang dapat lebih murah, tetapi data yang dikueri mungkin tidak mencerminkan set data terbaru Anda. Jika dihilangkan atau jika Anda menetapkan nilai ke 0s, update akan dinonaktifkan.
  • NAMESPACE_FILTERS: Opsional: Daftar namespace yang dipisahkan koma untuk difederasikan. Contoh, ns1,ns2. Jika tidak disertakan, semua namespace akan disertakan.
  • NAMESPACE: namespace Service Directory yang Anda buat selama penyiapan interkoneksi pribadi.
  • SERVICE_NAME: nama layanan Service Directory yang Anda buat selama penyiapan interkoneksi pribadi.

Memberi akses katalog gabungan ke secret

Saat katalog dibuat, Lakehouse menyediakan akun layanan unik untuknya (ditampilkan sebagai biglake-service-account dalam deskripsi resource).

Anda harus memberikan izin akun layanan ini untuk mengakses secret yang Anda buat sebelumnya dalam tutorial ini. Perhatikan bahwa penerapan kebijakan IAM dapat memerlukan waktu beberapa menit.

Beri akun layanan katalog izin untuk mengakses secret.

# Required to use regional secrets
gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.REGION.rep.googleapis.com/
gcloud secrets add-iam-policy-binding DATABRICKS_SECRET_NAME \
  --project="PROJECT_ID" \
  --location="REGION" \
  --member="serviceAccount:$(gcloud biglake iceberg catalogs describe FEDERATED_CATALOG_NAME \
      --project="PROJECT_ID" \
      --location="REGION" \
      --format='value(biglake-service-account)')" \
  --role="roles/secretmanager.secretAccessor"

Memverifikasi koneksi

Untuk memverifikasi bahwa akun layanan katalog gabungan memiliki akses ke secret, jalankan perintah berikut:

# Required to use regional secrets
gcloud config set api_endpoint_overrides/secretmanager https://secretmanager.REGION.rep.googleapis.com/
gcloud secrets get-iam-policy DATABRICKS_SECRET_NAME \
     --project="PROJECT_ID" \
     --location="REGION"

Dalam output, pastikan akun layanan biglake-service-account memiliki peran roles/secretmanager.secretAccessor yang ditetapkan untuknya.

Selanjutnya, pastikan siklus pemuatan ulang latar belakang katalog selesai dengan berhasil dan namespace disinkronkan.

  1. Pastikan status refresh menunjukkan keberhasilan:

    gcloud biglake iceberg catalogs describe FEDERATED_CATALOG_NAME \
  --project="PROJECT_ID" \
  --location="REGION"

  2. Pastikan database jarak jauh muncul sebagai namespace yang disinkronkan:

    gcloud biglake iceberg namespaces list \
  --catalog="FEDERATED_CATALOG_NAME" \
  --project="PROJECT_ID" \
  --location="REGION"

Langkah berikutnya