docker Snowflake

Snowpark Container Services上でWebアプリ(FastAPI/React/TypeScript)を動かしてみた

投稿日
カテゴリ: docker, Snowflakeタグ:

シンプルな Multi-Container App を動かしている以下の記事にインスパイアされてみました。
以下の記事では、Docker networkを前提にフロントがサーバの名前解決を行っています。
これをデプロイすると、ブラウザで動くフロントコードがサーバの名前を解決できません(SPCS無関係)。
リバースプロキシを挟んでプライベートなダウンストリームにAPIを配置する方法が良さそうです。
今回の記事はSPCSの動作確認をすることが目的なので凝ったことはせず、
ViteをそのままデプロイしてProxyで解決してみたのでご紹介します。

Snowflake Container Mastery: Step-by-Step Deployment of Your Multi-Container App with Snowpark Container Services
Snowflake Container Mastery: Step-by-Step Deployment of Your Multi-Container App with Snowpark Container Services

The buzz around town is all about Snowflake’s latest product feature, “Snowpark Container Services” and the excitement is real. Now, with the feature hitting public preview in various AWS regions, this blog dives into the nitty-gritty of what container services bring to the table. Join me as we explore what makes this feature tick and unravel the steps to deploy a multi-container app within Snowflake. Let’s break it down!

【目次】

SPCSのアーキテクチャ

Image Registryはイメージリポジトリです。AWSのECR、AzureのACRと似た感じで操作できます。
Container Serviceはデプロイメントの単位で、1個以上のコンテナをデプロイできます。
Compute Poolは計算資源で、複数のContainer Serviceが共有します。

Serviceは基本的にはPrivateなリソースとなりますが、SpecでEndpointsを定義することで、
Publicリソースとすることができます。自動的に80にmapされます。

Serviceには以下のフォーマットでDNS名が付きます。
Service同士は以下のDNS使ってプライベート通信できます。
同一DB、Schema内に作成したServiceは先頭のServiceNameが異なるだけとなりますが、
その場合に限り、ServiceNameだけで互いの名前解決ができます。
Service間連携については、公式で”Service-to-Service”というパターンで紹介されています。

<Service Name>-<Schema Name>-<DB Name>.snowflakecomputing.internal

1つのService内に複数のコンテナを配置することができます。
同一Service内で各コンテナ内の通信したいと考えたのですが、方法を見つけることができませんでした。
(出来ないはずはなさそうで方法はあるのかもしれません..)

今回作るもの

フロント側、サーバ側の2つのコンテナを、それぞれ別々のServiceとしてデプロイします。
フロント側をPublic、サーバ側はPrivateとします。概要は以下の通りです。

  • フロント側
    • Vite
    • React/TypeScript
    • ReactからのAPIリクエストは一旦ViteのProxyで受けて、ProxyからAPIに流す
    • サーバ側にGETリクエストして応答を表示するだけ
  • サーバ側
    • uvicorn
    • FastAPI
    • poetry
    • GETリクエストを受けて”Hello World”をJSONで返すだけ

思いっきり開発用な感じですが、SPCSの動作確認が目的ですのでこれでいきます。
ローカルで動作確認をして、SPCSにデプロイします。ファイル構成は以下の通りです。


$ tree . -I node_modules -I __pycache__
.
├── api
│   ├── Dockerfile
│   ├── api.py
│   ├── app.py
│   ├── main.py
│   └── pyproject.toml
├── compose.yml
└── front
    ├── Dockerfile
    ├── entry.sh
    ├── index.html
    ├── package-lock.json
    ├── package.json
    ├── src
    │   └── hello.tsx
    ├── tsconfig.json
    ├── tsconfig.node.json
    └── vite.config.ts

compose.yml

サーバ側、フロント側の2つのコンテナが、サーバ側->フロント側の順に起動するように書きます。
それぞれ、8080、5173 で待つようにします。


services:

  api:
    build: api
    volumes:
      - ./api:/app
    ports:
      - 8080:8080

  front:
    build: front
    volumes:
      - ./front:/app
    ports:
      - 5173:5173
    depends_on:
      - api

サーバ側

Snowflakeの公式のチュートリアルだとFlaskが使われています。
今回は、最近使い始めたFastAPIを使ってAPIサーバを立ててみようと思います。
FlaskとFastAPIの比較はこちらが詳しいです。
FastAPIの特徴はPydanticによるデータ検証とAsyncI/O。TypeScriptのように型チェックできます。
パッケージマネージャにはpoetryを使います。デファクトが無いPythonのパッケージ管理界隈で
npmやcomposer的な使い勝手が提供されます。

FastAPIの公式では、Python用Webサーバのuvicornを使ってホストされています。
uvicornでFastAPIを動かすコンテナを1個立てていきます。

Dockerfile

最新のPythonのイメージにpoetryをインストールします。
公式がインストーラを配布していて公式の手順通りに叩けばインストールできます。
公式のガイドの通り、POETRY_HOME=/etc/poetry とします。
Installation with the official installer


FROM python:3.12

# 公式の通り /etc/poetry にインストールする
ENV POETRY_HOME=/etc/poetry
RUN curl -sSL https://install.python-poetry.org | python -
ENV PATH $POETRY_HOME/bin:$PATH

WORKDIR /app
COPY . .

RUN poetry install
CMD ["python","main.py"]
pyproject.toml

バニラのPythonとpyproject.tomlだけで依存関係を考慮したパッケージ管理が出来ますが、
要はnpmやbundle,composer的な使い勝手に寄せたパッケージ管理に対する需要があります。
poetry用の依存関係を書いていきます。fastapi、uvicornの現在(2/16)の最新を指定します。


[tool.poetry]
name = "test"

[tool.poetry.dependencies]
python = "^3.12"
fastapi = "^0.109.2"
uvicorn = "^0.27.1"
api.py

[GET] /hello に対して Hello World 的な JSON を返す FastAPI の Hello Worldです。
後のapp.pyで FastAPIインスタンスに紐付けます。app.pyと分離することでロジックを分離できます。


from fastapi import APIRouter
router = APIRouter()
@router.get("/hello")
async def hoge():
    return {"result":"Hello World"}
app.py

FastAPIのHello Worldコードです。Dockerfileから開始します。


from api import router as api_router
from fastapi import FastAPI

app = FastAPI()
app.include_router(api_router, prefix="/api")
main.py

pythonコードからuvicornを起動します。uvicorn.runの公式の仕様はこちら
第1引数の”app:app”は”app”モジュールの中の”app”オブジェクトという表記です。
app.pyに記述したFastAPI()のインスタンスappを指します。stringで渡す必要があります。
hostは”0.0.0.0″を指定します。なぜ”127.0.0.1″でないのかはこちらが参考になります。
今回はPort=8080で起動します。reload=Trueとすると、HotReload機能が有効になります。便利。


import uvicorn

if __name__ == "__main__":
    uvicorn.run(
        "app:app",
        host="0.0.0.0",
        port=8080,
        reload=True,
    )
起動してみる

docker compose up して http://localhost:8080/docs を開くと以下が表示されます。
ちゃんとJSONでHello Worldが戻りました。

フロント側

VueとReactの開発用に使われるローカル開発用のサーバ Vite をホストするコンテナを立てます。
Viteは Vue.jsの開発者Evan You氏が開発したJavaScript/TypeScriptで、ヴィートと読み、
フランス語で”素早い”という意味だそう。(webpackのように)リソースバンドルが不要で起動が速い。
(Laravelも9.xでwebpackを捨ててViteになってた..)
素の状態でTypeScriptを扱えるため、すぐにTypeScriptを書き始められる特徴があります。

Dockerfile

nodeのrelease scheduleはこちら
2/17のnodeのActiveLTSのMajor Versionは20で、2026-04-30がEnd of lifeとなっています。
これを使いたいので node:20 を指定します。


FROM node:20

WORKDIR /app
COPY . .

RUN npm install
ENTRYPOINT [ "./entry.sh" ]
entry.sh

Dockerfile の ENTRYPOINT で npm run dev するだけのshです。


#!/bin/bash
npm run dev
package.json

npm create vite@latest で Prjディレクトリ内に様々なファイルが作られます。
package.jsonも作られます。 Hello World で必要なもの以外を削ってみました。
npm install後、npm run devで viteを実行します。

TS用のconfigは別です。
他に生成されるpackage-lock.jsonが必要ですが省略します。


{
    "name": "front",
    "private": true,
    "version": "0.0.0",
    "scripts": {
        "dev": "vite"
    },
    "dependencies": {
        "react": "^18.2.0",
        "react-dom": "^18.2.0"
    },
    "devDependencies": {
        "@vitejs/plugin-react": "^4.2.1"
    }
}
tsconfig.json

viteのPrj生成で自動生成されるTS用のconfigファイルです。
手をつけずに配置します。


{
    "compilerOptions": {
      "target": "ES2021",
      "useDefineForClassFields": true,
      "lib": ["ES2021", "DOM", "DOM.Iterable"],
      "module": "ESNext",
      "skipLibCheck": true,

      /* Bundler mode */
      "moduleResolution": "bundler",
      "allowImportingTsExtensions": true,
      "resolveJsonModule": true,
      "isolatedModules": true,
      "noEmit": true,
      "jsx": "react-jsx",

      /* Linting */
      "strict": true,
      "noUnusedLocals": true,
      "noUnusedParameters": true,
      "noFallthroughCasesInSwitch": true
    },
    "include": ["src"],
    "references": [{ "path": "./tsconfig.node.json" }]
}
tsconfig.node.json

viteのPrj生成で自動生成されるTS用のconfigファイルです。
手をつけずに配置します。


{
    "compilerOptions": {
      "composite": true,
      "skipLibCheck": true,
      "module": "ESNext",
      "moduleResolution": "bundler",
      "allowSyntheticDefaultImports": true
    },
    "include": ["vite.config.ts"]
}
vite.config.ts

viteのPrj生成で自動生成されるvite用のconfigファイルです。
設定ファイルが.tsなところが凄いです。普通にimport文を書けます。
上のuvicornの起動で127.0.0.1ではなく0.0.0.0を指定したのと同様に、
viteも127.0.0.1ではなく0.0.0.0で待たせる必要があります。
serverオプションのhostにtrueを設定すると、0.0.0.0となります。公式

FastAPIの同一パスと対応するProxyを設定します。
以下で、server.proxy.api.target は SPCS上のAPIコンテナのPrivateエンドポイント を表します。
DNS名はサービス単位で作られます。本来長いFQDNを指定する必要がありますが、
同一スキーマに作られたサービスに限り、サービス名だけで解決できるようです。
DNS名はアンダースコア(_)がハイフン(-)に置き換わります。6時間くらいハマりました..
後で ikuty_api_service サービスを作りますが、ikuty-api-serviceを 使います。

詳細は以下を参照してください。
Service-to-service communications


import { defineConfig } from 'vite'
import react from '@vitejs/plugin-react'

export default defineConfig({
  plugins: [react()],
  server: {
    host: true,
    proxy: {
      "/api": {
        target: `http://ikuty-api-service:8080/`,
        changeOrigin: true
      }
    }
  },
})
index.html

Reactのコンポーネントを表示するガワとなるhtmlです。


<!DOCTYPE html>
<html>
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <script type="module" src="/src/hello.tsx" defer></script>
  </head>
  <body>
    <div id="root">Waiting...</div>
  </body>
</html>
src/hello.tsx

ようやくHello WorldするReactコンポーネントの本体です。
画面にはvalueというStateを表示しています。APIのURLは上記の通りproxyとします。
今回作成した/api/hello APIの応答を受けた後、setValueによりStateを更新します。


import React from 'react'
import { useState } from 'react'
import ReactDOM from 'react-dom/client'

const App = () =>  {
    const [value, setValue] = useState('')
    const url = '/api/hello'
    fetch(url,{})
        .then(res=>res.json())
        .then(data=>setValue(data['result']))
    return (
        
{value},{}

    )
}

ReactDOM.createRoot(document.getElementById('root')!).render(
    
        
    
)
起動してみる

docker compose up すると、ほとんど一瞬でviteが起動します。
http://localhost:5173 を開きます。
Waiting…という表示が一瞬で Hello World に書き変わります。

ロールの作成

SPCSの各リソースの作成に必要な権限はこちらにあります。
ゴリ押ししただけなので間違っている可能性大です..
行ったり来たりしたので足りないものがあるかもしれません。


use role ACCOUNTADMIN;

CREATE ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT ROLE IKUTY_CONTAINER_USER_ROLE TO ROLE ACCOUNTADMIN;
GRANT USAGE ON DATABASE IKUTY_DB TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT USAGE ON SCHEMA IKUTY_DB.PUBLIC TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT CREATE IMAGE REPOSITORY ON SCHEMA T_IKUTA_DB.PUBLIC TO ROLE IKUTY_CONTAINER_USER_ROLE;

-- CREATE SERVICEに必要な権限
-- https://docs.snowflake.com/en/sql-reference/sql/create-service#access-control-requirements
GRANT USAGE ON DATABASE IKUTY_DB TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT USAGE ON SCHEMA IKUTY_DB.PUBLIC TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT CREATE COMPUTE POOL ON ACCOUNT TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT CREATE IMAGE REPOSITORY ON SCHEMA IKUTY_DB.PUBLIC TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT CREATE SERVICE ON SCHEMA IKUTY_DB.PUBLIC TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT USAGE ON COMPUTE POOL IKUTY_SCS_POOL TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT BIND SERVICE ENDPOINT ON ACCOUNT TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT IMPORTED PRIVILEGES ON DATABASE snowflake TO ROLE IKUTY_CONTAINER_USER_ROLE;
-- GRANT READ ON STAGE IKUTY_SCS_STAGE TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT READ ON IMAGE REPOSITORY IKUTY_SCS_REPOSITORY TO ROLE IKUTY_CONTAINER_USER_ROLE;
GRANT BIND SERVICE ENDPOINT ON ACCOUNT TO ROLE IKUTY_CONTAINER_USER_ROLE;

Image Repositoryの作成

SPCSで使用するイメージを配置するリポジトリを作成します。
AWSのECR、AzureのACR的に、dockerコマンドから透過的にpushできるようです。
公式は以下。
CREATE IMAGE REPOSITORY


USE ROLE IKUTY_CONTAINER_USER_ROLE;
CREATE OR REPLACE IMAGE REPOSITORY IKUTY_SCS_REPOSITORY;
SHOW IMAGE REPOSITORIES;

SHOW IMAGEを叩くと repository_url が返ってます。

Image Repositoryにプッシュする

作成したImage Repositoryにローカルで作成したイメージをpushしていきます。
pushは指定されたタグを送信するという仕様のため、docker tagコマンドでイメージにタグを付けます。
docker tagの仕様はこちら

ローカルで以下を行います。(サニタイズのため分かりづらいですが補完してください..)


# タグをつける
# docker tag  

$ docker tag app_front:latest /app_front:scs
$ docker tag app_api:latest /app_api:scs

# Snowflake Image Repositoryにログインする
$ docker login  -u 
Login Succeeded

# イメージをpushする
$ docker push /app_front:scs
...
$ docker push /app_api:scs
...

Compute Poolを作成する

Compute Poolを作成します。
CREATE COMPUTE POOL


CREATE COMPUTE POOL ikuty_scs_pool
  MIN_NODES = 1
  MAX_NODES = 1
  INSTANCE_FAMILY = CPU_X64_XS
  AUTO_RESUME = TRUE
  INITIALLY_SUSPENDED = FALSE
  AUTO_SUSPEND_SECS = 3600
;

以下でCREATEしたCompute poolをDESCRIBEできます。
DESCRIBE COMPUTE POOL

自分の環境だと、CREATE COMPUTE POOLしてから15分ほどステータスがSTARTINGでした。
15分ぐらいして叩くとステータスがACTIVEに変わりました。(結構かかるイメージ)
以下、公式の実行例です。


DESCRIBE ikuty_scs_pool
+-----------------------+--------+-----------+-----------+-----------------+--------------+----------+-------------------+-------------+--------------+------------+-------------------------------+-------------------------------+-------------------------------+--------------+---------+
| name                  | state  | min_nodes | max_nodes | instance_family | num_services | num_jobs | auto_suspend_secs | auto_resume | active_nodes | idle_nodes | created_on                    | resumed_on                    | updated_on                    | owner        | comment |
|-----------------------+--------+-----------+-----------+-----------------+--------------+----------+-------------------+-------------+--------------+------------+-------------------------------+-------------------------------+-------------------------------+--------------+---------|
| IKUTY_SCS_POOL | ACTIVE |         1 |         1 | CPU_X64_XS      |            1 |        0 |                 0 | false       |            1 |          0 | 2023-05-01 11:42:20.323 -0700 | 2023-05-01 11:42:20.326 -0700 | 2023-08-27 17:35:52.761 -0700 | ACCOUNTADMIN | NULL    |
+-----------------------+--------+-----------+-----------+-----------------+--------------+----------+-------------------+-------------+--------------+------------+-------------------------------+-------------------------------+-------------------------------+--------------+---------+

Serviceの作成

フロント側、サーバ側の2つのServiceを作成していきます。
specについて、ステージにファイルを配置してそれを指定するスタイルのほかに、
以下のようにCREATE SERVICEに含めるスタイルがあるようです。
CREATE SERVICE

フロント側のServiceは以下です。


CREATE SERVICE ikuty_api_service
  IN COMPUTE POOL ikuty_scs_pool
  FROM SPECIFICATION $$
    spec:
      containers:
      - name: api-container
        image: 
      endpoints:
      - name: api
        port: 8080
  $$
;

サーバ側のServiceは以下です。


CREATE SERVICE ikuty_front_service
  IN COMPUTE POOL ikuty_scs_pool
  FROM SPECIFICATION $$
    spec:
      containers:
      - name: front-container
        image: 
      endpoints:
      - name: front
        port: 5173
        public: true
  $$
;

SERVICE用のシステム関数

SaaSで動くコンテナの動作を確認するのは結構面倒なことなのかなと思います。
自分の操作に対してSaaS側で何が行われているのか知りたいことは結構あるのかなと思います。
SPCSには以下のコマンドがあるようです。

エンドポイントURLの取得

SHOW ENDPOINTS すると、Specで指定したpublicなendpointを得られました。
ingress_url に なんとかかんとか.snowflakecomputing.app というURLが入っています。
SHOW ENDPOINTS

動作確認

Computing poolのStatusがACTIVEになってから、エンドポイントURLをブラウザで開くと、
期待通り、Reactで作ったHello Worldアプリが表示されます。

SYSEM$GET_SERVICE_LOGS()でフロントサービスのログを覗くと、viteの起動ログが出ていました。
そうえいば 5173 を 80 に mapping する記述をどこにもしていないのですが、そうなっています。


> front@0.0.0 dev
> vite


  VITE v4.5.2  ready in 314 ms

  ➜  Local:   http://localhost:5173/
  ➜  Network: http://10.244.1.3:5173/
  ➜  Network: http://172.16.0.6:5173/

同様に、サーバ側のログを覗くと、uvicornの起動ログが出ていました。
ViteのProxyから8080で繋がるので、こちらは8080が開いています。


INFO:     Will watch for changes in these directories: ['/app']
INFO:     Uvicorn running on http://0.0.0.0:8080 (Press CTRL+C to quit)
INFO:     Started reloader process [1] using StatReload
INFO:     Started server process [8]
INFO:     Waiting for application startup.
INFO:     Application startup complete.

まとめ

SnowflakeをWebサーバのインフラにするだけの内容で正直意味がないです。
しかし、APIでSnowflakeに触ったり、Reactで格好良い可視化をしたり、夢は広がります。
FastAPI,React,TypeScriptの恩恵ゼロなので、今後ちょっと凝ったものを作ってみます。

関連記事

default eye-catch image.

ETLとELTの違いが説明されていたので聞いてみた話

サーバーサイドエンジニアのデータベースエンジニア寄りの枠ぐらいの認識しかないと、 データエンジニアリングの尖った部分に永遠に近づけないという感触がある。 サーバーサイドエンジニアの入口から入った場合はちゃんとチェンジしないといけないな。 dbtが公式で「データエンジニアリングの用語と概念」を長い尺で説明していて学んでみた。 サーバーサイドエンジニア的にはETLは普通のジョブやバッチ処理だと思うが、 ELT化することで何を改善しようとしていて何が達成されたのか説明できるようになった。 dbt Fundamentals https://courses.getdbt.com/courses/fundamentals [arst_toc tag=\"h4\"] ETLとELTの違い 旧来から分析基盤を作るためにデータを抽出してどこかに蓄え加工してDBに入れてきた。 これは、巨大なデータをダイレクトに入れる箱や資源がなくそれ以外の選択肢がなかったため。 これはもうサーバーサイド開発であってバッチ処理で必要なデータを揃えているのにあたる。 構成を実現するためのインフラレベルの観点、分析用途に加工するビジネスロジックの観点の2つ。 この2つをゴチャっと処理する巨大なソフトウエアを書かないといけなかった。 クラウドベースのDWが登場し、巨大なデータを入れる箱や資源が安く手に入るようになった。 そしてdbtのように「生データをうまいこと加工する」ツールが手に入るようになった。 抽出したままの生データを突っ込むのは簡単だし、ツールでうまいこと加工できるようになった。 もちろんSQLだけで加工するので出来ること出来ないことはあるが、 うまくいけば、誰も開発やメンテがしづらい巨大なソフトウエアを書かなくてもよくなった。 分析用ビジネスロジックの分離 dbt公式のdbt Fundamentalsの初っ端で、 抽出したデータをDWに投入するインフラレベルの人たちを「Data Engineers」、 生データをBIで必要なレベルまで加工する人たちを「Analytics Engineers」、 分析する人たちを「Data Analysts」と分類している。 実際、エンジニアが分析対象を理解しようとすると、キャリアの壁にぶち当たる。 エンジニアは技術力が必要だし分析者は要件定義能力が必要。 要件定義的なことができるエンジニアは圧倒的に不足しているのが世の常で、 エンジニアに対する要件から要件定義能力を分離したいというのは切実な思い。 dbt Fundamentalsで紹介されている下の表はよく出来ていると思う。 (フロントにETLを前提としたBIツールがあってTとLをUIでやらせる世界観だと 組み合わせたときにELTLになってしまう。トータルで考えないと上手くいかないと思う) Modern Data Stackとdbt dbtは「T」をやるツール。dbtの有名な図は以下。「E」と「L」は外。BIやMLは外。 ほぼSQLとymlだけで構成できるところが特徴。 SQLを使ってモデルを開発して、SQLを使ってテストして、ドキュメンテーションを構造化する。 WHがあって初めて存在するツールであって、WHの資源を使って動く。 オーケストレーションとDAGの管理が内包される。 まとめ インフラ的な観点とビジネスロジック的な観点の2つがゴチャった何かを作るのは大変という世界がある。 まぁそれでも書けよ、とも思うけど単にデータを抜いて格納するだけの人と、 要件定義してビジネスロジックを考えてデータを加工する人を分けられれば、人を集めやすい。 強力なDWが出来たことでデカいデータを生でぶち込めるようになったし、dbtみたいなツールができて ビジネスロジックに基づいて生データを加工するのが簡単になった。 トータルで複雑なソフトウエアを作らなくてもよくなるからELT美味しいよ、という話でした。

default eye-catch image.

CustomOperatorのUnitTestを理解するためGCSToBigQueryOperatorのUnitTestを読んでみた話

未知の連携先との入出力を行う際、CustomOperatorを作るという解決策があります。 CustomOperatorを自作した場合、そのテストをどう書くか、という問題が発生します。 ビルトインのGCSToBigQueryOperatorがどうテストされているかを読むと、雰囲気がわかりました。 UnitTestコードを読んで見ましたので、本記事で感想を書いてみます。 https://github.com/apache/airflow/blob/main/tests/providers/google/cloud/transfers/test_gcs_to_bigquery.py 前提となる知識 Airflowのhookについて理解する必要がありました。 フワッとしていますが、コードを読んで使われ方をながめているとイメージが湧いてきます。 hook しばしば外部からデータを入力したり外部へデータを出力する必要が出てくる。 外部と接続する際にcredentialsを保管し使用する必要があるが、 Airflowはconnectionという概念のオブジェクトを用意している。 connection は conn_id により識別される。Airflow UIやCLIから管理できる。 connectionを直接操作するようなlow-levelコードを書くこともできるが、 煩雑にならないよう、外部リソース毎にhookというhigh-levelインターフェースが用意されている。 Connections & Hooks pythonのunittestも理解する必要がありました。 unittestのmockについて以下が参考になりました。 [clink implicit=\"false\" url=\"https://qiita.com/satamame/items/1c56e7ff3fc7b2986003\" imgurl=\"https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcQqktBhX0kv-C4zk1lu0D8T0ExDUFQdNdu9dQ&s\" title=\"Python の unittest の mock\" excerpt=\"Python の unittest を使っていて、mock が何をするものかは分かっているけど、まだちょっと得体が知れない、怖い、という段階があると思います。この段階を克服するために、何も知らない状態から徐々に mock を理解するためのステップを作りたいと思いました。対象は Python 3.x です。\"] UnitTestを読んでいく TestGCSToBigQueryOperatorというクラスにUnitTestメソッドの実装例が書かれています。 python built-inのテストパッケージであるunittestが使用されています。 @mock.patchデコレータを使用しBigQueryHookをpatchしています。 BigQueryHookのmockインスタンスがhookとして渡ります。 hookのreturn_value, side_effectを差し替えてGCSToBigQueryOperatorインスタンスを実行します。 insert_job(),generate_job_id(),split_table_name(),get_job()の差し替えを行なっています。 メソッドの階層をドット(.)で繋いでより深い場所を差し替えられる様子です。 unittestを書いた人はコードが何に依存しているか分かるので、知識に基づいて依存しているものをmockします。 import json from unittest import mock from unittest.mock import MagicMock, call TASK_ID = \"test-gcs-to-bq-operator\" TEST_EXPLICIT_DEST = \"test-project.dataset.table\" WRITE_DISPOSITION = \"WRITE_TRUNCATE\" SCHEMA_FIELDS = [ {\"name\": \"id\", \"type\": \"STRING\", \"mode\": \"NULLABLE\"}, {\"name\": \"name\", \"type\": \"STRING\", \"mode\": \"NULLABLE\"}, ] MAX_ID_KEY = \"id\" JOB_PROJECT_ID = \"job-project-id\" TEST_BUCKET = \"test-bucket\" TEST_SOURCE_OBJECTS = \"test/objects/test.csv\" DATASET = \"dataset\" TABLE = \"table\" GCS_TO_BQ_PATH = \"airflow.providers.google.cloud.transfers.gcs_to_bigquery.{}\" job_id = \"123456\" hash_ = \"hash\" REAL_JOB_ID = f\"{job_id}_{hash_}\" class TestGCSToBigQueryOperator: @mock.patch(GCS_TO_BQ_PATH.format(\"BigQueryHook\")) def test_max_value_external_table_should_execute_successfully(self, hook): hook.return_value.insert_job.side_effect = [ MagicMock(job_id=REAL_JOB_ID, error_result=False), REAL_JOB_ID, ] hook.return_value.generate_job_id.return_value = REAL_JOB_ID hook.return_value.split_tablename.return_value = (PROJECT_ID, DATASET, TABLE) hook.return_value.get_job.return_value.result.return_value = (\"1\",) operator = GCSToBigQueryOperator( task_id=TASK_ID, bucket=TEST_BUCKET, source_objects=TEST_SOURCE_OBJECTS, destination_project_dataset_table=TEST_EXPLICIT_DEST, write_disposition=WRITE_DISPOSITION, schema_fields=SCHEMA_FIELDS, max_id_key=MAX_ID_KEY, external_table=True, project_id=JOB_PROJECT_ID, ) \"基づく知識\"は第三者には理解不能ですが、GCSToBigQueryOperator.pyを読むと理由がわかります。 GCSToBigQueryOperatorのexecute(self, context:Context)を読むと、 先頭でBigQueryHookのインスタンスを取得し、BaseOperator由来のself.hookに設定しているようです。 generate_job_id()により、job_idを取得しています。 _use_existing_table()内で、split_table_name()により,ProjectID,Dataset,Tableを取得しています。 mockしたjob_idが既に存在している場合、get_job()で既存を取得しています。 def execute(self, context: Context): hook = BigQueryHook( gcp_conn_id=self.gcp_conn_id, location=self.location, impersonation_chain=self.impersonation_chain, ) self.hook = hook self.source_format = self.source_format.upper() job_id = self.hook.generate_job_id( job_id=self.job_id, dag_id=self.dag_id, task_id=self.task_id, logical_date=context[\"logical_date\"], configuration=self.configuration, force_rerun=self.force_rerun, ) さて、Assertは以下のように書かれています。 GCSToBigQueryOperatorは、Source(GCS)から.csv等を読み込みDest(BigQuery)へ配置するものです。 Destの然るべき場所にテーブルが作られ、値が入ります。 execute()すると、max_id_keyで指定したカラムの最大値が戻るようです。 \"test-bucket\"に配置した\"test/objects/test.csv\"は\"id\",\"name\"の2列からなるCSVで、 例えば\"id\"=\"1\", \"name\"=\"hoge\"ならば、\"id\"列の最大値である1が戻るため、1をassertすればOKです。 result = operator.execute(context=MagicMock()) assert result == \"1\" これだと、分岐をだいぶすっ飛ばしているので、だいぶ薄いカバレッジになるかと思います。 まとめ GCSToBigQueryOperatorのUnitTestを読んでみました。分かってしまうと普通のUnitTestでした。 Source to Destのパターンはだいたい似たようになるのかも、なので、 作るUnitTestも似たような感じになるのかもしれません。

default eye-catch image.

Snowpipe構築の際の最小権限

Snowpipeは外部ステージ上に置かれたファイルを自動的にSnowflakeテーブルにロードする仕組み。 クラウドプロバイダの機能が透過的に利用されるため、その仕組みを意識する必要がない。 AWS,Azure,GCPがサポートされている。 Snowpipeを設定する際に、登場するオブジェクトにどう権限設定したら良いのかいつも悩む。 オレオレ設定をしてガバくなってないか、調べ直してみて書いてみる。 セキュリティを構成する SYSADMINでリソースを作って、SYSADMINにAssumeRoleして操作をする、というのは良くない。 別にロールを作ってそこに必要な権限を集めると良さそう。 既に外部ステージが存在し、そこに続々とファイルが配置されている。 また、既にSnowflakeにテーブルが存在し、外部ステージに到着するファイルを読み込みたい。 このシチュエーションで、外部ステージとSnowflakeテーブルを結ぶパイプを作成する。 パイプと関連する全リソースにアクセス可能なロールは以下のように作る。 パイプから見れば、外部ステージ、テーブルは既存のオブジェクトであり、 使用する、つまり USAGE が必要。またデータ取得のため、外部ステージから READ が必要。 同様に、パイプから見れば、データベース、スキーマは既存のオブジェクトであり、 USAGEが必要。またデータ投入のため、テーブルに対して INSERT が必要。 パイプがテーブル内のデータを参照して処理をするため テーブルに大して SELECTが必要。 例えば SYSADMIN が PIPE を CREATE した場合、その所有者は SYSADMIN になるが、 これを繰り返すと、SYSADMIN が全ての所有者になってしまう。 今回、Snowpipeに関わるオブジェクトを操作・閲覧可能なロールを作る、という話なので、 新ロールを PIPE の所有者にする。