版本：Latest-3.2

Paimon catalog

StarRocks 从 3.1 版本开始支持 Paimon Catalog。

Paimon Catalog 是一种 External Catalog。通过 Paimon Catalog，您不需要执行数据导入就可以直接查询 Apache Paimon 里的数据。

此外，您还可以基于 Paimon Catalog ，结合 INSERT INTO 能力来实现数据转换和导入。

为保证正常访问 Paimon 内的数据，StarRocks 集群必须能够访问 Paimon 集群的存储系统和元数据服务。目前 StarRocks 支持以下存储系统和元数据服务：

分布式文件系统 (HDFS) 或对象存储。当前支持的对象存储包括：如 AWS S3、Microsoft Azure Storage、Google GCS、其他兼容 S3 协议的对象存储（如阿里云 OSS、MinIO）。
元数据服务。当前支持的元数据服务包括文件系统 (File System)、Hive Metastore（以下简称 HMS）。

使用说明

Paimon Catalog 仅支持查询 Paimon 数据，不支持针对 Paimon 的写/删操作。

准备工作

在创建 Paimon Catalog 之前，请确保 StarRocks 集群能够正常访问 Paimon 的文件存储及元数据服务。

AWS IAM

如果 Paimon 使用 AWS S3 作为文件存储，您需要选择一种合适的认证鉴权方案，确保 StarRocks 集群可以访问相关的 AWS 云资源。

您可以选择如下认证鉴权方案：

Instance Profile（推荐）
Assumed Role
IAM User

有关 StarRocks 访问 AWS 认证鉴权的详细内容，参见配置 AWS 认证方式 - 准备工作。

HDFS

如果使用 HDFS 作为文件存储，则需要在 StarRocks 集群中做如下配置：

（可选）设置用于访问 HDFS 集群和 HMS 的用户名。您可以在每个 FE 的 fe/conf/hadoop_env.sh 文件、以及每个 BE 的 be/conf/hadoop_env.sh 文件（或每个 CN 的 cn/conf/hadoop_env.sh 文件）最开头增加 export HADOOP_USER_NAME="<user_name>" 来设置该用户名。配置完成后，需重启各个 FE 和 BE（或 CN）使配置生效。如果不设置该用户名，则默认使用 FE 和 BE（或 CN）进程的用户名进行访问。每个 StarRocks 集群仅支持配置一个用户名。
查询 Paimon 数据时，StarRocks 集群的 FE 和 BE（或 CN）会通过 HDFS 客户端访问 HDFS 集群。一般情况下，StarRocks 会按照默认配置来启动 HDFS 客户端，无需手动配置。但在以下场景中，需要进行手动配置：
- 如果 HDFS 集群开启了高可用（High Availability，简称为“HA”）模式，则需要将 HDFS 集群中的 hdfs-site.xml 文件放到每个 FE 的 $FE_HOME/conf 路径下、以及每个 BE 的 $BE_HOME/conf 路径（或每个 CN 的 $CN_HOME/conf 路径）下。
- 如果 HDFS 集群配置了 ViewFs，则需要将 HDFS 集群中的 core-site.xml 文件放到每个 FE 的 $FE_HOME/conf 路径下、以及每个 BE 的 $BE_HOME/conf 路径（或每个 CN 的 $CN_HOME/conf 路径）下。

注意

如果查询时因为域名无法识别 (Unknown Host) 而发生访问失败，您需要将 HDFS 集群中各节点的主机名及 IP 地址之间的映射关系配置到 /etc/hosts 路径中。

Kerberos 认证

如果 HDFS 集群或 HMS 开启了 Kerberos 认证，则需要在 StarRocks 集群中做如下配置：

在每个 FE 和每个 BE（或 CN）上执行 kinit -kt keytab_path principal 命令，从 Key Distribution Center (KDC) 获取到 Ticket Granting Ticket (TGT)。执行命令的用户必须拥有访问 HMS 和 HDFS 的权限。注意，使用该命令访问 KDC 具有时效性，因此需要使用 cron 定期执行该命令。
在每个 FE 的 $FE_HOME/conf/fe.conf 文件和每个 BE 的 $BE_HOME/conf/be.conf 文件（或每个 CN 的 $CN_HOME/conf/cn.conf 文件）中添加 JAVA_OPTS="-Djava.security.krb5.conf=/etc/krb5.conf"。其中，/etc/krb5.conf 是 krb5.conf 文件的路径，可以根据文件的实际路径进行修改。

创建 Paimon Catalog

语法

CREATE EXTERNAL CATALOG <catalog_name>
[COMMENT <comment>]
PROPERTIES
(
    "type" = "paimon",
    CatalogParams,
    StorageCredentialParams,
)

参数说明

catalog_name

Paimon Catalog 的名称。命名要求如下：

必须由字母 (a-z 或 A-Z)、数字 (0-9) 或下划线 (_) 组成，且只能以字母开头。
总长度不能超过 1023 个字符。
Catalog 名称大小写敏感。

comment

Paimon Catalog 的描述。此参数为可选。

type

数据源的类型。设置为 paimon。

CatalogParams

StarRocks 访问 Paimon 集群元数据的相关参数配置。

CatalogParams 包含如下参数。

参数	是否必须	说明
paimon.catalog.type	是	Paimon 使用的元数据类型。设置为 `filesystem` 或 `hive`。
paimon.catalog.warehouse	是	Paimon 数据所在的 Warehouse 存储路径。
hive.metastore.uris	否	HMS 的 URI，格式：`thrift://<HMS IP 地址>:<HMS 端口号>`。仅在 `paimon.catalog.type` = `hive` 时设置。如果您的 HMS 开启了高可用模式，此处可以填写多个 HMS 地址并用逗号分隔，例如：`"thrift://<HMS IP 地址 1>:<HMS 端口号 1>,thrift://<HMS IP 地址 2>:<HMS 端口号 2>,thrift://<HMS IP 地址 3>:<HMS 端口号 3>"`。

说明

若使用 HMS 作为元数据服务，则在查询 Paimon 数据之前，必须将所有 HMS 节点的主机名及 IP 地址之间的映射关系添加到 /etc/hosts 路径。否则，发起查询时，StarRocks 可能无法访问 HMS。

StorageCredentialParams

StarRocks 访问 Paimon 集群文件存储的相关参数配置。

如果您使用 HDFS 作为存储系统，则不需要配置 StorageCredentialParams。

如果您使用 AWS S3、阿里云 OSS、其他兼容 S3 协议的对象存储、Microsoft Azure Storage、或 GCS，则必须配置 StorageCredentialParams。

AWS S3

如果选择 AWS S3 作为 Paimon 集群的文件存储，请按如下配置 StorageCredentialParams：

基于 Instance Profile 进行认证和鉴权

"aws.s3.use_instance_profile" = "true",
"aws.s3.region" = "<aws_s3_region>"

基于 Assumed Role 进行认证和鉴权

"aws.s3.use_instance_profile" = "true",
"aws.s3.iam_role_arn" = "<iam_role_arn>",
"aws.s3.region" = "<aws_s3_region>"

基于 IAM User 进行认证和鉴权

"aws.s3.use_instance_profile" = "false",
"aws.s3.access_key" = "<iam_user_access_key>",
"aws.s3.secret_key" = "<iam_user_secret_key>",
"aws.s3.region" = "<aws_s3_region>"

StorageCredentialParams 包含如下参数。

参数	是否必须	说明
aws.s3.use_instance_profile	是	指定是否开启 Instance Profile 和 Assumed Role 两种鉴权方式。取值范围：`true` 和 `false`。默认值：`false`。
aws.s3.iam_role_arn	否	有权限访问 AWS S3 Bucket 的 IAM Role 的 ARN。采用 Assumed Role 鉴权方式访问 AWS S3 时，必须指定此参数。
aws.s3.region	是	AWS S3 Bucket 所在的地域。示例：`us-west-1`。
aws.s3.access_key	否	IAM User 的 Access Key。采用 IAM User 鉴权方式访问 AWS S3 时，必须指定此参数。
aws.s3.secret_key	否	IAM User 的 Secret Key。采用 IAM User 鉴权方式访问 AWS S3 时，必须指定此参数。

有关如何选择用于访问 AWS S3 的鉴权方式、以及如何在 AWS IAM 控制台配置访问控制策略，参见访问 AWS S3 的认证参数。

阿里云 OSS

如果选择阿里云 OSS 作为 Paimon 集群的文件存储，需要在 StorageCredentialParams 中配置如下认证参数：

"aliyun.oss.access_key" = "<user_access_key>",
"aliyun.oss.secret_key" = "<user_secret_key>",
"aliyun.oss.endpoint" = "<oss_endpoint>" 

参数	是否必须	说明
aliyun.oss.endpoint	是	阿里云 OSS Endpoint, 如 `oss-cn-beijing.aliyuncs.com`，您可根据 Endpoint 与地域的对应关系进行查找，请参见访问域名和数据中心。
aliyun.oss.access_key	是	指定阿里云账号或 RAM 用户的 AccessKey ID，获取方式，请参见获取 AccessKey。
aliyun.oss.secret_key	是	指定阿里云账号或 RAM 用户的 AccessKey Secret，获取方式，请参见获取 AccessKey。

兼容 S3 协议的对象存储

如果选择兼容 S3 协议的对象存储（如 MinIO）作为 Paimon 集群的文件存储，请按如下配置 StorageCredentialParams：

"aws.s3.enable_ssl" = "false",
"aws.s3.enable_path_style_access" = "true",
"aws.s3.endpoint" = "<s3_endpoint>",
"aws.s3.access_key" = "<iam_user_access_key>",
"aws.s3.secret_key" = "<iam_user_secret_key>"

StorageCredentialParams 包含如下参数。

参数	是否必须	说明
aws.s3.enable_ssl	Yes	是否开启 SSL 连接。取值范围：`true` 和 `false`。默认值：`true`。
aws.s3.enable_path_style_access	Yes	是否开启路径类型访问 (Path-Style Access)。取值范围：`true` 和 `false`。默认值：`false`。对于 MinIO，必须设置为 `true`。路径类型 URL 使用如下格式：`https://s3.<region_code>.amazonaws.com/<bucket_name>/<key_name>`。例如，如果您在美国西部（俄勒冈）区域中创建一个名为 `DOC-EXAMPLE-BUCKET1` 的存储桶，并希望访问该存储桶中的 `alice.jpg` 对象，则可使用以下路径类型 URL：`https://s3.us-west-2.amazonaws.com/DOC-EXAMPLE-BUCKET1/alice.jpg`。
aws.s3.endpoint	Yes	用于访问兼容 S3 协议的对象存储的 Endpoint。
aws.s3.access_key	Yes	IAM User 的 Access Key。
aws.s3.secret_key	Yes	IAM User 的 Secret Key。

Microsoft Azure Storage

Azure Blob Storage

如果选择 Blob Storage 作为 Paimon 集群的文件存储，请按如下配置 StorageCredentialParams：

基于 Shared Key 进行认证和鉴权
```
"azure.blob.storage_account" = "<storage_account_name>",
"azure.blob.shared_key" = "<storage_account_shared_key>"
```
StorageCredentialParams 包含如下参数。

参数 是否必须 说明
azure.blob.storage_account 是 Blob Storage 账号的用户名。
azure.blob.shared_key 是 Blob Storage 账号的 Shared Key。

基于 SAS Token 进行认证和鉴权

"azure.blob.storage_account" = "<storage_account_name>",
"azure.blob.container" = "<container_name>",
"azure.blob.sas_token" = "<storage_account_SAS_token>"

StorageCredentialParams 包含如下参数。

参数	是否必须	说明
azure.blob.storage_account	是	Blob Storage 账号的用户名。
azure.blob.container	是	数据所在 Blob 容器的名称。
azure.blob.sas_token	是	用于访问 Blob Storage 账号的 SAS Token。

Azure Data Lake Storage Gen2

如果选择 Data Lake Storage Gen2 作为 Paimon 集群的文件存储，请按如下配置 StorageCredentialParams：

基于 Managed Identity 进行认证和鉴权

"azure.adls2.oauth2_use_managed_identity" = "true",
"azure.adls2.oauth2_tenant_id" = "<service_principal_tenant_id>",
"azure.adls2.oauth2_client_id" = "<service_client_id>"

StorageCredentialParams 包含如下参数。

参数	是否必须	说明
azure.adls2.oauth2_use_managed_identity	是	指定是否开启 Managed Identity 鉴权方式。设置为 `true`。
azure.adls2.oauth2_tenant_id	是	数据所属 Tenant 的 ID。
azure.adls2.oauth2_client_id	是	Managed Identity 的 Client (Application) ID。

基于 Shared Key 进行认证和鉴权
```
"azure.adls2.storage_account" = "<storage_account_name>",
"azure.adls2.shared_key" = "<storage_account_shared_key>"
```
StorageCredentialParams 包含如下参数。

参数 是否必须 说明
azure.adls2.storage_account 是 Data Lake Storage Gen2 账号的用户名。
azure.adls2.shared_key 是 Data Lake Storage Gen2 账号的 Shared Key。

参数	是否必须	说明
azure.adls2.storage_account	是	Data Lake Storage Gen2 账号的用户名。
azure.adls2.shared_key	是	Data Lake Storage Gen2 账号的 Shared Key。

基于 Service Principal 进行认证和鉴权

"azure.adls2.oauth2_client_id" = "<service_client_id>",
"azure.adls2.oauth2_client_secret" = "<service_principal_client_secret>",
"azure.adls2.oauth2_client_endpoint" = "<service_principal_client_endpoint>"

StorageCredentialParams 包含如下参数。

参数	是否必须	说明
azure.adls2.oauth2_client_id	是	Service Principal 的 Client (Application) ID。
azure.adls2.oauth2_client_secret	是	新建的 Client (Application) Secret。
azure.adls2.oauth2_client_endpoint	是	Service Principal 或 Application 的 OAuth 2.0 Token Endpoint (v1)。

Azure Data Lake Storage Gen1

如果选择 Data Lake Storage Gen1 作为 Paimon 集群的文件存储，请按如下配置 StorageCredentialParams：

基于 Managed Service Identity 进行认证和鉴权
```
"azure.adls1.use_managed_service_identity" = "true"
```
StorageCredentialParams 包含如下参数。

参数 是否必须 说明
azure.adls1.use_managed_service_identity 是指定是否开启 Managed Service Identity 鉴权方式。设置为 true。

参数	是否必须	说明
azure.adls1.use_managed_service_identity	是	指定是否开启 Managed Service Identity 鉴权方式。设置为 `true`。

基于 Service Principal 进行认证和鉴权

"azure.adls1.oauth2_client_id" = "<application_client_id>",
"azure.adls1.oauth2_credential" = "<application_client_credential>",
"azure.adls1.oauth2_endpoint" = "<OAuth_2.0_authorization_endpoint_v2>"

StorageCredentialParams 包含如下参数。

参数	是否必须	说明
azure.adls1.oauth2_client_id	是	Service Principal 的 Client (Application) ID。
azure.adls1.oauth2_credential	是	新建的 Client (Application) Secret。
azure.adls1.oauth2_endpoint	是	Service Principal 或 Application 的 OAuth 2.0 Token Endpoint (v1)。

Google GCS

如果选择 Google GCS 作为 Paimon 集群的文件存储，请按如下配置 StorageCredentialParams：

基于 VM 进行认证和鉴权
```
"gcp.gcs.use_compute_engine_service_account" = "true"
```
StorageCredentialParams 包含如下参数。

参数 默认值 取值样例 说明
gcp.gcs.use_compute_engine_service_account false true 是否直接使用 Compute Engine 上面绑定的 Service Account。

基于 Service Account 进行认证和鉴权

"gcp.gcs.service_account_email" = "<google_service_account_email>",
"gcp.gcs.service_account_private_key_id" = "<google_service_private_key_id>",
"gcp.gcs.service_account_private_key" = "<google_service_private_key>"

StorageCredentialParams 包含如下参数。

参数	默认值	取值样例	说明
gcp.gcs.service_account_email	""	"user@hello.iam.gserviceaccount.com"	创建 Service Account 时生成的 JSON 文件中的 Email。
gcp.gcs.service_account_private_key_id	""	"61d257bd8479547cb3e04f0b9b6b9ca07af3b7ea"	创建 Service Account 时生成的 JSON 文件中的 Private Key ID。
gcp.gcs.service_account_private_key	""	"-----BEGIN PRIVATE KEY----xxxx-----END PRIVATE KEY-----\n"	创建 Service Account 时生成的 JSON 文件中的 Private Key。

基于 Impersonation 进行认证和鉴权

使用 VM 实例模拟 Service Account

"gcp.gcs.use_compute_engine_service_account" = "true",
"gcp.gcs.impersonation_service_account" = "<assumed_google_service_account_email>"

StorageCredentialParams 包含如下参数。

参数	默认值	取值样例	说明
gcp.gcs.use_compute_engine_service_account	false	true	是否直接使用 Compute Engine 上面绑定的 Service Account。
gcp.gcs.impersonation_service_account	""	"hello"	需要模拟的目标 Service Account。

使用一个 Service Account（暂时命名为“Meta Service Account”）模拟另一个 Service Account（暂时命名为“Data Service Account”）

"gcp.gcs.service_account_email" = "<google_service_account_email>",
"gcp.gcs.service_account_private_key_id" = "<meta_google_service_account_email>",
"gcp.gcs.service_account_private_key" = "<meta_google_service_account_email>",
"gcp.gcs.impersonation_service_account" = "<data_google_service_account_email>"

StorageCredentialParams 包含如下参数。

参数	默认值	取值样例	说明
gcp.gcs.service_account_email	""	"user@hello.iam.gserviceaccount.com"	创建 Meta Service Account 时生成的 JSON 文件中的 Email。
gcp.gcs.service_account_private_key_id	""	"61d257bd8479547cb3e04f0b9b6b9ca07af3b7ea"	创建 Meta Service Account 时生成的 JSON 文件中的 Private Key ID。
gcp.gcs.service_account_private_key	""	"-----BEGIN PRIVATE KEY----xxxx-----END PRIVATE KEY-----\n"	创建 Meta Service Account 时生成的 JSON 文件中的 Private Key。
gcp.gcs.impersonation_service_account	""	"hello"	需要模拟的目标 Data Service Account。

示例

以下示例创建了一个名为 paimon_catalog_fs 的 Paimon Catalog，其元数据类型 paimon.catalog.type 为 filesystem，用于查询 Paimon 集群里的数据。

AWS S3

如果基于 Instance Profile 进行鉴权和认证

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<s3_paimon_warehouse_path>",
    "aws.s3.use_instance_profile" = "true",
    "aws.s3.region" = "us-west-2"
);

如果基于 Assumed Role 进行鉴权和认证

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<s3_paimon_warehouse_path>",
    "aws.s3.use_instance_profile" = "true",
    "aws.s3.iam_role_arn" = "arn:aws:iam::081976408565:role/test_s3_role",
    "aws.s3.region" = "us-west-2"
);

如果基于 IAM User 进行鉴权和认证

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<s3_paimon_warehouse_path>",
    "aws.s3.use_instance_profile" = "false",
    "aws.s3.access_key" = "<iam_user_access_key>",
    "aws.s3.secret_key" = "<iam_user_secret_key>",
    "aws.s3.region" = "us-west-2"
);

阿里云 OSS

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<oss_paimon_warehouse_path>",
    "aliyun.oss.access_key" = "<user_access_key>",
    "aliyun.oss.secret_key" = "<user_secret_key>",
    "aliyun.oss.endpoint" = "<oss_endpoint>"
);

兼容 S3 协议的对象存储

以 MinIO 为例：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<paimon_warehouse_path>",
    "aws.s3.enable_ssl" = "true",
    "aws.s3.enable_path_style_access" = "true",
    "aws.s3.endpoint" = "<s3_endpoint>",
    "aws.s3.access_key" = "<iam_user_access_key>",
    "aws.s3.secret_key" = "<iam_user_secret_key>"
);

Microsoft Azure Storage

Azure Blob Storage

如果基于 Shared Key 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<blob_paimon_warehouse_path>",
    "azure.blob.storage_account" = "<blob_storage_account_name>",
    "azure.blob.shared_key" = "<blob_storage_account_shared_key>"
);

如果基于 SAS Token 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<blob_paimon_warehouse_path>",
    "azure.blob.storage_account" = "<blob_storage_account_name>",
    "azure.blob.container" = "<blob_container_name>",
    "azure.blob.sas_token" = "<blob_storage_account_SAS_token>"
);

Azure Data Lake Storage Gen1

如果基于 Managed Service Identity 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<adls1_paimon_warehouse_path>",
    "azure.adls1.use_managed_service_identity" = "true"
);

如果基于 Service Principal 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<adls1_paimon_warehouse_path>",
    "azure.adls1.oauth2_client_id" = "<application_client_id>",
    "azure.adls1.oauth2_credential" = "<application_client_credential>",
    "azure.adls1.oauth2_endpoint" = "<OAuth_2.0_authorization_endpoint_v2>"
);

Azure Data Lake Storage Gen2

如果基于 Managed Identity 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<adls2_paimon_warehouse_path>",
    "azure.adls2.oauth2_use_managed_identity" = "true",
    "azure.adls2.oauth2_tenant_id" = "<service_principal_tenant_id>",
    "azure.adls2.oauth2_client_id" = "<service_client_id>"
);

如果基于 Shared Key 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<adls2_paimon_warehouse_path>",
    "azure.adls2.storage_account" = "<storage_account_name>",
    "azure.adls2.shared_key" = "<shared_key>"
);

如果基于 Service Principal 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<adls2_paimon_warehouse_path>",
    "azure.adls2.oauth2_client_id" = "<service_client_id>",
    "azure.adls2.oauth2_client_secret" = "<service_principal_client_secret>",
    "azure.adls2.oauth2_client_endpoint" = "<service_principal_client_endpoint>"
);

Google GCS

如果基于 VM 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<gcs_paimon_warehouse_path>",
    "gcp.gcs.use_compute_engine_service_account" = "true"
);

如果基于 Service Account 进行认证和鉴权，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<gcs_paimon_warehouse_path>",
    "gcp.gcs.service_account_email" = "<google_service_account_email>",
    "gcp.gcs.service_account_private_key_id" = "<google_service_private_key_id>",
    "gcp.gcs.service_account_private_key" = "<google_service_private_key>"
);

如果基于 Impersonation 进行认证和鉴权

使用 VM 实例模拟 Service Account，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<gcs_paimon_warehouse_path>",
    "gcp.gcs.use_compute_engine_service_account" = "true",
    "gcp.gcs.impersonation_service_account" = "<assumed_google_service_account_email>"
);

使用一个 Service Account 模拟另一个 Service Account，可以按如下创建 Paimon Catalog：

CREATE EXTERNAL CATALOG paimon_catalog_fs
PROPERTIES
(
    "type" = "paimon",
    "paimon.catalog.type" = "filesystem",
    "paimon.catalog.warehouse" = "<gcs_paimon_warehouse_path>",
    "gcp.gcs.service_account_email" = "<google_service_account_email>",
    "gcp.gcs.service_account_private_key_id" = "<meta_google_service_account_email>",
    "gcp.gcs.service_account_private_key" = "<meta_google_service_account_email>",
    "gcp.gcs.impersonation_service_account" = "<data_google_service_account_email>"
);

查看 Paimon Catalog

您可以通过 SHOW CATALOGS 查询当前所在 StarRocks 集群里所有 Catalog：

SHOW CATALOGS;

您也可以通过 SHOW CREATE CATALOG 查询某个 External Catalog 的创建语句。例如，通过如下命令查询 Paimon Catalog paimon_catalog_fs 的创建语句：

SHOW CREATE CATALOG paimon_catalog_fs;

删除 Paimon Catalog

您可以通过 DROP CATALOG 删除某个 External Catalog。

例如，通过如下命令删除 Paimon Catalog paimon_catalog_fs：

DROP Catalog paimon_catalog_fs;

查看 Paimon 表结构

您可以通过如下方法查看 Paimon 表的表结构：

查看表结构

DESC[RIBE] <catalog_name>.<database_name>.<table_name>;

从 CREATE 命令查看表结构和表文件存放位置

SHOW CREATE TABLE <catalog_name>.<database_name>.<table_name>;

查询 Paimon 表数据

通过 SHOW DATABASES 查看指定 Catalog 所属的 Paimon Catalog 中的数据库：
```
SHOW DATABASES FROM <catalog_name>;
```
通过 SET CATALOG 切换当前会话生效的 Catalog：
```
SET CATALOG <catalog_name>;
```
再通过 USE 指定当前会话生效的数据库：
```
USE <db_name>;
```
或者，也可以通过 USE 直接将会话切换到目标 Catalog 下的指定数据库：
```
USE <catalog_name>.<db_name>;
```
通过 SELECT 查询目标数据库中的目标表：
```
SELECT count(*) FROM <table_name> LIMIT 10;
```

导入 Paimon 数据

假设有一个 OLAP 表，表名为 olap_tbl。您可以这样来转换该表中的数据，并把数据导入到 StarRocks 中：

INSERT INTO default_catalog.olap_db.olap_tbl SELECT * FROM paimon_table;

参数	是否必须	说明
azure.blob.storage_account	是	Blob Storage 账号的用户名。
azure.blob.shared_key	是	Blob Storage 账号的 Shared Key。

Paimon catalog

使用说明​

准备工作​

AWS IAM​

HDFS​

Kerberos 认证​

创建 Paimon Catalog​

语法​

参数说明​

catalog_name​

comment​

type​

CatalogParams​

StorageCredentialParams​

AWS S3​

阿里云 OSS​

兼容 S3 协议的对象存储​

Microsoft Azure Storage​

Azure Blob Storage​

Azure Data Lake Storage Gen2​

Azure Data Lake Storage Gen1​

Google GCS​

示例​

AWS S3​

阿里云 OSS​

兼容 S3 协议的对象存储​

Microsoft Azure Storage​

Azure Blob Storage​

Azure Data Lake Storage Gen1​

Azure Data Lake Storage Gen2​

Google GCS​

查看 Paimon Catalog​

删除 Paimon Catalog​

查看 Paimon 表结构​

查询 Paimon 表数据​

导入 Paimon 数据​

文档是否有帮助？

使用说明

准备工作

AWS IAM

HDFS

Kerberos 认证

创建 Paimon Catalog

语法

参数说明

catalog_name

comment

type

CatalogParams

StorageCredentialParams

AWS S3

阿里云 OSS

兼容 S3 协议的对象存储

Microsoft Azure Storage

Azure Blob Storage

Azure Data Lake Storage Gen2

Azure Data Lake Storage Gen1

Google GCS

示例

AWS S3

阿里云 OSS

兼容 S3 协议的对象存储

Microsoft Azure Storage

Azure Blob Storage

Azure Data Lake Storage Gen1

Azure Data Lake Storage Gen2

Google GCS

查看 Paimon Catalog

删除 Paimon Catalog

查看 Paimon 表结构

查询 Paimon 表数据

导入 Paimon 数据