Private Konnektivität konfigurieren

In diesem Abschnitt werden die eingehende private Konnektivität (zu Endpunkten, die von Snowpark Container Services bereitgestellt werden) und die ausgehende private Konnektivität (ausgehender Datenverkehr von Ihrem Dienst) erläutert.

Bemerkung

Die Unterstützung für die Nutzung privater Konnektivität-Features ist in Google Cloud derzeit nicht verfügbar.

Eingehende Konnektivität

Snowpark Container Services stellt drei Endpunkte zur Verfügung:

  • Image Registry-Dienst: Er ermöglicht es der OCIv2 API, Ihre Anwendungsimages in ein Repository in Ihrem Snowflake Konto hochzuladen. Weitere Informationen dazu finden Sie unter Snowpark Container Services: Verwenden von Image-Registry und Image-Repository.

  • Öffentliche Endpunkte, die von einem Dienst bereitgestellt werden: Sie können Benutzern in Ihrem Konto den Zugriff auf Ihren Dienst von außerhalb von Snowflake (Ingress) ermöglichen, indem Sie einen oder mehrere Endpunkte als öffentlich deklarieren. Weitere Informationen finden Sie unter Verwendung eines Dienstes.

  • Authentifizierungsendpunkt: Wenn ein Benutzer versucht, auf den öffentlichen Endpunkt eines Dienstes zuzugreifen, leitet Snowpark Container Services den Benutzer über diesen Endpunkt zur Authentifizierung um.

In diesem Abschnitt wird erklärt, wie Sie private Konnektivität zu diesen Endpunkten aktivieren.

Bemerkung

  • Die private Konnektivität zu Snowpark Container Services wird nur mit AWS PrivateLink und Azure Private Link unterstützt.

  • Bei der Konfiguration der privaten Konnektivität kontrollieren Sie die Auflösung von DNS; es gibt keine DNS-Datensätze, die von Snowflake kontrolliert werden.

Voraussetzungen konfigurieren

Um die private Konnektivität zu Snowpark Container Services zu aktivieren, konfigurieren Sie zunächst die private Konnektivität, um Ihr Snowflake-Konto mit dem Netzwerk Ihres Kontos beim Cloud-Anbieter zu verbinden. Weitere Informationen finden Sie unter Eingehende private Konnektivität zum Snowflake-Dienst.

Zugriff auf öffentliche Endpunkte konfigurieren

So ermöglichen Sie Eingangs-Anfragen aus Ihrem Netzwerk an den öffentlichen Endpunkt Ihres Dienstes:

  1. Rufen Sie SYSTEM$GET_PRIVATELINK_CONFIG in Ihrem Snowflake-Konto auf, um eine Liste der Hostnamen für Ihr Konto zu erhalten. In der Ausgabe:

    1. app-service-privatelink-url-Schlüssel stellt einen Platzhalter-Hostnamen für die öffentlichen Endpunkte von Snowpark Container Services bereit.

    2. spcs-auth-privatelink-url-Schlüssel stellt den für die Routing Snowpark Container Services-Authentifizierung erforderlichen Hostnamen bereit.

  2. Um über eine private Konnektivität auf Snowflake zuzugreifen, müssen Sie CNAME-Datensätze in Ihrem DNS erstellen, um die Endpunktwerte aus der Funktion SYSTEM$GET_PRIVATELINK_CONFIG in Ihrem privaten Netzwerk aufzulösen.

    Bemerkung

    Hostname Routing auf Kontoebene wird derzeit nicht unterstützt.

Zugriff auf die Snowpark Container Services Registry in Snowflake konfigurieren

  1. Rufen Sie SYSTEM$GET_PRIVATELINK_CONFIG in Ihrem Snowflake Konto auf, um eine Liste der Hostnamen für Ihr Konto zu erhalten. In der Ausgabe liefert der Schlüssel spcs-registry-privatelink-url den Hostnamen, der für das Routing von Snowpark Container Services Image Registry-Anfragen erforderlich ist.

  2. Um über eine private Konnektivität auf Snowflake zuzugreifen, ist es erforderlich, Datensätze in Ihrem DNS zu erstellen, um die Endpunktwerte aus der Funktion SYSTEM$GET_PRIVATELINK_CONFIG in Ihrem privaten Netzwerk aufzulösen.

Sicherheitshinweise

Die folgenden Angaben gelten für öffentliche Endpunkte, die von Diensten bereitgestellt werden:

  • Jeder Endpunkt kann sowohl HTTPS-verschlüsselten Datenverkehr als auch WebSocket-verschlüsselten Datenverkehr bedienen.

  • Jeder Endpunkt hat seine eigene Top-Level-Domain, ohne gemeinsame Elemente mit Snowsight. Dadurch wird sichergestellt, dass die Browser die Dienste von Snowsight und die Dienste untereinander isolieren, wodurch das Risiko von Cross-Origin-Angriffen verringert wird.

Ausgehende Konnektivität

Anstatt den Netzwerkausgag über das öffentliche Internet zu routen, können Sie sich dafür entscheiden, den Ausgangverkehr Ihres Dienstes über einen privaten Konnektivitätsendpunkt zu leiten. Weitere Informationen dazu finden Sie unter Netzwerkausgang über private Konnektivität.

Sprache: Deutsch