Azure Private Link und Snowflake

Business Critical-Feature

Dieses Feature erfordert Business Critical (oder höher).

.

Verwandte Themen

• SnowCD

• SYSTEM$ALLOWLIST_PRIVATELINK

• SYSTEM$GET_PRIVATELINK_CONFIG

Unter diesem Thema wird beschrieben, wie Sie Azure Private Link so konfigurieren, dass Ihr virtuelles Azure-Netzwerk (VNet) mit dem Snowflake-VNet in Azure verbunden wird.

Beachten Sie, dass Azure Private Link kein von Snowflake bereitgestellter Service ist. Es handelt sich um einen Microsoft-Service, den Snowflake für die Verwendung mit Ihrem Snowflake-Konto aktiviert.

Unter diesem Thema:

Übersicht zu Azure Private Link

Azure Private Link bietet private Konnektivität zu Snowflake, indem sichergestellt wird, dass der Zugriff auf Snowflake über eine private IP-Adresse erfolgt. Der Datenverkehr vom virtuellen Kundennetzwerk (VNet) zum Snowflake-VNet erfolgt ausschließlich über den Microsoft-Backbone und unter Umgehung des öffentlichen Internets. Dies vereinfacht die Netzwerkkonfiguration erheblich, indem Zugriffsregeln geheim bleiben und gleichzeitig eine sichere und private Kommunikation sichergestellt wird.

Die folgende Grafik fasst die Azure Private Link-Architektur in Bezug auf das Kunden-VNet und das Snowflake-VNet zusammen.

Von einer virtuellen Maschine (1) oder über Peering (2) können Sie eine Verbindung zum Azure Private Link-Endpunkt (3) in Ihrem virtuellen Netzwerk herstellen. Dieser Endpunkt stellt dann eine Verbindung zum Private Link Service (4) her und leitet den Datenverkehr weiter zu Snowflake.

Folgende allgemeine Schritte ermöglichen die Integration von Snowflake in Azure Private Link:

1. Erstellen Sie einen privaten Endpunkt.

2. Generieren Sie ein Zugriffstoken, und rufen Sie diesen über Ihr Azure-Abonnement ab.

3. Aktivieren Sie für Ihr Snowflake-Konto auf Azure die Verwendung von Azure Private Link.

4. Aktualisieren Sie Ihre Einstellungen für die ausgehende Firewall, um die Snowflake-Konto-URL und die OCSP-URL zuzulassen.

5. Aktualisieren Sie Ihren DNS-Server, um Ihre Konto-URL und die OCSP-URL in die IP-Adresse von Private Link aufzulösen. Sie können den DNS-Eintrag zu Ihrem lokalen DNS-Server oder zum privaten DNS Ihres VNet hinzufügen und die DNS-Weiterleitung verwenden, um an den Eintrag gerichtete Abfragen aus anderen Standorten, an denen Ihre Benutzer auf Snowflake zugreifen, weiterzuleiten.

6. After the Private Endpoint displays a CONNECTION STATE value of Approved, test your connection to Snowflake with SnowCD (Connectivity Diagnostic Tool) and SYSTEM$ALLOWLIST_PRIVATELINK.

7. Stellen Sie eine Verbindung zu Snowflake mit der Konto-URL für private Konnektivität her.

Anforderungen und Einschränkungen

Bevor Sie versuchen, Azure Private Link so zu konfigurieren, dass Ihr Azure-VNet mit dem Snowflake-VNet auf Azure verbunden wird, müssen Sie Folgendes beachten:

• Aktivieren Sie in Azure auf Subnetzebene optional eine Netzwerkrichtlinie für den privaten Endpunkt.

  Überprüfen Sie, ob die TCP-Ports 443 und 80 den Datenverkehr zu 0.0.0.0 in der Netzwerksicherheitsgruppe der Netzwerkkarte des privaten Endpunkts zulassen.

  Wenn Sie Hilfe bei der Portkonfiguration benötigen, wenden Sie sich an Ihren internen Azure-Administrator.

• Verwenden Sie ARM VNets.

• Verwenden Sie nur IPv4-TCP-Datenverkehr.

• Derzeit unterstützt der unter diesem Thema beschriebene Self-Service-Aktivierungsprozess nicht die Autorisierung eines verwalteten privaten Endpunkts von Azure Data Factory, Synapse oder anderen verwalteten Diensten.

  Weitere Informationen zum Konfigurieren eines verwalteten privaten Endpunkts für diesen Anwendungsfall finden Sie in diesem Artikel (in der Snowflake-Community).

Weitere Informationen zu den Anforderungen und Einschränkungen von Microsoft Azure Private Link finden Sie in der Microsoft-Dokumentation zu Einschränkungen für private Endpunkte und Einschränkungen des Private Link-Dienstes.

Konfigurieren des Zugriffs auf Snowflake mit Azure Private Link

Achtung

In diesem Abschnitt werden nur die Snowflake-spezifischen Details zum Konfigurieren Ihrer VNet-Umgebung behandelt. Beachten Sie außerdem, dass Snowflake nicht für die Konfiguration der notwendigen Firewall-Anpassungen und die DNS-Einträge verantwortlich ist. Falls Sie Probleme bezüglich dieser Konfigurationsanforderungen haben, wenden Sie sich direkt an den Microsoft-Support.

In diesem Abschnitt wird beschrieben, wie Sie Azure VNet so konfigurieren, dass Sie mit Azure Private Link eine Verbindung zu Snowflake-VNet auf Azure herstellen können. Nach dem Herstellen der Verbindung zu Snowflake mittels Azure Private Link können Sie den Genehmigungsstatus der Verbindung im Azure-Portal ermitteln.

Hilfe zur Installation finden Sie in der Microsoft-Dokumentation zur Azure-CLI oder zu Azure PowerShell.

Führen Sie das Konfigurationsverfahren aus, um Ihr Microsoft Azure-VNet zu konfigurieren und die Azure Private Link-Verbindung zu Snowflake herzustellen.

Prozedur

Bei diesem Verfahren werden die erforderlichen Azure Private Link-Ressourcen manuell erstellt und initialisiert, damit Azure Private Link eine Verbindung zu Snowflake auf Azure herstellen kann. Beachten Sie, dass dieses Verfahren davon ausgeht, dass Ihr Anwendungsfall keine Verwendung von SSO mit Azure Private Link (unter diesem Thema) beinhaltet.

1. Führen Sie als repräsentatives Beispiel für die Verwendung von Azure CLI den Code az account list --output table aus. Notieren Sie sich die Ausgabewerte in den Spalten Name, SubscriptionID und CloudName.

   Name     CloudName   SubscriptionId                        State    IsDefault
   -------  ----------  ------------------------------------  -------  ----------
   MyCloud  AzureCloud  13c...                                Enabled  True
   

2. Navigieren Sie zum Azure-Portal. Suchen Sie nach Private Link, und klicken Sie auf Private Link.

   

3. Klicken Sie auf Private endpoints und dann auf Add.

   

4. Füllen Sie im Abschnitt Basics die Felder Subscription, Resource group, Name und Region mit den Werten Ihrer Umgebung aus, und klicken Sie dann auf Next: Resource.

   

5. Füllen Sie im Abschnitt Resource die Felder Connection Method und Resource ID or Alias Field aus. Der Wert Request message ist optional.

   • Wählen Sie für Connection Method die Option Connect to an Azure resource by resource ID or alias aus.

     

   • Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und geben Sie den Wert für privatelink-pls-id in das Feld Resource ID or Alias ein. Beachten Sie, dass der Screenshot in diesem Schritt den Aliaswert für die Region east-us-2 als repräsentatives Beispiel verwendet und dass Azure einen gültigen Aliaswert mit einem grünen Häkchen bestätigt.

6. Kehren Sie zum Abschnitt Private endpoints zurück, und warten Sie einige Minuten. Liegt die Genehmigung vor, wird für privaten Endpunkt der CONNECTION STATE-Wert Pending angezeigt. Dieser Wert wird nach Abschluss der Autorisierung im nächsten Schritt auf Approved aktualisiert.

   

7. Aktivieren Sie für Ihr Snowflake-Konto auf Azure die Verwendung von Azure Private Link, indem Sie die folgenden Schritte ausführen.

   • Ermitteln Sie in Ihrer Befehlszeilenumgebung die Ressourcen-ID des privaten Endpunkts mit dem folgenden Azure-CLI-Netzwerk-Befehls:

     az network private-endpoint show
     

     Der private Endpunkt wurde in den vorangegangenen Schritten unter Verwendung der Vorlagendateien erstellt. Der Ressourcen-ID-Wert nimmt die folgende Form mit einem verkürzten Wert an:

     /subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service

   • Führen Sie in Ihrer Befehlszeilenumgebung den folgenden Azure-CLI-Konto-Befehl aus, und speichern Sie die Ausgabe. Die Ausgabe wird im nächsten Schritt als Wert für das Argument federated_token verwendet.

     az account get-access-token --subscription <SubscriptionID>
     

     Extrahieren Sie den Wert des Zugriffstokens aus der Befehlsausgabe. Dieser Wert wird im nächsten Schritt als Wert für federated_token verwendet. Im folgenden Beispiel sind die Werte abgeschnitten, und der Wert des Zugriffstokens ist eyJ...:

     {
        "accessToken": "eyJ...",
        "expiresOn": "2021-05-21 21:38:31.401332",
        "subscription": "0cc...",
        "tenant": "d47...",
        "tokenType": "Bearer"
      }
     

     Wichtig

     Der Benutzer, der das Azure-Zugriffstoken generiert, muss über Leseberechtigungen das Abonnement verfügen. Die Berechtigung mit den geringsten Rechten ist Microsoft.Subscription/subscriptions/acceptOwnershipStatus/read. Alternativ dazu erteilt die Standardrolle Reader gröbere Berechtigungen.

     Der Wert accessToken ist eine vertrauliche Information und sollte wie ein Kennwort behandelt werden: Geben Sie diesen Wert nicht weiter.

     Wenn es erforderlich ist, den Snowflake-Support zu kontaktieren, löschen Sie erst das Zugriffstoken aus allen Befehlen und URLs, bevor Sie ein Support-Ticket erstellen.

   • Rufen Sie in Snowflake die Funktion SYSTEM$AUTHORIZE_PRIVATELINK auf, und verwenden Sie den Wert private-endpoint-resource-id und den Wert federated_token als Argumente, die im folgenden Beispiel abgeschnitten sind:

     use role accountadmin;
     
     select SYSTEM$AUTHORIZE_PRIVATELINK (
       '/subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service',
       'eyJ...'
       );
     

   Um Ihre autorisierte Konfiguration zu überprüfen, rufen Sie in Ihrem Snowflake-Konto auf Azure die Funktion SYSTEM$GET_PRIVATELINK auf. Snowflake gibt bei einer erfolgreichen Autorisierung den Wert Account is authorized for PrivateLink. zurück.

   Wenn es notwendig ist, Azure Private Link in Ihrem Snowflake-Konto zu deaktivieren, rufen Sie die Funktion SYSTEM$REVOKE_PRIVATELINK auf, wobei Sie die Argumentwerte für private-endpoint-resource-id und federated_token verwenden.

8. DNS-Setup. Alle Anforderungen an Snowflake müssen über den privaten Endpunkt weitergeleitet werden. Daher muss der DNS angepasst werden, damit die URLs für Snowflake-Konto und OCSP mit der privaten IP-Adresse Ihres privaten Endpunkts aufgelöst werden.

   • Navigieren Sie zur Azure-Portalsuchleiste, und geben Sie den Namen des Endpunkts (d. h. den Wert für NAME aus Schritt 5) ein, um die IP-Adresse des Endpunkts abzurufen. Suchen Sie das Ergebnis der Netzwerkschnittstelle, und klicken Sie darauf.

     

   • Kopieren Sie den Wert für Private IP address (d. h. 10.0.27.5).

     

   • Konfigurieren Sie Ihren DNS so, dass Ihr Konto und die folgenden beiden OCSP-URLs in die private IP-Adresse aufgelöst werden. Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und verwenden Sie die Werte für private-link-account-url und private-link-ocsp-url.

     Wenn Sie einige der folgenden Features verwenden oder möglicherweise in Zukunft verwenden möchten, müssen Sie einen zusätzlichen DNS-Datensatz mit dem folgenden Wert erstellen oder die folgenden Werte mit den Werten von Snowflake-Konto und OCSP-Cacheserver kombinieren. Dieser Schritt stellt den Zugriff auf diese Features über einen privaten Endpunkt sicher.

     Snowflake Marketplace oder Snowsight

     app.<Regions-ID>.privatelink.snowflakecomputing.com

     Organisationen

     <Name_der_Organisation>-<Name_des_Kontos>.privatelink.snowflakecomputing.com

     Weitere Informationen dazu finden Sie unter Kontobezeichner.

     Bemerkung

     Eine vollständige Erläuterung der DNS-Konfiguration würde den Rahmen dieser Erläuterungen sprengen. Sie können beispielsweise eine Azure Private DNS-Zone in Ihre Umgebung integrieren. Wenden Sie sich an Ihre internen Azure- und Cloudinfrastrukturadministratoren, um die URLs ordnungsgemäß für den DNS zu konfigurieren und aufzulösen.

9. After verifying your outbound firewall settings and DNS records include your Azure Private Link account and OCSP URLs, test your connection to Snowflake with SnowCD (Connectivity Diagnostic Tool) and SYSTEM$ALLOWLIST_PRIVATELINK.

10. Stellen Sie eine Verbindung zu Snowflake mit der Konto-URL für private Konnektivität her.

    Wenn Sie eine Verbindung zu Snowsight über Azure Private Link herstellen möchten, verwenden Sie die Anleitung in der Snowsight-Dokumentation.

Verwenden von SSO mit Azure Private Link

Snowflake unterstützt die Verwendung von SSO mit Azure Private Link. Weitere Informationen dazu finden Sie unter:

• SSO mit privater Konnektivität

• OAuth und private Konnektivität

Verwenden der Clientumleitung mit Azure Private Link

Snowflake unterstützt die Verwendung der Clientumleitung mit Azure Private Link.

Weitere Informationen dazu finden Sie unter Umleiten von Clientverbindungen.

Blockieren des öffentlichen Zugriffs – Optional

Nach dem Testen der Azure Private Link-Konnektivität mit Snowflake können Sie optional den öffentlichen Zugriff auf Snowflake mit Netzwerkrichtlinien blockieren.

Konfigurieren Sie den CIDR-Blockierbereich so, dass der öffentliche Zugriff auf Snowflake anhand des IP-Adressbereichs Ihrer Organisation blockiert wird. Dieser Bereich kann innerhalb Ihres virtuellen Netzwerks liegen.

Sobald die CIDR-Blockierbereiche festgelegt sind, können nur IP-Adressen aus dem CIDR-Blockierbereich auf Snowflake zugreifen.

So blockieren Sie den öffentlichen Zugriff mithilfe einer Netzwerkrichtlinie:

1. Erstellen Sie eine neue Netzwerkrichtlinie, oder bearbeiten Sie eine vorhandene Netzwerkrichtlinie. Fügen Sie den CIDR-Blockierbereich für Ihre Organisation hinzu.

2. Aktivieren Sie die Netzwerkrichtlinie für Ihr Konto.