Azure Private Link und Snowflake

Business Critical-Feature

Dieses Feature erfordert Business Critical (oder höher).

.

Verwandte Themen

• SnowCD

• SYSTEM$WHITELIST_PRIVATELINK

• SYSTEM$GET_PRIVATELINK_CONFIG

Unter diesem Thema wird beschrieben, wie Sie Azure Private Link so konfigurieren, dass Ihr virtuelles Azure-Netzwerk (VNet) mit dem Snowflake-VNet in Azure verbunden wird.

Beachten Sie, dass Azure Private Link kein von Snowflake bereitgestellter Service ist. Es handelt sich um einen Microsoft-Service, den Snowflake für die Verwendung mit Ihrem Snowflake-Konto aktiviert.

Unter diesem Thema:

Übersicht zu Azure Private Link

Azure Private Link bietet private Konnektivität zu Snowflake, indem sichergestellt wird, dass der Zugriff auf Snowflake über eine private IP-Adresse erfolgt. Der Datenverkehr vom virtuellen Kundennetzwerk (VNet) zum Snowflake-VNet erfolgt ausschließlich über den Microsoft-Backbone und unter Umgehung des öffentlichen Internets. Dies vereinfacht die Netzwerkkonfiguration erheblich, indem Zugriffsregeln geheim bleiben und gleichzeitig eine sichere und private Kommunikation sichergestellt wird.

Die folgende Grafik fasst die Azure Private Link-Architektur in Bezug auf das Kunden-VNet und das Snowflake-VNet zusammen.

Von einer virtuellen Maschine (1) oder über Peering (2) können Sie eine Verbindung zum Azure Private Link-Endpunkt (3) in Ihrem virtuellen Netzwerk herstellen. Dieser Endpunkt stellt dann eine Verbindung zum Private Link Service (4) her und leitet den Datenverkehr weiter zu Snowflake.

Folgende allgemeine Schritte ermöglichen die Integration von Snowflake in Azure Private Link:

1. Erstellen Sie einen privaten Endpunkt.

2. Generieren Sie ein Zugriffstoken, und rufen Sie diesen über Ihr Azure-Abonnement ab.

3. Aktivieren Sie für Ihr Snowflake-Konto auf Azure die Verwendung von Azure Private Link.

4. Aktualisieren Sie Ihre Einstellungen für die ausgehende Firewall, um die Snowflake-Konto-URL und die OCSP-URL zuzulassen.

5. Aktualisieren Sie Ihren DNS-Server, um Ihre Konto-URL und die OCSP-URL in die IP-Adresse von Private Link aufzulösen. Sie können den DNS-Eintrag zu Ihrem lokalen DNS-Server oder zum privaten DNS Ihres VNet hinzufügen und die DNS-Weiterleitung verwenden, um an den Eintrag gerichtete Abfragen aus anderen Standorten, an denen Ihre Benutzer auf Snowflake zugreifen, weiterzuleiten.

6. Wenn der CONNECTION STATE-Wert für den privaten Endpunkt Approved ist, testen Sie die Verbindung zu Snowflake mit SnowCD (Connectivity Diagnostic Tool) und SYSTEM$WHITELIST_PRIVATELINK.

7. Stellen Sie mit SnowSQL eine Verbindung zu Snowflake her.

Anforderungen und Einschränkungen

Bevor Sie versuchen, Azure Private Link so zu konfigurieren, dass Ihr Azure-VNet mit dem Snowflake-VNet auf Azure verbunden wird, sollten Sie die folgenden Anforderungen und Einschränkungen berücksichtigen:

• In dem Subnetz, das den privaten Endpunkt enthält, muss die zugehörige Netzwerkrichtlinie deaktiviert sein. Insbesondere müssen die Subnetzeigenschaften die folgenden beiden Attribute enthalten:

  "privateLinkServiceNetworkPolicies" : "Disabled",
  "privateEndpointNetworkPolicies" : "Disabled"
  

  Bemerkung

  Wenn für Ihre Unternehmensnetzwerkprotokolle erforderlich ist, dass das Subnetz, in dem sich der Azure Private Link-Endpunkt befindet, Netzwerkrichtlinien aktiviert sein müssen, dann müssen Sie ein separates Subnetz konfigurieren, das nur den Azure Private Link-Endpunkt enthält, und Anforderungen von anderen Subnetzen an das Subnetz weiterleiten, das den Azure Private Link-Endpunkt enthält.

• Verwenden Sie ARM VNets.

• Verwenden Sie nur IPv4-TCP-Datenverkehr.

• Derzeit unterstützt der unter diesem Thema beschriebene Self-Service-Aktivierungsprozess nicht die Autorisierung eines verwalteten privaten Endpunkts von Azure Data Factory, Synapse oder anderen verwalteten Diensten.

  Weitere Informationen zum Konfigurieren eines verwalteten privaten Endpunkts für diesen Anwendungsfall finden Sie in diesem Artikel (in der Snowflake-Community).

Weitere Informationen zu den Anforderungen und Einschränkungen von Microsoft Azure Private Link finden Sie in der Microsoft-Dokumentation zu Einschränkungen für private Endpunkte und Einschränkungen des Private Link-Dienstes.

Konfigurieren des Zugriffs auf Snowflake mit Azure Private Link

Achtung

In diesem Abschnitt werden nur die Snowflake-spezifischen Details zum Konfigurieren Ihrer VNet-Umgebung behandelt. Beachten Sie außerdem, dass Snowflake nicht für die Konfiguration der notwendigen Firewall-Anpassungen und die DNS-Einträge verantwortlich ist. Falls Sie Probleme bezüglich dieser Konfigurationsanforderungen haben, wenden Sie sich direkt an den Microsoft-Support.

In diesem Abschnitt wird beschrieben, wie Sie Azure VNet so konfigurieren, dass Sie mit Azure Private Link eine Verbindung zu Snowflake-VNet auf Azure herstellen können. Nach dem Herstellen der Verbindung zu Snowflake mittels Azure Private Link können Sie den Genehmigungsstatus der Verbindung im Azure-Portal ermitteln.

Hilfe zur Installation finden Sie in der Microsoft-Dokumentation zur Azure-CLI oder zu Azure PowerShell.

Führen Sie entweder Option 1: Vorlagendateien verwenden oder Option 2: Azure-Ressourcen manuell erstellen aus, um Microsoft Azure VNet zu konfigurieren. Stellen Sie dann die Azure Private Link-Verbindung zu Snowflake her.

Wichtig

Folgende Voraussetzungen gelten für Option 1 und 2:

• Ihr Anwendungsfall beinhaltet nicht das Verwenden von SSO mit Azure Private Link.

• Sowohl das Subnetz als auch der private Endpunkt müssen erstellt werden. Wenn für Ihren Anwendungsfall nur der private Endpunkt erforderlich ist, verwenden Sie die entsprechenden Dateien aus Schritt 1 von Option 1: Vorlagendateien erstellen.

Option 1: Vorlagendateien verwenden

In dieser Abfolge von Schritten werden zwei verschiedene Konfigurationsdateien verwendet, um die erforderlichen Azure Private Link-Ressourcen zu erstellen und zu initialisieren, damit Azure Private Link eine Verbindung zu Snowflake auf Azure herstellen kann. Es gibt zwei Arten von Konfigurationsdateien:

Vorlagendatei

Verwenden Sie diese Datei, um einen privaten Endpunkt und ein Subnetz für diesen Endpunkt zu erstellen.

Parameterdatei

Verwenden Sie diese Datei, um die Ressourcen zu initialisieren, die die Vorlagendatei erstellt.

Abhängig von Ihrer Azure-Umgebung ist es möglicherweise nicht erforderlich, ein dediziertes Subnetz zu erstellen. Wenn Sie bereits ein dediziertes Subnetz für den privaten Endpunkt haben, können Sie die entsprechenden Dateien verwenden, um den Endpunkt in diesem Subnetz zu erstellen.

In den folgenden Schritten wird als repräsentatives Beispiel davon ausgegangen, dass sowohl ein dediziertes Subnetz als auch ein privater Endpunkt erforderlich sind.

Vorsicht

Mit den Vorlagendateien und den Skripten des Konfigurationsverfahrens werden Ressourcen in Ihrer Azure-Umgebung erstellt, um die Verbindung zu Snowflake mit Azure Private Link zu vereinfachen. Prüfen Sie alle Eingaben sorgfältig, bevor Sie das Konfigurationsverfahren abschließen. Weitere Unterstützung erhalten Sie von Ihrem internen Azure-Administrator.

1. Laden Sie daher die folgenden beiden Dateien herunter, um sie in den nächsten Schritten zu verwenden:

   • customer-privatelink-template.json

   • customer-privatelink-parameters.json

2. Führen Sie als repräsentatives Beispiel für die Verwendung von Azure CLI den Code az account list --output table aus. Notieren Sie sich die Ausgabewerte der Spalten Name, SubscriptionID (abgeschnitten) und CloudName.

   Name     CloudName   SubscriptionId                        State    IsDefault
   -------  ----------  ------------------------------------  -------  ----------
   MyCloud  AzureCloud  13c...                                Enabled  True
   

3. Passen Sie bei jedem Parameter in der Datei customer-privatelink-parameters.json den Wert value entsprechend Ihrer Umgebung an. Ersetzen Sie beispielsweise den Wert virtualNetworkName von Parameter privateLinkConsumer_vnet durch den Wert myVirtualNetwork.

   Um den korrekten Aliaswert für snowflakePrivatelinkServiceAlias zu ermitteln, führen Sie SYSTEM$GET_PRIVATELINK_CONFIG in Snowflake aus und verwenden Sie den Wert für privatelink-pls-id.

4. Führen Sie über die Azure-CLI die folgenden drei Befehle mit den Werten aus dem vorherigen Schritt aus. Mit diesen Befehlen werden die in den Vorlagen- und Parameterdateien definierten Ressourcen, einschließlich des privaten Endpunkts, definiert. Beachten Sie, dass diese Werte repräsentative Beispiele sind.

   az cloud set --name <customer_cloud_name>
   az account set --subscription <customer_subscription_name>
   az group deployment create --resource-group CUSTOMER_RESOURCEGROUP_NAME --template-file customer-privatelink-template.json --parameters customer-privatelink-parameters.json
   

   • Ersetzen Sie <Name_der_Kundencloud> durch AzureCloud.

   • Ersetzen Sie <Name_des_Kundenabonnements> durch MyCloud.

   • Für CUSTOMER_RESOURCE_GROUP können Sie einen beliebigen Namen wählen.

5. Aktivieren Sie für Ihr Snowflake-Konto auf Azure die Verwendung von Azure Private Link, indem Sie die folgenden Schritte ausführen.

   • Ermitteln Sie in Ihrer Befehlszeilenumgebung die Ressourcen-ID des privaten Endpunkts mit dem folgenden Azure-CLI-Netzwerk-Befehls:

     az network private-endpoint show
     

     Der private Endpunkt wurde in den vorangegangenen Schritten unter Verwendung der Vorlagendateien erstellt. Der Ressourcen-ID-Wert nimmt die folgende Form mit einem verkürzten Wert an:

     /subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service

   • Führen Sie in Ihrer Befehlszeilenumgebung den folgenden Azure-CLI-Konto-Befehl aus, und speichern Sie die Ausgabe. Die Ausgabe wird im nächsten Schritt als Wert für das Argument federated_token verwendet.

     az account get-access-token --subscription <SubscriptionID>
     

     Extrahieren Sie den Wert des Zugriffstokens aus der Befehlsausgabe. Dieser Wert wird im nächsten Schritt als Wert für federated_token verwendet. Im folgenden Beispiel sind die Werte abgeschnitten, und der Wert des Zugriffstokens ist eyJ...:

     {
        "accessToken": "eyJ...",
        "expiresOn": "2021-05-21 21:38:31.401332",
        "subscription": "0cc...",
        "tenant": "d47...",
        "tokenType": "Bearer"
      }
     

     Wichtig

     Der Benutzer, der das Azure-Zugriffstoken generiert, muss über Leseberechtigungen das Abonnement verfügen. Die Berechtigung mit den geringsten Rechten ist Microsoft.Subscription/subscriptions/acceptOwnershipStatus/read. Alternativ dazu erteilt die Standardrolle Reader gröbere Berechtigungen.

     Der Wert accessToken ist eine vertrauliche Information und sollte wie ein Kennwort behandelt werden: Geben Sie diesen Wert nicht weiter.

     Wenn es erforderlich ist, den Snowflake-Support zu kontaktieren, löschen Sie erst das Zugriffstoken aus allen Befehlen und URLs, bevor Sie ein Support-Ticket erstellen.

   • Rufen Sie in Snowflake die Funktion SYSTEM$AUTHORIZE_PRIVATELINK auf, und verwenden Sie den Wert private-endpoint-resource-id und den Wert federated_token als Argumente, die im folgenden Beispiel abgeschnitten sind:

     use role accountadmin;
     
     select SYSTEM$AUTHORIZE_PRIVATELINK (
       '/subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service',
       'eyJ...');
     

   Um Ihre autorisierte Konfiguration zu überprüfen, rufen Sie in Ihrem Snowflake-Konto auf Azure die Funktion SYSTEM$GET_PRIVATELINK auf. Snowflake gibt bei einer erfolgreichen Autorisierung den Wert Account is authorized for PrivateLink. zurück.

   Wenn es notwendig ist, Azure Private Link in Ihrem Snowflake-Konto zu deaktivieren, rufen Sie die Funktion SYSTEM$REVOKE_PRIVATELINK auf, wobei Sie die Argumentwerte für privatelink-pls-id und federated_token verwenden.

6. DNS-Setup. Alle Anforderungen an Snowflake müssen über den privaten Endpunkt weitergeleitet werden. Daher muss der DNS angepasst werden, damit die Snowflake-Konto-URL und die OCSP-URL mit der privaten IP-Adresse Ihres privaten Endpunkts aufgelöst wird.

   • Navigieren Sie zum Azure-Portal Private Link Center, um die IP-Adresse des privaten Endpunkts abzurufen. Klicken Sie auf Private endpoints und dann auf den Endpunkt.

   • Kopieren Sie den Wert für Private IP address (d. h. 10.0.27.5).

     

   • Konfigurieren Sie Ihren DNS so, dass Ihr Konto und die folgenden beiden OCSP-URLs in die private IP-Adresse aufgelöst werden. Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und verwenden Sie die Werte für private-link-account-url und private-link-ocsp-url.

     Wenn Sie einige der folgenden Features verwenden oder möglicherweise in Zukunft verwenden möchten, müssen Sie einen zusätzlichen DNS-Datensatz mit dem folgenden Wert erstellen oder die folgenden Werte mit den Werten von Snowflake-Konto und OCSP-Cacheserver kombinieren. Dieser Schritt stellt den Zugriff auf diese Features über einen privaten Endpunkt sicher.

     Snowflake Marketplace oder Snowsight

     app.<Regions-ID>.privatelink.snowflakecomputing.com

     Organisationen

     <Name_der_Organisation>-<Name_des_Kontos>.privatelink.snowflakecomputing.com

     Weitere Informationen dazu finden Sie unter Kontobezeichner.

     Bemerkung

     Eine vollständige Erläuterung der DNS-Konfiguration würde den Rahmen dieser Erläuterungen sprengen. Sie können beispielsweise eine Azure Private DNS-Zone in Ihre Umgebung integrieren.

     Wenden Sie sich an Ihre internen Azure- und Cloudinfrastrukturadministratoren, um die URLs ordnungsgemäß für den DNS zu konfigurieren und aufzulösen.

7. Nachdem Sie die Firewalleinstellungen für den ausgehenden Datenverkehr und die DNS-Datensätze hinsichtlich der integrierten URLs Ihres Azure Private Link-Kontos und OCSP überprüft haben, testen Sie die Verbindung zu Snowflake mit SnowCD (Connectivity Diagnostic Tool) und SYSTEM$WHITELIST_PRIVATELINK.

8. Stellen Sie eine Verbindung zu Snowflake mit der Konto-URL für private Konnektivität her.

   Wenn Sie eine Verbindung zu Snowsight über Azure Private Link herstellen möchten, verwenden Sie die Anleitung in der Snowsight-Dokumentation.

Option 2: Azure-Ressourcen manuell erstellen

In dieser Abfolge von Schritten werden die erforderlichen Azure Private Link-Ressourcen manuell erstellt und initialisiert, damit Azure Private Link eine Verbindung zu Snowflake auf Azure herstellen kann.

1. Führen Sie als repräsentatives Beispiel für die Verwendung von Azure CLI den Code az account list --output table aus. Notieren Sie sich die Ausgabewerte in den Spalten Name, SubscriptionID und CloudName.

   Name     CloudName   SubscriptionId                        State    IsDefault
   -------  ----------  ------------------------------------  -------  ----------
   MyCloud  AzureCloud  13c...                                Enabled  True
   

2. Navigieren Sie zum Azure-Portal. Suchen Sie nach Private Link, und klicken Sie auf Private Link.

   

3. Klicken Sie auf Private endpoints und dann auf Add.

   

4. Füllen Sie im Abschnitt Basics die Felder Subscription, Resource group, Name und Region mit den Werten Ihrer Umgebung aus, und klicken Sie dann auf Next: Resource.

   

5. Füllen Sie im Abschnitt Resource die Felder Connection Method und Resource ID or Alias Field aus. Der Wert Request message ist optional.

   • Wählen Sie für Connection Method die Option Connect to an Azure resource by resource ID or alias aus.

     

   • Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und geben Sie den Wert für privatelink-pls-id in das Feld Resource ID or Alias ein. Beachten Sie, dass der Screenshot in diesem Schritt den Aliaswert für die Region east-us-2 als repräsentatives Beispiel verwendet und dass Azure einen gültigen Aliaswert mit einem grünen Häkchen bestätigt.

6. Kehren Sie zum Abschnitt Private endpoints zurück, und warten Sie einige Minuten. Liegt die Genehmigung vor, wird für privaten Endpunkt der CONNECTION STATE-Wert Pending angezeigt. Dieser Wert wird nach Abschluss der Autorisierung im nächsten Schritt auf Approved aktualisiert.

   

7. Aktivieren Sie für Ihr Snowflake-Konto auf Azure die Verwendung von Azure Private Link, indem Sie die folgenden Schritte ausführen.

   • Ermitteln Sie in Ihrer Befehlszeilenumgebung die Ressourcen-ID des privaten Endpunkts mit dem folgenden Azure-CLI-Netzwerk-Befehls:

     az network private-endpoint show
     

     Der private Endpunkt wurde in den vorangegangenen Schritten unter Verwendung der Vorlagendateien erstellt. Der Ressourcen-ID-Wert nimmt die folgende Form mit einem verkürzten Wert an:

     /subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service

   • Führen Sie in Ihrer Befehlszeilenumgebung den folgenden Azure-CLI-Konto-Befehl aus, und speichern Sie die Ausgabe. Die Ausgabe wird im nächsten Schritt als Wert für das Argument federated_token verwendet.

     az account get-access-token --subscription <SubscriptionID>
     

     Extrahieren Sie den Wert des Zugriffstokens aus der Befehlsausgabe. Dieser Wert wird im nächsten Schritt als Wert für federated_token verwendet. Im folgenden Beispiel sind die Werte abgeschnitten, und der Wert des Zugriffstokens ist eyJ...:

     {
        "accessToken": "eyJ...",
        "expiresOn": "2021-05-21 21:38:31.401332",
        "subscription": "0cc...",
        "tenant": "d47...",
        "tokenType": "Bearer"
      }
     

     Wichtig

     Der Benutzer, der das Azure-Zugriffstoken generiert, muss über Leseberechtigungen das Abonnement verfügen. Die Berechtigung mit den geringsten Rechten ist Microsoft.Subscription/subscriptions/acceptOwnershipStatus/read. Alternativ dazu erteilt die Standardrolle Reader gröbere Berechtigungen.

     Der Wert accessToken ist eine vertrauliche Information und sollte wie ein Kennwort behandelt werden: Geben Sie diesen Wert nicht weiter.

     Wenn es erforderlich ist, den Snowflake-Support zu kontaktieren, löschen Sie erst das Zugriffstoken aus allen Befehlen und URLs, bevor Sie ein Support-Ticket erstellen.

   • Rufen Sie in Snowflake die Funktion SYSTEM$AUTHORIZE_PRIVATELINK auf, und verwenden Sie den Wert private-endpoint-resource-id und den Wert federated_token als Argumente, die im folgenden Beispiel abgeschnitten sind:

     use role accountadmin;
     
     select SYSTEM$AUTHORIZE_PRIVATELINK (
       '/subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service',
       'eyJ...'
       );
     

   Um Ihre autorisierte Konfiguration zu überprüfen, rufen Sie in Ihrem Snowflake-Konto auf Azure die Funktion SYSTEM$GET_PRIVATELINK auf. Snowflake gibt bei einer erfolgreichen Autorisierung den Wert Account is authorized for PrivateLink. zurück.

   Wenn es notwendig ist, Azure Private Link in Ihrem Snowflake-Konto zu deaktivieren, rufen Sie die Funktion SYSTEM$REVOKE_PRIVATELINK auf, wobei Sie die Argumentwerte für private-endpoint-resource-id und federated_token verwenden.

8. DNS-Setup. Alle Anforderungen an Snowflake müssen über den privaten Endpunkt weitergeleitet werden. Daher muss der DNS angepasst werden, damit die URLs für Snowflake-Konto und OCSP mit der privaten IP-Adresse Ihres privaten Endpunkts aufgelöst werden.

   • Navigieren Sie zur Azure-Portalsuchleiste, und geben Sie den Namen des Endpunkts (d. h. den Wert für NAME aus Schritt 5) ein, um die IP-Adresse des Endpunkts abzurufen. Suchen Sie das Ergebnis der Netzwerkschnittstelle, und klicken Sie darauf.

     

   • Kopieren Sie den Wert für Private IP address (d. h. 10.0.27.5).

     

   • Konfigurieren Sie Ihren DNS so, dass Ihr Konto und die folgenden beiden OCSP-URLs in die private IP-Adresse aufgelöst werden. Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und verwenden Sie die Werte für private-link-account-url und private-link-ocsp-url.

     Wenn Sie einige der folgenden Features verwenden oder möglicherweise in Zukunft verwenden möchten, müssen Sie einen zusätzlichen DNS-Datensatz mit dem folgenden Wert erstellen oder die folgenden Werte mit den Werten von Snowflake-Konto und OCSP-Cacheserver kombinieren. Dieser Schritt stellt den Zugriff auf diese Features über einen privaten Endpunkt sicher.

     Snowflake Marketplace oder Snowsight

     app.<Regions-ID>.privatelink.snowflakecomputing.com

     Organisationen

     <Name_der_Organisation>-<Name_des_Kontos>.privatelink.snowflakecomputing.com

     Weitere Informationen dazu finden Sie unter Kontobezeichner.

     Bemerkung

     Eine vollständige Erläuterung der DNS-Konfiguration würde den Rahmen dieser Erläuterungen sprengen. Sie können beispielsweise eine Azure Private DNS-Zone in Ihre Umgebung integrieren. Wenden Sie sich an Ihre internen Azure- und Cloudinfrastrukturadministratoren, um die URLs ordnungsgemäß für den DNS zu konfigurieren und aufzulösen.

9. Nachdem Sie die Firewalleinstellungen für den ausgehenden Datenverkehr und die DNS-Datensätze hinsichtlich der integrierten URLs Ihres Azure Private Link-Kontos und OCSP überprüft haben, testen Sie die Verbindung zu Snowflake mit SnowCD (Connectivity Diagnostic Tool) und SYSTEM$WHITELIST_PRIVATELINK.

10. Stellen Sie eine Verbindung zu Snowflake mit der Konto-URL für private Konnektivität her.

    Wenn Sie eine Verbindung zu Snowsight über Azure Private Link herstellen möchten, verwenden Sie die Anleitung in der Snowsight-Dokumentation.

Verwenden von SSO mit Azure Private Link

Snowflake unterstützt die Verwendung von SSO mit Azure Private Link. Weitere Informationen dazu finden Sie unter:

• SSO mit privater Konnektivität

• OAuth und private Konnektivität

Verwenden der Clientumleitung mit Azure Private Link

Snowflake unterstützt die Verwendung der Clientumleitung mit Azure Private Link.

Weitere Informationen dazu finden Sie unter Umleiten von Clientverbindungen.

Blockieren des öffentlichen Zugriffs – Optional

Nach dem Testen der Azure Private Link-Konnektivität mit Snowflake können Sie optional den öffentlichen Zugriff auf Snowflake mit Netzwerkrichtlinien blockieren.

Konfigurieren Sie den CIDR-Blockierbereich so, dass der öffentliche Zugriff auf Snowflake anhand des IP-Adressbereichs Ihrer Organisation blockiert wird. Dieser Bereich kann innerhalb Ihres virtuellen Netzwerks liegen.

Sobald die CIDR-Blockierbereiche festgelegt sind, können nur IP-Adressen aus dem CIDR-Blockierbereich auf Snowflake zugreifen.

So blockieren Sie den öffentlichen Zugriff mithilfe einer Netzwerkrichtlinie:

1. Erstellen Sie eine neue Netzwerkrichtlinie, oder bearbeiten Sie eine vorhandene Netzwerkrichtlinie. Fügen Sie den CIDR-Blockierbereich für Ihre Organisation hinzu.

2. Aktivieren Sie die Netzwerkrichtlinie für Ihr Konto.