Azure Private Link und Snowflake

Business Critical-Funktion

Diese Funktion erfordert Business Critical (oder höher).

Wenn Sie Business Critical (oder höher) verwenden und Azure Private Link für Ihr Snowflake-Konto nutzen möchten, wenden Sie sich an den Snowflake-Support, und fordern Sie eine Aktivierung an, wie weiter unten beschrieben.

.

Verwandte Themen

• SnowCD

• SYSTEM$WHITELIST_PRIVATELINK

• SYSTEM$GET_PRIVATELINK_CONFIG

Unter diesem Thema wird beschrieben, wie Sie Azure Private Link so konfigurieren, dass Ihr virtuelles Azure-Netzwerk (VNet) mit dem Snowflake-VNet in Azure verbunden wird.

Beachten Sie, dass Azure Private Link kein von Snowflake bereitgestellter Service ist. Es handelt sich um einen Microsoft-Service, den Snowflake für die Verwendung mit Ihrem Snowflake-Konto aktiviert.

Wenn Sie Business Critical (oder höher) verwenden und Azure Private Link für Ihr Snowflake-Konto nutzen möchten, wenden Sie sich an den Snowflake-Support, und fordern Sie eine Aktivierung an.

Unter diesem Thema:

Übersicht zu Azure Private Link

Azure Private Link bietet private Konnektivität zu Snowflake, indem sichergestellt wird, dass der Zugriff auf Snowflake über eine private IP-Adresse erfolgt. Der Datenverkehr vom virtuellen Kundennetzwerk (VNet) zum Snowflake-VNet erfolgt ausschließlich über den Microsoft-Backbone und unter Umgehung des öffentlichen Internets. Dies vereinfacht die Netzwerkkonfiguration erheblich, indem Zugriffsregeln geheim bleiben und gleichzeitig eine sichere und private Kommunikation sichergestellt wird.

Die folgende Grafik fasst die Azure Private Link-Architektur in Bezug auf das Kunden-VNet und das Snowflake-VNet zusammen.

Von einer virtuellen Maschine (1) oder über Peering (2) können Sie eine Verbindung zum Azure Private Link-Endpunkt (3) in Ihrem virtuellen Netzwerk herstellen. Dieser Endpunkt stellt dann eine Verbindung zum Private Link Service (4) her und leitet den Datenverkehr weiter zu Snowflake.

Folgende allgemeine Schritte ermöglichen die Integration von Snowflake in Azure Private Link:

1. Erstellen Sie einen privaten Endpunkt, und fordern Sie die Genehmigung von Snowflake an, wie unter Konfigurieren des Zugriffs auf Snowflake mit Azure Private Link beschrieben.

2. Wenden Sie sich an den Snowflake-Support, und fordern Sie eine Genehmigung an, um den Wert des erstellten privaten Endpunkts anzugeben. Nachdem Snowflake die Genehmigung erteilt hat, überprüfen Sie mithilfe von Azure Portal, ob der CONNECTION STATE-Wert des privaten Endpunkts Approved ist. Überprüfen Sie Ihre Konto-URL und die OCSP-URL beim Snowflake-Support.

3. Aktualisieren Sie Ihre Einstellungen für die ausgehende Firewall, um die Snowflake-Konto-URL und die OCSP-URL zuzulassen.

4. Aktualisieren Sie Ihren DNS-Server, um Ihre Konto-URL und die OCSP-URL in die IP-Adresse von Private Link aufzulösen. Sie können den DNS-Eintrag zu Ihrem lokalen DNS-Server oder zum privaten DNS Ihres VNet hinzufügen und die DNS-Weiterleitung verwenden, um an den Eintrag gerichtete Abfragen von anderen Standorten, an denen Ihre Benutzer auf Snowflake zugreifen, weiterzuleiten.

5. Wenn der CONNECTION STATE-Wert für den privaten Endpunkt Approved ist, testen Sie die Verbindung zu Snowflake mit SnowCD (Connectivity Diagnostic Tool) und SYSTEM$WHITELIST_PRIVATELINK.

6. Stellen Sie mit SnowSQL eine Verbindung zu Snowflake her.

Anforderungen und Einschränkungen

Bevor Sie versuchen, Azure Private Link so zu konfigurieren, dass Ihr Azure-VNet mit dem Snowflake-VNet auf Azure verbunden wird, sollten Sie die folgenden Anforderungen und Einschränkungen berücksichtigen:

• In dem Subnetz, das den privaten Endpunkt enthält, muss die zugehörige Netzwerkrichtlinie deaktiviert sein. Insbesondere müssen die Subnetzeigenschaften die folgenden beiden Attribute enthalten:

  "privateLinkServiceNetworkPolicies" : "Disabled",
  "privateEndpointNetworkPolicies" : "Disabled"
  

  Bemerkung

  Wenn für Ihre Unternehmensnetzwerkprotokolle erforderlich ist, dass das Subnetz, in dem sich der Azure Private Link-Endpunkt befindet, Netzwerkrichtlinien aktiviert sein müssen, dann müssen Sie ein separates Subnetz konfigurieren, das nur den Azure Private Link-Endpunkt enthält, und Anforderungen von anderen Subnetzen an das Subnetz weiterleiten, das den Azure Private Link-Endpunkt enthält.

• Verwenden Sie ARM VNets.

• Verwenden Sie nur IPv4-TCP-Datenverkehr.

• Wenn Sie eine SaaS-Anwendung verwenden, um eine Verbindung zu Snowflake herzustellen, können Sie die SaaS-Anwendung und Azure Private Link nicht zusammen verwenden. Sie können die SaaS-Anwendung weiterhin für Pfade verwenden, die für die Verbindung zu Snowflake nicht Azure Private Link verwenden.

Weitere Informationen zu den Anforderungen und Einschränkungen von Microsoft Azure Private Link finden Sie in der Microsoft-Dokumentation zu Einschränkungen für private Endpunkte und Einschränkungen des Private Link-Dienstes.

Konfigurieren des Zugriffs auf Snowflake mit Azure Private Link

Achtung

In diesem Abschnitt werden nur die Snowflake-spezifischen Details zum Konfigurieren Ihrer VNet-Umgebung behandelt. Beachten Sie außerdem, dass Snowflake nicht für die Konfiguration der notwendigen Firewall-Anpassungen und die DNS-Einträge verantwortlich ist. Falls Sie Probleme bezüglich dieser Konfigurationsanforderungen haben, wenden Sie sich direkt an den Microsoft-Support.

In diesem Abschnitt wird beschrieben, wie Sie Azure VNet so konfigurieren, dass Sie mit Azure Private Link eine Verbindung zu Snowflake-VNet auf Azure herstellen können. Nach dem Herstellen der Verbindung zu Snowflake mittels Azure Private Link können Sie den Genehmigungsstatus der Verbindung im Azure-Portal ermitteln.

Hilfe zur Installation finden Sie in der Microsoft-Dokumentation zur Azure-CLI oder zu Azure PowerShell.

Führen Sie die Vorbereitenden Schritte und entweder Option 1: Vorlagendateien verwenden oder Option 2: Azure-Ressourcen manuell erstellen aus, um Microsoft Azure VNet zu konfigurieren. Stellen Sie dann die Azure Private Link-Verbindung zu Snowflake her.

Vorbereitende Schritte

1. Bestimmen Sie, ob mehrere Snowflake-Konten in derselben Azure-Region dieselbe Azure SubscriptionID verwenden können. Bei der Erstkonfiguration sind ein Snowflake-Konto und eine Azure-SubscriptionID erforderlich.

   • Wenn Sie mehrere Snowflake-Konten in derselben Azure-Region an dieselbe Azure-SubscriptionID binden möchten, wenden Sie sich im Zuge der Ausführung von Schritt 2 der Option 1: Vorlagendateien verwenden an den Snowflake-Support.

2. Konfigurieren Sie den sicheren Zugriff auf Datendateien in Ihrem Azure Blob-Speicher mit Konfigurieren eines Azure-Containers zum Laden von Daten.

   • Dieser Schritt stellt sicher, dass das Laden von Massendaten von Ihrem externen Azure Blob-Stagingbereich in Snowflake ausschließlich über den Azure-Netzwerk-Backbone verläuft und nicht über das öffentliche Internet.

3. Prüfen Sie Ihre Azure-Umgebung, um festzustellen, ob Sie ein dediziertes Subnetz mit einem Azure Private Link-Endpunkt oder nur den Azure Private Link-Endpunkt benötigen.

   • Wenn Sie bereits ein dediziertes Subnetz haben, um mit Azure Private Link eine Verbindung zu Snowflake herzustellen, müssen Sie nur einen privaten Endpunkt in diesem Subnetz erstellen. Laden Sie daher diese beiden Dateien zur Verwendung in Option 1 herunter, oder führen Sie die Konfiguration manuell durch, wie in Option 2 gezeigt.

     • customer-privatelink-endpoint-only-template.json

     • customer-private-endpoint-only-parameters.json

   • Wenn Sie kein dediziertes Subnetz haben und sich für die Konfiguration mit Vorlagendateien entscheiden, befolgen Sie die Anweisungen in Option 1. Führen Sie die Konfiguration andernfalls manuell aus, wie in Option 2 gezeigt.

Wichtig

Voraussetzung für Option 1 und 2 sind die beiden folgenden Annahmen:

• Ihr Anwendungsfall beinhaltet nicht das Verwenden von SSO mit Azure Private Link.

• Sowohl das Subnetz als auch der private Endpunkt müssen erstellt werden. Wenn für Ihren Anwendungsfall nur der private Endpunkt erforderlich ist, verwenden Sie die entsprechenden Dateien aus Schritt 1 von Option 1: Vorlagendateien erstellen.

Option 1: Vorlagendateien verwenden

In dieser Abfolge von Schritten werden zwei verschiedene Konfigurationsdateien verwendet, um die erforderlichen Azure Private Link-Ressourcen zu erstellen und zu initialisieren, damit Azure Private Link eine Verbindung zu Snowflake auf Azure herstellen kann. Es gibt zwei Arten von Konfigurationsdateien:

Vorlagendatei

Verwenden Sie diese Datei, um einen privaten Endpunkt und ein Subnetz für diesen Endpunkt zu erstellen.

Parameterdatei

Verwenden Sie diese Datei, um die Ressourcen zu initialisieren, die die Vorlagendatei erstellt.

Abhängig von Ihrer Azure-Umgebung ist es möglicherweise nicht erforderlich, ein dediziertes Subnetz zu erstellen. Wenn Sie bereits ein dediziertes Subnetz für den privaten Endpunkt haben, können Sie die entsprechenden Dateien verwenden, um den Endpunkt in diesem Subnetz zu erstellen.

In den folgenden Schritten wird als repräsentatives Beispiel davon ausgegangen, dass sowohl ein dediziertes Subnetz als auch ein privater Endpunkt erforderlich sind.

Vorsicht

Mit den Vorlagendateien und den Skripten des Konfigurationsverfahrens werden Ressourcen in Ihrer Azure-Umgebung erstellt, um die Verbindung zu Snowflake mit Azure Private Link zu vereinfachen. Prüfen Sie alle Eingaben sorgfältig, bevor Sie das Konfigurationsverfahren abschließen. Weitere Unterstützung erhalten Sie von Ihrem internen Azure-Administrator.

1. Laden Sie daher die folgenden beiden Dateien herunter, um sie in den nächsten Schritten zu verwenden:

   • customer-privatelink-template.json

   • customer-privatelink-parameters.json

2. Führen Sie als repräsentatives Beispiel für die Verwendung von Azure CLI den Code az account list --output table aus. Notieren Sie sich die Ausgabewerte in den Spalten Name und CloudName.

   Name     CloudName   SubscriptionId                        State    IsDefault
   -------  ----------  ------------------------------------  -------  ----------
   MyCloud  AzureCloud  13c91033-8b4e-40f7-9031-16c8f69233e3  Enabled  True
   

3. Kontaktieren Sie den Snowflake-Support, und stellen Sie den SubscriptionId-Wert und die URL Ihres Kontos für den Zugriff auf Snowflake mit dem Hinweis bereit, dass diese Werte für Azure Private Link verwendet werden sollen. Snowflake lässt den SubscriptionId-Wert dann für die automatische Genehmigung zu. Nachdem Sie die Genehmigungsantwort von Snowflake erhalten haben, führen Sie SYSTEM$GET_PRIVATELINK_CONFIG aus, um die URL zu erhalten, mit der Sie über Azure Private Link auf Snowflake zugreifen können.

   Wichtig

   Es kann bis zu 48 Stunden dauern, bis der Snowflake-Support das Ticket verarbeitet und die Zulassung für den Wert SubscriptionID implementiert hat. Bitte warten Sie, bis der Snowflake-Support eine Bestätigung sendet. Fahren Sie nach Erhalt der Bestätigung mit den verbleibenden Schritten dieses Verfahrens fort.

   Wenn Sie mehrere Snowflake-Konten in derselben Azure-Region mit derselben Azure-SubscriptionID verknüpfen möchten, wenden Sie sich an den Snowflake-Support.

4. Passen Sie bei jedem Parameter in der Datei customer-privatelink-parameters.json den Wert value entsprechend Ihrer Umgebung an. Ersetzen Sie beispielsweise den Wert virtualNetworkName von Parameter privateLinkConsumer_vnet durch den Wert myVirtualNetwork.

   Um den korrekten Aliaswert für snowflakePrivatelinkServiceAlias zu ermitteln, führen Sie SYSTEM$GET_PRIVATELINK_CONFIG in Snowflake aus und verwenden Sie den Wert für privatelink-pls-id.

5. Führen Sie über die Azure-CLI die folgenden drei Befehle mit den Werten aus dem vorherigen Schritt aus. Beachten Sie, dass diese Werte repräsentative Beispiele sind.

   az cloud set --name <customer_cloud_name>
   az account set --subscription <customer_subscription_name>
   az group deployment create --resource-group CUSTOMER_RESOURCEGROUP_NAME --template-file customer-privatelink-template.json --parameters customer-privatelink-parameters.json
   

   • Ersetzen Sie <Name_der_Kundencloud> durch AzureCloud.

   • Ersetzen Sie <Name_des_Kundenabonnements> durch MyCloud.

   • Für CUSTOMER_RESOURCE_GROUP können Sie einen beliebigen Namen wählen.

6. DNS-Setup. Alle Anforderungen an Snowflake müssen über den privaten Endpunkt weitergeleitet werden. Daher muss der DNS angepasst werden, damit die URLs für Snowflake-Konto und OCSP mit der privaten IP-Adresse Ihres privaten Endpunkts aufgelöst werden.

   • Navigieren Sie zum Azure-Portal Private Link Center, um die IP-Adresse des privaten Endpunkts abzurufen. Klicken Sie auf Private endpoints und dann auf den Endpunkt.

   • Kopieren Sie den Wert für Private IP address (d. h. 10.0.27.5).

     

   • Konfigurieren Sie Ihren DNS so, dass Ihr Konto und die folgenden beiden OCSP-URLs in die private IP-Adresse aufgelöst werden. Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und verwenden Sie die Werte für private-link-account-url und private-link-ocsp-url.

     Wenn Sie einige der folgenden Funktionen verwenden oder möglicherweise in Zukunft verwenden möchten, müssen Sie einen zusätzlichen DNS-Datensatz mit dem folgenden Wert erstellen oder die folgenden Werte mit den Werten von Snowflake-Konto und OCSP-Cacheserver kombinieren. Dieser Schritt stellt den Zugriff auf diese Funktionen über einen privaten Endpunkt sicher.

     Snowflake Data Marketplace oder Snowsight

     app.<Regions-ID>.privatelink.snowflakecomputing.com

     Organisationen

     <Name_der_Organisation>-<Name_des_Kontos>.privatelink.snowflakecomputing.com

     Weitere Informationen dazu finden Sie unter Kontobezeichner.

     Bemerkung

     Eine vollständige Erläuterung der DNS-Konfiguration würde den Rahmen dieser Erläuterungen sprengen. Sie können beispielsweise eine Azure Private DNS-Zone in Ihre Umgebung integrieren.

     Wenden Sie sich an Ihre internen Azure- und Cloudinfrastrukturadministratoren, um die URLs ordnungsgemäß für den DNS zu konfigurieren und aufzulösen.

7. Nachdem Sie die Firewalleinstellungen für den ausgehenden Datenverkehr und die DNS-Datensätze hinsichtlich der integrierten URLs Ihres Azure Private Link-Kontos und OCSP überprüft haben, testen Sie die Verbindung zu Snowflake mit SnowCD (Connectivity Diagnostic Tool) und SYSTEM$WHITELIST_PRIVATELINK.

8. Stellen Sie mit SnowSQL eine Verbindung zu Snowflake her.

Sie können jetzt mit Azure Private Link eine Verbindung zu Snowflake herstellen.

Option 2: Azure-Ressourcen manuell erstellen

In dieser Abfolge von Schritten werden die erforderlichen Azure Private Link-Ressourcen manuell erstellt und initialisiert, damit Azure Private Link eine Verbindung zu Snowflake auf Azure herstellen kann.

1. Stellen Sie sicher, dass ein dediziertes Subnetz vorhanden ist, das den privaten Endpunkt enthält, und dass Netzwerkrichtlinien deaktiviert sind. Weitere Informationen dazu finden Sie unter Netzwerkrichtlinien für private Endpunkte deaktivieren.

2. Führen Sie als repräsentatives Beispiel für die Verwendung von Azure CLI den Code az account list --output table aus. Notieren Sie sich die Ausgabewerte in den Spalten Name und CloudName.

   Name     CloudName   SubscriptionId                        State    IsDefault
   -------  ----------  ------------------------------------  -------  ----------
   MyCloud  AzureCloud  13c91033-8b4e-40f7-9031-16c8f69233e3  Enabled  True
   

3. Kontaktieren Sie den Snowflake-Support, und stellen Sie den SubscriptionId-Wert und die URL Ihres Kontos für den Zugriff auf Snowflake mit dem Hinweis bereit, dass diese Werte für Azure Private Link verwendet werden sollen. Snowflake lässt den SubscriptionId-Wert dann für die automatische Genehmigung zu. Nachdem Sie die Genehmigungsantwort von Snowflake erhalten haben, führen Sie SYSTEM$GET_PRIVATELINK_CONFIG aus, um die URL zu erhalten, mit der Sie über Azure Private Link auf Snowflake zugreifen können.

   Wichtig

   Es kann bis zu 48 Stunden dauern, bis der Snowflake-Support das Ticket verarbeitet und die Zulassung für den Wert SubscriptionID implementiert hat. Bitte warten Sie, bis der Snowflake-Support eine Bestätigung sendet. Fahren Sie nach Erhalt der Bestätigung mit den verbleibenden Schritten dieses Verfahrens fort.

   Wenn Sie mehrere Snowflake-Konten in derselben Azure-Region mit derselben Azure-SubscriptionID verknüpfen möchten, wenden Sie sich an den Snowflake-Support.

4. Navigieren Sie zum Azure-Portal. Suchen Sie nach Private Link, und klicken Sie auf Private Link.

   

5. Klicken Sie auf Private endpoints und dann auf Add.

   

6. Füllen Sie im Abschnitt Basics die Felder Subscription, Resource group, Name und Region mit den Werten Ihrer Umgebung aus, und klicken Sie dann auf Next: Resource.

   

7. Füllen Sie im Abschnitt Resource die Felder Connection Method und Resource ID or Alias Field aus. Der Wert Request message ist optional.

   • Wählen Sie für Connection Method die Option Connect to an Azure resource by resource ID or alias aus.

     

   • Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und geben Sie den Wert für privatelink-pls-id in das Feld Resource ID or Alias ein. Beachten Sie, dass der Screenshot in diesem Schritt den Aliaswert für die Region east-us-2 als repräsentatives Beispiel verwendet und dass Azure einen gültigen Aliaswert mit einem grünen Häkchen bestätigt.

8. Kehren Sie zum Abschnitt Private endpoints zurück, und warten Sie einige Minuten. Liegt die Genehmigung vor, wird für privaten Endpunkt der CONNECTION STATE-Wert Approved angezeigt.

   

9. DNS-Setup. Alle Anforderungen an Snowflake müssen über den privaten Endpunkt weitergeleitet werden. Daher muss der DNS angepasst werden, damit die URLs für Snowflake-Konto und OCSP mit der privaten IP-Adresse Ihres privaten Endpunkts aufgelöst werden.

   • Navigieren Sie zur Azure-Portalsuchleiste, und geben Sie den Namen des Endpunkts (d. h. den Wert für NAME aus Schritt 6) ein, um die IP-Adresse des Endpunkts abzurufen. Suchen Sie das Ergebnis der Netzwerkschnittstelle, und klicken Sie darauf.

     

   • Kopieren Sie den Wert für Private IP address (d. h. 10.0.27.5).

     

   • Konfigurieren Sie Ihren DNS so, dass Ihr Konto und die folgenden beiden OCSP-URLs in die private IP-Adresse aufgelöst werden. Führen Sie in Snowflake SYSTEM$GET_PRIVATELINK_CONFIG aus, und verwenden Sie die Werte für private-link-account-url und private-link-ocsp-url.

     Wenn Sie einige der folgenden Funktionen verwenden oder möglicherweise in Zukunft verwenden möchten, müssen Sie einen zusätzlichen DNS-Datensatz mit dem folgenden Wert erstellen oder die folgenden Werte mit den Werten von Snowflake-Konto und OCSP-Cacheserver kombinieren. Dieser Schritt stellt den Zugriff auf diese Funktionen über einen privaten Endpunkt sicher.

     Snowflake Data Marketplace oder Snowsight

     app.<Regions-ID>.privatelink.snowflakecomputing.com

     Organisationen

     <Name_der_Organisation>-<Name_des_Kontos>.privatelink.snowflakecomputing.com

     Weitere Informationen dazu finden Sie unter Kontobezeichner.

     Bemerkung

     Eine vollständige Erläuterung der DNS-Konfiguration würde den Rahmen dieser Erläuterungen sprengen. Sie können beispielsweise eine Azure Private DNS-Zone in Ihre Umgebung integrieren. Wenden Sie sich an Ihre internen Azure- und Cloudinfrastrukturadministratoren, um die URLs ordnungsgemäß für den DNS zu konfigurieren und aufzulösen.

10. Nachdem Sie die Firewalleinstellungen für den ausgehenden Datenverkehr und die DNS-Datensätze hinsichtlich der integrierten URLs Ihres Azure Private Link-Kontos und OCSP überprüft haben, testen Sie die Verbindung zu Snowflake mit SnowCD (Connectivity Diagnostic Tool) und SYSTEM$WHITELIST_PRIVATELINK.

11. Stellen Sie mit SnowSQL eine Verbindung zu Snowflake her.

Sie können jetzt mit Azure Private Link eine Verbindung zu Snowflake herstellen.

Verwenden von SSO mit Azure Private Link

Snowflake unterstützt die Verwendung von SSO mit Azure Private Link. Weitere Informationen dazu finden Sie unter:

• Verwenden von SSO mit privater Konnektivität

• OAuth und private Konnektivität

Blockieren des öffentlichen Zugriffs – Optional

Nach dem Testen der Azure Private Link-Konnektivität mit Snowflake können Sie optional den öffentlichen Zugriff auf Snowflake mit Netzwerkrichtlinien blockieren.

Konfigurieren Sie den CIDR-Blockierbereich so, dass der öffentliche Zugriff auf Snowflake anhand des IP-Adressbereichs Ihrer Organisation blockiert wird. Dieser Bereich kann innerhalb Ihres virtuellen Netzwerks liegen.

Sobald die CIDR-Blockierbereiche festgelegt sind, können nur IP-Adressen aus dem CIDR-Blockierbereich auf Snowflake zugreifen.

So blockieren Sie den öffentlichen Zugriff mithilfe einer Netzwerkrichtlinie:

1. Erstellen Sie eine neue Netzwerkrichtlinie, oder bearbeiten Sie eine vorhandene Netzwerkrichtlinie. Fügen Sie den CIDR-Blockierbereich für Ihre Organisation hinzu.

2. Aktivieren Sie die Netzwerkrichtlinie für Ihr Konto.