Private Konnektivität zu externen Volumes für Microsoft Azure

Dieses Thema enthält Konfigurationsdetails zum Einrichten einer ausgehenden privaten Konnektivität zu einem externen Volume auf Microsoft Azure. Der Hauptunterschied zwischen ausgehender öffentlicher Konnektivität und ausgehender privater Konnektivität besteht darin, wie Sie die Eigenschaft USE_PRIVATELINK_ENDPOINT für das externe Volume festlegen.

Wenn das externe Volume für eine private Konnektivität konfiguriert ist, erfolgt Ihre Verbindung zu den Microsoft Azure Cloud-Speicherdiensten über das interne Microsoft Azure-Netzwerk. Indem Sie Ihr externes Volume so konfigurieren, dass es eine ausgehende private Konnektivität verwendet, erhöhen Sie die Sicherheit Ihrer Operationen, indem Sie den öffentlichen Zugriff auf das Speicherkonto blockieren.

Weitere Informationen über die Verwendung externer Volumes zur Verbindung mit Ihrem externen Cloudspeicher für Iceberg-Tabellen finden Sie unter Externes Volume konfigurieren.

Kosten für ausgehende private Konnektivität

Sie zahlen für jeden privaten Konnektivitätsendpunkt zusammen mit den insgesamt verarbeiteten Daten. Die Preise für diese Artikel finden Sie in der Snowflake Service Consumption Table.

Sie können die Kosten für diese Element ermitteln, indem Sie bei der Abfrage von Abrechnungsansichten in den Schemata ACCOUNT_USAGE und ORGANIZATION_USAGE nach den folgenden Diensttypen filtern:

  • OUTBOUND_PRIVATELINK_ENDPOINT

  • OUTBOUND_PRIVATELINK_DATA_PROCESSED

Sie können zum Beispiel die Ansicht USAGE_IN_CURRENCY_DAILY abfragen und nach folgenden Diensttypen filtern.

Hinweise und Einschränkungen

  • Sie können die private Konnektivität verwenden, um auf von Snowflake verwaltete Iceberg-Tabellen und Iceberg-Tabellen zuzugreifen, die eine Katalogintegration für die Objektspeicherung verwenden, aber Sie können sie nicht verwenden, um auf Iceberg-Tabellen zuzugreifen, die andere Katalogintegrationen verwenden.

  • Sie können ausgehende öffentliche Konnektivität und ausgehende private Konnektivität für denselben Cloud-Speicherdienst konfigurieren. Wenn Sie dies tun möchten, erstellen Sie ein dediziertes externes Volume für ausgehende öffentliche Konnektivität, und geben Sie USE_PRIVATELINK_ENDPOINT = FALSE an.

Private Konnektivität: Eigenschaft

Die Eigenschaft USE_PRIVATELINK_ENDPOINT eines externen Volumes bestimmt, ob der Zugriff über eine private Konnektivität oder über das öffentliche Netzwerk erfolgt. Um die private Konnektivität zu nutzen, stellen Sie bei der Erstellung oder Änderung eines externen Volumes USE_PRIVATELINK_ENDPOINT = TRUE ein.

Konfigurieren Sie den externen Volume-Zugriff über private Konnektivität

Verwenden Sie die folgenden Schritte, um die ausgehende private Konnektivität zum Entladen von Daten auf ein externes Volume auf Microsoft Azure zu verwenden:

  1. Rufen Sie in Snowflake die Systemfunktion SYSTEM$PROVISION_PRIVATELINK_ENDPOINT auf, um einen privaten Konnektivitätsendpunkt in Ihrem Snowflake VNet bereitzustellen, damit Snowflake eine Verbindung zu Ihren externen Microsoft Azure Cloud-Speicherdiensten über eine private Konnektivität herstellen kann:

    USE ROLE ACCOUNTADMIN;

SELECT SYSTEM$PROVISION_PRIVATELINK_ENDPOINT(
  '/subscriptions/cc2909f2-ed22-4c89-8e5d-bdc40e5eac26/resourceGroups/mystorage/providers/Microsoft.Storage/storageAccounts/storagedemo',
  'mystorageaccount.blob.core.windows.net',
  'blob'
);
    Copy

    Diese Funktion bindet den privaten Endpunkt an den Hostnamen, sodass das externe Volume den privaten Endpunkt verwenden kann, um sich mit dem Speicherort zu verbinden.

  2. Genehmigen Sie im Azure-Portal und als Eigentümer der Microsoft Azure-Speicherressource den privaten Endpunkt. Einzelheiten finden Sie unter dem Genehmigungsprozess.

  3. Rufen Sie in Snowflake die Funktion SYSTEM$GET_PRIVATELINK_ENDPOINTS_INFO auf.

    Wenn die Ausgabe der Funktion "status": "APPROVED enthält, kann Ihre Verbindung von Snowflake zu Ihrem Speicherkonto eine private Konnektivität nutzen.

    Sie können mit den nächsten Schritten fortfahren, während Sie auf den Status von "APPROVED" warten.

  4. Erstellen Sie das externe Volume, und stellen Sie dabei sicher, dass die Eigenschaft USE_PRIVATELINK_ENDPOINT auf TRUE eingestellt ist:

    CREATE EXTERNAL VOLUME exvol
  STORAGE_LOCATIONS =
    (
      (
        NAME = 'my-azure-northeurope'
        STORAGE_PROVIDER = 'AZURE'
        STORAGE_BASE_URL = 'azure://exampleacct.blob.core.windows.net/my_container_northeurope/'
        AZURE_TENANT_ID = 'a123b4c5-1234-123a-a12b-1a23b45678c9'
        USE_PRIVATELINK_ENDPOINT = TRUE
      )
    );
    Copy

  5. Nachdem der private Endpunkt den Status "APPROVED" hat, testen Sie den Zugriff auf das externe Volume mit einer unterstützten Operation.

Entfernen eines Endpunkts

Wenn Sie den privaten Konnektivitätsendpunkt für das externe Volume nicht mehr benötigen, deaktivieren Sie die Eigenschaft USE_PRIVATELINK_ENDPOINT auf dem externen Volume, und rufen Sie dann die Systemfunktion SYSTEM$DEPROVISION_PRIVATELINK_ENDPOINT auf.

Nächste Themen:

Sprache: Deutsch