Configuration de la connectivité privée¶
Connectivité entrante¶
Snowpark Container Services expose trois points de terminaison :
Service de registre d’images : il sert d’API OCIv2 pour que vous puissiez télécharger vos images d’application vers un référentiel dans votre compte Snowflake. Pour plus d’informations, voir Snowpark Container Services : utilisation d’un registre et d’un référentiel d’images.
Points de terminaison publics exposés par un service : vous pouvez permettre aux utilisateurs, dans votre compte, d’accéder à votre service depuis l’extérieur de Snowflake (entrée) en déclarant un ou plusieurs points de terminaison comme publics. Pour plus d’informations, voir Utilisation d’un service.
Point de terminaison d’authentification : lorsqu’un utilisateur tente d’accéder au point de terminaison public d’un service, Snowpark Container Services redirige l’utilisateur via ce point de terminaison pour authentification.
Cette section explique comment activer la connectivité privée (AWS PrivateLink) vers ces points de terminaison.
Note
La connectivité privée au Snowpark Container Services n’est possible qu’avec AWS PrivateLink.
Lors de l’utilisation d’AWS PrivateLink, vous contrôlez la résolution de DNS ; il n’y a pas d’enregistrements de DNS PrivateLink contrôlés par Snowflake.
Configurer les conditions préalables¶
Pour activer la connectivité privée au Snowpark Container Services, configurez d’abord la connectivité privée (AWS PrivateLink) pour connecter votre compte Snowflake à un ou plusieurs VPCs AWS. Cela permet aux VPCs AWS d’adresser des requêtes à Snowflake. Pour plus d’informations, voir Connectivité privée entrante vers le service Snowflake.
Configurer l’accès aux points de terminaison publics¶
Pour permettre les requêtes entrantes de votre VPC vers le point de terminaison public de votre service :
Appelez SYSTEM$GET_PRIVATELINK_CONFIG dans votre compte Snowflake pour obtenir la liste des noms d’hôte de votre compte. Dans la sortie :
La clé
app-service-privatelink-urlfournit un nom d’hôte générique pour les points de terminaison publics de Snowpark Container Services.La clé
spcs-auth-privatelink-urlfournit le nom d’hôte requis pour l’authentification du routage de Snowpark Container Services.
Pour accéder à Snowflake via un point de terminaison AWS PrivateLink, vous devez créer des enregistrements CNAME dans votre DNS pour résoudre les valeurs de point de terminaison de la fonction SYSTEM$GET_PRIVATELINK_CONFIG au nom DNS de votre point de terminaison VPC.
Note
Le routage du nom d’hôte au niveau du compte n’est actuellement pas pris en charge.
Configuration de l’accès au registre Snowpark Container Services dans Snowflake¶
Appelez SYSTEM$GET_PRIVATELINK_CONFIG dans votre compte Snowflake pour obtenir la liste des noms d’hôte de votre compte. Dans la sortie, la clé
spcs-registry-privatelink-urlfournit le nom d’hôte requis pour le routage des requêtes du registre d’images de Snowpark Container Services.Pour accéder à Snowflake via un point de terminaison AWS PrivateLink, il est nécessaire de créer des enregistrements CNAME dans votre DNS pour résoudre les valeurs de point de terminaison de la fonction SYSTEM$GET_PRIVATELINK_CONFIG au nom DNS de votre point de terminaison VPC.
Remarques relatives à la sécurité¶
Les points suivants s’appliquent aux points de terminaison publics auxquels les services sont exposés :
Chaque point de terminaison peut servir à la fois le trafic chiffré HTTPS et le trafic chiffré WebSocket.
Chaque point de terminaison possède son propre domaine de premier niveau, sans aucun élément partagé avec Snowsight. Ainsi, les navigateurs isolent les services de Snowsight et les services entre eux, ce qui réduit les risques d’attaques inter-origines.
Connectivité sortante¶
Au lieu de router la sortie réseau via l’internet public, vous pouvez choisir de diriger le trafic de sortie de votre service vers un point de terminaison de connectivité privée. Pour plus d’informations, voir Sortie réseau par connectivité privée.