Configuration de la connectivité privée

Cette section explique la connectivité privée entrante (vers les points de terminaison exposés par Snowpark Container Services) et la connectivité privée sortante (trafic de sortie de votre service).

Note

La prise en charge de l’utilisation des fonctions de connectivité privée n’est pas encore disponible dans Google Cloud.

Connectivité entrante

Snowpark Container Services expose trois points de terminaison :

  • Service de registre d’images : il sert d’API OCIv2 pour que vous puissiez télécharger vos images d’application vers un référentiel dans votre compte Snowflake. Pour plus d’informations, voir Snowpark Container Services : utilisation d’un registre et d’un référentiel d’images.

  • Points de terminaison publics exposés par un service : vous pouvez permettre aux utilisateurs, dans votre compte, d’accéder à votre service depuis l’extérieur de Snowflake (entrée) en déclarant un ou plusieurs points de terminaison comme publics. Pour plus d’informations, voir Utilisation d’un service.

  • Point de terminaison d’authentification : lorsqu’un utilisateur tente d’accéder au point de terminaison public d’un service, Snowpark Container Services redirige l’utilisateur via ce point de terminaison pour authentification.

Cette section explique comment activer la connectivité privée vers ces points de terminaison.

Note

  • La connectivité privée à Snowpark Container Services est prise en charge uniquement avec AWS PrivateLink et Azure Private Link.

  • Lors de la configuration de la connectivité privée, vous contrôlez la résolution de DNS ; il n’y a pas d’enregistrements de DNS contrôlés par Snowflake.

Configurer les conditions préalables

Pour activer la connectivité privée à Snowpark Container Services, configurez d’abord la connectivité privée pour connecter votre compte Snowflake au réseau de votre compte de fournisseur Cloud. Pour plus d’informations, voir Connectivité privée entrante vers le service Snowflake.

Configurer l’accès aux points de terminaison publics

Pour permettre les requêtes entrantes de votre réseau vers le point terminaison public de votre service :

  1. Appelez SYSTEM$GET_PRIVATELINK_CONFIG dans votre compte Snowflake pour obtenir la liste des noms d’hôte de votre compte. Dans la sortie :

    1. La clé app-service-privatelink-url fournit un nom d’hôte générique pour les points de terminaison publics de Snowpark Container Services.

    2. La clé spcs-auth-privatelink-url fournit le nom d’hôte requis pour l’authentification du routage de Snowpark Container Services.

  2. Pour accéder à Snowflake via une connectivité privée, vous devez créer des enregistrements CNAME dans votre DNS pour résoudre les valeurs de point de terminaison de la fonction SYSTEM$GET_PRIVATELINK_CONFIG vers votre réseau privé.

    Note

    Le routage du nom d’hôte au niveau du compte n’est actuellement pas pris en charge.

Configuration de l’accès au registre Snowpark Container Services dans Snowflake

  1. Appelez SYSTEM$GET_PRIVATELINK_CONFIG dans votre compte Snowflake pour obtenir la liste des noms d’hôte de votre compte. Dans la sortie, la clé spcs-registry-privatelink-url fournit le nom d’hôte requis pour le routage des requêtes du registre d’images de Snowpark Container Services.

  2. Pour accéder à Snowflake via une connectivité privée, il est nécessaire de créer des enregistrements dans votre DNS pour résoudre les valeurs de point de terminaison de la fonction SYSTEM$GET_PRIVATELINK_CONFIG vers votre réseau privé.

Remarques relatives à la sécurité

Les points suivants s’appliquent aux points de terminaison publics auxquels les services sont exposés :

  • Chaque point de terminaison peut servir à la fois le trafic chiffré HTTPS et le trafic chiffré WebSocket.

  • Chaque point de terminaison possède son propre domaine de premier niveau, sans aucun élément partagé avec Snowsight. Ainsi, les navigateurs isolent les services de Snowsight et les services entre eux, ce qui réduit les risques d’attaques inter-origines.

Connectivité sortante

Au lieu de router la sortie réseau via l’internet public, vous pouvez choisir de diriger le trafic de sortie de votre service vers un point de terminaison de connectivité privée. Pour plus d’informations, voir Sortie réseau par connectivité privée.