Accès Azure : Nouveaux IDs de sous-réseau VNET requis pour les règles qui filtrent en fonction de l’ID de sous-réseau (en attente)

Ce changement de comportement s’applique uniquement aux clients qui utilisent les IDs de sous-réseau Azure Virtual Network (VNet) dans les règles de réseau virtuel, de politique ou de pare-feu qui filtrent le trafic dans les régions Azure. Si vous n’utilisez pas la fonctionnalité IDs de sous-réseau VNET proposée dans les déploiements Snowflake Azure, vous pouvez ignorer ce changement.

Snowflake étend sa prise en charge pour inclure des IDs de sous-réseau VNet Azure dans certaines régions. Pour ce faire, nous configurons des sous-réseaux supplémentaires et nous migrons les clients vers ceux-ci après avoir vérifié l’état de préparation. Nous vérifions que les clients ont mis à jour leurs IDs de sous-réseau avant de les migrer. Nous effectuons cette vérification et cette migration par le biais d’un engagement dédié envers les clients.

Toutefois, si vous essayez de mettre à jour vos IDs de sous-réseau dans ces régions, vous pouvez rencontrer une erreur similaire à vnet-******** cannot have more than 200 tagged traffic consumers of service. En effet, selon les limites Azure, un réseau virtuel peut être associé à un maximum de 200 abonnements et régions différents par service pris en charge. Cela signifie que les clients Snowflake peuvent utiliser un ID de sous-réseau interrogé depuis la fonction SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO dans 200 combinaisons abonnement/région Azure. Après un total de 200 abonnements sur l’ensemble des clients ayant utilisé l’ID de sous-réseau dans une règle de réseau, les nouvelles tentatives d’utilisation de l’ID de sous-réseau pour un autre abonnement Azure échoueront.

Pour éviter de rencontrer ces erreurs, envisagez de prendre les mesures suivantes :

  • Si vous êtes déjà un client Business Critical, pensez à utiliser Connectivité privée pour le trafic réseau sortant.

  • Si vous disposez d’un compte Stockage Azure Blob qui possède des sous-réseaux Snowflake autorisés dans le pare-feu, vous pouvez utiliser le même abonnement et la même région pour créer un nouveau compte de stockage. Vous pouvez ensuite autoriser la liste des sous-réseaux Snowflake sur ce nouveau compte de stockage.

  • Pensez à ne pas autoriser les IDs de sous-réseauVNET. Pour plus d’informations détaillées, consultez Sécurité réseau pour Azure Key Vault dans la documentation Azure.

Réf : 1995, 2078

Langage: Français