Connectivité privée vers des volumes externes pour Microsoft Azure

Cette rubrique fournit des détails de configuration pour mettre en place une connectivité privée sortante vers un volume externe sur Microsoft Azure. La principale différence entre la connectivité publique sortante et la connectivité privée sortante réside dans l’ensemble des paramètres de la propriété USE_PRIVATELINK_ENDPOINT pour le volume externe.

Lorsque le volume externe est configuré pour utiliser la connectivité privée, votre connexion aux services de stockage Cloud Microsoft Azure passe par le réseau interne Microsoft Azure. En configurant votre volume externe pour qu’il utilise une connectivité privée sortante, vous ajoutez une sécurité supplémentaire à vos opérations en bloquant l’accès public au compte de stockage.

Pour plus d’informations sur l’utilisation de volumes externes pour se connecter à votre stockage Cloud externe pour les tables Iceberg, voir Configurer un volume externe.

Coûts de la connectivité privée sortante

Vous payez pour le point de terminaison de la connectivité privée et pour toutes les données traitées. Pour connaître les prix de ces éléments, consultez le tableau de consommation des services de Snowflake.

Vous pouvez connaître le coût de ces éléments en filtrant sur les types de services suivants lors de la requête des vues de facturation dans les schémas ACCOUNT_USAGE et ORGANIZATION_USAGE :

  • OUTBOUND_PRIVATELINK_ENDPOINT

  • OUTBOUND_PRIVATELINK_DATA_PROCESSED

Par exemple, vous pouvez interroger la vue USAGE_IN_CURRENCY_DAILY et filtrer sur ces types de services.

Considérations et limites

  • Vous pouvez utiliser la connectivité privée pour accéder aux tables Iceberg gérées par Snowflake et aux tables Iceberg qui utilisent une intégration de catalogue pour le stockage d’objets, mais vous ne pouvez pas l’utiliser pour accéder aux tables Iceberg qui utilisent d’autres intégrations de catalogue.

  • Vous pouvez configurer la connectivité publique sortante et la connectivité privée sortante pour le même service de stockage Cloud. Pour ce faire, créez un volume externe dédié à la connectivité publique sortante et spécifiez USE_PRIVATELINK_ENDPOINT = FALSE.

Propriété de connectivité privée

La propriété USE_PRIVATELINK_ENDPOINT d’un volume externe détermine s’il est accessible par une connectivité privée ou en traversant le réseau public. Pour utiliser la connectivité privée, définissez USE_PRIVATELINK_ENDPOINT = TRUE lors de la création ou de la modification d’un volume externe.

Configurer l’accès aux volumes externes à l’aide de la connectivité privée

Procédez comme suit pour utiliser la connectivité privée sortante afin de décharger les données vers un volume externe sur Microsoft Azure :

  1. Dans Snowflake, appelez la fonction système SYSTEM$PROVISION_PRIVATELINK_ENDPOINT pour provisionner un point de terminaison de connectivité privée dans votre Snowflake VNet afin de permettre à Snowflake de se connecter à vos services de stockage Cloud Microsoft Azure externes à l’aide d’une connectivité privée :

    USE ROLE ACCOUNTADMIN;

SELECT SYSTEM$PROVISION_PRIVATELINK_ENDPOINT(
  '/subscriptions/cc2909f2-ed22-4c89-8e5d-bdc40e5eac26/resourceGroups/mystorage/providers/Microsoft.Storage/storageAccounts/storagedemo',
  'mystorageaccount.blob.core.windows.net',
  'blob'
);
    Copy

    Cette fonction lie le point de terminaison privé au nom d’hôte, ce qui permet au volume externe d’utiliser le point de terminaison privé pour se connecter à l’emplacement de stockage.

  2. Dans le portail Azure et en tant que propriétaire de la ressource de stockage Microsoft Azure, approuvez le point de terminaison privé. Pour plus de détails, consultez le processus d’approbation.

  3. Dans Snowflake, appelez la fonction SYSTEM$GET_PRIVATELINK_ENDPOINTS_INFO.

    Lorsque la sortie de la fonction comprend "status": "APPROVED, votre connexion entre Snowflake et votre compte de stockage pourra utiliser la connectivité privée.

    Vous pouvez passer aux étapes suivantes en attendant le statut "APPROVED".

  4. Créez le volume externe, en veillant à définir la propriété USE_PRIVATELINK_ENDPOINT sur TRUE :

    CREATE EXTERNAL VOLUME exvol
  STORAGE_LOCATIONS =
    (
      (
        NAME = 'my-azure-northeurope'
        STORAGE_PROVIDER = 'AZURE'
        STORAGE_BASE_URL = 'azure://exampleacct.blob.core.windows.net/my_container_northeurope/'
        AZURE_TENANT_ID = 'a123b4c5-1234-123a-a12b-1a23b45678c9'
        USE_PRIVATELINK_ENDPOINT = TRUE
      )
    );
    Copy

  5. Une fois que le point de terminaison privé a un statut "APPROVED", testez l’accès au volume externe avec une opération prise en charge.

Déprovisionner un point de terminaison

Si vous n’avez plus besoin du point de terminaison de connectivité privée pour le volume externe, désactivez la propriété USE_PRIVATELINK_ENDPOINT sur le volume externe, puis appelez la fonction système SYSTEM$DEPROVISION_PRIVATELINK_ENDPOINT.

Chapitres suivants :

Langage: Français