プライベート接続の構成

このセクションでは、インバウンドプライベート接続(Snowpark Container Services によって公開されたエンドポイントへ)とアウトバウンドプライベート接続(サービスからの出力トラフィック)について説明します。

注釈

プライベート接続機能を使用するためのサポートは、Google Cloudでは現在利用できません。

インバウンド接続

Snowparkコンテナーサービスは3つのエンドポイントを公開します。

  • 画像レジストリサービス: アプリケーションイメージをSnowflakeアカウントのリポジトリにアップロードするための OCIv2 API。詳細については、 Snowpark Container Services: イメージレジストリおよびリポジトリの操作 をご参照ください。

  • サービスによって公開されるパブリックエンドポイント: 1つまたは複数のエンドポイントをパブリックとして宣言することで、自分のアカウント内のユーザーがSnowflakeの外部からサービスにアクセスできるようにすることができます(イングレス)。詳しくは、 Using Service をご参照ください。

  • 認証エンドポイント: ユーザーがサービスのパブリックエンドポイントにアクセスしようとすると、Snowparkコンテナーサービスは、認証のためにこのエンドポイントを経由してユーザーをリダイレクトします。

このセクションでは、これらのエンドポイントへのプライベート接続を有効にする方法について説明します。

注釈

  • Snowpark Container Servicesへのプライベート接続は、 AWS PrivateLink およびAzure Private Linkでのみサポートされます。

  • プライベート接続を構成する場合、 DNS の解決を制御します。Snowflakeが制御する DNS 記録はありません。

前提条件を構成する

Snowpark Container Servicesへのプライベート接続を有効にするには、まずプライベート接続を構成して、Snowflakeアカウントをクラウドプロバイダーアカウントのネットワークに接続します。詳細情報については、 Snowflake サービスへのインバウンド プライベート接続 をご参照ください。

パブリックエンドポイントアクセスの構成

お客様のネットワークからサービスのパブリックエンドポイントへのイングレスリクエストを有効にするには:

  1. Snowflakeアカウントで SYSTEM$GET_PRIVATELINK_CONFIG 、アカウントのホスト名のリストを取得します。出力では:

    1. app-service-privatelink-url キーは、Snowpark コンテナ-サービスのパブリックエンドポイントのワイルドカード ホスト名を提供します。

    2. spcs-auth-privatelink-url キーは、Snowpark コンテナーサービスの認証ルーティングに必要なホスト名を提供します。

  2. プライベート接続でSnowflakeにアクセスするには、 SYSTEM$GET_PRIVATELINK_CONFIG 関数のエンドポイント値をプライベートネットワークに解決するために、DNS に CNAME 記録を作成する必要があります。

    注釈

    アカウントレベルでのホスト名ルーティングは現在サポートされていません。

SnowflakeでのSnowparkコンテナーサービスレジストリへのアクセス構成

  1. Snowflakeアカウントで SYSTEM$GET_PRIVATELINK_CONFIG を呼び出し、アカウントのホスト名のリストを取得します。出力では、 spcs-registry-privatelink-url キーが Snowpark Container Services イメージレジストリリクエストのルーティングに必要なホスト名を提供します。

  2. プライベート接続でSnowflakeにアクセスするには、 SYSTEM$GET_PRIVATELINK_CONFIG 関数のエンドポイント値をプライベートネットワークに解決するために、DNS に記録を作成する必要があります。

セキュリティに関する考慮事項

以下は、サービスが公開するパブリックエンドポイントに適用されます。

  • 各エンドポイントは、 HTTPS-暗号化トラフィックと WebSocket-暗号化トラフィックの両方に対応できます。

  • 各エンドポイントは独自のトップレベルドメインを持っており、Snowsightと共有する要素はありません。これにより、ブラウザはSnowsightとサービスを分離し、サービス同士を分離して、クロスオリジン攻撃のリスクを軽減します。

アウトバウンド接続

公衆インターネット経由でネットワークのイグレスをルーティングする代わりに、プライベート接続エンドポイントを介してサービスのエグレストラフィックを誘導することを選択することができます。詳細については、 プライベート接続を使用したネットワークエグレス をご参照ください。