비공개 연결 구성하기¶
이 섹션에서는 (Snowpark Container Services 에 의해 노출된 엔드포인트에 대한) 인바운드 비공개 연결과 아웃바운드 비공개 연결(서비스에서 송신 트래픽)에 대해 설명합니다.
참고
비공개 연결 기능 사용에 대한 지원은 현재 Google Cloud에서 제공되지 않습니다.
인바운드 연결¶
Snowpark Container Services는 세 가지 엔드포인트를 노출합니다.
이미지 레지스트리 서비스: OCIv2 API 에서 애플리케이션 이미지를 Snowflake 계정의 리포지토리에 업로드할 수 있습니다. 자세한 내용은 Snowpark Container Services: 이미지 레지스트리 및 리포지토리 작업하기 섹션을 참조하십시오.
서비스에서 노출되는 공개 엔드포인트: 하나 이상의 엔드포인트를 공개로 선언하여 계정의 사용자가 Snowflake 외부에서 서비스에 액세스할 수 있도록 허용(수신)할 수 있습니다. 자세한 내용은 서비스 사용하기 섹션을 참조하십시오.
인증 엔드포인트: 사용자가 서비스의 공용 엔드포인트에 액세스하려고 하면, Snowpark Container Services는 인증을 위해 이 엔드포인트를 통해 사용자를 리디렉션합니다.
이 섹션에서는 이러한 엔드포인트에 비공개 연결을 활성화하는 방법에 대해 설명합니다.
참고
Snowpark Container Services에 대한 비공개 연결은 AWS PrivateLink 및 Azure Private Link에서만 지원됩니다.
비공개 연결을 구성할 때는 DNS 해상도를 제어하며, Snowflake에서 제어되는 DNS 레코드는 없습니다.
필수 구성 요소 구성하기¶
Snowpark Container Services에 비공개 연결을 사용하려면 먼저 비공개 연결을 구성하여 Snowflake 계정을 클라우드 공급자 계정의 네트워크에 연결하십시오. 자세한 내용은 Snowflake 서비스에 대한 인바운드 비공개 연결 섹션을 참조하십시오.
공용 엔드포인트 액세스 구성하기¶
네트워크에서 서비스의 공용 엔드포인트로의 수신 요청을 활성화합니다.
Snowflake 계정에서 SYSTEM$GET_PRIVATELINK_CONFIG 를 호출하여 계정의 호스트 이름 목록을 확인하십시오. 출력에서 다음과 같은 일이 이루어집니다.
app-service-privatelink-url
키는 Snowpark Container Services 공용 엔드포인트에 대한 와일드카드 호스트 이름을 제공합니다.spcs-auth-privatelink-url
키는 Snowpark Container Services 인증 라우팅에 필요한 호스트 이름을 제공합니다.
비공개 연결을 통해 Snowflake에 액세스하려면 DNS 에 CNAME 레코드를 만들어 SYSTEM$GET_PRIVATELINK_CONFIG 함수의 엔드포인트 값을 비공개 네트워크로 확인해야 합니다.
참고
현재 계정 수준의 호스트 이름 라우팅은 지원되지 않습니다.
Snowflake에서 Snowpark Container Services 레지스트리에 대한 액세스 구성하기¶
Snowflake 계정에서 SYSTEM$GET_PRIVATELINK_CONFIG 를 호출하여 계정의 호스트 이름 목록을 확인하십시오. 출력에서
spcs-registry-privatelink-url
키는 Snowpark Container Services 이미지 레지스트리 요청을 라우팅하는 데 필요한 호스트 이름을 제공합니다.비공개 연결을 통해 Snowflake에 액세스하려면 DNS 에 레코드를 만들어 SYSTEM$GET_PRIVATELINK_CONFIG 함수의 엔드포인트 값을 비공개 네트워크로 확인해야 합니다.
보안 고려 사항¶
다음은 서비스가 노출하는 공개 엔드포인트에 적용되는 사항입니다.
각 엔드포인트는 HTTPS 암호화 트래픽과 WebSocket 암호화 트래픽을 모두 처리할 수 있습니다.
각 엔드포인트에는 고유한 최상위 도메인이 있으며, Snowsight와 공유되는 요소가 없습니다. 이렇게 하면 브라우저는 Snowsight와 서비스를 서로 격리하여 교차 출처 공격의 위험을 완화할 수 있습니다.
아웃바운드 연결¶
공용 인터넷을 통해 네트워크 송신을 라우팅하는 대신 비공개 연결 엔드포인트를 통해 서비스 송신 트래픽을 라우팅하도록 선택할 수 있습니다. 자세한 내용은 비공개 연결을 사용한 네트워크 송신 섹션을 참조하십시오.