Configuração da conectividade privada¶
Conectividade de entrada¶
O Snowpark Container Services expõe três pontos de extremidade:
Serviço de registro de imagens: ele serve o OCIv2 API para que você faça upload das imagens do aplicativo para um repositório na sua conta Snowflake. Para obter mais informações, consulte Snowpark Container Services: como trabalhar com um registro e repositório de imagens.
Pontos de extremidade públicos expostos por um serviço: você pode permitir que os usuários, na sua conta, acessem o seu serviço de fora do Snowflake (entrada) declarando um ou mais pontos de extremidade como públicos. Para obter mais informações, consulte Como usar um serviço.
Ponto de extremidade de autenticação: quando um usuário tenta acessar o ponto de extremidade público de um serviço, o Snowpark Container Services redireciona o usuário por meio desse ponto de extremidade para autenticação.
Esta seção explica como habilitar a conectividade privada (AWS PrivateLink) para esses pontos de extremidade.
Nota
A conectividade privada com os serviços de contêineres do Snowpark é compatível apenas com AWS PrivateLink.
Ao usar o AWS PrivateLink, você controla a resolução DNS; não há registros PrivateLink DNS controlados pelo Snowflake.
Configuração de pré-requisitos¶
Para ativar a conectividade privada com o Snowpark Container Services, primeiro configure a conectividade privada (AWS PrivateLink) para conectar sua conta do Snowflake a um ou mais AWS VPCs. Isso permite que o AWS VPCs faça solicitações ao Snowflake. Para obter mais informações, consulte Conectividade privada de entrada com o serviço Snowflake.
Configuração do acesso aos pontos de extremidade públicos¶
Para habilitar solicitações de entrada do seu VPC para o ponto de extremidade público do seu serviço:
Acesse SYSTEM$GET_PRIVATELINK_CONFIG na sua conta Snowflake para obter uma lista de nomes de host da sua conta. Na saída:
app-service-privatelink-urlfornece um nome de host curinga para os pontos de extremidade públicos do Snowpark Container Services.spcs-auth-privatelink-urlfornece o nome de host necessário para rotear a autenticação do Snowpark Container Services.
Para acessar o Snowflake por meio de um ponto de extremidade do AWS PrivateLink, é necessário criar registros CNAME no seu DNS para resolver os valores de ponto de extremidade da função SYSTEM$GET_PRIVATELINK_CONFIG para o nome DNS do seu ponto de extremidade VPC.
Nota
O roteamento de nome de host no nível de conta não é compatível no momento.
Configuração do acesso ao Snowpark Container Services Registry no Snowflake¶
Chame SYSTEM$GET_PRIVATELINK_CONFIG em sua conta Snowflake para obter uma lista de nomes de host para sua conta. Na saída, a chave
spcs-registry-privatelink-urlfornece o nome de host necessário para rotear as solicitações de registro de imagem do Snowpark Container Services.Para acessar o Snowflake por meio de um ponto de extremidade AWS PrivateLink, é necessário criar registros CNAME em seu DNS para resolver os valores do ponto de extremidade da função SYSTEM$GET_PRIVATELINK_CONFIG para o nome DNS de seu ponto de extremidade VPC.
Considerações de segurança¶
Os itens a seguir se aplicam aos pontos de extremidade públicos que os serviços expõem:
Cada ponto de extremidade pode servir tanto o tráfego criptografado de HTTPS quanto o tráfego criptografado de WebSocket.
Cada ponto de extremidade tem seu próprio domínio de nível superior, sem elementos compartilhados com o Snowsight. Isso garante que os navegadores isolem os serviços do Snowsight e os serviços uns dos outros, reduzindo os riscos de ataques entre origens.
Conectividade de saída¶
Em vez de rotear a saída da rede pela Internet pública, você pode optar por direcionar o tráfego de saída do seu serviço por meio de um ponto de extremidade de conectividade privada. Para obter mais informações, consulte Saída da rede usando conectividade privada.