Azure Private Link e Snowflake¶

Requisitos e limitações¶

Antes de tentar configurar o Azure Private Link para conectar seu Azure VNet ao Snowflake VNet no Azure, observe o seguinte:

• No Azure, em nível de sub-rede, opcionalmente , habilite uma política de redes para o Ponto de extremidade privado.

  Verifique se as portas TCP 443 e 80 permitem o tráfego para 0.0.0.0 no grupo de segurança de rede da placa de rede do Ponto de extremidade.

  Para obter ajuda na configuração da porta, entre em contato com seu administrador interno do Azure.

• Use ARM VNets.

• Use somente tráfego TCP IPv4.

• Atualmente, o processo de habilitação de autoatendimento descrito neste tópico não suporta a autorização de um ponto de extremidade privado gerenciado a partir do Azure Data Factory, Synapse ou outros serviços gerenciados.

  Para detalhes sobre como configurar um ponto de extremidade privado gerenciado para este caso de uso, consulte este artigo (na comunidade Snowflake).

Para obter mais informações sobre os requisitos e limitações do Microsoft Azure Private Link, consulte a documentação da Microsoft em Limitações de pontos de extremidade privados e Limitações do serviço Private Link.

Procedimento¶

Esse procedimento cria e inicializa manualmente os recursos necessários do Azure Private Link para usar o Azure Private Link para se conectar ao Snowflake no Azure. Observe que esse procedimento considera que seu caso de uso não envolve Usar SSO com o Azure Private Link (neste tópico).

1. Como exemplo representativo usando o Azure CLI, execute az account list --output table. Observe os valores de saída nas colunas Name, SubscriptionID e CloudName.

   Name     CloudName   SubscriptionId                        State    IsDefault
   -------  ----------  ------------------------------------  -------  ----------
   MyCloud  AzureCloud  13c...                                Enabled  True
   

   Copy

2. Navegue até o portal Azure. Procure por Private Link e clique em Private Link.

   

3. Clique em Private endpoints e depois clique em Add.

   

#. In the Basics section, complete the Subscription, Resource group, Name, and Region fields for your environment and then click Next: Resource.

1. Na seção Resource, preencha os campos Connection method e Resource ID or alias Field.

   • Para Connection Method, selecione o Connect to an Azure resource by resource ID or alias.

     

   • No Snowflake, execute SYSTEM$GET_PRIVATELINK_CONFIG e insira o valor para privatelink-pls-id no campo Resource ID or alias. Observe que a captura de tela nesta etapa utiliza o valor do alias para a região east-us-2 como um exemplo representativo, e que o Azure confirma um valor de alias válido com uma marca de verificação verde.

   • Se você receber uma mensagem de erro referente ao valor do alias, entre em contato com o suporte Snowflake para receber o valor do ID do recurso e repita esta etapa usando o valor do ID do recurso.

2. Retorne à seção Private endpoints e aguarde alguns minutos. Ao ser aprovado, o ponto de extremidade privado exibe um valor CONNECTION STATE de Pending. Este valor será atualizado para Approved após completar a autorização na próxima etapa.

   

3. Habilite sua conta Snowflake no Azure para usar o Azure Private Link, completando as seguintes etapas:

   • Em seu ambiente de linha de comando, registre a ID do valor do recurso de ponto de extremidade privado usando o seguinte comando de rede do Azure CLI:

     az network private-endpoint show
     

     Copy

     O ponto de extremidade privado foi criado nas etapas anteriores usando os arquivos de modelo. O valor da ID do recurso toma a seguinte forma, que tem um valor truncado:

     /subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service

   • Em seu ambiente de linha de comando, execute o seguinte comando da conta Azure CLI e salve a saída. A saída será usada como o valor para o argumento federated_token na próxima etapa.

     az account get-access-token --subscription <SubscriptionID>
     

     Copy

     Extraia o valor do token de acesso da saída do comando. Este valor será usado como o valor federated_token na próxima etapa. Neste exemplo, os valores são truncados e o valor do token de acesso é eyJ...:

     {
        "accessToken": "eyJ...",
        "expiresOn": "2021-05-21 21:38:31.401332",
        "subscription": "0cc...",
        "tenant": "d47...",
        "tokenType": "Bearer"
      }
     

     Copy

     Importante

     O usuário que gera o token de acesso Azure deve ter as permissões de leitura na assinatura. A permissão de menor privilégio é Microsoft.Subscription/subscriptions/acceptOwnershipStatus/read. Alternativamente, a função padrão Reader concede mais permissões de granulação ampla.

     O valor accessToken é informação confidencial e deve ser tratado como um valor de senha — não compartilhe este valor.

     Se for necessário entrar em contato com o suporte Snowflake, apague o token de acesso de quaisquer comandos e URLs antes de criar um tíquete de suporte.

   • No Snowflake, chame a função SYSTEM$AUTHORIZE_PRIVATELINK, usando o valor private-endpoint-resource-id e o valor federated_token como argumentos, que são truncados neste exemplo:

     USE ROLE ACCOUNTADMIN;
     
     SELECT SYSTEM$AUTHORIZE_PRIVATELINK (
       '/subscriptions/26d.../resourcegroups/sf-1/providers/microsoft.network/privateendpoints/test-self-service',
       'eyJ...'
       );
     

     Copy

   Para verificar sua configuração autorizada, chame a função SYSTEM$GET_PRIVATELINK em sua conta Snowflake no Azure. O Snowflake retorna Account is authorized for PrivateLink. para uma autorização bem-sucedida.

   Se for necessário desabilitar o Azure Private Link em sua conta Snowflake, chame a função SYSTEM$REVOKE_PRIVATELINK, usando os valores de private-endpoint-resource-id e federated_token.

4. Configuração DNS. Todos os pedidos para o Snowflake precisam ser encaminhados através do ponto de extremidade privado. Atualize seu DNS para resolver a conta Snowflake e URLs OCSP para o endereço IP privado de seu ponto de extremidade privado.

   • Para obter o endereço IP do ponto de extremidade, navegue até a barra de pesquisa do portal Azure e digite o nome do ponto de extremidade (ou seja, o valor NAME da Etapa 5). Localize o resultado da interface de rede e clique nele.

     

   • Copiar o valor para o Private IP address (ou seja, 10.0.27.5).

     

   • Configure o DNS para que os valores de ponto de extremidade apropriados da função SYSTEM$GET_PRIVATELINK_CONFIG sejam resolvidos para o endereço IP privado.

     Os valores a serem obtidos na saída de SYSTEM$GET_PRIVATELINK_CONFIG dependem de quais recursos do Snowflake você está acessando por meio de conectividade privada. Para obter uma descrição dos valores possíveis, consulte Valores de retorno.

     Observe que os valores para regionless-snowsight-privatelink-url e snowsight-privatelink-url permitem o acesso a Snowsight e a Snowflake Marketplace usando conectividade privada. No entanto, há uma configuração adicional se você quiser habilitar redirecionamentos de URL. Para obter informações, consulte Snowsight e a conectividade privada.

     Nota

     Uma explicação completa da configuração DNS está além do escopo deste procedimento. Por exemplo, você pode optar por integrar uma zona Azure Private DNS em seu ambiente. Consulte os administradores internos de infraestrutura de nuvem e Azure para configurar e resolver URLs em DNS corretamente.

5. Após verificar suas configurações de firewall de saída e registros DNS para incluir sua conta Azure Private Link e URLs OCSP, teste sua conexão ao Snowflake com SnowCD (Connectivity Diagnostic Tool) e SYSTEM$ALLOWLIST_PRIVATELINK.

6. Conecte-se ao Snowflake com a URL da sua conta de conectividade privada.

   Observe que se você quiser se conectar ao Snowsight usando o Azure Private Link, siga as instruções na documentação do Snowsight.