出站网络流量的专用连接
Snowflake 的外部函数和外部暂存区等功能会生成从 Snowflake 到云平台的出站网络流量。为了提高安全性,您可以在 Snowflake 中创建专用端点,以使用平台的专用连接解决方案访问云平台,而不是通过公共互联网访问。这使您可以从 Snowflake 私密、安全地访问云平台服务。
以下 Snowflake 功能可使用出站专用连接:
- 使用外部访问集成的外部网络位置
- 外部函数
- 外部暂存区
- 外部表
- Catalog integrations for Apache Iceberg™ tables
- External volumes for Apache Iceberg™ tables
- Apache Iceberg™ REST catalog integrations
- Snowpipe 自动化
出站专用连接成本
You pay for each private connectivity endpoint along with total data processed. For pricing of these items, see the Snowflake Service Consumption Table.
You can explore the cost of these items by filtering on the following service types when querying billing views in the ACCOUNT_USAGE and ORGANIZATION_USAGE schemas:
- OUTBOUND_PRIVATELINK_ENDPOINT
- OUTBOUND_PRIVATELINK_DATA_PROCESSED
For example, you can query the USAGE_IN_CURRENCY_DAILY view and filter on these service types.
基本工作流程
可以使用出站专用连接的每项 Snowflake 功能都有自己的先决条件和配置过程。但是,可根据一些常见的步骤来建立出站专用连接。
例如,Snowflake 账户管理员(具有 ACCOUNTADMIN 角色的用户)或具有拥有相应权限的角色的用户可以执行以下操作:
- 完成生成出站网络流量的功能的所有先决条件配置。
- 在 Snowflake 中,配置专用连接端点以连接到云平台。
- 为专用连接端点授权。
- 检索指向服务或资源的专用连接端点 URL。
- 将专用连接端点 URL 集成到 Snowflake 功能的 Snowflake 配置中。
- Deprovision private connectivity endpoints that are not actively being used to avoid cloud platform limitations.
Tip
这些步骤是自助式的,但可能需要与不同方合作才能完成设置。在开始之前,请咨询拥有不同服务的管理员。
这些步骤的位置取决于 Snowflake 功能。有关详细信息,请参阅功能的配置程序。
扩展注意事项
出站专用连接的实施必须遵循与云提供商相关的以下限制:
- Cannot have more than five private endpoints per Snowflake account
过去七天内取消配置的专用端点计入此限制。
To increase this limit, contact Snowflake Support.
- Cannot have more than one endpoint to the same AWS service or Azure subresource
对于 AWS,此限制针对每项服务。因此,如果您有一个端点连接到 S3 桶,则不能有另一个端点连接到另一个 S3 桶,因为端点到 S3 服务的组合会重复。
对于 Azure,如果资源只有一项子资源,则只能有一个端点。但如果资源具有不同的可用子资源,则您可以拥有该资源的多个端点,只要它们连接到不同的子资源即可。
Note
您可以在不同的 Snowflake 账户中复制端点到服务或端点到子资源的组合。
美国政府区域
Support for outbound private connectivity from U.S. SnowGov regions is as follows:
- Microsoft Azure:
支持来自 Microsoft Azure Government 上区域的出站专用连接。具有专用端点和目标 Microsoft 服务的区域必须位于 Microsoft Azure Government。
- AWS:
支持来自 AWS GovCloud 上区域的出站专用连接。
使用外部访问集成的外部网络位置
您可以使用出站专用连接和外部访问集成从 Snowpark Container Services 或从 UDF/UDTF 和 Snowpark 内的存储过程访问外部网络位置。
- From Snowpark
- From Snowpark Container Services
外部函数
- Private connectivity with external functions: Azure Portal
- Private connectivity with external functions: Azure ARM template
外部暂存区
- Private connectivity to external stages for Amazon Web Services
- Private connectivity to external stages and Snowpipe automation for Microsoft Azure
- Private connectivity to external stages for Google Cloud
外部表
An external table is a Snowflake feature that allows you to query data stored in an external stage as if the data were inside a table in Snowflake. If you configure the external stage to use private connectivity, then network traffic to the external table uses private connectivity rather than the public internet.
Catalog integrations for Apache Iceberg™ tables¶
External volumes for Apache Iceberg™ tables¶
- Private connectivity to external volumes for Amazon Web Services
- Private connectivity to external volumes for Microsoft Azure
- Private connectivity to external volumes for Google Cloud