笔记本的专用连接¶
本主题介绍在访问 Snowflake Notebooks 时使用 AWS PrivateLink、Azure 专用链接或 Google Private Service Connect。AWS 和 Azure 的 仓库和容器运行时 以及 Google 的仓库运行时中均可使用此功能。
AWS PrivateLink 先决条件¶
要通过 AWS PrivateLink 访问 Snowflake Notebooks,请执行以下操作:
请为您的 Snowflake 账户 设置专用连接。
设置 Snowsight 专用连接。
此外,您的账户必须已在 AWS PrivateLink 上使用 Streamlit in Snowflake。笔记本依赖 Streamlit 引擎执行,并使用 Streamlit 小部件渲染单元格输出。
Azure 专用链接先决条件¶
使用 Azure 专用链接访问 Snowflake Notebooks:
请为您的 Snowflake 账户 设置专用连接。
设置 Snowsight 专用连接。
此外,您的账户必须已经在 Azure 专用链接上使用 Streamlit in Snowflake。笔记本依赖 Streamlit 引擎执行,并使用 Streamlit 小部件渲染单元格输出。
Google Cloud Private Service Connect 先决条件¶
要使用 Google Private Service Connect 访问 Snowflake Notebooks,请执行以下操作:
请为您的 Snowflake 账户 设置专用连接。
设置 Snowsight 专用连接。
此外,您的账户必须已通过 Google Private Service Connect 使用 Streamlit in Snowflake。笔记本依赖 Streamlit 引擎执行,并使用 Streamlit 小部件渲染单元格输出。
配置对 Snowflake Notebooks 的访问权限¶
要确定主机名,请执行以下操作:
在 Snowflake 账户中调用 SYSTEM$GET_PRIVATELINK_CONFIG。笔记本主机名显示在
app-service-privatelink-url键下,即通过 AWS PrivateLink、Azure 专用链接或 Google Private Service Connect 路由笔记本应用程序流量所需的通配符 URL。
备注
您可以设置新的笔记本 VPC 端点,或向 Snowflake 账户的同一 VPC 端点创建 DNS 记录,如下例所示:
记录名称:
*.abcd.privatelink.snowflake.app类型:CNAME
将流量路由到:与 Snowflake 流量相同的 VPC。
目前不支持账户级主机名路由。
安全注意事项¶
笔记本服务器同时支持 HTTPS 加密流量和 WebSocket 加密流量。笔记本浏览器客户端应用程序安装在 Snowsight 的第三方跨源 iframe 中。这可以实现严格的跨站点浏览器隔离控制。
Snowflake Notebooks 针对特定安全要求使用单独的 URL 架构。笔记本 URLs 有自己的顶级域,不与 Snowsight 共享任何元素。每个笔记本都有唯一起源。
备注
使用 AWS PrivateLink、Azure 专用链接或 Google Private Service Connect 时,您可以控制 DNS 解析;Snowflake 不控制任何专用连接 DNS 记录。