使用网络策略控制到 Snowflake Open Catalog 的网络流量¶
创建网络策略,以控制到 Snowflake Open Catalog 账户的网络流量。创建网络策略时,可为网络策略指定以下列表:
允许访问 Open Catalog 账户的 IPv4 地址列表(该策略的 允许列表)。
如需显式阻止 IPv4 地址,则需要限制访问 Open Catalog 账户的 IP 地址列表(该策略的 阻止列表)。
在将 IP 地址添加到网络策略的允许列表中时,不必使用阻止列表来显式阻止其他同类型的 IP 地址;只有允许的 IP 地址才有访问权限。通常情况下,您可以使用阻止列表来限制您添加到允许列表的 CIDR 阻止范围中的 IP 地址。
例如,如果将一个 IPv4 地址添加到允许列表中,则所有其他 IPv4 地址将被阻止。无需使用阻止列表来限制来自其他 IP 地址的访问。
如有需要,您可创建多个网络策略。但是,一次只能激活一个网络策略。
如果一个网络策略在允许列表和阻止列表中具有相同的 IP 地址值,则 Open Catalog 会首先应用阻止列表中的值。例如,如果通过 CIDR 阻止范围(如 192.168.1.0/24)将 192.168.1.99 添加到允许列表中,但在阻止列表中指定了 192.168.1.99,则 192.168.1.99 最终会添加到阻止列表中。
第 1 步:创建网络策略¶
注意
确保创建的网络策略授予 IP 地址,以便计算机访问 Open Catalog 账户。否则,激活网络策略时,该账户将被锁定。如果要在 Open Catalog 服务中使用专用连接,请执行以下操作:
配置外部服务,如 AWS PrivateLink,以生成专用 IP 地址。
使用 CIDR 表示法将专用 IP 地址添加到网络策略的允许列表中。
要创建网络策略,请执行以下步骤:
登录 Open Catalog。
从左侧菜单中选择 Security。
选择 + Network Policy。
输入网络策略的名称。
注意
网络策略名称不能包含空格或下划线以外的特殊字符。
网络策略名称不区分大小写,并以大写字母保存。
要在允许列表中添加 IPv4 地址,请执行以下步骤:
在 Allowed IPs 字段中,添加一个条目。支持 CIDR 表示法。有关示例,请参阅 使用 CIDR 表示法指定允许的 IP 地址。
按 Enter。
如果需要,可重复前面的步骤添加另一个条目。
可选:要将 IPv4 地址添加到阻止列表,请执行以下步骤:
在 Blocked IPs 字段中,添加一个条目。
按 Enter。
如果需要,可重复前面的步骤添加另一个条目。
选择 Create。
第 2 步:激活网络策略¶
创建网络策略后,需要激活策略才能生效并限制网络流量。如果您创建了多个网络策略,但一次只能激活一个网络策略。
注意
激活网络策略前,请确保该策略允许您计算机的 IP 地址访问 Open Catalog 账户。否则,账户将被锁定。
登录 Open Catalog。
从左侧菜单中选择 Security。
从网络策略列表中找到要激活的网络策略。
在 MORE 列下,针对要激活的网络策略选择 ...。
选择 Activate。
注意
如果当前已激活了另一个网络策略,则在激活该网络策略时之前的策略会自动停用。
停用网络策略¶
登录 Open Catalog。
从左侧菜单中选择 Security。
从网络策略列表中找到要停用的网络策略。
在 MORE 列下,针对要停用的网络策略选择 ...。
选择 Deactivate。
删除网络策略¶
注意
如果要删除的网络策略已激活,请先 停用它。无法删除已激活的网络策略。
登录 Open Catalog。
从左侧菜单中选择 Security。
从网络策略列表中找到要删除的网络策略。
在 MORE 列下,针对要删除的网络策略选择 ...。选择 Delete。
示例¶
使用 CIDR 表示法指定允许的 IP 地址¶
以下网络策略允许来自 192.168.1.0 至 192.168.1.255 范围内所有 IP 地址的请求,但 192.168.1.99 除外。 该范围之外的 IP 地址也会被阻止。
策略的允许列表条目使用 CIDR 表示法。
允许的 IPs = 192.168.1.0/24
阻止的 IPs = 192.168.1.99
