Диапазон разрешенных IP-адресов Snowflake при использовании VPN

Question

Я не могу войти в Snow sql через Windows Командную строку, чтобы получить файлы при подключении через VPN моей компании. Я считаю, что это проблема белого списка. Я уже запускал Select SYSTEM$WHITELIST();, затем SnowCD, и мои результаты перечислены ниже.

Какой диапазон IP-адресов для Snowflake?

Спасибо!

Performing 33 checks for 13 hosts

Check for 11 hosts failed, display as follow:
==============================================
Host: <redacted>.snowflakecomputing.com
Port: 443
Type: SNOWFLAKE_DEPLOYMENT
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to <redacted>.snowflakecomputing.com

==============================================
Host: sfc-ds1-customer-stage.s3.us-west-2.amazonaws.com
Port: 443
Type: STAGE
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-ds1-customer-stage.s3.us-west-2.amazonaws.com

==============================================
Host: sfc-ds1-customer-stage.s3-us-west-2.amazonaws.com
Port: 443
Type: STAGE
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-ds1-customer-stage.s3-us-west-2.amazonaws.com

==============================================
Host: sfc-ds1-customer-stage.s3.amazonaws.com
Port: 443
Type: STAGE
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-ds1-customer-stage.s3.amazonaws.com

==============================================
Host: sfc-snowsql-updates.s3.us-west-2.amazonaws.com
Port: 443
Type: SNOWSQL_REPO
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-snowsql-updates.s3.us-west-2.amazonaws.com

==============================================
Host: ocsp.snowflakecomputing.com
Port: 80
Type: OCSP_CACHE
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.sca1b.amazontrust.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.rootca1.amazontrust.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.rootg2.amazontrust.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: o.ss2.us
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.digicert.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

Answer 1

Конструкция платформы Snowflake в полной мере использует радикальную эластичность, предлагаемую AWS. Базовая система, с которой вы будете взаимодействовать, использует услуги, предлагаемые AWS, которые не используют никаких стабильных элементов. Это включает IP-адреса. Поскольку многие клиенты используют sh, чтобы ограничить сетевое взаимодействие со Snowflake, было предложено несколько методов, которые не зависят от IP-адресов.

Как правило, мы не рекомендуем добавлять IP-адреса в белый список. Если возможно, мы рекомендуем вместо этого использовать имена хостов. https://support.snowflake.net/s/article/faq-what-ip-address-range-does-snowflake-use

При использовании клиентских приложений вам необходимо убедиться, что конечные точки (вывод из системной функции белого списка) включены в белый список на портах, которые указаны для бесперебойной связи. Вам нужно будет открыть порт 443 и 80 для определенных конечных точек c. https://docs.snowflake.com/en/user-guide/hostname-whitelist.html#hostname -белый список

Если требуются элементы управления только для IP, я наткнулся на этот блог, где AWS предоставляет эти региональные диапазоны IP в виде файла JSON: https://aws.amazon.com/de/blogs/aws/aws-ip-ranges-json/. Это единственное, что я могу предложить (диапазон IP-адресов, из которого могут поступать все IP-адреса Snowflake c). Это составляет IP-адреса для всего региона AWS.

Обратите внимание, что они могут быть изменены, и любой метод, использующий их, должен будет учитывать эти потенциальные изменения. Как я уже упоминал, Snowflake не рекомендует такой подход. По возможности лучше занести имена хостов / конечные точки в белый список.

Answer 2

есть некоторая недостающая информация, которая, я думаю, может помочь нам немного лучше / проще ответить на ваш вопрос. Вы упомянули, что используете SnowCD из командной строки Windows. Я предполагаю, что вы используете это с компьютера в сети вашей компании или просто из дома. Это правильно?

Предполагая, что вышеизложенное верно, я предполагаю, что вы или кто-то, кто отвечает за вашу учетную запись Snowflake на уровне «ACCOUNTADMIN», определили сетевую политику в Snowflake, которая имеет белый и черный список IP-адресов. Если ваш IP-адрес не является одним из этих IP-адресов или не попадает в диапазон, определенный в белом списке IP-адресов, вы будете заблокированы и получите сообщения, которые вы видите от SnowCD. Я бы выяснил, какой у вас IP-адрес, используя роль ACCOUNTADMIN, добавьте IP-адрес и / или диапазон в свой белый список сетевой политики.

Если вы используете поле Windows через экземпляр AWS EC2, это немного изменится, и вам, вероятно, понадобится внести в белый список свой AWS VP C исходящий адрес (а).

Надеюсь, это поможет. Если мои предположения неверны, сообщите мне подробнее, и я надеюсь, что смогу помочь. Спасибо!