注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
配置 PrivateLinks 的功能处于测试阶段,可能并非所有注册都可用。在此功能正式发布之前,一些功能可能会发生更改。
PrivateLink 出站连接指的是通过私有连接从 Palantir 平台连接到同一云提供商上托管的另一个系统。此功能仅支持在 AWS 上托管的 Palantir 平台实例以及同一区域内由 AWS PrivateLink ↗ 提供支持的客户服务。如果您的目标资源位于不同区域,请配置 VPC 对等连接 ↗ 到 Palantir 平台的区域,然后创建一个 PrivateLink。
本页概述了如何在控制面板中配置和管理 PrivateLink 出站连接,以及这些已创建的连接如何在 Palantir 平台中使用。PrivateLink 出站支持对 AWS 服务、在 AWS 上部署的用户拥有的资源或在 AWS 上部署的第三方 API 的私有出站连接。
如需增加这些限制,请联系您的 Palantir 管理员。
导航到控制面板的 网络出站 页面中的 PrivateLinks 标签以管理 PrivateLinks。
要成功创建 PrivateLink 连接,请执行以下操作:
兼容 PrivateLink 的 AWS 服务及其终端节点服务名称列表可在 AWS 文档 ↗ 中找到。对于 AWS 服务,不需要创建终端节点服务,可以使用 AWS 提供的终端节点服务名称。支持私有链接的 AWS 服务示例是 Amazon Bedrock ↗。
对于在 AWS 上部署的用户拥有资源,请按照 AWS 文档 ↗ 中的步骤创建终端节点服务。用户拥有资源的一个例子是由 AWS RDS ↗ 提供支持的数据库。
对于在 AWS 上部署的用户拥有第三方 API,请按照 AWS 文档 ↗ 中的步骤创建终端节点服务。如果由其他方拥有,请请求其 VPC 终端节点服务名称。例如,可以按照 Snowflake 文档 ↗ 中所示请求 Snowflake 的 VPC 终端节点服务名称。
另外,如果服务使用对 AWS 生成域 ↗ 的 PrivateLink 无效的自定义传输层安全性 (TLS) 证书,请请求第三方 API 的私有域。例如,可以按照 Snowflake 文档 ↗ 中所示找到 Snowflake 的私有域。以下是一个私人第三方域的示例:
abc.us-east-1.privatelink.snowflakecomputing.com
这个域名是用于访问Snowflake服务的专用链接。以下是各部分的解释:
abc
: 这部分通常代表您的Snowflake账户名称或其他标识符。us-east-1
: 这是AWS中的一个区域标识符,表示服务托管在美国东部1区。privatelink
: Snowflake使用AWS PrivateLink来提供专用网络连接,以确保数据传输的安全性和隐私性。snowflakecomputing.com
: 这是Snowflake的主域名。通过PrivateLink访问目标资源,允许Palantir平台访问该资源。按照AWS文档 ↗,在您的终端节点服务的允许主体列表中添加Palantir平台的AWS账户。允许的主体应如下所示:
arn:aws:iam::<palantir_platform_aws_account_id>:root
导航到 控制面板 > 网络出口 > PrivateLinks 并选择 新建 PrivateLink 以创建一个 PrivateLink。
输入以下目标资源的详细信息以进行 PrivateLink:
高级设置:
CNAME
记录,映射到 PrivateLink 的另一端。目前,仅允许Snowflake的私有域。要添加其他域,请联系您的Palantir管理员。PrivateLink可能具有以下状态:
如果PrivateLink处于 失败 状态,可能发生以下错误:
成功创建PrivateLink后,创建网络出口策略以允许出口到目标资源。
一旦PrivateLink处于已准备状态并且网络出口策略已创建,PrivateLink可以在Palantir平台中使用。
在PrivateLink详情页和每个项目的PrivateLinks页面下的 操作 中显示可能的操作。
PrivateLink的 私有域 和 TCP端口 可以通过选择 操作 > 更新 进行更新。
可以通过选择 操作 > 删除 删除PrivateLinks。
与打算通过PrivateLink出口到目标资源的用户共享创建的网络出口策略。在要共享的域或IP上,选择 操作 > 查看网络出口策略 并导航到网络策略页面。在网络策略页面选择 操作 > 管理共享 并添加要共享网络出口策略的用户或用户组。
在数据连接中,使用默认域或第三方API域配置源,并附加创建的网络出口策略。配置后,通过预览或探索源测试连接性,并验证源的数据是否准确。
要创建通过PrivateLink连接的Snowflake源,请按照以下步骤操作:
要让Palantir平台创建到Snowflake的PrivateLink,需要在您的Snowflake账户中将Palantir平台的账户列入白名单。为此,请按照以下步骤操作:
SYSTEM$AUTHORIZE_PRIVATELINK
不能使用,因为Palantir用户无法直接访问底层云提供商基础设施,并且未提供所需的 federated_token
。一旦Snowflake已将Palantir平台的云提供商账户列入白名单,继续下一步。
在Palantir平台和Snowflake之间创建PrivateLink之前,通过运行命令SYSTEM$GET_PRIVATELINK_CONFIG
↗从Snowflake检索PrivateLink配置。此命令输出在Palantir平台中创建PrivateLink所需的信息。
privatelink-vpce-id
,来自 SYSTEM$GET_PRIVATELINK_CONFIG
的输出。SYSTEM$GET_PRIVATELINK_CONFIG
获得以下值:
privatelink-account-url
privatelink-connection-ocsp-urls
privatelink-connection-urls
privatelink-ocsp-url
regionless-privatelink-account-url
regionless-snowsight-privatelink-url
snowsight-privatelink-url
443
和 80
,如Snowflake文档 ↗中所述。配置完成后,选择 创建 以创建PrivateLink。当PrivateLink处于已准备状态时,继续下一步。
为命令SYSTEM$ALLOWLIST_PRIVATELINK
↗输出的所有URL创建网络出口策略。此外,为输出的STAGE
创建S3桶策略,如下所示:
有关Snowflake配置的更多信息,请参阅我们的Snowflake文档。