注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

配置 PrivateLink 出站连接 [测试版]

测试版

配置 PrivateLinks 的功能处于测试阶段,可能并非所有注册都可用。在此功能正式发布之前,一些功能可能会发生更改。

PrivateLink 出站连接指的是通过私有连接从 Palantir 平台连接到同一云提供商上托管的另一个系统。此功能仅支持在 AWS 上托管的 Palantir 平台实例以及同一区域内由 AWS PrivateLink ↗ 提供支持的客户服务。如果您的目标资源位于不同区域,请配置 VPC 对等连接 ↗ 到 Palantir 平台的区域,然后创建一个 PrivateLink。

本页概述了如何在控制面板中配置和管理 PrivateLink 出站连接,以及这些已创建的连接如何在 Palantir 平台中使用。PrivateLink 出站支持对 AWS 服务、在 AWS 上部署的用户拥有的资源或在 AWS 上部署的第三方 API 的私有出站连接。

限制

  • 每个注册允许 20 个 PrivateLinks。
  • 每个 PrivateLink 允许 10 个私有域。

如需增加这些限制,请联系您的 Palantir 管理员。

导航到控制面板的 网络出站 页面中的 PrivateLinks 标签以管理 PrivateLinks。

管理 PrivateLinks 的控制面板页面。

要成功创建 PrivateLink 连接,请执行以下操作:

  1. 为目标资源创建一个终端节点服务
  2. 允许 Palantir 平台访问目标资源
  3. 提供目标资源终端节点服务名称
  4. 创建网络出站策略

为目标资源创建一个终端节点服务

AWS 服务

兼容 PrivateLink 的 AWS 服务及其终端节点服务名称列表可在 AWS 文档 ↗ 中找到。对于 AWS 服务,不需要创建终端节点服务,可以使用 AWS 提供的终端节点服务名称。支持私有链接的 AWS 服务示例是 Amazon Bedrock ↗

AWS 上的用户拥有资源

对于在 AWS 上部署的用户拥有资源,请按照 AWS 文档 ↗ 中的步骤创建终端节点服务。用户拥有资源的一个例子是由 AWS RDS ↗ 提供支持的数据库。

AWS 上的第三方 API

对于在 AWS 上部署的用户拥有第三方 API,请按照 AWS 文档 ↗ 中的步骤创建终端节点服务。如果由其他方拥有,请请求其 VPC 终端节点服务名称。例如,可以按照 Snowflake 文档 ↗ 中所示请求 Snowflake 的 VPC 终端节点服务名称。

另外,如果服务使用对 AWS 生成域 ↗ 的 PrivateLink 无效的自定义传输层安全性 (TLS) 证书,请请求第三方 API 的私有域。例如,可以按照 Snowflake 文档 ↗ 中所示找到 Snowflake 的私有域。以下是一个私人第三方域的示例:

abc.us-east-1.privatelink.snowflakecomputing.com

这个域名是用于访问Snowflake服务的专用链接。以下是各部分的解释:

  • abc: 这部分通常代表您的Snowflake账户名称或其他标识符。
  • us-east-1: 这是AWS中的一个区域标识符,表示服务托管在美国东部1区。
  • privatelink: Snowflake使用AWS PrivateLink来提供专用网络连接,以确保数据传输的安全性和隐私性。
  • snowflakecomputing.com: 这是Snowflake的主域名。

允许Palantir平台访问目标资源

通过PrivateLink访问目标资源,允许Palantir平台访问该资源。按照AWS文档 ↗,在您的终端节点服务的允许主体列表中添加Palantir平台的AWS账户。允许的主体应如下所示:

arn:aws:iam::<palantir_platform_aws_account_id>:root

一个显示Palantir平台AWS账户的控制面板标注。

提供目标资源终端节点服务名称

  1. 导航到 控制面板 > 网络出口 > PrivateLinks 并选择 新建 PrivateLink 以创建一个 PrivateLink。

  2. 输入以下目标资源的详细信息以进行 PrivateLink:

    • 终端节点服务名称: 在上一步中获取的目标资源的终端节点服务名称。

    用于创建PrivateLink的控制面板对话框。

    • 高级设置:

      • 私有域名: 如果 PrivateLink 出口到具有自定义 TLS 证书的资源,请在此处添加这些域条目。Palantir平台将为这些域创建 CNAME 记录,映射到 PrivateLink 的另一端。目前,仅允许Snowflake的私有域。要添加其他域,请联系您的Palantir管理员。
      • TCP端口: 添加应通过此PrivateLink允许的端口,默认端口为443。

创建PrivateLink时控制面板的高级设置。

  1. 在提供上述详细信息后,选择 创建

PrivateLink可能具有以下状态:

  • 正在创建: PrivateLink的创建已开始。
  • 正在创建云资源: 正在配置云资源。
  • 正在管理DNS: 正在管理DNS记录。
  • 等待云资源: 等待云提供商创建资源。
  • 待接受: PrivateLink正在等待服务提供商的接受。
  • 已准备: PrivateLink已成功创建。

如果PrivateLink处于 失败 状态,可能发生以下错误:

  • 失败: 连接请求失败。检查AWS中虚拟私有云(VPC)终端节点服务配置的权限并重新创建。
  • 被拒绝: 服务提供商拒绝了连接请求。VPC终端节点服务的所有者已拒绝连接,请联系他们以继续。
  • 已过期: 连接请求已过期。VPC终端节点服务的所有者未及时接受连接,请重新创建PrivateLink。
  • 超时: PrivateLink创建超时。这可能是暂时性错误,请删除并重试。如果重试无法解决问题,请联系您的Palantir管理员。
  • 验证失败: PrivateLink验证失败。请联系您的Palantir管理员以继续。
  • 云提供商错误: 云资源创建失败。请联系您的Palantir管理员以继续。
  • DNS管理失败: DNS管理失败。请联系您的Palantir管理员以继续。

创建网络出口策略

成功创建PrivateLink后,创建网络出口策略以允许出口到目标资源。

  1. 在控制面板中选择 操作 > 创建网络出口策略 创建网络出口策略。
  2. 在创建网络出口策略时,为每个项目输入目标资源的端口。这些创建的策略在控制面板中的 操作 > 查看网络出口策略 下可见。

PrivateLink中网络出口策略设置的默认、私有和区域域显示。

需要出口策略的情况

  • 默认域需要网络出口策略。如果您正在连接到第三方API,且AWS生成的默认域不打算使用,则不需要网络出口策略。

PrivateLink中网络出口策略设置的默认域显示。

  • 如果您打算使用区域域,则为区域域创建网络出口策略。如果您的VPC与Palantir平台在同一区域,使用相同的区域域可能更高效。

PrivateLink中网络出口策略设置的区域域显示。

PrivateLink中网络出口策略设置的IP地址显示。

  • 如果已配置,创建私有域的网络出口策略。

PrivateLink中网络出口策略设置的私有域显示。

一旦PrivateLink处于已准备状态并且网络出口策略已创建,PrivateLink可以在Palantir平台中使用。

在PrivateLink详情页和每个项目的PrivateLinks页面下的 操作 中显示可能的操作。

通过详情页管理PrivateLink的菜单显示。

通过概览页管理PrivateLink的菜单显示。

PrivateLink的 私有域TCP端口 可以通过选择 操作 > 更新 进行更新。

用于更新PrivateLink的控制面板显示。

可以通过选择 操作 > 删除 删除PrivateLinks。

共享网络出口策略

与打算通过PrivateLink出口到目标资源的用户共享创建的网络出口策略。在要共享的域或IP上,选择 操作 > 查看网络出口策略 并导航到网络策略页面。在网络策略页面选择 操作 > 管理共享 并添加要共享网络出口策略的用户或用户组。

共享网络出口策略的控制面板显示。

数据连接源

在数据连接中,使用默认域或第三方API域配置源,并附加创建的网络出口策略。配置后,通过预览或探索源测试连接性,并验证源的数据是否准确。

Snowflake源

要创建通过PrivateLink连接的Snowflake源,请按照以下步骤操作:

  1. 在Snowflake中将Palantir平台云提供商账户列入白名单
  2. 在控制面板中创建PrivateLink
  3. 在数据连接中创建Snowflake源

在Snowflake中将Palantir平台云提供商账户列入白名单

要让Palantir平台创建到Snowflake的PrivateLink,需要在您的Snowflake账户中将Palantir平台的账户列入白名单。为此,请按照以下步骤操作:

  1. 控制面板 > 网络出口 > PrivateLinks 中找到Palantir平台的云提供商账户ID,如下所示:

显示Palantir平台AWS账户的控制面板标注。

  1. 在Snowflake中打开一个支持案例 ↗并提供以下信息:
    • Palantir平台的云提供商账户ID(包括云提供商;AWS、Azure或GCP)。
    • Snowflake账户URL。
    • 包括上述账户ID需要被列入白名单以与Palantir进行私有连接。注意 SYSTEM$AUTHORIZE_PRIVATELINK 不能使用,因为Palantir用户无法直接访问底层云提供商基础设施,并且未提供所需的 federated_token

一旦Snowflake已将Palantir平台的云提供商账户列入白名单,继续下一步。

在Palantir平台和Snowflake之间创建PrivateLink之前,通过运行命令SYSTEM$GET_PRIVATELINK_CONFIG从Snowflake检索PrivateLink配置。此命令输出在Palantir平台中创建PrivateLink所需的信息。

  1. 要创建PrivateLink,导航到 控制面板 > 网络出口 > PrivateLinks > 新建 PrivateLink

显示Snowflake PrivateLink示例配置的控制面板标注。

  1. 输入上面输出的以下详细信息以创建PrivateLink:
    • 终端节点服务名称: 输入 privatelink-vpce-id,来自 SYSTEM$GET_PRIVATELINK_CONFIG 的输出。
    • 高级设置:
      • 私有域: Palantir平台将这些URL映射到Snowflake PrivateLink的另一端,并通过PrivateLink路由流量,保持Snowflake对在线证书状态协议(OCSP)的使用以确保安全。有关在Snowflake文档中配置您的VPC网络 ↗的更多信息。可以使用 SYSTEM$GET_PRIVATELINK_CONFIG 获得以下值:
        • privatelink-account-url
        • privatelink-connection-ocsp-urls
        • privatelink-connection-urls
        • privatelink-ocsp-url
        • regionless-privatelink-account-url
        • regionless-snowsight-privatelink-url
        • snowsight-privatelink-url
      • TCP端口: 输入 44380,如Snowflake文档 ↗中所述。

配置完成后,选择 创建 以创建PrivateLink。当PrivateLink处于已准备状态时,继续下一步。

在数据连接中创建Snowflake源

  1. 要在数据连接中创建Snowflake数据源,导航到 数据连接 > 新建源 > Snowflake
  2. 配置源,并在 连接详细信息 中执行以下操作以使用创建的PrivateLink:
    • 账户标识符: 输入为PrivateLink创建的Snowflake账户的账户ID。
    • PrivateLink: 切换此选项以使用PrivateLink。

显示Snowflake源示例配置的控制面板标注。

网络出口策略

为命令SYSTEM$ALLOWLIST_PRIVATELINK输出的所有URL创建网络出口策略。此外,为输出的STAGE创建S3桶策略,如下所示:

显示Snowflake源建议出口的控制面板标注。

有关Snowflake配置的更多信息,请参阅我们的Snowflake文档