使用VPN时的雪花IP白名单范围

Question

当通过我公司的VPN连接时，我无法通过Windows命令提示符登录到snowsql以获取文件。我相信这是一个白名单问题。我已经运行了Select SYSTEM$WHITELIST();，然后运行了SnowCD，我的结果如下所示。

Snowflake的IP范围是多少？

谢谢!

Performing 33 checks for 13 hosts

Check for 11 hosts failed, display as follow:
==============================================
Host: <redacted>.snowflakecomputing.com
Port: 443
Type: SNOWFLAKE_DEPLOYMENT
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to <redacted>.snowflakecomputing.com

==============================================
Host: sfc-ds1-customer-stage.s3.us-west-2.amazonaws.com
Port: 443
Type: STAGE
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-ds1-customer-stage.s3.us-west-2.amazonaws.com

==============================================
Host: sfc-ds1-customer-stage.s3-us-west-2.amazonaws.com
Port: 443
Type: STAGE
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-ds1-customer-stage.s3-us-west-2.amazonaws.com

==============================================
Host: sfc-ds1-customer-stage.s3.amazonaws.com
Port: 443
Type: STAGE
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-ds1-customer-stage.s3.amazonaws.com

==============================================
Host: sfc-snowsql-updates.s3.us-west-2.amazonaws.com
Port: 443
Type: SNOWSQL_REPO
Failed Check: Certificate Check
Error: certificate checker timeout
Suggestion: Check your connection to sfc-snowsql-updates.s3.us-west-2.amazonaws.com

==============================================
Host: ocsp.snowflakecomputing.com
Port: 80
Type: OCSP_CACHE
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.sca1b.amazontrust.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.rootca1.amazontrust.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.rootg2.amazontrust.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: o.ss2.us
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

==============================================
Host: ocsp.digicert.com
Port: 80
Type: OCSP_RESPONDER
Failed Check: HTTP checker
Error: http check timeout
Suggestion: Check the connection to your http host or transparentProxy

Answer 1

Snowflake平台的设计充分利用了AWS提供的基本弹性。您将与之通信的底层系统都使用AWS提供的服务，这些服务不使用任何稳定的元素。这包括IP地址。由于许多客户希望限制他们与Snowflake的网络通信，因此提供了几种不依赖IP地址的方法。

因此，一般情况下，我们不推荐任何IP白名单。如果可能，我们建议使用主机名。https://support.snowflake.net/s/article/faq-what-ip-address-range-does-snowflake-use

在使用客户端应用程序时，您必须确保端点(来自system$whitelist函数的输出)在指定用于无缝通信的端口上被列入白名单。您需要为特定端点同时打开端口443和80。https://docs.snowflake.com/en/user-guide/hostname-whitelist.html#hostname-whitelisting

如果只需要IP控制，我确实遇到了这个博客，亚马逊网络服务以JSON文件的形式提供了这些区域范围内的IP范围：https://aws.amazon.com/de/blogs/aws/aws-ip-ranges-json/。这真的是我唯一能想到提供的东西(所有Snowflake的动态IP可能来自的IP范围)。这相当于整个AWS区域的IP。

请注意，这些内容可能会发生更改，任何使用这些内容的方法都需要考虑到这些潜在的更改。正如我所提到的，Snowflake不推荐这种方法。只要有可能，最好将主机名/端点列入白名单。

Answer 2

我认为有一些缺失的信息可以帮助我们更好/更容易地回答您的问题。您提到您正在从Windows命令提示符使用SnowCD。我假设您是在公司网络内的计算机上或在家中使用此程序。这是正确的吗？

假设以上都是正确的，我猜你或者在"ACCOUNTADMIN“级别负责你的雪花账号的人已经在雪花中定义了一个网络策略，它有一个白名单和IP黑名单。如果你的IP不是这些IP之一，或者不在IP白名单中定义的范围内，你将被屏蔽，并从SnowCD获得你看到的消息。我会弄清楚您的IP是什么，然后使用ACCOUNTADMIN角色将IP和/或范围添加到您的网络策略白名单中。

如果您正在通过亚马逊网络服务EC2实例运行Windows box，情况会有一些变化，因为您可能需要将您的亚马逊网络服务私有网络外发地址列入白名单。

我希望这能帮到你。如果我的假设是错误的，请给我更多的细节，我希望能提供帮助。谢谢!