Regole di Controlli di servizio VPC di Analytics Hub
Questo documento descrive le regole di ingresso e di uscita necessarie per consentire ai publisher e agli abbonati di accedere ai dati dei progetti che hanno perimetri Controlli di servizio VPC. Si presume familiarità con perimetri dei Controlli di servizio VPC, set di dati condivisi, scambi di dati, elenchi e set di dati collegati.
Un progetto chiamante è il progetto di rete o client che avvia la richiesta, ad esempio una query SQL o un comando Google Cloud CLI.
Creare uno scambio di dati
Nel seguente diagramma, i progetti che contengono lo scambio di dati e il set di dati condiviso si trovano in perimetri di servizio diversi:
Figura 1. Regole dei Controlli di servizio VPC per la creazione di uno scambio di dati.
Nella figura 1 sono etichettati i seguenti componenti:
- Chiama è un amministratore di Analytics Hub.
- Project R è il progetto chiamante.
- Il progetto E ospita lo scambio di dati e le schede di Analytics Hub.
In qualità di amministratore di Analytics Hub, quando crei uno scambio di dati in un progetto diverso da quello chiamante, devi aggiungere le seguenti regole in entrata e in uscita:
| Project | Rule (Regola) |
|---|---|
| Progetto R | Regola in uscita per il progetto E |
| Progetto E (scambio di dati) | Regola in entrata per il progetto R |
Creare una scheda
Nel seguente diagramma, i progetti che contengono lo scambio di dati e il set di dati condiviso si trovano in perimetri di servizio diversi:
Figura 2. Regole dei Controlli di servizio VPC per la creazione di una scheda.
Nella figura 2 sono etichettati i seguenti componenti:
- Chiamata è un amministratore o un publisher di Analytics Hub.
- Project R è il progetto chiamante.
- Il progetto E ospita lo scambio di dati e le schede di Analytics Hub.
- Il progetto S ospita il set di dati condiviso.
Quando crei una scheda in uno scambio di dati che si trova in un progetto diverso rispetto al set di dati condiviso, devi aggiungere le seguenti regole in entrata e in uscita per consentire ai publisher di creare una scheda:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto E Regola in uscita per il progetto S |
| Progetto E (scambio di dati) |
Regola in uscita per il progetto S Regola in entrata per il progetto R |
| Progetto S (set di dati condiviso) |
Regola in uscita per il progetto E Regola in entrata per il progetto R |
Iscriversi a una scheda
Nel seguente diagramma, i progetti che contengono la scheda e il set di dati collegato per la scheda si trovano in perimetri di servizio diversi:
Figura 3. Regole di Controlli di servizio VPC per l'iscrizione a una scheda.
Nella figura 3 sono etichettati i seguenti componenti:
- Chiamata è un abbonato ad Analytics Hub.
- Project R è il progetto chiamante.
- Il progetto E ospita lo scambio di dati e le schede di Analytics Hub.
- Il progetto L ospita il set di dati collegato.
In qualità di abbonato ad Analytics Hub, quando ti abboni a una scheda in un centro di scambio dati che si trova in un progetto diverso dal tuo, devi aggiungere le seguenti regole di importazione ed esportazione:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto E Regola in uscita per il progetto L |
| Progetto E (scheda) |
Regola in uscita per il progetto L Regola in entrata per il progetto R |
| Progetto L (set di dati collegato) |
Regola in uscita per il progetto E Regola in entrata per il progetto R |
Eseguire query sulle tabelle di un set di dati collegato
Nel seguente diagramma, il progetto chiamante e il progetto che contiene il set di dati collegato si trovano in perimetri di servizio diversi:
Figura 4. Regole dei Controlli di servizio VPC per eseguire query su un set di dati collegato.
Nella figura 4 sono etichettati i seguenti componenti:
- Chiamata è un abbonato ad Analytics Hub o un utente del job BigQuery del set di dati collegato.
- Project R è il progetto chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto V ospita il set di dati condiviso che contiene la tabella.
In qualità di abbonato ad Analytics Hub, quando esegui una query su una tabella nel set di dati collegato, devi aggiungere le seguenti regole di importazione ed esportazione:
| Project | Rule (Regola) |
|---|---|
| Progetto R | Regola in uscita per il progetto L |
| Progetto L (set di dati collegato) | Regola in entrata per il progetto R |
Eseguire query sulle visualizzazioni in un set di dati collegato
Scenario 1
Nel seguente diagramma, i progetti che contengono il set di dati collegato e le tabelle di base associate alla vista si trovano in perimetri di servizio diversi. La vista (progetto S) e la tabella di base associata alla vista (progetto V) si trovano in progetti diversi:
Figura 5. Regole dei Controlli di servizio VPC per eseguire query su una visualizzazione in un set di dati collegato.
Nella figura 5 sono etichettati i seguenti componenti:
- Chiamata è un abbonato ad Analytics Hub o un utente del job BigQuery del set di dati collegato.
- Project R è il progetto chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto S ospita il set di dati condiviso.
- Il progetto V ospita il set di dati contenente le tabelle di base associate alla vista.
In qualità di abbonato ad Analytics Hub, quando esegui una query su una vista in un set di dati collegato, devi aggiungere le seguenti regole di importazione ed esportazione:
| Project | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto L Regola in uscita per il progetto V |
| Progetto L (set di dati collegato) |
Regola in entrata per il progetto R Regola in uscita per il progetto V |
| Progetto V |
Regola in uscita per il progetto L Regola in entrata per il progetto R |
Scenario 2
Nel seguente diagramma, la vista (Project V) e la tabella di base associata alla vista (Project V) si trovano nello stesso progetto:
Figura 6. Regole dei Controlli di servizio VPC per eseguire query su una visualizzazione in un set di dati collegato.
Nella figura 6 sono etichettati i seguenti componenti:
- Chiamata è un abbonato ad Analytics Hub o un utente del job BigQuery del set di dati collegato.
- Project R è il progetto chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto V ospita sia la vista sia le tabelle di base associate alla vista.
In qualità di abbonato ad Analytics Hub, quando esegui una query su una vista in un set di dati collegato, devi aggiungere le seguenti regole di importazione ed esportazione:
| Project | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto L |
| Progetto L (set di dati collegato) |
Regola in entrata per il progetto R |
Esegui query sulle visualizzazioni autorizzate in un set di dati collegato
Nel seguente diagramma, la vista autorizzata e la tabella di base associata alla vista autorizzata (Project V) si trovano nello stesso progetto:
Figura 7. Regole dei Controlli di servizio VPC per eseguire query su una visualizzazione in un set di dati collegato.
Nella figura 7 sono etichettati i seguenti componenti:
- Chiamata è un abbonato ad Analytics Hub o un utente del job BigQuery del set di dati collegato.
- Project R è il progetto chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto V ospita sia la vista autorizzata sia le tabelle di base associate alla vista.
In qualità di abbonato ad Analytics Hub, quando esegui una query su una vista in un set di dati collegato, devi aggiungere le seguenti regole di importazione ed esportazione:
| Project | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto L |
| Progetto L (set di dati collegato) |
Regola in entrata per il progetto R |
Limitazioni
Analytics Hub non supporta le regole basate su metodi. Per consentire i metodi, devi consentire tutti i metodi. Ad esempio:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
Passaggi successivi
- Per risolvere i problemi relativi a Controlli di servizio VPC, consulta Risolvere i problemi comuni.
- Scopri di più sulle regole per il traffico in entrata e in uscita.
- Scopri di più sulla configurazione dei criteri per il traffico in entrata e in uscita.
- Scopri di più sulla creazione di una scheda.
- Scopri di più su come abbonarsi a una scheda.
- Scopri di più sull'audit logging di Analytics Hub.