Configure ligações com anexos de rede

O BigQuery suporta consultas federadas que lhe permitem enviar uma declaração de consulta para bases de dados externas e receber o resultado como uma tabela temporária. As consultas federadas usam a API BigQuery Connection para estabelecer uma ligação. Este documento mostra como aumentar a segurança desta ligação.

Uma vez que a ligação se liga diretamente à sua base de dados, tem de permitir o tráfego de Google Cloud para o motor da base de dados. Para aumentar a segurança, só deve permitir tráfego proveniente das suas consultas do BigQuery. Esta restrição de tráfego pode ser realizada de duas formas:

• Definindo um endereço IP estático usado por uma ligação do BigQuery e adicionando-o às regras da firewall da origem de dados externa.
• Criando uma VPN entre o BigQuery e a sua infraestrutura interna e usando-a para as suas consultas.

Ambas as técnicas são suportadas através da utilização de anexos de rede.

Antes de começar

Conceda funções de gestão de identidade e acesso (IAM) que dão aos utilizadores as autorizações necessárias para realizar cada tarefa neste documento.

Funções necessárias

Para obter as autorizações de que precisa para configurar uma ligação com anexos de rede, peça ao seu administrador que lhe conceda a função de IAM administrador de computação (roles/compute.admin) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém as autorizações necessárias para configurar uma associação com anexos de rede. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

As seguintes autorizações são necessárias para configurar uma associação com anexos de rede:

• compute.networkAttachments.get
• compute.networkAttachments.update

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Para mais informações acerca das funções e autorizações do IAM no BigQuery, consulte o artigo Funções e autorizações do IAM do BigQuery.

Limitações

As associações de rede estão sujeitas às seguintes limitações:

• Os anexos de rede só são suportados para ligações do SAP Datasphere.
• Para regiões padrão, as associações de rede têm de estar localizadas na mesma região que a ligação. Para ligações na multirregião US, a associação de rede tem de estar localizada na região us-central1. Para ligações na EU região múltipla, a associação de rede tem de estar localizada na região europe-west4.
• Não pode fazer alterações à associação de rede depois de a criar. Para configurar algo de uma nova forma, tem de recriar a associação de rede.
• Não é possível eliminar as associações de rede, a menos que o produtor (BigQuery) elimine os recursos atribuídos. Para iniciar o processo de eliminação, tem de contactar o apoio técnico do BigQuery.

Crie uma associação de rede

Quando cria uma ligação para a federação de consultas, pode usar o parâmetro de anexo de rede opcional, que aponta para um anexo de rede que fornece conetividade à rede a partir da qual a ligação à sua base de dados é estabelecida. Pode criar uma associação de rede definindo um endereço IP estático ou criando uma VPN. Para qualquer uma das opções, faça o seguinte:

1. Se ainda não tiver uma, crie uma rede VPC e uma sub-rede.

2. Se quiser criar uma associação de rede definindo um endereço IP estático, crie um gateway NAT da nuvem com um endereço IP estático, usando a rede, a região e a sub-rede que criou. Se quiser criar uma associação de rede através da criação de uma VPN, crie uma VPN que esteja ligada à sua rede privada.

3. Crie uma associação de rede com a rede, a região e a sub-rede que criou.

4. Opcional: consoante as políticas de segurança da sua organização, pode ter de configurar a sua Google Cloud firewall para permitir a saída através da criação de uma regra de firewall com as seguintes definições:

   • Defina Segmentações como Todas as instâncias na rede.
   • Defina os Intervalos IPv4 de destino para o intervalo de endereços IP completo.
   • Defina Protocolos e portas especificados para a porta usada pela sua base de dados.

5. Configure a sua firewall interna para permitir a entrada a partir do endereço IP estático que criou. Este processo varia consoante a origem de dados.

6. Crie uma associação e inclua o nome do anexo de rede que criou.

7. Execute qualquer consulta federada para sincronizar o seu projeto com a associação de rede.

A sua ligação está agora configurada com uma associação de rede e pode executar consultas federadas.

Preços

• Aplicam-se os preços de consultas federadas padrão.
• A utilização da VPC está sujeita aos preços da nuvem virtual privada.
• A utilização da VPN na nuvem está sujeita aos preços da VPN na nuvem.
• A utilização do Cloud NAT está sujeita aos preços do Cloud NAT.

O que se segue?

• Saiba mais sobre os diferentes tipos de ligações.
• Saiba como gerir associações.
• Saiba mais acerca das consultas federadas.