Configurare le connessioni con i collegamenti di rete

BigQuery supporta le query federate che ti consentono di inviare un'istruzione query a database esterni e di ricevere il risultato come tabella temporanea. Le query federate utilizzano l'API BigQuery Connection per stabilire una connessione. Questo documento mostra come aumentare la sicurezza di questa connessione.

Poiché la connessione si connette direttamente al database, devi consentire il traffico da Google Cloud al tuo motore del database. Per aumentare la sicurezza, dovresti consentire solo il traffico proveniente dalle query BigQuery. Questa limitazione del traffico può essere impostata in due modi:

• Definisci un indirizzo IP statico utilizzato da una connessione BigQuery e aggiungilo alle regole del firewall dell'origine dati esterna.
• Creando una VPN tra BigQuery e la tua infrastruttura interna e utilizzandola per le tue query.

Entrambe queste tecniche sono supportate tramite l'uso di allegati di rete.

Prima di iniziare

Concedi i ruoli IAM (Identity and Access Management) che concedono agli utenti le autorizzazioni necessarie per eseguire ogni attività in questo documento.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare una connessione con i componenti aggiuntivi di rete, chiedi all'amministratore di concederti il ruolo IAM Amministratore di Compute (roles/compute.admin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per configurare una connessione con i componenti aggiuntivi di rete. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per configurare una connessione con i componenti aggiuntivi di rete sono necessarie le seguenti autorizzazioni:

• compute.networkAttachments.get
• compute.networkAttachments.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sui ruoli e sulle autorizzazioni IAM in BigQuery, consulta Ruoli e autorizzazioni IAM di BigQuery.

Limitazioni

Le connessioni con i componenti aggiuntivi di rete sono soggette alle seguenti limitazioni:

• Gli allegati di rete sono supportati solo per le connessioni SAP Datasphere.
• Per le regioni standard, i collegamenti di rete devono trovarsi nella stessa regione della connessione. Per le connessioni nella regione multipla US, l'attacco alla rete deve trovarsi nella regione us-central1. Per le connessioni nella regione con più regioniEU, il collegamento di rete deve trovarsi nella regioneeurope-west4.
• Non puoi apportare modifiche all'allegato di rete dopo averlo creato. Per configurare qualcosa in modo diverso, devi ricreare il collegamento di rete.

Crea un collegamento di rete

Quando crei una connessione per la federazione delle query, puoi utilizzare il parametro facoltativo attacco rete, che rimanda a un attacco di rete che fornisce la connettività alla rete da cui viene stabilita la connessione al database. Puoi creare un collegamento di rete definendo un indirizzo IP statico o creando una VPN. Per entrambe le opzioni, procedi nel seguente modo:

1. Se non ne hai già uno, crea una rete e una subnet VPC.

2. Se vuoi creare un collegamento di rete definendo un indirizzo IP statico, crea un gateway Cloud NAT con un indirizzo IP statico, utilizzando la rete, la regione e la sottorete che hai creato. Se vuoi creare un collegamento di rete creando una VPN, crea una VPN connessa alla tua rete privata.

3. Crea un collegamento di rete utilizzando la rete, la regione e la subnet che hai creato.

4. (Facoltativo) A seconda dei criteri di sicurezza della tua organizzazione, potresti dover configurare il firewall di Google Cloud per consentire le uscite creando una regola firewall con le seguenti impostazioni:

   • Imposta Destinazioni su Tutte le istanze nella rete.
   • Imposta Intervalli IPv4 di destinazione sull'intero intervallo di indirizzi IP.
   • Imposta Protocolli e porte specificati sulla porta utilizzata dal database.

5. Configura il firewall interno per consentire l'ingresso dall'indirizzo IP statico che hai creato. Questa procedura varia in base all'origine dati.

6. Crea una connessione e includi il nome del collegamento di rete che hai creato.

7. Esegui qualsiasi query federata per sincronizzare il progetto con l'allegato della rete.

La connessione è ora configurata con un allegato di rete e puoi eseguire query federate.

Prezzi

• Vengono applicati i prezzi standard delle query federate.
• L'utilizzo di VPC è soggetto ai prezzi di Virtual Private Cloud.
• L'utilizzo di Cloud VPN è soggetto ai prezzi di Cloud VPN.
• L'utilizzo di Cloud NAT è soggetto ai prezzi di Cloud NAT.

Passaggi successivi

• Scopri i diversi tipi di connessione.
• Scopri di più sulla gestione delle connessioni.
• Scopri di più sulle query federate.