Configurer les connexions avec des rattachements de réseau

BigQuery accepte les requêtes fédérées qui vous permettent d'envoyer une instruction de requête à des bases de données externes et d'obtenir le résultat en tant que table temporaire. Les requêtes fédérées utilisent l'API BigQuery Connection pour établir une connexion. Ce document explique comment renforcer la sécurité de cette connexion.

Étant donné que la connexion se fait directement à votre base de données, vous devez autoriser le trafic depuis Google Cloud vers votre moteur de base de données. Pour renforcer la sécurité, vous ne devez autoriser que le trafic provenant de vos requêtes BigQuery. Cette restriction de trafic peut être effectuée de deux manières :

  • En définissant une adresse IP statique utilisée par une connexion BigQuery et en l'ajoutant aux règles de pare-feu de la source de données externe.
  • En créant un VPN entre BigQuery et votre infrastructure interne, et en l'utilisant pour vos requêtes.

Ces deux techniques sont compatibles via l'utilisation de rattachements de réseau.

Avant de commencer

Attribuez aux utilisateurs des rôles IAM (Identity and Access Management) incluant les autorisations nécessaires pour effectuer l'ensemble des tâches du présent document.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer une connexion avec des rattachements de réseau, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de Compute (roles/compute.admin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour configurer une connexion avec des rattachements de réseau. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour configurer une connexion avec des rattachements de réseau :

  • compute.networkAttachments.get
  • compute.networkAttachments.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les rôles et les autorisations IAM dans BigQuery, consultez la page Rôles et autorisations IAM BigQuery.

Limites

Les connexions avec des rattachements de réseau sont soumises aux limitations suivantes :

  • Les rattachements de réseau ne sont acceptés que pour les connexions SAP Datasphere.
  • Pour les régions standards, les rattachements de réseau doivent être situés dans la même région que la connexion. Pour les connexions dans l'emplacement multirégional US, le rattachement de réseau doit être situé dans la région us-central1. Pour les connexions dans l'emplacement multirégional EU, le rattachement de réseau doit être situé dans la région europe-west4.
  • Vous ne pouvez pas modifier votre rattachement de réseau après l'avoir créé. Pour configurer quoi que ce soit de manière différente, vous devez recréer le rattachement réseau.

Créer un rattachement de réseau

Lorsque vous créez une connexion pour la fédération de requêtes, vous pouvez utiliser le paramètre de rattachement de réseau facultatif, qui pointe vers un rattachement de réseau fournissant la connectivité au réseau à partir duquel la connexion à votre base de données est établie. Vous pouvez créer un rattachement de réseau en définissant une adresse IP statique ou en créant un VPN. Quelle que soit l'option choisie, procédez comme suit :

  1. Si vous n'en avez pas encore, créez un réseau et un sous-réseau VPC.

  2. Si vous souhaitez créer un rattachement de réseau en définissant une adresse IP statique, créez une passerelle Cloud NAT avec une adresse IP statique en utilisant le réseau, la région et le sous-réseau que vous avez créés. Si vous souhaitez créer un rattachement de réseau via un VPN, créez un VPN connecté à votre réseau privé.

  3. Créez un rattachement de réseau en utilisant le réseau, la région et le sous-réseau que vous avez créés.

  4. Facultatif : En fonction des règles de sécurité de votre organisation, vous pourriez avoir besoin de configurer votre pare-feu Google Cloud pour autoriser les sorties en créant une règle de pare-feu avec les paramètres suivants :

    • Définissez le paramètre Cibles sur Toutes les instances du réseau.
    • Définissez Plages IPv4 de destination sur l'ensemble de la plage d'adresses IP.
    • Définissez Protocoles et ports spécifiés sur le port utilisé par votre base de données.
  5. Configurez votre pare-feu interne pour autoriser l'entrée provenant de l'adresse IP statique que vous avez créée. Ce processus varie selon la source de données.

  6. Créez une connexion et incluez le nom du rattachement de réseau que vous avez créé.

  7. Exécutez n'importe quelle requête fédérée pour synchroniser votre projet avec le rattachement de réseau.

Votre connexion est désormais configurée avec un rattachement de réseau et vous pouvez exécuter des requêtes fédérées.

Tarifs

Étape suivante