Verbindungen mit Netzwerkanhängen konfigurieren

BigQuery unterstützt föderierte Abfragen, mit denen Sie eine Abfrageanweisung an externe Datenbanken senden und das Ergebnis als temporäre Tabelle abrufen können. Föderierte Abfragen verwenden die BigQuery Connection API, um eine Verbindung herzustellen. In diesem Dokument wird gezeigt, wie Sie die Sicherheit dieser Verbindung erhöhen können.

Da die Verbindung direkt zu Ihrer Datenbank verbunden ist, müssen Sie Traffic von Google Cloud zu Ihrem Datenbankmodul zulassen. Zur Erhöhung der Sicherheit sollten Sie nur Traffic von Ihren BigQuery-Abfragen zulassen. Diese Verkehrsbeschränkung kann auf zwei Arten erfolgen:

• Durch Definieren einer statischen IP-Adresse, die von einer BigQuery-Verbindung verwendet wird, und sie den Firewallregeln der externen Datenquelle hinzufügen.
• Durch Erstellen eines VPN zwischen BigQuery und Ihrer internen Infrastruktur und dessen Verwendung für Ihre Abfragen.

Beide Techniken werden durch den Einsatz von Netzwerkanhängen unterstützt.

Hinweise

Weisen Sie IAM-Rollen (Identity and Access Management) zu, die Nutzern die erforderlichen Berechtigungen zum Ausführen der einzelnen Aufgaben in diesem Dokument gewähren.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Administrator (roles/compute.admin ) für das Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren einer Verbindung mit Netzwerkanhängen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Konfigurieren einer Verbindung mit Netzwerkanhängen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um eine Verbindung mit Netzwerkanhängen zu konfigurieren:

• compute.networkAttachments.get
• compute.networkAttachments.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Weitere Informationen zu IAM-Rollen und Berechtigungen in BigQuery finden Sie unter BigQuery-IAM-Rollen und -Berechtigungen.

Beschränkungen

Verbindungen mit Netzwerkanhängen unterliegen den folgenden Einschränkungen:

• Netzwerkanhänge werden nur für SAP Datasphere-Verbindungen unterstützt.
• Bei Standardregionen müssen sich Netzwerkanhänge in derselben Region wie die Verbindung befinden. Bei Verbindungen in der Multi-Region US muss sich der Netzwerkanhang in der Region us-central1 befinden. Bei Verbindungen in der Multi-Region EU muss sich der Netzwerkanhang in der Region europe-west4 befinden.
• Sie können den Netzwerkanhang nach dem Erstellen nicht mehr ändern. Wenn Sie etwas auf neue Weise konfigurieren möchten, müssen Sie den Netzwerkanhang neu erstellen.

Netzwerkanhang erstellen

Wenn Sie eine Verbindung für die Abfrageföderation erstellen, können Sie den optionalen Parameter für den Netzwerkanhang verwenden, der auf einen Netzwerkanhang verweist, der eine Verbindung zu dem Netzwerk bereitstellt, von dem aus die Verbindung zu Ihrer Datenbank hergestellt wird. Sie können einen Netzwerkanhang erstellen, indem Sie entweder eine statische IP-Adresse definieren oder ein VPN erstellen. Gehen Sie in beiden Fällen so vor:

1. Erstellen Sie ein VPC-Netzwerk und ein Subnetz, falls noch nicht geschehen.

2. Wenn Sie einen Netzwerkanhang durch Definieren einer statischen IP-Adresse erstellen möchten, erstellen Sie ein Cloud NAT-Gateway mit einer statischen IP-Adresse unter Verwendung des von Ihnen erstellten Netzwerks, der Region und des Subnetzes. Wenn Sie einen Netzwerkanhang durch Erstellen eines VPN erstellen möchten, erstellen Sie ein VPN, das mit Ihrem privaten Netzwerk verbunden ist.

3. Erstellen Sie einen Netzwerkanhang mit dem von Ihnen erstellten Netzwerk, der Region und dem Subnetz.

4. Optional: Abhängig von den Sicherheitsrichtlinien Ihrer Organisation müssen Sie möglicherweise Ihre Google Cloud-Firewall so konfigurieren, dass ausgehender Traffic zugelassen wird. Erstellen Sie dazu eine Firewallregel mit den folgenden Einstellungen:

   • Legen Sie für Ziele den Wert Alle Instanzen im Netzwerk fest.
   • Legen Sie für Ziel-IPv4-Bereiche den gesamten IP-Adressbereich fest.
   • Legen Sie für Angegebene Protokolle und Ports den Port fest, der von Ihrer Datenbank verwendet wird.

5. Konfigurieren Sie Ihre interne Firewall so, dass eingehender Traffic von der von Ihnen erstellten statischen IP-Adresse zugelassen wird. Dieser Vorgang variiert je nach Datenquelle.

6. Erstellen Sie eine Verbindung und geben Sie den Namen des von Ihnen erstellten Netzwerkanhangs an.

7. Führen Sie eine beliebige föderierte Abfrage aus, um Ihr Projekt mit dem Netzwerkanhang zu synchronisieren.

Ihre Verbindung ist jetzt mit einem Netzwerkanhang konfiguriert und Sie können föderierte Abfragen ausführen.

Preise

• Es gelten die Standardpreise für föderierte Abfragen.
• Die Verwendung von VPC unterliegt den Preisen für Virtual Private Cloud.
• Für die Verwendung von Cloud VPN gelten die Cloud VPN-Preise.
• Die Verwendung von Cloud NAT unterliegt den Cloud NAT-Preisen.

Nächste Schritte

• Weitere Informationen zu verschiedenen Verbindungstypen
• Verbindungen verwalten
• Föderierte Abfragen