配置具有网络连接的连接

BigQuery 支持联合查询，可让您将查询语句发送到外部数据库，并将结果作为临时表返回。联合查询使用 BigQuery Connection API 建立连接。本文档介绍了如何提高此连接的安全性。

由于该连接直接连接到您的数据库，因此您必须允许来自 Google Cloud 的流量进入数据库引擎。为提高安全性，您应该仅允许来自 BigQuery 查询的流量。此流量限制可以通过以下两种方式之一实现：

• 定义 BigQuery 连接使用的静态 IP 地址，并将其添加到外部数据源的防火墙规则中。
• 在 BigQuery 与内部基础设施之间创建 VPN，并将其用于您的查询。

这两种方法都通过使用网络连接来支持。

准备工作

授予为用户提供执行本文档中的每个任务所需权限的 Identity and Access Management (IAM) 角色。

所需的角色

如需获得配置具有网络连接的连接所需的权限，请让您的管理员为您授予项目的 Compute Admin (roles/compute.admin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

此预定义角色可提供配置具有网络连接的连接所需的权限。如需查看所需的确切权限，请展开所需权限部分：

所需权限

配置具有网络连接的连接需要以下权限：

• compute.networkAttachments.get
• compute.networkAttachments.update

您也可以使用自定义角色或其他预定义角色来获取这些权限。

如需详细了解 BigQuery 中的 IAM 角色和权限，请参阅 BigQuery IAM 角色和权限。

限制

具有网络连接的连接存在以下限制：

• 只有 SAP Datasphere 连接支持网络连接。
• 对于标准区域，网络连接必须与连接位于同一区域。对于 US 多区域中的连接，网络连接必须位于 us-central1 区域。对于 EU 多区域中的连接，网络连接必须位于 europe-west4 区域。
• 创建网络连接后，您将无法对其进行任何更改。如需以新的方式配置任何内容，您需要重新创建网络连接。

创建网络连接

为查询联合创建连接时，您可以使用可选的网络连接参数，该参数指向一个网络连接，该网络连接提供与从其建立与数据库的连接的网络的连接。您可以通过定义静态 IP 地址或创建 VPN 来创建网络连接。对于任一选项，请执行以下操作：

1. 如果您还没有 VPC 网络和子网，请创建 VPC 网络和子网。

2. 如果您要通过定义静态 IP 地址来创建网络连接，请使用您创建的网络、区域和子网创建具有静态 IP 地址的 Cloud NAT 网关。如果您要通过创建 VPN 来创建网络连接，请创建连接到您的专用网络的 VPN。

3. 使用您创建的网络、区域和子网创建网络连接。

4. 可选：根据您的组织的安全政策，您可能需要通过创建具有以下设置的防火墙规则，将 Google Cloud 防火墙配置为允许出站流量：

   • 将目标设置为网络中的所有实例。
   • 将目标 IPv4 范围设置为整个 IP 地址范围。
   • 将指定的协议和端口设置为数据库使用的端口。

5. 将内部防火墙配置为允许来自您创建的静态 IP 地址的入站流量。此过程因数据源而异。

6. 创建连接，并在其中添加您创建的网络连接的名称。

7. 运行任何联合查询，以将您的项目与网络连接同步。

您的连接现已配置了网络连接，您可以运行联合查询。

价格

• 您需要按标准联合查询价格付费。
• 使用 VPC 按照 Virtual Private Cloud 价格计费。
• 使用 Cloud VPN 按照 Cloud VPN 价格计费。
• 使用 Cloud NAT 按照 Cloud NAT 价格计费。

后续步骤

• 了解不同的连接类型。
• 了解如何管理连接。
• 了解联合查询。