Mengonfigurasi koneksi dengan lampiran jaringan

BigQuery mendukung kueri gabungan yang memungkinkan Anda mengirim kueri ke {i>database<i} eksternal dan mendapatkan hasilnya sebagai tabel sementara. Kueri gabungan menggunakan BigQuery Connection API untuk membuat koneksi. Dokumen ini menunjukkan cara meningkatkan keamanan koneksi ini.

Karena koneksi terhubung langsung ke {i>database<i}, Anda harus mengizinkan traffic dari Google Cloud ke mesin database Anda. Untuk meningkatkan keamanan, Anda hanya boleh mengizinkan traffic yang berasal dari kueri BigQuery Anda. Pembatasan traffic ini dapat dilakukan dengan salah satu dari dua cara berikut:

• Dengan menentukan alamat IP statis yang digunakan oleh BigQuery dan menambahkannya ke aturan firewall sumber data eksternal.
• Dengan membuat VPN antara BigQuery dan data internal infrastruktur IT, dan menggunakannya untuk kueri Anda.

Kedua teknik ini didukung melalui penggunaan lampiran jaringan.

Sebelum memulai

Memberikan peran Identity and Access Management (IAM) yang memberi izin yang diperlukan kepada pengguna untuk melakukan setiap tugas dalam dokumen ini.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda butuhkan untuk mengkonfigurasi koneksi dengan lampiran jaringan, minta administrator untuk memberi Anda Peran IAM Compute Admin (roles/compute.admin) pada project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengkonfigurasi koneksi dengan lampiran jaringan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengonfigurasi koneksi dengan lampiran jaringan:

• compute.networkAttachments.get
• compute.networkAttachments.update

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Untuk informasi selengkapnya tentang peran dan izin IAM di BigQuery, lihat Peran dan izin IAM BigQuery.

Batasan

Koneksi dengan lampiran jaringan tunduk pada batasan berikut:

• Lampiran jaringan hanya didukung untuk koneksi SAP Datasphere.
• Untuk region standar, lampiran jaringan harus berada di region yang sama sebagai koneksi. Untuk koneksi di multi-region US, lampiran jaringan harus berada di region us-central1. Untuk koneksi di EU multi-region, lampiran jaringan harus berada di Region europe-west4.
• Anda tidak dapat membuat perubahan apa pun pada lampiran jaringan setelah membuatnya. Untuk mengonfigurasi apa pun dengan cara baru, Anda perlu membuat ulang lampiran jaringan.

Membuat lampiran jaringan

Saat membuat koneksi untuk penggabungan kueri, Anda dapat menggunakan class parameter {i>network attachment<i}, yang mengarah ke lampiran jaringan yang menyediakan konektivitas ke jaringan tempat koneksi ke database mapan. Anda dapat membuat lampiran jaringan dengan menentukan IP statis alamat IP atau membuat VPN. Untuk kedua opsi tersebut, lakukan hal berikut:

1. Jika Anda belum memilikinya, buat jaringan dan subnet VPC.

2. Jika Anda ingin membuat lampiran jaringan dengan menentukan alamat IP statis, buat gateway Cloud NAT dengan alamat IP statis, menggunakan jaringan, region, dan subnet yang Anda buat. Jika Anda ingin membuat lampiran jaringan dengan membuat VPN, membuat VPN yang terhubung ke jaringan pribadi Anda.

3. Buat lampiran jaringan menggunakan jaringan, region, dan subnet yang Anda buat.

4. Opsional: Bergantung pada kebijakan keamanan organisasi, Anda mungkin memerlukan untuk mengonfigurasi firewall Google Cloud guna mengizinkan traffic keluar dengan membuat aturan firewall dengan setelan berikut:

   • Tetapkan Target ke All instances in the network.
   • Tetapkan Rentang IPv4 tujuan ke seluruh rentang alamat IP.
   • Tetapkan Specified protocols and ports ke port yang digunakan oleh di skrip untuk menyiapkan database.

5. Konfigurasikan firewall internal untuk mengizinkan traffic masuk dari alamat IP statis yang Anda buat. Proses ini bervariasi menurut sumber data.

6. Buat koneksi, dan sertakan nama lampiran jaringan yang Anda buat.

7. Jalankan kueri gabungan apa pun untuk menyinkronkan proyek Anda dengan lampiran jaringan.

Koneksi Anda kini dikonfigurasi dengan lampiran jaringan, dan Anda dapat menjalankan kueri gabungan.

Harga

• Standar harga kueri gabungan berlaku.
• Penggunaan VPC tunduk pada harga Virtual Private Cloud.
• Penggunaan Cloud VPN tunduk pada harga Cloud VPN.
• Penggunaan Cloud NAT tunduk pada harga Cloud NAT.

Langkah selanjutnya

• Pelajari berbagai jenis koneksi.
• Pelajari cara mengelola koneksi.
• Pelajari kueri gabungan.