Configurare le connessioni con i collegamenti di rete
BigQuery supporta le query federate che ti consentono di inviare una query ai database esterni e restituisce il risultato come tabella temporanea. Le query federate utilizzano l'API BigQuery Connection per stabilire una connessione. Questo documento mostra come aumentare la sicurezza di questa connessione.
Poiché la connessione si connette direttamente al database, devi consentire il traffico da Google Cloud al motore del database. Per aumentare la sicurezza, e deve consentire solo il traffico proveniente dalle query di BigQuery. Questa limitazione del traffico può essere impostata in due modi:
- definendo un indirizzo IP statico utilizzato da un BigQuery connessione e aggiungendola alle regole firewall dell'origine dati esterna.
- Creando una VPN tra BigQuery e la tua infrastruttura interna e utilizzandola per le tue query.
Entrambe queste tecniche sono supportate tramite l'uso di allegati di rete.
Prima di iniziare
Concedi i ruoli IAM (Identity and Access Management) che concedono agli utenti le autorizzazioni necessarie per eseguire ogni attività in questo documento.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per configurare una connessione con collegamenti di rete,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore computing (roles/compute.admin
) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per configurare una connessione con collegamenti di rete. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per configurare una connessione con i componenti aggiuntivi di rete sono necessarie le seguenti autorizzazioni:
-
compute.networkAttachments.get
-
compute.networkAttachments.update
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Per ulteriori informazioni sui ruoli e sulle autorizzazioni IAM in BigQuery, consulta Ruoli e autorizzazioni IAM di BigQuery.
Limitazioni
Le connessioni con collegamenti di rete sono soggette alle seguenti limitazioni:
- I collegamenti di rete sono supportati solo per Connessioni di SAP DataSpa.
- Per le regioni standard, i collegamenti di rete devono trovarsi nella stessa regione
come connessione. Per le connessioni nell'area multiregionale
US
, la rete il collegamento deve trovarsi nella regioneus-central1
. Per le connessioni nelEU
in più regioni, il collegamento di rete deve trovarsi in Regioneeurope-west4
. - Non puoi apportare modifiche al collegamento di rete dopo averlo creato. A devi configurare qualcosa in un nuovo modo, devi ricreare il collegamento di rete.
Crea un collegamento di rete
Quando crei una connessione per la federazione delle query, puoi utilizzare il parametro facoltativo attacco rete, che rimanda a un attacco rete che fornisce la connettività alla rete da cui viene stabilita la connessione al database. Puoi creare un collegamento di rete definendo un indirizzo IP statico un indirizzo IP o la creazione di una VPN. Per entrambe le opzioni, procedi nel seguente modo:
Se non ne hai già uno, per creare una rete VPC e una subnet.
Se vuoi creare un collegamento di rete definendo un indirizzo IP statico, crea un gateway Cloud NAT con un indirizzo IP statico, utilizzando la rete, la regione e la subnet che hai creato. Se vuoi creare un collegamento di rete creando una VPN, creare VPN connessa alla tua rete privata.
Crea un collegamento di rete utilizzando la rete, la regione e la subnet che hai creato.
(Facoltativo) A seconda dei criteri di sicurezza della tua organizzazione, potresti dover configurare il firewall di Google Cloud per consentire le uscite creando una regola firewall con le seguenti impostazioni:
- Imposta Destinazioni su Tutte le istanze nella rete.
- Imposta Intervalli IPv4 di destinazione sull'intero intervallo di indirizzi IP.
- Imposta Protocolli e porte specificati sulla porta utilizzata dal database.
Configura il firewall interno per consentire l'ingresso dall'indirizzo IP statico che hai creato. Questa procedura varia in base all'origine dati.
Crea una connessione e includi il nome del collegamento di rete che hai creato.
Esegui qualsiasi query federata per per sincronizzare il progetto con il collegamento di rete.
La tua connessione è ora configurata con un collegamento di rete e puoi eseguire o query federate.
Prezzi
- Standard prezzi delle query federate .
- L'utilizzo di VPC è soggetto ai prezzi di Virtual Private Cloud.
- L'utilizzo di Cloud VPN è soggetto ai prezzi di Cloud VPN.
- L'utilizzo di Cloud NAT è soggetto ai prezzi di Cloud NAT.
Passaggi successivi
- Scopri di più sulle diverse tipi di connessioni.
- Scopri di più sulla gestione delle connessioni.
- Scopri di più sulle query federate.