네트워크 연결을 사용하여 연결 구성

BigQuery는 통합 쿼리를 지원하므로 쿼리 문을 외부 데이터베이스에 보내고 결과를 임시 테이블로 다시 가져올 수 있습니다. 통합 쿼리는 BigQuery Connection API를 사용하여 연결을 설정합니다. 이 문서에서는 이 연결의 보안을 강화하는 방법을 보여줍니다.

연결이 데이터베이스에 직접 연결되므로 Google Cloud 에서 데이터베이스 엔진으로 가는 트래픽을 허용해야 합니다. 보안을 강화하려면 BigQuery 쿼리에서 들어오는 트래픽만 허용해야 합니다. 이러한 트래픽 제한은 다음 두 가지 방법 중 하나로 수행할 수 있습니다.

• BigQuery 연결에 사용되는 고정 IP 주소를 정의하고 이를 외부 데이터 소스의 방화벽 규칙에 추가합니다.
• BigQuery와 내부 인프라 간에 VPN을 만들고 이를 쿼리에 사용합니다.

두 기술 모두 네트워크 연결을 사용하여 지원됩니다.

시작하기 전에

사용자에게 이 문서의 각 작업을 수행하는 데 필요한 권한을 부여하는 Identity and Access Management(IAM) 역할을 부여합니다.

필요한 역할

네트워크 연결을 사용한 연결을 구성하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Compute 관리자(roles/compute.admin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 네트워크 연결을 사용한 연결을 구성하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

네트워크 연결로 연결을 구성하려면 다음 권한이 필요합니다.

• compute.networkAttachments.get
• compute.networkAttachments.update

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

BigQuery의 IAM 역할과 권한에 대한 자세한 내용은 BigQuery IAM 역할 및 권한을 참조하세요.

제한사항

네트워크 연결을 사용한 연결에는 다음 제한사항이 적용됩니다.

• 네트워크 연결은 SAP Datasphere 연결에서만 지원됩니다.
• 표준 리전의 경우 네트워크 연결은 연결과 동일한 리전에 있어야 합니다. US 멀티 리전의 연결의 경우 네트워크 연결이 us-central1 리전에 있어야 합니다. EU 멀티 리전의 연결의 경우 네트워크 연결이 europe-west4 리전에 있어야 합니다.
• 네트워크 연결을 만든 후에는 변경할 수 없습니다. 새로운 방식으로 구성하려면 네트워크 연결을 다시 만들어야 합니다.
• 프로듀서(BigQuery)가 할당된 리소스를 삭제하지 않으면 네트워크 연결을 삭제할 수 없습니다. 삭제 프로세스를 시작하려면 BigQuery 지원팀에 문의해야 합니다.

네트워크 연결 만들기

쿼리 통합을 위한 연결을 만들 때 데이터베이스 연결이 설정된 네트워크에 대한 연결을 제공하는 네트워크 연결을 가리키는 네트워크 연결 매개변수를 선택적으로 사용할 수 있습니다. 고정 IP 주소를 정의하거나 VPN을 만들어 네트워크 연결을 만들 수 있습니다. 두 옵션에서 모두 다음을 수행합니다.

1. 아직 없으면 VPC 네트워크 및 서브넷 만들기를 수행합니다.

2. 고정 IP 주소를 정의하여 네트워크 연결을 만들려면 생성한 네트워크, 리전, 서브넷을 사용하여 고정 IP 주소로 Cloud NAT 게이트웨이를 만듭니다. VPN을 만들어 네트워크 연결을 만들려면 비공개 네트워크에 연결된 VPN을 만듭니다.

3. 만든 네트워크, 리전, 서브넷을 사용하여 네트워크 연결을 만듭니다.

4. 선택사항: 조직의 보안 정책에 따라 다음 설정으로 방화벽 규칙을 만들어 이그레스를 허용하도록 Google Cloud 방화벽을 구성해야 할 수 있습니다.

   • 대상을 네트워크의 모든 인스턴스로 설정합니다.
   • 대상 IPv4 범위를 전체 IP 주소 범위로 설정합니다.
   • 지정된 프로토콜 및 포트를 데이터베이스에서 사용하는 포트로 설정합니다.

5. 사용자가 만든 고정 IP 주소에서 인그레스를 허용하도록 내부 방화벽을 구성합니다. 이 프로세스는 데이터 소스에 따라 다릅니다.

6. 연결을 만들고 생성한 네트워크 연결의 이름을 포함합니다.

7. 통합 쿼리를 실행하여 프로젝트를 네트워크 연결과 동기화합니다.

이제 연결이 네트워크 연결로 구성되었으므로 통합 쿼리를 실행할 수 있습니다.

가격 책정

• 표준 통합 쿼리 가격 책정이 적용됩니다.
• VPC를 사용하면 가상 프라이빗 클라우드 가격이 적용됩니다.
• Cloud VPN 사용에는 Cloud VPN 가격 책정이 적용됩니다.
• Cloud NAT 사용에는 Cloud NAT 가격 책정이 적용됩니다.

다음 단계

• 다양한 연결 유형 알아보기
• 연결 관리 알아보기
• 통합 쿼리 알아보기