Configurar conexões com anexos de rede

O BigQuery oferece suporte a consultas federadas que permitem enviar uma consulta a bancos de dados externos e recebe o resultado como uma tabela temporária As consultas federadas usam a API BigQuery Connection para estabelecer uma conexão. Isso mostra como aumentar a segurança dessa conexão.

Como a conexão se conecta diretamente ao seu banco de dados, você precisa permitir tráfego do Google Cloud para seu mecanismo de banco de dados. Para aumentar a segurança, você só devem permitir o tráfego proveniente de suas consultas do BigQuery. Essa restrição de tráfego pode ser alcançada de duas maneiras:

• Ao definir um endereço IP estático usado por um e adicionando-a às regras de firewall da fonte de dados externa.
• Ao criar uma VPN entre o BigQuery e seus infraestrutura e usá-la nas consultas.

Ambas as técnicas são suportadas pelo uso de anexos de rede.

Antes de começar

Atribua papéis do Identity and Access Management (IAM) que concedam aos usuários as permissões necessárias para realizar cada tarefa deste documento.

Funções exigidas

Para ter as permissões necessárias para configurar uma conexão com anexos de rede, peça ao administrador para conceder a você Papel do IAM Administrador do Compute (roles/compute.admin) no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém as permissões necessárias para configurar uma conexão com anexos de rede. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para configurar uma conexão com anexos de rede:

• compute.networkAttachments.get
• compute.networkAttachments.update

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Para mais informações sobre os papéis e as permissões do IAM no BigQuery, consulte Papéis e permissões do BigQuery IAM.

Limitações

As conexões com anexos de rede estão sujeitas às seguintes limitações:

• Os anexos de rede são compatíveis apenas com Conexões do SAP Datasphere.
• Para regiões padrão, os anexos de rede precisam estar localizados na mesma região como a conexão. Para conexões na multirregião US, a rede o anexo precisa estar localizado na região us-central1. Para conexões no EU multirregional, o anexo de rede precisa estar localizado no europe-west4 região.
• Não é possível fazer alterações no anexo de rede depois de criá-lo. Para configurar algo de uma nova maneira, será necessário recriar o anexo de rede.

Criar um anexo de rede

Ao criar uma conexão para a federação de consultas, você pode usar o botão de anexo de rede, que aponta para um anexo que fornece conectividade com a rede a partir da qual se conecta ao seu banco de dados estabelecidos. É possível criar um anexo de rede definindo um endereço IP estático ou criando uma VPN. Para qualquer uma das opções, faça o seguinte:

1. Se você ainda não tiver uma, criar uma rede e sub-rede VPC.

2. Se você quiser criar um anexo de rede definindo um endereço IP estático, criar um gateway do Cloud NAT com um endereço IP estático; usando a rede, a região e a sub-rede que você criou. Se você quiser criar um anexo de rede criando uma VPN, criar um VPN conectada à sua rede privada.

3. Criar um anexo de rede usando a rede, a região e a sub-rede que você criou.

4. Opcional: dependendo das políticas de segurança da sua organização, talvez você precise configurar o firewall do Google Cloud para permitir a saída Como criar uma regra de firewall com as seguintes configurações:

   • Defina Destinos como Todas as instâncias na rede.
   • Defina Intervalos IPv4 de destino como todo o intervalo de endereços IP.
   • Defina Protocolos e portas especificados como a porta usada pelo seu no seu banco de dados.

5. Configurar o firewall interno para permitir a entrada do endereço IP estático que você criou. Esse processo varia de acordo com a fonte de dados.

6. Crie uma conexão e inclua os do anexo de rede que você criou.

7. Execute qualquer consulta federada para sincronizar seu projeto com o anexo de rede.

Agora sua conexão está configurada com um anexo de rede, e você pode executar consultas federadas.

Preços

• O padrão preços de consultas federadas se aplica.
• O uso da VPC está sujeito aos preços da nuvem privada virtual.
• O uso do Cloud VPN está sujeito aos preços do Cloud VPN.
• O uso do Cloud NAT está sujeito aos preços do Cloud NAT.

A seguir

• Saiba sobre diferentes tipos de conexão.
• Saiba mais sobre como gerenciar conexões.
• Saiba mais sobre consultas federadas.