Conectar a Cloud SQL

Como administrador de BigQuery, puedes crear una conexión para acceder a los datos de Cloud SQL. Esta conexión permite a los analistas de datos consultar datos en Cloud SQL. Para conectarte a Cloud SQL, debes seguir estos pasos:

  1. Crear una conexión a Cloud SQL
  2. Concede acceso al agente del servicio de conexión de BigQuery.

Antes de empezar

  1. Selecciona el proyecto que contiene la base de datos de Cloud SQL.

    Ir al selector de proyectos

  2. Habilita la API de conexión de BigQuery.

    Activar la API

  3. Asegúrate de que la instancia de Cloud SQL tenga una conexión de IP pública o una conexión privada:

    • Para proteger tus instancias de Cloud SQL, puedes añadir conectividad de IP pública sin una dirección autorizada. De esta forma, la instancia no se puede acceder desde Internet, pero sí se pueden enviar consultas desde BigQuery.

    • Para permitir que BigQuery acceda a los datos de Cloud SQL a través de una conexión privada, configura la conectividad de IP privada para una instancia de Cloud SQL nueva o ya creada y, a continuación, selecciona la casilla Ruta privada para los servicios de Google Cloud. Este servicio usa una ruta directa interna en lugar de la dirección IP privada de la nube privada virtual.

  4. Para obtener los permisos que necesitas para crear una conexión de Cloud SQL, pide a tu administrador que te asigne el rol de gestión de identidades y accesos Administrador de conexiones de BigQuery (roles/bigquery.connectionAdmin) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

    También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear conexiones de Cloud SQL

Como práctica recomendada, utilice conexiones para gestionar las credenciales de la base de datos cuando se conecte a Cloud SQL. Las conexiones se cifran y se almacenan de forma segura en el servicio de conexión de BigQuery. Si las credenciales de usuario son válidas para otros datos de la fuente, puedes reutilizar la conexión. Por ejemplo, puedes usar una conexión para consultar varias bases de datos que residan en la misma instancia de Cloud SQL.

Seleccione una de las siguientes opciones para crear una conexión de Cloud SQL:

Consola

  1. Ve a la página BigQuery.

    Ir a BigQuery

  2. En el panel Explorador, haz clic en Añadir.

    Se abrirá el cuadro de diálogo Añadir datos.

  3. En el panel Filtrar por, en la sección Tipo de fuente de datos, selecciona Bases de datos.

    También puede introducir mysql en el campo Buscar fuentes de datos.

  4. En la sección Fuentes de datos destacadas, haga clic en MySQL.

  5. Haga clic en la tarjeta de solución Cloud SQL (MySQL): federación de BigQuery.

  6. En el cuadro de diálogo Fuente de datos externa, introduce la siguiente información:

    • En Tipo de conexión, selecciona el tipo de fuente (por ejemplo, MySQL o PostgreSQL).
    • En Connection ID (ID de conexión), introduce un identificador para el recurso de conexión. Se admiten letras, números y guiones bajos. Por ejemplo, bq_sql_connection.
    • En Ubicación de los datos, seleccione una ubicación (o región) de BigQuery que sea compatible con la región de su fuente de datos externa.
    • Opcional: En Nombre descriptivo, introduce un nombre descriptivo para la conexión, como My connection resource. El nombre descriptivo puede ser cualquier valor que te ayude a identificar el recurso de conexión si necesitas modificarlo más adelante.
    • Opcional: En Descripción, escribe una descripción de este recurso de conexión.
    • Opcional: Cifrado. Si quieres usar una clave de cifrado gestionada por el cliente (CMEK) para cifrar tus credenciales, selecciona Clave de cifrado gestionada por el cliente (CMEK) y, a continuación, elige una clave gestionada por el cliente. De lo contrario, tus credenciales estarán protegidas por el valor predeterminado Google-owned and Google-managed encryption key.
    • Si has elegido Cloud SQL MySQL o Postgres como tipo de conexión, introduce el nombre de conexión de Cloud SQL, que es el nombre completo de la instancia de Cloud SQL, normalmente con el formato project-id:location-id:instance-id. Puedes encontrar el ID de instancia en la página de detalles de la instancia de Cloud SQL que quieras consultar.
    • En Database name (Nombre de la base de datos), introduce el nombre de la base de datos.
    • En Nombre de usuario de la base de datos, introduce el nombre de usuario de la base de datos.

    • En Contraseña de la base de datos, introduce la contraseña de la base de datos.

      • Opcional: Para ver la contraseña, haz clic en Mostrar contraseña.

  7. Haga clic en Crear conexión.

  8. Haz clic en Ir a la conexión.

  9. En el panel Información de conexión, copie el ID de la cuenta de servicio para usarlo en un paso posterior.

bq

Introduce el comando bq mk y proporciona la marca de conexión: --connection. También se necesitan las siguientes marcas:

  • --connection_type
  • --properties
  • --connection_credential
  • --project_id
  • --location

Las siguientes marcas son opcionales:

  • --display_name Nombre descriptivo de la conexión.
  • --description Una descripción de la conexión.

connection_id es un parámetro opcional que se puede añadir como último argumento del comando y que se usa para el almacenamiento interno. Si no se proporciona un ID de conexión, se genera automáticamente un ID único. El connection_id puede contener letras, números y guiones bajos.

    bq mk --connection --display_name='friendly name' --connection_type=TYPE \
      --properties=PROPERTIES --connection_credential=CREDENTIALS \
      --project_id=PROJECT_ID --location=LOCATION \
      CONNECTION_ID

Haz los cambios siguientes:

  • TYPE: el tipo de fuente de datos externa.
  • PROPERTIES: los parámetros de la conexión creada en formato JSON. Por ejemplo: --properties='{"param":"param_value"}'. Para crear un recurso de conexión, debes proporcionar los parámetros instanceID, database y type.
  • CREDENTIALS: los parámetros username y password.
  • PROJECT_ID: tu ID de proyecto.
  • LOCATION: la región en la que se encuentra tu instancia de Cloud SQL o la multirregión correspondiente.
  • CONNECTION_ID: el identificador de la conexión.

Por ejemplo, el siguiente comando crea un recurso de conexión llamado my_new_connection (nombre descriptivo: "My new connection") en un proyecto con el ID federation-test.

bq mk --connection --display_name='friendly name' --connection_type='CLOUD_SQL' \
  --properties='{"instanceId":"federation-test:us-central1:mytestsql","database":"mydatabase","type":"MYSQL"}' \
  --connection_credential='{"username":"myusername", "password":"mypassword"}' \
  --project_id=federation-test --location=us my_connection_id

API

En la API de conexión de BigQuery, puedes invocar CreateConnection en ConnectionService para crear una instancia de conexión. Consulta la página de la biblioteca de cliente para obtener más información.

Java

Antes de probar este ejemplo, sigue las Javainstrucciones de configuración de la guía de inicio rápido de BigQuery con bibliotecas de cliente. Para obtener más información, consulta la documentación de referencia de la API Java de BigQuery.

Para autenticarte en BigQuery, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta el artículo Configurar la autenticación para bibliotecas de cliente. 

import com.google.cloud.bigquery.connection.v1.CloudSqlCredential;
import com.google.cloud.bigquery.connection.v1.CloudSqlProperties;
import com.google.cloud.bigquery.connection.v1.Connection;
import com.google.cloud.bigquery.connection.v1.CreateConnectionRequest;
import com.google.cloud.bigquery.connection.v1.LocationName;
import com.google.cloud.bigqueryconnection.v1.ConnectionServiceClient;
import java.io.IOException;

// Sample to create a connection with cloud MySql database
public class CreateConnection {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "MY_PROJECT_ID";
    String location = "MY_LOCATION";
    String connectionId = "MY_CONNECTION_ID";
    String database = "MY_DATABASE";
    String instance = "MY_INSTANCE";
    String instanceLocation = "MY_INSTANCE_LOCATION";
    String username = "MY_USERNAME";
    String password = "MY_PASSWORD";
    String instanceId = String.format("%s:%s:%s", projectId, instanceLocation, instance);
    CloudSqlCredential cloudSqlCredential =
        CloudSqlCredential.newBuilder().setUsername(username).setPassword(password).build();
    CloudSqlProperties cloudSqlProperties =
        CloudSqlProperties.newBuilder()
            .setType(CloudSqlProperties.DatabaseType.MYSQL)
            .setDatabase(database)
            .setInstanceId(instanceId)
            .setCredential(cloudSqlCredential)
            .build();
    Connection connection = Connection.newBuilder().setCloudSql(cloudSqlProperties).build();
    createConnection(projectId, location, connectionId, connection);
  }

  static void createConnection(
      String projectId, String location, String connectionId, Connection connection)
      throws IOException {
    try (ConnectionServiceClient client = ConnectionServiceClient.create()) {
      LocationName parent = LocationName.of(projectId, location);
      CreateConnectionRequest request =
          CreateConnectionRequest.newBuilder()
              .setParent(parent.toString())
              .setConnection(connection)
              .setConnectionId(connectionId)
              .build();
      Connection response = client.createConnection(request);
      System.out.println("Connection created successfully :" + response.getName());
    }
  }
}

Conceder acceso al agente de servicio

Se crea automáticamente un agente de servicio cuando creas la primera conexión a Cloud SQL en el proyecto. El nombre del agente de servicio es BigQuery Connection Service Agent. Para obtener el ID del agente de servicio, consulta los detalles de tu conexión. El ID del agente de servicio tiene el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-bigqueryconnection.iam.gserviceaccount.com.

Para conectarte a Cloud SQL, debes dar acceso de solo lectura a la nueva conexión para que BigQuery pueda acceder a los archivos en nombre de los usuarios. El agente de servicio debe tener los siguientes permisos:

  • cloudsql.instances.connect
  • cloudsql.instances.get

Puedes asignar el rol de gestión de identidades y accesos Cliente de Cloud SQL (roles/cloudsql.client) a la cuenta de servicio asociada a la conexión, que tiene asignados estos permisos. Puedes saltarte los pasos siguientes si el agente de asistencia ya tiene los permisos necesarios.

Consola

  1. Ve a la página IAM y administración.

    Ir a IAM y administración

  2. Haz clic en Conceder acceso.

    Se abrirá el cuadro de diálogo Añadir principales.

  3. En el campo Nuevos principales, introduzca el nombre del agente de servicio Agente del servicio de conexión de BigQuery o el ID del agente de servicio obtenido de la información de conexión.

  4. En el campo Selecciona un rol, selecciona Cloud SQL y, a continuación, Cliente de Cloud SQL.

  5. Haz clic en Guardar.

gcloud

Usa el comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID --member=serviceAccount:SERVICE_AGENT_ID --role=roles/cloudsql.client

Proporciona los siguientes valores:

  • PROJECT_ID: tu ID de proyecto Google Cloud .
  • SERVICE_AGENT_ID: ID del agente de servicio obtenido de la información de conexión.

Compartir conexiones con usuarios

Puede conceder los siguientes roles para permitir que los usuarios consulten datos y gestionen conexiones:

  • roles/bigquery.connectionUser: permite a los usuarios usar conexiones para conectarse con fuentes de datos externas y ejecutar consultas en ellas.

  • roles/bigquery.connectionAdmin: permite a los usuarios gestionar las conexiones.

Para obtener más información sobre los roles y permisos de gestión de identidades y accesos en BigQuery, consulta el artículo sobre roles y permisos predefinidos.

Selecciona una de las opciones siguientes:

Consola

  1. Ve a la página BigQuery.

    Ir a BigQuery

    Las conexiones se muestran en tu proyecto, en un grupo llamado Conexiones externas.

  2. En el panel Explorador, haga clic en el nombre del proyecto > Conexiones externas > conexión.

  3. En el panel Detalles, haz clic en Compartir para compartir una conexión. A continuación, sigue estas instrucciones:

    1. En el cuadro de diálogo Permisos de conexión, comparte la conexión con otras entidades principales añadiendo o editando entidades principales.

    2. Haz clic en Guardar.

bq

No puedes compartir una conexión con la herramienta de línea de comandos bq. Para compartir una conexión, usa la Google Cloud consola o el método de la API Connections de BigQuery.

API

Usa el método projects.locations.connections.setIAM de la sección de referencia de la API REST Connections de BigQuery y proporciona una instancia del recurso policy.

Java

Antes de probar este ejemplo, sigue las Javainstrucciones de configuración de la guía de inicio rápido de BigQuery con bibliotecas de cliente. Para obtener más información, consulta la documentación de referencia de la API Java de BigQuery.

Para autenticarte en BigQuery, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta el artículo Configurar la autenticación para bibliotecas de cliente. 

import com.google.api.resourcenames.ResourceName;
import com.google.cloud.bigquery.connection.v1.ConnectionName;
import com.google.cloud.bigqueryconnection.v1.ConnectionServiceClient;
import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import com.google.iam.v1.SetIamPolicyRequest;
import java.io.IOException;

// Sample to share connections
public class ShareConnection {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "MY_PROJECT_ID";
    String location = "MY_LOCATION";
    String connectionId = "MY_CONNECTION_ID";
    shareConnection(projectId, location, connectionId);
  }

  static void shareConnection(String projectId, String location, String connectionId)
      throws IOException {
    try (ConnectionServiceClient client = ConnectionServiceClient.create()) {
      ResourceName resource = ConnectionName.of(projectId, location, connectionId);
      Binding binding =
          Binding.newBuilder()
              .addMembers("group:example-analyst-group@google.com")
              .setRole("roles/bigquery.connectionUser")
              .build();
      Policy policy = Policy.newBuilder().addBindings(binding).build();
      SetIamPolicyRequest request =
          SetIamPolicyRequest.newBuilder()
              .setResource(resource.toString())
              .setPolicy(policy)
              .build();
      client.setIamPolicy(request);
      System.out.println("Connection shared successfully");
    }
  }
}

Siguientes pasos