Configurar conexiones con archivos adjuntos de red

BigQuery admite consultas federadas que te permiten enviar una consulta a bases de datos externas y obtener el resultado en forma de tabla temporal. Las consultas federadas usan la API de conexión de BigQuery para establecer una conexión. En este documento se explica cómo aumentar la seguridad de esta conexión.

Como la conexión se conecta directamente a tu base de datos, debes permitir el tráfico de Google Cloud a tu motor de base de datos. Para aumentar la seguridad, solo debes permitir el tráfico que proceda de tus consultas de BigQuery. Esta restricción del tráfico se puede llevar a cabo de dos formas:

• Definiendo una dirección IP estática que utilice una conexión de BigQuery y añadiéndola a las reglas de cortafuegos de la fuente de datos externa.
• Creando una VPN entre BigQuery y tu infraestructura interna, y usándola para tus consultas.

Ambas técnicas se admiten mediante el uso de adjuntos de red.

Antes de empezar

Concede roles de gestión de identidades y accesos (IAM) que proporcionen a los usuarios los permisos necesarios para realizar cada tarea de este documento.

Roles obligatorios

Para obtener los permisos que necesitas para configurar una conexión con los adjuntos de red, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Compute (roles/compute.admin) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para configurar una conexión con archivos adjuntos de red. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para configurar una conexión con archivos adjuntos de red, se necesitan los siguientes permisos:

• compute.networkAttachments.get
• compute.networkAttachments.update

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Para obtener más información sobre los roles y permisos de gestión de identidades y accesos en BigQuery, consulta el artículo sobre los roles y permisos de gestión de identidades y accesos de BigQuery.

Limitaciones

Las conexiones con vinculaciones de red están sujetas a las siguientes limitaciones:

• Los archivos adjuntos de red solo se admiten en las conexiones de SAP Datasphere.
• En las regiones estándar, los adjuntos de red deben estar ubicados en la misma región que la conexión. En las conexiones de la multirregión US, el adjunto de red debe estar ubicado en la región us-central1. En las conexiones de la EU multirregión, el adjunto de red debe estar ubicado en la región europe-west4.
• No puedes hacer ningún cambio en la conexión de red después de crearla. Para configurar algo de una forma nueva, debes volver a crear el archivo adjunto de red.
• Los adjuntos de red no se pueden eliminar a menos que el productor (BigQuery) elimine los recursos asignados. Para iniciar el proceso de eliminación, debes ponerte en contacto con el equipo de Asistencia de BigQuery.

Crear un archivo adjunto de red

Cuando creas una conexión para la federación de consultas, puedes usar el parámetro opcional network_attachment, que apunta a un adjunto de red que proporciona conectividad a la red desde la que se establece la conexión a tu base de datos. Puedes crear una conexión de red definiendo una dirección IP estática o creando una VPN. En ambos casos, haz lo siguiente:

1. Si aún no tienes una, crea una red VPC y una subred.

2. Si quieres crear un adjunto de red definiendo una dirección IP estática, crea una pasarela Cloud NAT con una dirección IP estática usando la red, la región y la subred que has creado. Si quieres crear un adjunto de red creando una VPN, crea una VPN que esté conectada a tu red privada.

3. Crea un acoplamiento de red con la red, la región y la subred que has creado.

4. Opcional: En función de las políticas de seguridad de tu organización, es posible que tengas que configurar tu Google Cloud cortafuegos para permitir el tráfico de salidacreando una regla de cortafuegos con los siguientes ajustes:

   • En Destinos, selecciona Todas las instancias de la red.
   • Asigna a Intervalos de IPv4 de destino todo el intervalo de direcciones IP.
   • En Protocolos y puertos especificados, indica el puerto que usa tu base de datos.

5. Configura tu cortafuegos interno para permitir el tráfico entrante desde la dirección IP estática que has creado. Este proceso varía en función de la fuente de datos.

6. Crea una conexión e incluye el nombre del archivo adjunto de red que has creado.

7. Ejecuta cualquier consulta federada para sincronizar tu proyecto con el adjunto de red.

Tu conexión ahora está configurada con un archivo de red y puedes ejecutar consultas federadas.

Precios

• Se aplica la tarifa estándar de consultas federadas.
• El uso de VPC está sujeto a los precios de la nube privada virtual.
• El uso de Cloud VPN está sujeto a los precios de Cloud VPN.
• El uso de Cloud NAT está sujeto a los precios de Cloud NAT.

Siguientes pasos

• Consulta información sobre los diferentes tipos de conexión.
• Consulta cómo gestionar las conexiones.
• Consulta información sobre las consultas federadas.