Configura conexiones con adjuntos de red
BigQuery admite consultas federadas que te permiten enviar una declaración de consulta a bases de datos externas y obtener el resultado como una tabla temporal. Las consultas federadas usan la API de BigQuery Connection para establecer una conexión. En este documento, se muestra cómo aumentar la seguridad de esta conexión.
Debido a que la conexión se conecta directamente a tu base de datos, debes permitir el tráfico de Google Cloud a tu motor de base de datos. Para aumentar la seguridad, solo debes permitir el tráfico proveniente de tus consultas de BigQuery. Esta restricción del tráfico se puede lograr de dos maneras:
- Mediante la definición de una dirección IP estática que usa una conexión de BigQuery y su adición a las reglas de firewall de la fuente de datos externa
- Crea una VPN entre BigQuery y tu infraestructura interna y úsala para tus consultas.
Ambas técnicas son compatibles mediante el uso de adjuntos de red.
Antes de comenzar
Otorga funciones de Identity and Access Management (IAM) que les brindan a los usuarios los permisos necesarios para realizar cada tarea de este documento.
Roles obligatorios
Para obtener los permisos que necesitas para configurar una conexión con adjuntos de red, pídele a tu administrador que te otorgue el rol Administrador de Compute (roles/compute.admin
) de IAM en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
Este rol predefinido contiene los permisos necesarios para configurar una conexión con adjuntos de red. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para configurar una conexión con adjuntos de red:
-
compute.networkAttachments.get
-
compute.networkAttachments.update
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos
Para obtener más información sobre los roles y los permisos de IAM en BigQuery, consulta Roles y permisos de IAM de BigQuery.
Limitaciones
Las conexiones con los adjuntos de red están sujetas a las siguientes limitaciones:
- Los adjuntos de red solo son compatibles con las conexiones de SAP Datasphere.
- En las regiones estándar, los adjuntos de red deben estar ubicados en la misma región que la conexión. Para las conexiones en la multirregión
US
, el adjunto de red debe estar ubicado en la regiónus-central1
. Para las conexiones en la multirregiónEU
, el adjunto de red debe estar ubicado en la regióneurope-west4
. - No puedes hacer ningún cambio en tu adjunto de red después de crearlo. Para configurar cualquier elemento de una manera nueva, debes volver a crear el adjunto de red.
Crea un adjunto de red
Cuando creas una conexión para la federación de consultas, puedes usar el parámetro de adjunto de red opcional, que apunta a un adjunto de red que proporciona conectividad a la red desde la que se establece la conexión con tu base de datos. Puedes crear un adjunto de red si defines una dirección IP estática o creas una VPN. Para cualquiera de las opciones, haz lo siguiente:
Si aún no tienes una, crea una red y subred de VPC.
Si deseas crear un adjunto de red mediante la definición de una dirección IP estática, crea una puerta de enlace de Cloud NAT con una dirección IP estática mediante la red, la región y la subred que creaste. Si deseas crear un adjunto de red mediante la creación de una VPN, crea una VPN que esté conectada a tu red privada.
Crea un adjunto de red con la red, la región y la subred que creaste.
Opcional: Según las políticas de seguridad de tu organización, es posible que debas configurar tu firewall de Google Cloud para permitir la salida mediante la creación de una regla de firewall con la siguiente configuración:
- Configura Destinos como Todas las instancias de la red.
- Establece Rangos IPv4 de destino en todo el rango de direcciones IP.
- Configura los Protocolos y puertos especificados en el puerto que usa tu base de datos.
Configura tu firewall interno para permitir la entrada desde la dirección IP estática que creaste. Este proceso varía según la fuente de datos.
Crea una conexión y, luego, incluye el nombre del adjunto de red que creaste.
Ejecuta cualquier consulta federada para sincronizar tu proyecto con el adjunto de red.
Tu conexión ahora está configurada con un adjunto de red y puedes ejecutar consultas federadas.
Precios
- Se aplican los precios de las consultas federadas estándar.
- El uso de VPC está sujeto a los precios de la nube privada virtual.
- El uso de Cloud VPN está sujeto a los precios de Cloud VPN.
- El uso de Cloud NAT está sujeto a los precios de Cloud NAT.
¿Qué sigue?
- Obtén información sobre los diferentes tipos de conexión.
- Obtén información sobre cómo administrar conexiones.
- Obtén más información sobre consultas federadas.