Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi koneksi dengan lampiran jaringan

BigQuery mendukung kueri gabungan yang memungkinkan Anda mengirim pernyataan kueri ke database eksternal dan mendapatkan hasilnya kembali sebagai tabel sementara. Kueri gabungan menggunakan BigQuery Connection API untuk membuat koneksi. Dokumen ini menunjukkan cara meningkatkan keamanan koneksi ini.

Karena koneksi terhubung langsung ke database Anda, Anda harus mengizinkan traffic dari Google Cloud ke mesin database Anda. Untuk meningkatkan keamanan, Anda hanya boleh mengizinkan traffic yang berasal dari kueri BigQuery Anda. Pembatasan traffic ini dapat dilakukan dengan salah satu dari dua cara berikut:

Dengan menentukan alamat IP statis yang digunakan oleh koneksi BigQuery dan menambahkannya ke aturan firewall sumber data eksternal.
Dengan membuat VPN antara BigQuery dan infrastruktur internal Anda, lalu menggunakannya untuk kueri Anda.

Kedua teknik ini didukung melalui penggunaan lampiran jaringan.

Sebelum memulai

Memberikan peran Identity and Access Management (IAM) yang memberi izin yang diperlukan kepada pengguna untuk melakukan setiap tugas dalam dokumen ini.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengonfigurasi koneksi dengan lampiran jaringan, minta administrator untuk memberi Anda peran IAM Compute Admin (roles/compute.admin) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengonfigurasi koneksi dengan lampiran jaringan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengonfigurasi koneksi dengan lampiran jaringan:

compute.networkAttachments.get
compute.networkAttachments.update

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Untuk mengetahui informasi selengkapnya tentang peran dan izin IAM di BigQuery, lihat Peran dan izin IAM BigQuery.

Batasan

Koneksi dengan lampiran jaringan tunduk pada batasan berikut:

Lampiran jaringan hanya didukung untuk koneksi SAP Datasphere.
Untuk region standar, lampiran jaringan harus berada di region yang sama dengan koneksi. Untuk koneksi di multi-region US, lampiran jaringan harus berada di region us-central1. Untuk koneksi di multi-region EU, lampiran jaringan harus berada di region europe-west4.
Anda tidak dapat melakukan perubahan pada lampiran jaringan setelah membuatnya. Untuk mengonfigurasi apa pun dengan cara baru, Anda harus membuat ulang lampiran jaringan.
Lampiran jaringan tidak dapat dihapus kecuali jika produsen (BigQuery) menghapus resource yang dialokasikan. Untuk memulai proses penghapusan, Anda harus menghubungi dukungan BigQuery.

Membuat lampiran jaringan

Saat membuat koneksi untuk federasi kueri, Anda dapat menggunakan parameter lampiran jaringan opsional, yang mengarah ke lampiran jaringan yang menyediakan konektivitas ke jaringan tempat koneksi ke database Anda dibuat. Anda dapat membuat lampiran jaringan dengan menentukan alamat IP statis atau membuat VPN. Untuk kedua opsi, lakukan hal berikut:

Jika Anda belum memilikinya, buat jaringan dan subnet VPC.
Jika Anda ingin membuat lampiran jaringan dengan menentukan alamat IP statis, buat gateway Cloud NAT dengan alamat IP statis, menggunakan jaringan, region, dan subnet yang Anda buat. Jika Anda ingin membuat lampiran jaringan dengan membuat VPN, buat VPN yang terhubung ke jaringan pribadi Anda.
Buat lampiran jaringan menggunakan jaringan, region, dan subnet yang Anda buat.
Opsional: Bergantung pada kebijakan keamanan organisasi Anda, Anda mungkin perlu mengonfigurasi firewall Google Cloud untuk mengizinkan traffic keluar dengan membuat aturan firewall dengan setelan berikut:
- Tetapkan Targets ke All instances in the network.
- Tetapkan Destination IPv4 ranges ke seluruh rentang alamat IP.
- Tetapkan Specified protocols and ports ke port yang digunakan oleh database Anda.
Konfigurasi firewall internal Anda untuk mengizinkan ingress dari alamat IP statis yang Anda buat. Proses ini bervariasi menurut sumber data.
Buat koneksi, dan sertakan nama lampiran jaringan yang Anda buat.
Jalankan kueri gabungan untuk menyelaraskan project Anda dengan lampiran jaringan.

Koneksi Anda kini dikonfigurasi dengan lampiran jaringan, dan Anda dapat menjalankan kueri gabungan.

Harga

Harga kueri gabungan standar berlaku.
Penggunaan VPC tunduk pada harga Virtual Private Cloud.
Penggunaan Cloud VPN tunduk pada harga Cloud VPN.
Penggunaan Cloud NAT tunduk pada harga Cloud NAT.

Langkah berikutnya

Pelajari berbagai jenis koneksi.
Pelajari cara mengelola koneksi.
Pelajari kueri gabungan.