Configurare le connessioni con i collegamenti di rete

BigQuery supporta le query federate che consentono di inviare un'istruzione di query a database esterni e di ricevere il risultato come tabella temporanea. Le query federate utilizzano l'API BigQuery Connection per stabilire una connessione. Questo documento mostra come aumentare la sicurezza di questa connessione.

Poiché la connessione si connette direttamente al database, devi consentire il traffico da Google Cloud al motore del database. Per aumentare la sicurezza, devi consentire solo il traffico proveniente dalle query BigQuery. Questa limitazione del traffico può essere eseguita in due modi:

• Definendo un indirizzo IP statico utilizzato da una connessione BigQuery e aggiungendolo alle regole firewall dell'origine dati esterna.
• Creando una VPN tra BigQuery e la tua infrastruttura interna e utilizzandola per le tue query.

Entrambe queste tecniche sono supportate tramite l'utilizzo di allegati di rete.

Prima di iniziare

Concedi ruoli IAM (Identity and Access Management) che forniscono agli utenti le autorizzazioni necessarie per eseguire ogni attività descritta in questo documento.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare una connessione con i collegamenti di rete, chiedi all'amministratore di concederti il ruolo IAM Compute Admin (roles/compute.admin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per configurare una connessione con i collegamenti di rete. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per configurare una connessione con allegati di rete sono necessarie le seguenti autorizzazioni:

• compute.networkAttachments.get
• compute.networkAttachments.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per saperne di più sui ruoli e sulle autorizzazioni IAM in BigQuery, consulta Ruoli e autorizzazioni IAM di BigQuery.

Limitazioni

Le connessioni con collegamenti di rete sono soggette alle seguenti limitazioni:

• Gli allegati di rete sono supportati solo per le connessioni SAP Datasphere.
• Per le regioni standard, gli allegati di rete devono trovarsi nella stessa regione della connessione. Per le connessioni nella multiregione US, l'allegato di rete deve trovarsi nella regione us-central1. Per le connessioni nella regione multiregionale EU, il collegamento di rete deve trovarsi nella regione europe-west4.
• Non puoi apportare modifiche all'allegato di rete dopo averlo creato. Per configurare qualsiasi elemento in un nuovo modo, devi ricreare il collegamento di rete.
• Gli allegati di rete non possono essere eliminati a meno che il produttore (BigQuery) non elimini le risorse allocate. Per avviare la procedura di eliminazione, devi contattare l'assistenza BigQuery.

Crea un collegamento di rete

Quando crei una connessione per la federazione delle query, puoi utilizzare il parametro facoltativo network attachment, che punta a un collegamento di rete che fornisce la connettività alla rete da cui viene stabilita la connessione al database. Puoi creare un collegamento di rete definendo un indirizzo IP statico o creando una VPN. Per entrambe le opzioni, procedi nel seguente modo:

1. Se non ne hai già una, crea una rete VPC e una subnet.

2. Se vuoi creare un collegamento di rete definendo un indirizzo IP statico, crea un gateway Cloud NAT con un indirizzo IP statico, utilizzando la rete, la regione e la subnet che hai creato. Se vuoi creare un collegamento di rete creando una VPN, crea una VPN connessa alla tua rete privata.

3. Crea un collegamento di rete utilizzando la rete, la regione e la subnet che hai creato.

4. (Facoltativo) A seconda delle norme di sicurezza della tua organizzazione, potrebbe essere necessario configurare il Google Cloud firewall per consentire l'uscita creando una regola firewall con le seguenti impostazioni:

   • Imposta Destinazioni su Tutte le istanze nella rete.
   • Imposta Intervalli IPv4 di destinazione sull'intero intervallo di indirizzi IP.
   • Imposta Protocolli e porte specificati sulla porta utilizzata dal tuo database.

5. Configura il firewall interno per consentire l'accesso dall'indirizzo IP statico che hai creato. Questo processo varia in base all'origine dati.

6. Crea una connessione e includi il nome del collegamento di rete che hai creato.

7. Esegui una query federata per sincronizzare il progetto con il collegamento di rete.

La connessione è ora configurata con un collegamento di rete e puoi eseguire query federate.

Prezzi

• Vengono applicati i prezzi standard delle query federate.
• L'utilizzo di VPC è soggetto ai prezzi di Virtual Private Cloud.
• L'utilizzo di Cloud VPN è soggetto ai prezzi di Cloud VPN.
• L'utilizzo di Cloud NAT è soggetto ai prezzi di Cloud NAT.

Passaggi successivi

• Scopri i diversi tipi di connessione.
• Scopri di più sulla gestione delle connessioni.
• Scopri di più sulle query federate.