設定網路連結與網路連結

BigQuery 支援聯合查詢，可讓您將查詢陳述式傳送至外部資料庫，並將結果傳回做為臨時表格。聯合查詢會使用 BigQuery Connection API 建立連線。本文件將說明如何提高此連線的安全性。

由於連線會直接連結至資料庫，因此您必須允許從 Google Cloud 到資料庫引擎的流量。為提高安全性，請只允許來自 BigQuery 查詢的流量。這項流量限制可透過下列任一方式實現：

• 定義 BigQuery 連線使用的靜態 IP 位址，並將該 IP 位址新增至外部資料來源的防火牆規則。
• 在 BigQuery 和內部基礎架構之間建立 VPN，並用於查詢。

這兩種技巧都支援使用網路附件。

事前準備

授予身分與存取權管理 (IAM) 角色，讓使用者取得執行本文件中各項工作的必要權限。

必要的角色

如要取得設定網路附件連線所需的權限，請要求管理員為您授予專案的 Compute Admin (roles/compute.admin) 身分與存取權管理角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色包含設定網路附件的連線所需的權限。如要查看確切的必要權限，請展開「必要權限」部分：

所需權限

如要設定網路附件的連線，您必須具備下列權限：

• compute.networkAttachments.get
• compute.networkAttachments.update

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

如要進一步瞭解 BigQuery 中的 IAM 角色和權限，請參閱 BigQuery IAM 角色和權限。

限制

網路附件連線受到下列限制：

• 網路附件僅支援 SAP Datasphere 連線。
• 對於標準區域，網路附件必須位於與連線相同的區域。如果是 US 多地區中的連線，網路附件必須位於 us-central1 地區。如果是 EU 多區域中的連線，網路連結必須位於 europe-west4 區域。
• 建立網路附件後，您就無法再進行任何變更。如要以新方式設定任何項目，您必須重新建立網路連結。
• 除非產生者 (BigQuery) 刪除已分配的資源，否則無法刪除網路附件。如要啟動刪除程序，請與 BigQuery 支援團隊聯絡。

建立網路連結

建立查詢聯合作業的連線時，您可以使用選用的網路附件參數，該參數會指向網路附件，提供與建立資料庫連線的網路連線。您可以透過定義靜態 IP 位址或建立 VPN 來建立網路附件。無論選擇哪種做法，請執行下列操作：

1. 如果您尚未建立虛擬私人雲端網路，請建立虛擬私人雲端網路和子網路。

2. 如果您想透過定義靜態 IP 位址來建立網路附件，請使用您建立的網路、區域和子網路，建立具有靜態 IP 位址的 Cloud NAT 閘道。如果您想透過建立 VPN 來建立網路連結，請建立連結至私人網路的 VPN。

3. 使用您建立的網路、區域和子網路，建立網路連結。

4. 選用：視貴機構的安全性政策而定，您可能需要建立防火牆規則，設定防火牆以允許輸出流量，並使用下列設定： Google Cloud

   • 將「Targets」設為「All instances in the network」。
   • 將「Destination IPv4 ranges」(目的地 IPv4 範圍) 設為整個 IP 位址範圍。
   • 將「Specified protocols and ports」設為資料庫使用的通訊埠。

5. 設定內部防火牆，允許來自您建立的靜態 IP 位址的流量。這項程序會因資料來源而異。

6. 建立連線，並加入您建立的網路連結名稱。

7. 執行任何聯合查詢，將專案與網路附件同步。

連線現在已設定網路附件，您可以執行聯合查詢。

定價

• 適用標準聯合查詢定價。
• 使用 VPC 時，請遵守虛擬私有雲定價。
• 使用 Cloud VPN 時，請遵守 Cloud VPN 定價規定。
• 使用 Cloud NAT 時，請遵守 Cloud NAT 定價規定。

後續步驟

• 瞭解不同的連線類型。
• 瞭解如何管理連線。
• 瞭解聯合查詢。