Connettiti a Cloud SQL

In qualità di amministratore BigQuery, puoi creare una connessione per accedere ai dati Cloud SQL. Questa connessione consente agli analisti dei dati di eseguire query sui dati in Cloud SQL. Per connetterti a Cloud SQL, devi seguire questi passaggi:

  1. Crea una connessione Cloud SQL
  2. Concedi l'accesso all'agente di servizio connessione BigQuery.

Prima di iniziare

  1. Seleziona il progetto che contiene il database Cloud SQL.

    Vai al selettore dei progetti

  2. Abilita l'API BigQuery Connection.

    Abilitare l'API

  3. Assicurati che l'istanza Cloud SQL abbia una connessione IP pubblico o una connessione privata:

    • Per proteggere le istanze Cloud SQL, puoi aggiungere la connettività IP pubblico senza un indirizzo autorizzato. In questo modo, l'istanza non è accessibile da internet pubblico, ma è accessibile alle query da BigQuery.

    • Per consentire a BigQuery di accedere ai dati Cloud SQL tramite una connessione privata, configura la connettività IP privato per un'istanza Cloud SQL nuova o esistente, quindi seleziona la casella di controllo Percorso privato per i servizi Google Cloud. Questo servizio utilizza un percorso diretto interno anziché l'indirizzo IP privato all'interno di Virtual Private Cloud.

  4. Per ottenere le autorizzazioni necessarie per creare una connessione Cloud SQL, chiedi all'amministratore di concederti il ruolo IAM BigQuery Connection Admin (roles/bigquery.connectionAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea connessioni Cloud SQL

Come best practice, utilizza le connessioni per gestire le credenziali del database quando ti connetti a Cloud SQL. Le connessioni vengono criptate e archiviate in modo sicuro nel servizio di connessione BigQuery. Se le credenziali utente sono valide per altri dati nell'origine, puoi riutilizzare la connessione. Ad esempio, potresti essere in grado di utilizzare una connessione per eseguire query su più database che risiedono nella stessa istanza Cloud SQL.

Seleziona una delle seguenti opzioni per creare una connessione Cloud SQL:

Console

  1. Vai alla pagina BigQuery.

    Vai a BigQuery

  2. Nel riquadro Explorer, fai clic su Aggiungi.

    Si apre la finestra di dialogo Aggiungi dati.

  3. Nel riquadro Filtra per, seleziona Database nella sezione Tipo di origine dati.

    In alternativa, nel campo Cerca origini dati, puoi inserire mysql.

  4. Nella sezione Origini dati in evidenza, fai clic su MySQL.

  5. Fai clic sulla scheda della soluzione CloudSQL (MySQL): BigQuery Federation.

  6. Nella finestra di dialogo Origine dati esterna, inserisci le seguenti informazioni:

    • Per Tipo di connessione, seleziona il tipo di origine, ad esempio MySQL o PostgreSQL.
    • In Connection ID (ID connessione), inserisci un identificatore per la risorsa di connessione. Sono consentiti lettere, numeri e trattini bassi. Ad esempio, bq_sql_connection.
    • Per Posizione dei dati, seleziona una località (o regione) BigQuery compatibile con la regione dell'origine dati esterna.
    • (Facoltativo) In Nome descrittivo, inserisci un nome intuitivo per la connessione, ad esempio My connection resource. Il nome descrittivo può essere qualsiasi valore che ti aiuti a identificare la risorsa di connessione se devi modificarla in un secondo momento.
    • (Facoltativo) In Descrizione, inserisci una descrizione per questa risorsa di connessione.
    • (Facoltativo) Crittografia: se vuoi utilizzare una chiave di crittografia gestita dal cliente (CMEK) per criptare le tue credenziali, seleziona Chiave di crittografia gestita dal cliente (CMEK) e poi una chiave gestita dal cliente. In caso contrario, le tue credenziali sono protette dal Google Cloud-powered encryption keypredefinito.
    • Se hai scelto Cloud SQL MySQL o Postgres per il tipo di connessione, per Nome connessione Cloud SQL, inserisci il nome completo dell'istanza Cloud SQL, di solito nel formato project-id:location-id:instance-id. Puoi trovare l'ID istanza nella pagina dei dettagli dell'istanza Cloud SQL su cui vuoi eseguire la query.
    • In Nome database, inserisci il nome del database.
    • In Nome utente database, inserisci il nome utente del database.

    • In Password database, inserisci la password del database.

      • (Facoltativo) Per visualizzare la password, fai clic su Mostra password.

  7. Fai clic su Crea connessione.

  8. Fai clic su Vai alla connessione.

  9. Nel riquadro Informazioni sulla connessione, copia l'ID del account di servizio da utilizzare in un passaggio successivo.

bq

Inserisci il comando bq mk e fornisci il flag di connessione: --connection. Sono necessari anche i seguenti flag:

  • --connection_type
  • --properties
  • --connection_credential
  • --project_id
  • --location

I seguenti flag sono facoltativi:

  • --display_name Il nome descrittivo della connessione.
  • --description Una descrizione della connessione.

connection_id è un parametro facoltativo che può essere aggiunto come ultimo argomento del comando utilizzato internamente per l'archiviazione. Se non viene fornito un ID connessione, ne viene generato automaticamente uno univoco. Il connection_id può contenere lettere, numeri e trattini bassi.

    bq mk --connection --display_name='friendly name' --connection_type=TYPE \
      --properties=PROPERTIES --connection_credential=CREDENTIALS \
      --project_id=PROJECT_ID --location=LOCATION \
      CONNECTION_ID

Sostituisci quanto segue:

  • TYPE: il tipo di origine dati esterna.
  • PROPERTIES: i parametri per la connessione creata in formato JSON. Ad esempio: --properties='{"param":"param_value"}'. Per creare una risorsa di connessione, devi fornire i parametri instanceID, database e type.
  • CREDENTIALS: i parametri username e password.
  • PROJECT_ID: il tuo ID progetto.
  • LOCATION: la regione in cui si trova l'istanza Cloud SQL.
  • CONNECTION_ID: l'identificatore della connessione.

Ad esempio, il seguente comando crea una nuova risorsa di connessione denominata my_new_connection (nome descrittivo: "My new connection") in un progetto con ID federation-test.

bq mk --connection --display_name='friendly name' --connection_type='CLOUD_SQL' \
  --properties='{"instanceId":"federation-test:us-central1:mytestsql","database":"mydatabase","type":"MYSQL"}' \
  --connection_credential='{"username":"myusername", "password":"mypassword"}' \
  --project_id=federation-test --location=us my_connection_id

API

All'interno dell'API BigQuery Connection, puoi richiamare CreateConnection all'interno di ConnectionService per creare un'istanza di una connessione. Per maggiori dettagli, consulta la pagina della libreria client.

Java

Prima di provare questo esempio, segui le istruzioni di configurazione di Java nella guida rapida di BigQuery per l'utilizzo delle librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Java.

Per eseguire l'autenticazione in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, vedi Configurare l'autenticazione per le librerie client.

Prima di eseguire gli esempi di codice, imposta la variabile di ambiente GOOGLE_CLOUD_UNIVERSE_DOMAIN su s3nsapis.fr. 

import com.google.cloud.bigquery.connection.v1.CloudSqlCredential;
import com.google.cloud.bigquery.connection.v1.CloudSqlProperties;
import com.google.cloud.bigquery.connection.v1.Connection;
import com.google.cloud.bigquery.connection.v1.CreateConnectionRequest;
import com.google.cloud.bigquery.connection.v1.LocationName;
import com.google.cloud.bigqueryconnection.v1.ConnectionServiceClient;
import java.io.IOException;

// Sample to create a connection with cloud MySql database
public class CreateConnection {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "MY_PROJECT_ID";
    String location = "MY_LOCATION";
    String connectionId = "MY_CONNECTION_ID";
    String database = "MY_DATABASE";
    String instance = "MY_INSTANCE";
    String instanceLocation = "MY_INSTANCE_LOCATION";
    String username = "MY_USERNAME";
    String password = "MY_PASSWORD";
    String instanceId = String.format("%s:%s:%s", projectId, instanceLocation, instance);
    CloudSqlCredential cloudSqlCredential =
        CloudSqlCredential.newBuilder().setUsername(username).setPassword(password).build();
    CloudSqlProperties cloudSqlProperties =
        CloudSqlProperties.newBuilder()
            .setType(CloudSqlProperties.DatabaseType.MYSQL)
            .setDatabase(database)
            .setInstanceId(instanceId)
            .setCredential(cloudSqlCredential)
            .build();
    Connection connection = Connection.newBuilder().setCloudSql(cloudSqlProperties).build();
    createConnection(projectId, location, connectionId, connection);
  }

  static void createConnection(
      String projectId, String location, String connectionId, Connection connection)
      throws IOException {
    try (ConnectionServiceClient client = ConnectionServiceClient.create()) {
      LocationName parent = LocationName.of(projectId, location);
      CreateConnectionRequest request =
          CreateConnectionRequest.newBuilder()
              .setParent(parent.toString())
              .setConnection(connection)
              .setConnectionId(connectionId)
              .build();
      Connection response = client.createConnection(request);
      System.out.println("Connection created successfully :" + response.getName());
    }
  }
}

Concedi l'accesso all'agente di servizio

Un agente di servizio viene creato automaticamente quando crei la prima connessione a Cloud SQL all'interno del progetto. Il nome dell'agente di servizio è BigQuery Connection Service Agent. Per ottenere l'ID agente di servizio, visualizza i dettagli della connessione. L'ID agente di servizio ha il seguente formato:

service-PROJECT_NUMBER@gcp-sa-bigqueryconnection.s3ns-system.iam.gserviceaccount.com.

Per connetterti a Cloud SQL, devi concedere alla nuova connessione l'accesso in sola lettura a Cloud SQL in modo che BigQuery possa accedere ai file per conto degli utenti. L'agente di servizio deve disporre delle seguenti autorizzazioni:

  • cloudsql.instances.connect
  • cloudsql.instances.get

Puoi concedere all'agente di servizio associato alla connessione il ruolo IAM client Cloud SQL (roles/cloudsql.client), a cui sono assegnate queste autorizzazioni. Puoi saltare i passaggi successivi se l'agente di servizio dispone già delle autorizzazioni richieste.

Console

  1. Vai alla pagina IAM e amministrazione.

    Vai a IAM e amministrazione

  2. Fai clic su Concedi l'accesso.

    Si apre la finestra di dialogo Aggiungi entità.

  3. Nel campo Nuovi principal, inserisci il nome dell'agente di servizio BigQuery Connection Service Agent o l'ID dell'agente di servizio ricavato dalle informazioni di connessione.

  4. Nel campo Seleziona un ruolo, seleziona Cloud SQL e poi Client Cloud SQL.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID --member=serviceAccount:SERVICE_AGENT_ID --role=roles/cloudsql.client

Fornisci i seguenti valori:

Condividere le connessioni con gli utenti

Puoi concedere i seguenti ruoli per consentire agli utenti di eseguire query sui dati e gestire le connessioni:

  • roles/bigquery.connectionUser: consente agli utenti di utilizzare le connessioni per connettersi a origini dati esterne ed eseguire query.

  • roles/bigquery.connectionAdmin: consente agli utenti di gestire le connessioni.

Per saperne di più sui ruoli e sulle autorizzazioni IAM in BigQuery, consulta Ruoli e autorizzazioni predefiniti.

Seleziona una delle seguenti opzioni:

Console

  1. Vai alla pagina BigQuery.

    Vai a BigQuery

    Le connessioni sono elencate nel tuo progetto, in un gruppo chiamato Connessioni esterne.

  2. Nel riquadro Explorer, fai clic sul nome del progetto > Connessioni esterne > connessione.

  3. Nel riquadro Dettagli, fai clic su Condividi per condividere una connessione. Quindi:

    1. Nella finestra di dialogo Autorizzazioni di connessione, condividi la connessione con altre entità aggiungendo o modificando le entità.

    2. Fai clic su Salva.

bq

Non puoi condividere una connessione con lo strumento a riga di comando bq. Per condividere una connessione, utilizza la console Trusted Cloud o il metodo dell'API BigQuery Connections per condividere una connessione.

API

Utilizza il metodo projects.locations.connections.setIAM nella sezione di riferimento dell'API REST BigQuery Connections e fornisci un'istanza della risorsa policy.

Java

Prima di provare questo esempio, segui le istruzioni di configurazione di Java nella guida rapida di BigQuery per l'utilizzo delle librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Java.

Per eseguire l'autenticazione in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, vedi Configurare l'autenticazione per le librerie client.

Prima di eseguire gli esempi di codice, imposta la variabile di ambiente GOOGLE_CLOUD_UNIVERSE_DOMAIN su s3nsapis.fr. 

import com.google.api.resourcenames.ResourceName;
import com.google.cloud.bigquery.connection.v1.ConnectionName;
import com.google.cloud.bigqueryconnection.v1.ConnectionServiceClient;
import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import com.google.iam.v1.SetIamPolicyRequest;
import java.io.IOException;

// Sample to share connections
public class ShareConnection {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "MY_PROJECT_ID";
    String location = "MY_LOCATION";
    String connectionId = "MY_CONNECTION_ID";
    shareConnection(projectId, location, connectionId);
  }

  static void shareConnection(String projectId, String location, String connectionId)
      throws IOException {
    try (ConnectionServiceClient client = ConnectionServiceClient.create()) {
      ResourceName resource = ConnectionName.of(projectId, location, connectionId);
      Binding binding =
          Binding.newBuilder()
              .addMembers("group:example-analyst-group@google.com")
              .setRole("roles/bigquery.connectionUser")
              .build();
      Policy policy = Policy.newBuilder().addBindings(binding).build();
      SetIamPolicyRequest request =
          SetIamPolicyRequest.newBuilder()
              .setResource(resource.toString())
              .setPolicy(policy)
              .build();
      client.setIamPolicy(request);
      System.out.println("Connection shared successfully");
    }
  }
}

Passaggi successivi