Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Configurer des connexions avec des rattachements de réseau

BigQuery accepte les requêtes fédérées qui vous permettent d'envoyer une instruction de requête à des bases de données externes et d'obtenir le résultat sous forme de table temporaire. Les requêtes fédérées utilisent l'API BigQuery Connection pour établir une connexion. Ce document vous explique comment renforcer la sécurité de cette connexion.

Étant donné que la connexion se fait directement à votre base de données, vous devez autoriser le trafic depuis Trusted Cloud by S3NS vers votre moteur de base de données. Pour renforcer la sécurité, vous ne devez autoriser que le trafic provenant de vos requêtes BigQuery. Cette restriction de trafic peut être effectuée de deux manières :

En définissant une adresse IP statique utilisée par une connexion BigQuery et en l'ajoutant aux règles de pare-feu de la source de données externe.
En créant un VPN entre BigQuery et votre infrastructure interne, et en l'utilisant pour vos requêtes.

Ces deux techniques sont compatibles grâce à l'utilisation de pièces jointes réseau.

Avant de commencer

Attribuez aux utilisateurs des rôles IAM (Identity and Access Management) incluant les autorisations nécessaires pour effectuer l'ensemble des tâches du présent document.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer une connexion avec des rattachements de réseau, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de Compute (roles/compute.admin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour configurer une connexion avec des pièces jointes réseau. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour configurer une connexion avec des rattachements de réseau :

compute.networkAttachments.get
compute.networkAttachments.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les rôles et les autorisations IAM dans BigQuery, consultez Rôles et autorisations IAM BigQuery.

Limites

Les connexions avec des rattachements de réseau sont soumises aux limitations suivantes :

Les rattachements réseau ne sont compatibles qu'avec les connexions SAP Datasphere.
Pour les régions standards, les rattachements de réseau doivent se trouver dans la même région que la connexion. Pour les connexions dans la zone multirégionale US, le rattachement de réseau doit se trouver dans la région us-central1. Pour les connexions dans la région multirégionale EU, le rattachement de réseau doit se trouver dans la région europe-west4.
Une fois l'association de réseau créée, vous ne pouvez plus la modifier. Pour configurer un élément d'une nouvelle manière, vous devez recréer le rattachement de réseau.
Les rattachements de réseau ne peuvent être supprimés que si le producteur (BigQuery) supprime les ressources allouées. Pour lancer le processus de suppression, vous devez contacter l'assistance BigQuery.

Créer un rattachement de réseau

Lorsque vous créez une connexion pour la fédération de requêtes, vous pouvez utiliser le paramètre facultatif d'association réseau, qui pointe vers une association réseau fournissant une connectivité au réseau à partir duquel la connexion à votre base de données est établie. Vous pouvez créer un rattachement de réseau en définissant une adresse IP statique ou en créant un VPN. Quelle que soit l'option choisie, procédez comme suit :

Si vous n'en avez pas encore, créez un réseau et un sous-réseau VPC.
Si vous souhaitez créer un rattachement de réseau en définissant une adresse IP statique, créez une passerelle Cloud NAT avec une adresse IP statique en utilisant le réseau, la région et le sous-réseau que vous avez créés. Si vous souhaitez créer un rattachement de réseau via un VPN, créez un VPN connecté à votre réseau privé.
Créez un rattachement de réseau en utilisant le réseau, la région et le sous-réseau que vous avez créés.
Facultatif : En fonction des règles de sécurité de votre organisation, vous devrez peut-être configurer votre pare-feu Trusted Cloud pour autoriser les sorties en créant une règle de pare-feu avec les paramètres suivants :
- Définissez le paramètre Cibles sur Toutes les instances du réseau.
- Définissez Plages IPv4 de destination sur l'ensemble de la plage d'adresses IP.
- Définissez Protocoles et ports spécifiés sur le port utilisé par votre base de données.
Configurez votre pare-feu interne pour autoriser l'entrée à partir de l'adresse IP statique que vous avez créée. Ce processus varie selon la source de données.
Créez une connexion et incluez le nom du rattachement de réseau que vous avez créé.
Exécutez une requête fédérée pour synchroniser votre projet avec le rattachement de réseau.

Votre connexion est désormais configurée avec une pièce jointe réseau. Vous pouvez exécuter des requêtes fédérées.

Tarifs

La tarification standard des requêtes fédérées s'applique.
L'utilisation du VPC est soumise à la tarification de Virtual Private Cloud.
L'utilisation de Cloud VPN est soumise aux tarifs de Cloud VPN.
L'utilisation de Cloud NAT est soumise aux tarifs de Cloud NAT.

Étape suivante

Découvrez les différents types de connexions.
Découvrez comment gérer les connexions.
En savoir plus sur les requêtes fédérées.