使用網路連結設定連線
BigQuery 支援聯合查詢,可讓您將查詢陳述式傳送至外部資料庫,並以臨時資料表的形式取得結果。聯合查詢會使用 BigQuery Connection API 建立連線。本文將說明如何提高這類連線的安全性。
由於連線會直接連至資料庫,因此您必須允許 Trusted Cloud by S3NS 的流量連至資料庫引擎。為提高安全性,您應只允許來自 BigQuery 查詢的流量。您可以透過下列兩種方式限制流量:
- 定義 BigQuery 連線使用的靜態 IP 位址,並將其新增至外部資料來源的防火牆規則。
- 在 BigQuery 和內部基礎架構之間建立 VPN,並用於查詢。
這兩種技術都支援使用網路附件。
事前準備
授予身分與存取權管理 (IAM) 角色,讓使用者取得執行本文各項工作所需的權限。
必要的角色
如要取得設定網路附件連線所需的權限,請要求管理員授予您專案的Compute 管理員 (roles/compute.admin) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這個預先定義的角色具備設定網路附件連線所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要設定與網路附件的連線,您必須具備下列權限:
-
compute.networkAttachments.get -
compute.networkAttachments.update
如要進一步瞭解 BigQuery 中的 IAM 角色和權限,請參閱 BigQuery IAM 角色和權限。
限制
使用網路附件建立連線時,須遵守下列限制:
- 網路附件僅支援 SAP Datasphere 連線。
- 如果是標準區域,網路附件必須與連線位於相同區域。如要連線至
US多地區,網路附件必須位於us-central1地區。如果是EU多區域的連線,網路附件必須位於europe-west4區域。 - 建立網路附件後,就無法進行任何變更。如要以新方式設定任何項目,請重新建立網路連結。
- 除非生產者 (BigQuery) 刪除已分配的資源,否則無法刪除網路附件。如要啟動刪除程序,請與 BigQuery 支援團隊聯絡。
建立網路連結
建立查詢聯盟的連線時,您可以使用選用的網路附件參數,指向提供連線的網路附件,從中建立與資料庫的連線。您可以定義靜態 IP 位址或建立 VPN,藉此建立網路附件。無論選擇哪種做法,請按照下列步驟操作:
如果沒有,請建立虛擬私有雲網路和子網路。
如要透過定義靜態 IP 位址建立網路附件,請使用您建立的網路、地區和子網路,建立具有靜態 IP 位址的 Cloud NAT 閘道。如要透過建立 VPN 來建立網路連結,請建立連線至私人網路的 VPN。
使用您建立的網路、地區和子網路建立網路連結。
選用:視貴機構的安全性政策而定,您可能需要 Trusted Cloud 設定防火牆,建立防火牆規則,並使用下列設定允許輸出:
- 將「Targets」(目標) 設為「All instances in the network」(網路中的所有執行個體)。
- 將「Destination IPv4 ranges」(目的地 IPv4 範圍) 設為整個 IP 位址範圍。
- 將「指定的通訊協定和通訊埠」設為資料庫使用的通訊埠。
設定內部防火牆,允許來自您建立的靜態 IP 位址的連入流量。這項程序會因資料來源而異。
建立連線,並加入您建立的網路連結名稱。
執行任何聯合查詢,將專案與網路連結同步處理。
連線現在已設定網路附件,您可以執行聯邦查詢。
定價
- 系統會以標準聯合查詢定價計費。
- 使用 VPC 時,須遵守虛擬私有雲定價。
- 使用 Cloud VPN 時,須遵守 Cloud VPN 定價。
- 使用 Cloud NAT 須遵守 Cloud NAT 定價。