שיתוף כללים של VPC Service Controls
במסמך הזה מתוארים כללי התעבורה הנכנסת (ingress) והיוצאת (egress) שצריך להגדיר כדי לאפשר למפרסמים ולמנויים ב-BigQuery sharing (לשעבר Analytics Hub) לגשת לנתונים מפרויקטים שמוגדרים בהם היקפי VPC Service Controls. במסמך הזה אנחנו מניחים שאתם מכירים את המושגים הבאים: VPC Service Controls perimeters, shared datasets, data exchanges, listings ו-linked datasets.
פרויקט המפעיל הוא הרשת או פרויקט הלקוח Google Cloud שמפעיל את הבקשה, כמו שאילתת SQL או פקודה של Google Cloud CLI.
יצירת חילופי נתונים
בתרשים הבא, הפרויקטים שמכילים את חילופי הנתונים ואת מערך הנתונים המשותף נמצאים בגבולות גזרה שונים לשירות:
איור 1. כללים של VPC Service Controls ליצירת מרכז נתונים.
באיור 1, הרכיבים הבאים מסומנים:
- הגורם המפעיל: אדמין של שיתוף ב-BigQuery.
- Project R: הפרויקט ששולח את הקריאה.
- פרויקט ה'E': מארח את חילופי הנתונים ואת כרטיסי המוצר.
כאדמינים של BigQuery sharing, כשאתם יוצרים חילופי נתונים בפרויקט אחר מזה שממנו מתבצעת הקריאה, אתם צריכים להוסיף את כללי תעבורת הנתונים הנכנסת (ingress) ותעבורת הנתונים היוצאת (egress) הבאים:
| Project | כלל |
|---|---|
| Project R | כלל לתעבורת נתונים יוצאת (egress) בפרויקט E |
| פרויקט ה'החלפת נתונים' | כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
יצירת דף אפליקציה
בתרשים הבא, הפרויקטים שמכילים את חילופי הנתונים ואת מערך הנתונים המשותף נמצאים בגבולות גזרה שונים לשירות:
איור 2. כללי VPC Service Controls ליצירת כרטיס מוצר.
באיור 2, הרכיבים הבאים מסומנים:
- הגורם המבצע את הקריאה: אדמין או מפרסם של שיתוף BigQuery.
- Project R: הפרויקט ששולח את הקריאה.
- פרויקט ה'E': מארח את חילופי הנתונים ואת כרטיסי המוצר.
- פרויקט S: מארח את מערך הנתונים המשותף.
כשיוצרים כרטיס מוצר בבורסת נתונים שנמצאת בפרויקט אחר ממערך הנתונים המשותף, צריך להוסיף את הכללים הבאים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) כדי לאפשר למוכרים שמשתפים נתונים ב-BigQuery ליצור כרטיס מוצר:
| Project | כלל |
|---|---|
| Project R |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט E כלל לתעבורת נתונים יוצאת (egress) בפרויקט S |
| פרויקט ה'החלפת נתונים' |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט S כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
| פרויקט S (מערך נתונים משותף) |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט E כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
הרשמה למוצר
בתרשים הבא, הפרויקטים שמכילים את כרטיס המוצר ואת מערך הנתונים המקושר של כרטיס המוצר נמצאים בגבולות גזרה לשירות שונים:
איור 3. כללי VPC Service Controls להרשמה לכרטיס מוצר.
באיור 3, הרכיבים הבאים מסומנים:
- הגורם המבצע את הקריאה: מנוי לשיתוף ב-BigQuery.
- Project R: הפרויקט ששולח את הקריאה.
- פרויקט ה'E': מארח את חילופי הנתונים ואת כרטיסי המוצר.
- Project L: מארח את מערך הנתונים המקושר.
כמנוי ל-BigQuery sharing, כשאתם נרשמים לכרטיס מוצר בבורסת נתונים שנמצאת בפרויקט אחר מהפרויקט שלכם, אתם צריכים להוסיף את הכללים הבאים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress):
| Project | כלל |
|---|---|
| Project R |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט E כלל לתעבורת נתונים יוצאת (egress) בפרויקט L |
| פרויקט ה'רשימה' (listing) |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט L כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
| פרויקט L (קבוצת נתונים מקושרת) |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט E כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
שליחת שאילתות לטבלאות בקבוצת נתונים מקושרת
בתרשים הבא, פרויקט מבצע הקריאה והפרויקט שמכיל את מערך הנתונים המקושר נמצאים בגבולות גזרה שונים לשירות:
איור 4. כללים של VPC Service Controls לשליחת שאילתות למערך נתונים מקושר.
באיור 4, הרכיבים הבאים מסומנים בתוויות:
- הגורם הקורא: מנוי לשיתוף ב-BigQuery או כל משתמש במשימה ב-BigQuery של מערך הנתונים המקושר.
- Project R: הפרויקט ששולח את הקריאה.
- Project L: מארח את מערך הנתונים המקושר.
- פרויקט V: מארח את מערך הנתונים המשותף שמכיל את הטבלה.
כשאתם, כמנויים לשיתוף ב-BigQuery, שולחים שאילתה לטבלה במערך הנתונים המקושר, אתם צריכים להוסיף את כללי תעבורת הנתונים הנכנסת (ingress) ותעבורת הנתונים היוצאת (egress) הבאים:
| Project | כלל |
|---|---|
| Project R | כלל לתעבורת נתונים יוצאת (egress) בפרויקט L |
| פרויקט L (קבוצת נתונים מקושרת) | כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
תצוגות של שאילתות בקבוצת נתונים מקושרת
בקטע הזה מתוארים הכללים הנדרשים של VPC Service Controls לשליחת שאילתה לתצוגה במערך נתונים מקושר. הכללים משתנים בהתאם לשאלה אם התצוגה וטבלאות הבסיס שלה נמצאות באותו פרויקט או בפרויקטים נפרדים.
תרחיש 1
בתרשים הבא, הפרויקטים שמכילים את מערך הנתונים המקושר ואת טבלאות הבסיס שמשויכות לתצוגה נמצאים בגבולות גזרה שונים לשירות. התצוגה (Project S) והטבלה הבסיסית שמשויכת לתצוגה (Project V) נמצאות בפרויקטים שונים:
איור 5. כללים של VPC Service Controls לשאילתת תצוגה במערך נתונים מקושר.
באיור 5, הרכיבים הבאים מסומנים:
- הגורם הקורא: מנוי לשיתוף ב-BigQuery או כל משתמש במשימה ב-BigQuery של מערך הנתונים המקושר.
- Project R: הפרויקט ששולח את הקריאה.
- Project L: מארח את מערך הנתונים המקושר.
- פרויקט S: מארח את מערך הנתונים המשותף.
- פרויקט V: מארח את מערך הנתונים שמכיל את טבלאות הבסיס שמשויכות לתצוגה.
כשאתם, כמנויים לשיתוף ב-BigQuery, שולחים שאילתה לתצוגה במערך נתונים מקושר, אתם צריכים להוסיף את הכללים הבאים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress):
| Project | כלל |
|---|---|
| Project R |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט L כלל לתעבורת נתונים יוצאת (egress) בפרויקט V |
| פרויקט L (קבוצת נתונים מקושרת) |
כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R כלל לתעבורת נתונים יוצאת (egress) בפרויקט V |
| Project V |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט L כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
תרחיש 2
בדיאגרמה הבאה, התצוגה (פרויקט V) וטבלת הבסיס שמשויכת לתצוגה (פרויקט V) נמצאות באותו פרויקט:
איור 6. כללים של VPC Service Controls לשאילתת תצוגה במערך נתונים מקושר.
באיור 6, הרכיבים הבאים מסומנים:
- הגורם הקורא: מנוי לשיתוף ב-BigQuery או כל משתמש במשימה ב-BigQuery של מערך הנתונים המקושר.
- Project R: הפרויקט ששולח את הקריאה.
- Project L: מארח את מערך הנתונים המקושר.
- פרויקט V: מארח גם את התצוגה וגם את טבלאות הבסיס שמשויכות לתצוגה.
כשאתם, כמנויים לשיתוף ב-BigQuery, שולחים שאילתה לתצוגה במערך נתונים מקושר, אתם צריכים להוסיף את הכללים הבאים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress):
| Project | כלל |
|---|---|
| Project R |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט L |
| פרויקט L (קבוצת נתונים מקושרת) |
כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
הרצת שאילתות על תצוגות מורשות בקבוצת נתונים מקושרת
בתרשים הבא, התצוגה המורשית וטבלת הבסיס שמשויכת לתצוגה המורשית (פרויקט V) נמצאות באותו פרויקט:
איור 7. כללים של VPC Service Controls לשאילתת תצוגה במערך נתונים מקושר.
באיור 7, הרכיבים הבאים מסומנים בתוויות:
- הגורם הקורא: מנוי לשיתוף ב-BigQuery או כל משתמש במשימה ב-BigQuery של מערך הנתונים המקושר.
- Project R: הפרויקט ששולח את הקריאה.
- Project L: מארח את מערך הנתונים המקושר.
- פרויקט V: מארח גם את התצוגה המורשית וגם את טבלאות הבסיס שמשויכות לתצוגה.
כשאתם, כמנויים לשיתוף ב-BigQuery, שולחים שאילתה לתצוגה במערך נתונים מקושר, אתם צריכים להוסיף את הכללים הבאים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress):
| Project | כלל |
|---|---|
| Project R |
כלל לתעבורת נתונים יוצאת (egress) בפרויקט L |
| פרויקט L (קבוצת נתונים מקושרת) |
כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R |
מגבלות
שיתוף ב-BigQuery לא תומך בכללים מבוססי-שיטה. כדי להפעיל כללים מבוססי-שיטה, צריך לאפשר את כל השיטות. לדוגמה:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
אם משאבי BigQuery מוגנים גם על ידי היקפי שירות, צריך לאפשר כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) עבור שירות BigQuery. כשיוצרים חילופי נתונים, לא צריך לאפשר כללי כניסה ויציאה. כללי הכניסה והיציאה של BigQuery דומים לאלה של BigQuery sharing. לדוגמה:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
המאמרים הבאים
- פתרון בעיות ב-VPC Service Controls
- מידע נוסף על כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)
- מידע על הגדרת מדיניות כניסה ויציאה
- מידע על יצירת כרטיס מוצר
- מידע נוסף על הרשמה לכרטיס מוצר
- מידע על שיתוף יומני ביקורת