Membagikan aturan Kontrol Layanan VPC

Dokumen ini menjelaskan aturan masuk dan keluar yang Anda perlukan untuk mengizinkan penayang dan pelanggan di fitur berbagi BigQuery (sebelumnya Analytics Hub) mengakses data dari project yang memiliki perimeter Kontrol Layanan VPC. Dokumen ini mengasumsikan Anda telah memahami perimeter Kontrol Layanan VPC, set data bersama, pertukaran data, listingan, dan set data tertaut.

Project penelepon adalah jaringan atau project klien yang memulai permintaan, seperti kueri SQL atau perintah Google Cloud CLI.

Membuat pertukaran data

Dalam diagram berikut, project yang berisi pertukaran data dan set data bersama berada di perimeter layanan yang berbeda:

Aturan Kontrol Layanan VPC saat membuat pertukaran data.

Gambar 1. Aturan Kontrol Layanan VPC untuk membuat pertukaran data.

Dalam gambar 1, komponen berikut diberi label:

  • Pemanggil adalah administrator berbagi BigQuery.
  • Project R adalah project caller.
  • Project E menghosting pertukaran data dan listingan.

Sebagai administrator berbagi BigQuery, saat Anda membuat pertukaran data di project yang berbeda dengan project pemanggil, Anda harus menambahkan aturan masuk dan keluar berikut:

Project Rule
Project R Aturan keluar untuk project E
Project E (pertukaran data) Aturan ingress untuk project R

Membuat listingan

Dalam diagram berikut, project yang berisi pertukaran data dan set data bersama berada di perimeter layanan yang berbeda:

Aturan Kontrol Layanan VPC saat membuat listingan.

Gambar 2. Aturan Kontrol Layanan VPC untuk membuat listingan.

Dalam gambar 2, komponen berikut diberi label:

  • Caller adalah administrator atau penayang berbagi BigQuery.
  • Project R adalah project caller.
  • Project E menghosting pertukaran data dan listingan.
  • Project S menghosting set data bersama.

Saat membuat listingan di pertukaran data yang berada di project yang berbeda dengan set data bersama, Anda harus menambahkan aturan masuk dan keluar berikut agar penayang yang berbagi BigQuery dapat membuat listingan:

Project Rule
Project R

Aturan keluar untuk project E

Aturan keluar untuk project S
Project E (pertukaran data)

Aturan keluar untuk project S

Aturan ingress untuk project R
Project S (set data bersama)

Aturan keluar untuk project E

Aturan ingress untuk project R

Berlangganan listingan

Dalam diagram berikut, project yang berisi listingan dan set data tertaut untuk listingan tersebut berada di perimeter layanan yang berbeda:

Aturan Kontrol Layanan VPC saat berlangganan listingan.

Gambar 3. Aturan Kontrol Layanan VPC untuk berlangganan listingan.

Dalam gambar 3, komponen berikut diberi label:

  • Pemanggil adalah pelanggan berbagi BigQuery.
  • Project R adalah project caller.
  • Project E menghosting pertukaran data dan listingan.
  • Project L menghosting set data tertaut.

Sebagai pelanggan BigQuery sharing, saat berlangganan listingan di pertukaran data yang ada di project yang berbeda dengan project Anda, Anda harus menambahkan aturan masuk dan keluar berikut:

Project Rule
Project R

Aturan keluar untuk project E

Aturan keluar untuk project L
Project E (listingan)

Aturan keluar untuk project L

Aturan ingress untuk project R
Project L (set data tertaut)

Aturan keluar untuk project E

Aturan ingress untuk project R

Tabel kueri dalam set data tertaut

Dalam diagram berikut, project pemanggil dan project yang berisi set data tertaut berada di perimeter layanan yang berbeda:

Aturan Kontrol Layanan VPC saat membuat kueri tabel dalam set data tertaut.

Gambar 4. Aturan Kontrol Layanan VPC untuk membuat kueri set data tertaut.

Dalam gambar 4, komponen berikut diberi label:

  • Pemanggil adalah pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
  • Project R adalah project caller.
  • Project L menghosting set data tertaut.
  • Project V menghosting set data bersama yang berisi tabel.

Sebagai pelanggan berbagi BigQuery, saat membuat kueri tabel dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:

Project Rule
Project R Aturan keluar untuk project L
Project L (set data tertaut) Aturan ingress untuk project R

Membuat kueri tampilan dalam set data tertaut

Skenario 1

Dalam diagram berikut, project yang berisi set data tertaut dan tabel dasar yang terkait dengan tampilan berada di perimeter layanan yang berbeda. Tampilan (Project S) dan tabel dasar yang terkait dengan tampilan (Project V) berada di project yang berbeda:

tabel dasar dan tabel dasar berada di project yang berbeda.

Gambar 5. Aturan Kontrol Layanan VPC untuk membuat kueri tampilan dalam set data tertaut.

Dalam gambar 5, komponen berikut diberi label:

  • Pemanggil adalah pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
  • Project R adalah project caller.
  • Project L menghosting set data tertaut.
  • Project S menghosting set data bersama.
  • Project V menghosting set data yang berisi tabel dasar yang terkait dengan tampilan.

Sebagai pelanggan berbagi BigQuery, saat membuat kueri tampilan dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:

Project Rule
Project R

Aturan keluar untuk project L

Aturan keluar untuk project V
Project L (set data tertaut)

Aturan ingress untuk project R

Aturan keluar untuk project V
Project V

Aturan keluar untuk project L

Aturan ingress untuk project R

Skenario 2

Dalam diagram berikut, tampilan (Project V) dan tabel dasar yang terkait dengan tampilan (Project V) berada dalam project yang sama:

tampilan dan tabel dasar berada dalam project yang sama.

Gambar 6. Aturan Kontrol Layanan VPC untuk membuat kueri tampilan dalam set data tertaut.

Dalam gambar 6, komponen berikut diberi label:

  • Pemanggil adalah pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
  • Project R adalah project caller.
  • Project L menghosting set data tertaut.
  • Project V menghosting tampilan dan tabel dasar yang terkait dengan tampilan.

Sebagai pelanggan berbagi BigQuery, saat membuat kueri tampilan dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:

Project Rule
Project R

Aturan keluar untuk project L
Project L (set data tertaut)

Aturan ingress untuk project R

Membuat kueri tampilan yang diizinkan dalam set data tertaut

Dalam diagram berikut, tampilan yang diotorisasi dan tabel dasar yang terkait dengan tampilan yang diotorisasi (Project V) berada dalam project yang sama:

tampilan resmi dan tabel dasar berada dalam project yang sama.

Gambar 7. Aturan Kontrol Layanan VPC untuk membuat kueri tampilan dalam set data tertaut.

Dalam gambar 7, komponen berikut diberi label:

  • Pemanggil adalah pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
  • Project R adalah project caller.
  • Project L menghosting set data tertaut.
  • Project V menghosting tampilan yang diotorisasi dan tabel dasar yang terkait dengan tampilan.

Sebagai pelanggan berbagi BigQuery, saat membuat kueri tampilan dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:

Project Rule
Project R

Aturan keluar untuk project L
Project L (set data tertaut)

Aturan ingress untuk project R

Batasan

Berbagi BigQuery tidak mendukung aturan berbasis metode. Untuk mengizinkan metode, Anda harus mengizinkan semua metode. Contoh:

          ingressTo:
            operations:
            - methodSelectors:
              - method: '*'
              serviceName: analyticshub.googleapis.com
            resources:
            - projects/PROJECT_ID

Jika resource BigQuery juga dilindungi oleh perimeter layanan, aturan masuk dan keluar harus diizinkan untuk layanan BigQuery juga. Hal ini tidak diperlukan saat membuat pertukaran data. Aturan masuk dan keluar untuk BigQuery akan serupa dengan berbagi BigQuery. Contoh:

          ingressTo:
            operations:
            - methodSelectors:
              - method: '*'
              serviceName: bigquery.googleapis.com
            resources:
            - projects/PROJECT_ID

Langkah berikutnya