Membagikan aturan Kontrol Layanan VPC
Dokumen ini menjelaskan aturan masuk dan keluar yang Anda perlukan untuk mengizinkan penayang dan pelanggan di fitur berbagi BigQuery (sebelumnya Analytics Hub) mengakses data dari project yang memiliki perimeter Kontrol Layanan VPC. Dokumen ini mengasumsikan Anda telah memahami perimeter Kontrol Layanan VPC, set data bersama, pertukaran data, listingan, dan set data tertaut.
Project pemanggil adalah jaringan atau project klien Google Cloud yang memulai permintaan, seperti kueri SQL atau perintah Google Cloud CLI.
Membuat pertukaran data
Dalam diagram berikut, project yang berisi pertukaran data dan set data bersama berada di perimeter layanan yang berbeda:
Gambar 1. Aturan Kontrol Layanan VPC untuk membuat pertukaran data.
Dalam gambar 1, komponen berikut diberi label:
- Pemanggil: administrator berbagi BigQuery.
- Project R: project pemanggil.
- Project E: menghosting pertukaran data dan listingan.
Sebagai administrator berbagi BigQuery, saat Anda membuat pertukaran data di project yang berbeda dengan project pemanggil, Anda harus menambahkan aturan masuk dan keluar berikut:
| Project | Rule |
|---|---|
| Project R | Aturan keluar untuk project E |
| Project E (pertukaran data) | Aturan ingress untuk project R |
Membuat listingan
Dalam diagram berikut, project yang berisi pertukaran data dan set data bersama berada di perimeter layanan yang berbeda:
Gambar 2. Aturan Kontrol Layanan VPC untuk membuat listingan.
Dalam gambar 2, komponen berikut diberi label:
- Pemanggil: administrator atau penayang berbagi BigQuery.
- Project R: project pemanggil.
- Project E: menghosting pertukaran data dan listingan.
- Project S: menghosting set data bersama.
Saat membuat listingan di pertukaran data yang berada di project yang berbeda dengan set data bersama, Anda harus menambahkan aturan masuk dan keluar berikut agar penayang yang berbagi BigQuery dapat membuat listingan:
| Project | Rule |
|---|---|
| Project R |
Aturan keluar untuk project E Aturan keluar untuk project S |
| Project E (pertukaran data) |
Aturan keluar untuk project S Aturan ingress untuk project R |
| Project S (set data bersama) |
Aturan keluar untuk project E Aturan ingress untuk project R |
Berlangganan listingan
Dalam diagram berikut, project yang berisi listingan dan set data tertaut untuk listingan tersebut berada di perimeter layanan yang berbeda:
Gambar 3. Aturan Kontrol Layanan VPC untuk berlangganan listingan.
Dalam gambar 3, komponen berikut diberi label:
- Pemanggil: pelanggan berbagi BigQuery.
- Project R: project pemanggil.
- Project E: menghosting pertukaran data dan listingan.
- Project L: menghosting set data tertaut.
Sebagai pelanggan berbagi BigQuery, saat berlangganan listingan di pertukaran data yang ada di project yang berbeda dengan project Anda, Anda harus menambahkan aturan masuk dan keluar berikut:
| Project | Rule |
|---|---|
| Project R |
Aturan keluar untuk project E Aturan keluar untuk project L |
| Project E (listingan) |
Aturan keluar untuk project L Aturan ingress untuk project R |
| Project L (set data tertaut) |
Aturan keluar untuk project E Aturan ingress untuk project R |
Tabel kueri dalam set data tertaut
Dalam diagram berikut, project pemanggil dan project yang berisi set data tertaut berada di perimeter layanan yang berbeda:
Gambar 4. Aturan Kontrol Layanan VPC untuk membuat kueri set data tertaut.
Dalam gambar 4, komponen berikut diberi label:
- Pemanggil: pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
- Project R: project pemanggil.
- Project L: menghosting set data tertaut.
- Project V: menghosting set data bersama yang berisi tabel.
Saat Anda, sebagai pelanggan berbagi BigQuery, membuat kueri tabel dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:
| Project | Rule |
|---|---|
| Project R | Aturan keluar untuk project L |
| Project L (set data tertaut) | Aturan ingress untuk project R |
Membuat kueri tampilan dalam set data tertaut
Bagian ini menjelaskan aturan Kontrol Layanan VPC yang diperlukan untuk membuat kueri tampilan dalam set data tertaut. Aturannya bervariasi, bergantung pada apakah tampilan dan tabel dasar yang mendasarinya berada dalam project yang sama atau dalam project yang terpisah.
Skenario 1
Dalam diagram berikut, project yang berisi set data tertaut dan tabel dasar yang terkait dengan tampilan berada di perimeter layanan yang berbeda. Tampilan (Project S) dan tabel dasar yang terkait dengan tampilan (Project V) berada di project yang berbeda:
Gambar 5. Aturan Kontrol Layanan VPC untuk membuat kueri tampilan dalam set data tertaut.
Dalam gambar 5, komponen berikut diberi label:
- Pemanggil: pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
- Project R: project pemanggil.
- Project L: menghosting set data tertaut.
- Project S: menghosting set data bersama.
- Project V: menghosting set data yang berisi tabel dasar yang terkait dengan tampilan.
Saat Anda, sebagai pelanggan berbagi BigQuery, membuat kueri tampilan dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:
| Project | Rule |
|---|---|
| Project R |
Aturan keluar untuk project L Aturan keluar untuk project V |
| Project L (set data tertaut) |
Aturan ingress untuk project R Aturan keluar untuk project V |
| Project V |
Aturan keluar untuk project L Aturan ingress untuk project R |
Skenario 2
Dalam diagram berikut, tampilan (Project V) dan tabel dasar yang terkait dengan tampilan (Project V) berada dalam project yang sama:
Gambar 6. Aturan Kontrol Layanan VPC untuk membuat kueri tampilan dalam set data tertaut.
Dalam gambar 6, komponen berikut diberi label:
- Pemanggil: pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
- Project R: project pemanggil.
- Project L: menghosting set data tertaut.
- Project V: menghosting tampilan dan tabel dasar yang terkait dengan tampilan.
Saat Anda, sebagai pelanggan berbagi BigQuery, membuat kueri tampilan dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:
| Project | Rule |
|---|---|
| Project R |
Aturan keluar untuk project L |
| Project L (set data tertaut) |
Aturan ingress untuk project R |
Membuat kueri tampilan yang diizinkan dalam set data tertaut
Dalam diagram berikut, tampilan yang diotorisasi dan tabel dasar yang terkait dengan tampilan yang diotorisasi (Project V) berada dalam project yang sama:
Gambar 7. Aturan Kontrol Layanan VPC untuk membuat kueri tampilan dalam set data tertaut.
Dalam gambar 7, komponen berikut diberi label:
- Pemanggil: pelanggan berbagi BigQuery atau pengguna tugas BigQuery dari set data tertaut.
- Project R: project pemanggil.
- Project L: menghosting set data tertaut.
- Project V: menghosting tampilan yang diotorisasi dan tabel dasar yang terkait dengan tampilan.
Saat Anda, sebagai pelanggan berbagi BigQuery, membuat kueri tampilan dalam set data tertaut, Anda harus menambahkan aturan masuk dan keluar berikut:
| Project | Rule |
|---|---|
| Project R |
Aturan keluar untuk project L |
| Project L (set data tertaut) |
Aturan ingress untuk project R |
Batasan
BigQuery sharing tidak mendukung aturan berbasis metode. Anda harus mengizinkan semua metode untuk mengaktifkan aturan berbasis metode. Contoh:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
Jika resource BigQuery juga dilindungi oleh perimeter layanan, Anda harus mengizinkan aturan ingress dan egress untuk layanan BigQuery. Aturan ingress dan egress tidak perlu diizinkan saat Anda membuat pertukaran data. Aturan masuk dan keluar untuk BigQuery serupa dengan aturan untuk berbagi BigQuery. Contoh:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
Langkah berikutnya
- Pelajari cara memecahkan masalah Kontrol Layanan VPC.
- Pelajari aturan ingress dan egress.
- Pelajari cara mengonfigurasi kebijakan ingress dan egress.
- Pelajari cara membuat listingan.
- Pelajari cara berlangganan listingan.
- Pelajari Logging audit berbagi.