Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configura conexiones con adjuntos de red

BigQuery admite consultas federadas que te permiten enviar una sentencia de consulta a bases de datos externas y obtener el resultado como una tabla temporal. Las consultas federadas usan la API de conexión de BigQuery para establecer una conexión. En este documento, se muestra cómo aumentar la seguridad de esta conexión.

Debido a que la conexión se conecta directamente a tu base de datos, debes permitir el tráfico desde Google Cloud a tu motor de base de datos. Para aumentar la seguridad, solo debes permitir el tráfico que proviene de tus consultas de BigQuery. Esta restricción de tráfico se puede lograr de una de las siguientes maneras:

Si defines una dirección IP estática que usa una conexión de BigQuery y la agregas a las reglas de firewall de la fuente de datos externa.
Si creas una VPN entre BigQuery y tu infraestructura interna, y la usas para tus consultas.

Ambas técnicas se admiten mediante el uso de adjuntos de red.

Antes de comenzar

Otorga funciones de Identity and Access Management (IAM) que les brindan a los usuarios los permisos necesarios para realizar cada tarea de este documento.

Roles obligatorios

Para obtener los permisos que necesitas para configurar una conexión con adjuntos de red, pídele a tu administrador que te otorgue el rol Administrador de Compute (roles/compute.admin) de IAM en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para configurar una conexión con archivos adjuntos de red. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para configurar una conexión con adjuntos de red:

compute.networkAttachments.get
compute.networkAttachments.update

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Para obtener más información sobre los roles y los permisos de IAM en BigQuery, consulta Roles y permisos de IAM de BigQuery.

Limitaciones

Las conexiones con adjuntos de red están sujetas a las siguientes limitaciones:

Los adjuntos de red solo se admiten para las conexiones de SAP Datasphere.
Para las regiones estándar, los adjuntos de red deben ubicarse en la misma región que la conexión. Para las conexiones en la multirregión US, el adjunto de red debe ubicarse en la región us-central1. Para las conexiones en la multirregión EU, el adjunto de red debe ubicarse en la región europe-west4.
No puedes realizar ningún cambio en tu adjunto de red después de crearlo. Para configurar algo de una manera nueva, debes volver a crear el adjunto de red.
Los adjuntos de red no se pueden borrar, a menos que el productor (BigQuery) borre los recursos asignados. Para iniciar el proceso de eliminación, debes comunicarte con el equipo de asistencia de BigQuery.

Crea un adjunto de red

Cuando creas una conexión para la federación de consultas, puedes usar el parámetro opcional de adjunto de red, que apunta a un adjunto de red que proporciona conectividad a la red desde la que se establece la conexión a tu base de datos. Puedes crear un adjunto de red si defines una dirección IP estática o creas una VPN. Para cualquiera de las opciones, haz lo siguiente:

Si aún no tienes una, crea una red de VPC y una subred.
Si deseas crear un adjunto de red mediante la definición de una dirección IP estática, crea una puerta de enlace de Cloud NAT con una dirección IP estática mediante la red, la región y la subred que creaste. Si deseas crear un adjunto de red mediante la creación de una VPN, crea una VPN que esté conectada a tu red privada.
Crea un adjunto de red con la red, la región y la subred que creaste.
Opcional: Según las políticas de seguridad de tu organización, es posible que debas configurar tu Google Cloud firewall para permitir la salida mediante la creación de una regla de firewall con la siguiente configuración:
- Configura Destinos como Todas las instancias de la red.
- Establece Rangos IPv4 de destino en todo el rango de direcciones IP.
- Configura Protocolos y puertos especificados en el puerto que usa tu base de datos.
Configura tu firewall interno para permitir el ingreso desde la dirección IP estática que creaste. Este proceso varía según la fuente de datos.
Crea una conexión e incluye el nombre del adjunto de red que creaste.
Ejecuta cualquier consulta federada para sincronizar tu proyecto con el adjunto de red.

Tu conexión ahora está configurada con un adjunto de red y puedes ejecutar consultas federadas.

Precios

Se aplican los precios estándar de las consultas federadas.
El uso de VPC está sujeto a los precios de la nube privada virtual.
El uso de Cloud VPN está sujeto a los precios de Cloud VPN.
El uso de Cloud NAT está sujeto a los precios de Cloud NAT.

¿Qué sigue?

Obtén información sobre los diferentes tipos de conexión.
Obtén información sobre cómo administrar conexiones.
Obtén más información sobre consultas federadas.