Microsoft SQL Server データを BigQuery に読み込む

Microsoft SQL Server から BigQuery にデータを読み込むには、Microsoft SQL Server 用 BigQuery Data Transfer Service コネクタを使用します。Microsoft SQL Server コネクタは、オンプレミス環境や他のクラウド プロバイダ(Cloud SQL、Amazon Web Services(AWS)、Microsoft Azure など)でホストされている Microsoft SQL Server インスタンスからのデータ読み込みをサポートしています。BigQuery Data Transfer Service を使用すると、Microsoft SQL Server インスタンスから BigQuery にデータを転送するためのオンデマンド データ転送ジョブと定期的なデータ転送ジョブを作成できます。

制限事項

Microsoft SQL Server のデータ転送ジョブには、次の制限があります。

  • Microsoft SQL Server データベースへの同時接続数には上限があります。そのため、1 つの Microsoft SQL Server データベースへの同時転送実行数も制限されます。同時転送ジョブの数が、Microsoft SQL Server データベースでサポートされている同時接続の最大数より少ないことを確認します。
  • データ損失を回避するために、一部の Microsoft SQL Server データ型が BigQuery の STRING 型にマッピングされることがあります。たとえば、精度と尺度が定義されていない Microsoft SQL Server の特定の数値型は、BigQuery の STRING にマッピングされることがあります。詳細については、データ型のマッピングをご覧ください。

データの取り込みオプション

以降のセクションでは、Microsoft SQL Server データ転送を設定する際のデータ取り込みオプションについて説明します。

TLS 構成

Microsoft SQL Server コネクタは、BigQuery へのデータ転送を暗号化するためのトランスポート レベル セキュリティ(TLS)の構成をサポートしています。Microsoft SQL Server コネクタは、次の TLS 構成をサポートしています。

  • データを暗号化し、CA とホスト名を検証する: このモードでは、TCPS プロトコルを介した TLS を使用してサーバーの完全な検証を行います。すべての転送中のデータを暗号化し、データベース サーバーの証明書が信頼できる認証局(CA)によって署名されていることを確認します。このモードでは、接続先のホスト名がサーバーの証明書の共通名(CN)またはサブジェクト代替名(SAN)と完全に一致することも確認します。このモードでは、攻撃者が別のドメインの有効な証明書を使用してデータベース サーバーを偽装することを防止できます。
    • ホスト名が証明書の CN または SAN と一致しない場合、接続は失敗します。証明書と一致するように DNS の解決を構成するか、別のセキュリティ モードを使用する必要があります。
    • このモードは、中間者(PITM)攻撃を防ぐための最も安全なオプションです。
  • データを暗号化し、CA のみを検証する: このモードでは、TCPS プロトコルを介した TLS を使用してすべてのデータを暗号化し、クライアントが信頼する CA によってサーバーの証明書が署名されていることを検証します。ただし、このモードではサーバーのホスト名は検証されません。このモードでは、証明書が有効で、信頼できる VA によって発行されていれば、証明書のホスト名が接続先のホスト名と一致するかどうかに関係なく、接続が成功します。
    • このモードは、証明書が信頼できる CA によって署名されているサーバーに接続していることを確認したいものの、ホスト名が検証できない場合や、ホスト名構成を制御できない場合に使用します。
  • 暗号化のみ: このモードでは、クライアントとサーバー間で転送されるすべてのデータが暗号化されます。証明書やホスト名の検証は行いません。
    • このモードでは、転送中のデータを保護することで一定のセキュリティが確保されますが、PITM 攻撃に対して脆弱になる可能性があります。
    • すべてのデータを暗号化する必要があるものの、サーバーの ID を検証できない場合や検証したくない場合は、このモードを使用します。プライベート VPC を使用する場合は、このモードを使用することをおすすめします。
  • 暗号化または検証なし: このモードでは、データは暗号化されず、証明書やホスト名の検証も行われません。すべてのデータは書式なしテキストとして送信されます。
    • 機密データが処理される環境では、このモードを使用しないことをおすすめします。
    • このモードは、セキュリティが問題にならない分離されたネットワークでのテスト目的でのみ使用することをおすすめします。

信頼できるサーバー証明書(PEM)

データを暗号化して、CA とホスト名を検証するモードまたはデータを暗号化し、CA を検証するモードを使用している場合は、1 つ以上の PEM エンコード証明書を指定することもできます。これらの証明書は、BigQuery Data Transfer Service が TLS 接続中にデータベース サーバーの ID を確認する必要があるシナリオで必要になります。

  • 組織内のプライベート CA によって署名された証明書または自己署名証明書を使用している場合は、完全な証明書チェーンまたは単一の自己署名証明書を指定する必要があります。これは、Amazon Relational Database Service(RDS)などのマネージド クラウド プロバイダ サービスの内部 CA によって発行された証明書に必要です。
  • データベース サーバーの証明書がパブリック CA(Let's Encrypt、DigiCert、GlobalSign など)によって署名されている場合は、証明書を指定する必要はありません。これらのパブリック CA のルート証明書は、BigQuery Data Transfer Service によってプリインストールされ、信頼されています。

Microsoft SQL Server 転送構成を作成するときに、次の要件を満たす PEM エンコード証明書を [信頼できる PEM 証明書] フィールドに指定できます。

  • 証明書は、有効な PEM エンコード証明書チェーンである必要があります。
  • 証明書は完全に正しいものである必要があります。チェーン内の証明書が欠落している場合や、内容が正しくない場合、TLS 接続は失敗します。
  • 単一の証明書の場合は、データベース サーバーから単一の自己署名証明書を指定できます。
  • プライベート CA が発行した完全な証明書チェーンの場合は、完全な信頼チェーンを指定する必要があります。これには、データベース サーバーの証明書と、中間およびルート CA 証明書が含まれます。

始める前に

Microsoft SQL Server データ転送のスケジュールを設定するには、次の前提条件を満たしている必要があります。

Microsoft SQL Server の前提条件

Microsoft SQL Server データベースにユーザー アカウントを作成しておく必要があります。詳細については、ログインを使用してユーザーを作成するをご覧ください。

BigQuery の前提条件

必要なロール

Microsoft SQL Server データ転送の作成に必要な権限を取得するには、プロジェクトに対する BigQuery 管理者 roles/bigquery.admin)IAM ロールを付与するよう管理者に依頼します。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

この事前定義ロールには、Microsoft SQL Server データ転送の作成に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

Microsoft SQL Server データ転送を作成するには、次の権限が必要です。

  • bigquery.transfers.update
  • bigquery.datasets.get

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

ネットワークの構成

Microsoft SQL Server データベース接続でパブリック IP アドレスを使用できない場合は、特定のネットワーク構成を設定する必要があります。詳細については、以下のセクションをご覧ください。

Microsoft SQL Server のデータ転送を設定する

次のオプションのいずれかを選択します。

コンソール

  1. [データ転送] ページに移動します。

    [データ転送] に移動

  2. [転送を作成] をクリックします。

  3. [ソースタイプ] セクションの [ソース] で、[Microsoft SQL Server] を選択します。

  4. [データソースの詳細] セクションで、次のようにします。

    • [ネットワーク アタッチメント] で、既存のネットワーク アタッチメントを選択するか、[ネットワーク アタッチメントの作成] をクリックします。
    • [ホスト] に、Microsoft SQL Server データベースのホスト名または IP アドレスを入力します。
    • [ポート番号] に、Microsoft SQL Server データベースのポート番号を入力します。
    • [データベース名] に、Microsoft SQL Server データベースの名前を入力します。
    • [ユーザー名] に、Microsoft SQL Server データベース接続を開始する Microsoft SQL Server ユーザーのユーザー名を入力します。
    • [パスワード] に、Microsoft SQL Server データベース接続を開始する Microsoft SQL Server ユーザーのパスワードを入力します。
    • [TLS Mode] で、メニューからオプションを選択します。TLS モードの詳細については、TLS 構成をご覧ください。
    • [Trusted PEM Certificate] に、データベース サーバーの TLS 証明書を発行した認証局(CA)の公開証明書を入力します。詳細については、信頼できるサーバー証明書(PEM)をご覧ください。
    • [転送する Microsoft SQL Server オブジェクト] で、Microsoft SQL Server テーブルを参照するか、転送に必要なテーブルの名前を手動で入力します。

  5. [転送先の設定] セクションの [データセット] で、データを保存するために作成したデータセットを選択するか、[新しいデータセットの作成] をクリックして、転送先データセットとして使用するデータセットを作成します。

  6. [転送構成名] セクションの [表示名] に、転送名を入力します。転送名には、後で修正が必要になった場合にその転送を特定できる任意の名前を使用できます。

  7. [スケジュール オプション] セクションで、次の操作を行います。

    • [繰り返しの頻度] を選択します。[時間]、[](デフォルト)、[]、[] のいずれかを選択する場合は、頻度も指定する必要があります。[カスタム] オプションを選択して、より詳細な繰り返し頻度を作成することもできます。[オンデマンド] オプションを選択すると、このデータ転送は手動で転送をトリガーした場合にのみ実行されます。
    • 必要に応じて、[すぐに開始] を選択するか、[設定した時刻に開始] オプションを選択して開始日と実行時間を指定します。

  8. 省略可: [通知オプション] セクションで、次のようにします。

    • メール通知を有効にするには、[メール通知] の切り替えをクリックしてオンにします。このオプションを有効にすると、転送の実行が失敗した場合、転送管理者にメール通知が送信されます。
    • 転送の Pub/Sub 実行通知を構成するには、[Pub/Sub 通知] の切り替えをクリックしてオンにします。トピック名を選択するか、[トピックを作成する] をクリックしてトピックを作成します。

  9. 省略可: [詳細オプション] セクションで、この転送の暗号化タイプを選択します。 Google-owned and Google-managed encryption keyまたは顧客所有の Cloud Key Management Service 鍵のいずれかを選択できます。暗号鍵の詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。

  10. [保存] をクリックします。

bq

bq mk コマンドを入力して、転送作成フラグ --transfer_config を指定します。

bq mk \
    --transfer_config \
    --project_id=PROJECT_ID \
    --data_source=DATA_SOURCE \
    --display_name=DISPLAY_NAME \
    --target_dataset=DATASET \
    --params='PARAMETERS'

次のように置き換えます。

  • PROJECT_ID(省略可): Google Cloud プロジェクト ID。--project_id フラグで特定のプロジェクトを指定しない場合は、デフォルトのプロジェクトが使用されます。
  • DATA_SOURCE: データソース(sqlserver)。
  • DISPLAY_NAME: データ転送構成の表示名。転送名には、後で修正が必要になった場合に識別できる任意の名前を使用できます。
  • DATASET: データ転送構成のターゲット データセット。

  • PARAMETERS: 作成される転送構成のパラメータを JSON 形式で指定します。例: --params='{"param":"param_value"}'。Microsoft SQL Server 転送のパラメータは次のとおりです。

    • connector.networkAttachment(省略可): Microsoft SQL Server データベースに接続するネットワーク アタッチメントの名前。
    • connector.database: Microsoft SQL Server データベースの名前。
    • connector.endpoint.host: データベースのホスト名または IP アドレス。
    • connector.endpoint.port: データベースのポート番号。
    • connector.authentication.username: データベース ユーザーのユーザー名
    • connector.authentication.password: データベース ユーザーのパスワード。
    • connector.tls.mode: この転送で使用する TLS 構成を指定します。
      • ENCRYPT_VERIFY_CA_AND_HOST: データを暗号化し、CA とホスト名を検証する
      • ENCRYPT_VERIFY_CA: データを暗号化し、CA のみを検証する
      • ENCRYPT_VERIFY_NONE: データの暗号化のみ行う
      • DISABLE: 暗号化や検証を行わない場合に指定
    • connector.tls.trustedServerCertificate:(省略可)1 つ以上の PEM エンコード証明書を指定します。connector.tls.mode の値が ENCRYPT_VERIFY_CA_AND_HOST または ENCRYPT_VERIFY_CA の場合にのみ必須です。
    • assets: 転送の一部として Microsoft SQL Server データベースから転送される Microsoft SQL Server テーブル名のリスト。

たとえば、次のコマンドは My Transfer という Microsoft SQL Server 転送を作成します。

bq mk \
    --transfer_config
    --target_dataset=mydataset
    --data_source=sqlserver
    --display_name='My Transfer'
    --params='{"assets":["db1/dbo/Department","db1/dbo/Employees"],
        "connector.authentication.username": "User1",
        "connector.authentication.password":"ABC12345",
        "connector.database":"DB1",
        "connector.endpoint.host":"192.168.0.1",
        "connector.endpoint.port":"1520",
        "connector.networkAttachment":"projects/dev-project1/regions/us-central1/networkattachments/na1",
        "connector.tls.mode": "ENCRYPT_VERIFY_CA_AND_HOST",
        "connector.tls.trustedServerCertificate": "PEM-encoded certificate"}'
転送構成を保存すると、Microsoft SQL Server コネクタはスケジュール オプションに従って転送実行を自動的にトリガーします。転送を実行するたびに、Microsoft SQL Server コネクタは Microsoft SQL Server から BigQuery に使用可能なすべてのデータを転送します。

定期的なスケジュール外でデータ転送を手動で実行するには、バックフィル実行を開始します。

データ型マッピング

次の表に、Microsoft SQL Server のデータ型と対応する BigQuery のデータ型を示します。

Microsoft SQL Server のデータ型 BigQuery のデータ型
tinyint INTEGER
smallint INTEGER
int INTEGER
bigint BIGNUMERIC
bit BOOLEAN
decimal BIGNUMERIC
numeric NUMERIC
money BIGNUMERIC
smallmoney BIGNUMERIC
float FLOAT
real FLOAT
date DATE
time TIME
datetime2 TIMESTAMP
datetimeoffset TIMESTAMP
datetime TIMESTAMP
smalldatetime TIMESTAMP
char STRING
varchar STRING
text STRING
nchar STRING
nvarchar STRING
ntext STRING
binary BYTES
varbinary BYTES
image BYTES
geography STRING
geometry STRING
hierarchyid BYTES
rowversion BYTES
sql_variant BYTES
uniqueidentifier STRING
xml STRING
json STRING
vector STRING

json データ型と vector データ型は Azure でのみサポートされています。

JSON データ型は、常に最新の更新ポリシーで構成された Azure SQL データベースと Azure SQL マネージド インスタンスでサポートされています。Microsoft SQL Server 2022 更新ポリシーで構成された Azure SQL マネージド インスタンスでは、JSON データ型はサポートされていません。

Microsoft SQL Server は、JSON を JSON 型ではなく NVARCHAR(MAX) として保存します。検証には CHECK (ISJSON(json_col) = 1)、クエリには JSON_VALUE() を使用することをおすすめします。

Microsoft SQL Server には、vector データ型のベクトル サポートがありません。ベクトルは NVARCHAR(MAX) に JSON 配列として保存し、抽出には JSON_VALUE() を使用し、類似性の計算には手動の FLOAT を使用することをおすすめします。

トラブルシューティング

データ転送に関する問題のトラブルシューティングについては、Microsoft SQL Server の転送に関する問題をご覧ください。

料金

この機能のプレビュー版では、Microsoft SQL Server データを BigQuery に転送する際に費用は発生しません。

次のステップ

  • BigQuery Data Transfer Service の概要については、BigQuery Data Transfer Service とはをご覧ください。
  • 転送構成に関する情報の取得、転送構成の一覧表示、転送の実行履歴の表示など、転送の使用方法については、転送の管理をご覧ください。