Skip to main content

Datenbrücken

Hinweis

Datenbrücken befinden sich in der öffentlichen Vorschau. Es ist möglich, dass sie bekannte Probleme aufweisen, möglicherweise nicht alle vorgesehenen Funktionen enthalten und ohne vorherige Ankündigung geändert werden.

Der Zugriff ist derzeit auf Kunden beschränkt, die für das Programm der öffentlichen Vorschau nominiert wurden. Wenn Sie noch nicht am Programm der öffentlichen Vorschau teilnehmen, dies aber wünschen, wenden Sie sich an den Account Manager bei Alteryx, um Zugriff anzufordern.

Wichtig

Datenbrücken unterstützen keine Hochverfügbarkeit (HA).

Alteryx Datenbrücken ermöglichen Workflows, die in Workspace Execution ausgeführt werden, um eine sichere Verbindung zu von Kunden verwalteten Datenquellen herzustellen. Sie verwenden AWS PrivateLink, um eine Verbindung herzustellen und den Zugriff auf private Ressourcen zu ermöglichen, ohne sie dem öffentlichen Internet zugänglich zu machen.

Es sind keine Änderungen an vorhandenen Workflows erforderlich. Die Alteryx Engine verbindet sich mit Datenquellen, die die von ihr verwendeten Hostnamen und Ports nutzen, wenn sie innerhalb des Netzwerks ausgeführt wird.

Datenbrücken wurden für die Verwendung von Workspace Execution auf der Alteryx Datenebene entwickelt. Dies ist die einzige unterstützte Methode für die sichere Verbindung dieser Workflows mit Kundendatenquellen, ohne dass ein öffentlicher Internetzugang erforderlich ist.

Abrechnung und Berechtigungen

  • Datenbrücken sind auf der Enterprise 2025-Stufe der Alteryx One Platform verfügbar. Frühere Editionen enthalten diese Funktion nicht.

  • Das Recht, Datenbrücken zu nutzen, ist an Ihr Rechnungskonto gebunden. Jedes Rechnungskonto kann eine oder mehrere Bridge-Client-Ressourcen erstellen.

  • Um eine Datenbrücke unter Administratorkonsole > Datenbrücken einzurichten, müssen Sie Admin für das mit Ihrem Alteryx One-Abonnement verknüpfte Rechnungskonto sein.

Terminologie

  • Bridge-Client: Eine einfache AMD64-Amazon Linux 2023-Binärdatei, die in der AWS Virtual Private Cloud (VPC) von Kunden bereitgestellt wird. Der Client arbeitet mit AWS PrivateLink zusammen, um eine private, authentifizierte Verbindung zwischen Alteryx und Datenquellen von Kunden bereitzustellen – ohne das öffentliche Internet zu nutzen.

  • AWS PrivateLink: Ein AWS-Dienst, der eine private Verbindung zwischen VPCs und AWS oder Diensten von Drittanbietern (wie dem Bridge-Client) unter Verwendung privater IP-Adressen ermöglicht. Der Datenverkehr durchquert nicht das öffentliche Internet.

  • Datenquelle: Jede vom Kunden verwaltete Datenbank oder jeder Dienst, auf den über TCP zugegriffen werden kann.

  • Workspace Execution: Ermöglicht es Benutzer:innen, Workflows in Designer Desktop zu erstellen, sie dann zu speichern, zu planen und mithilfe von cloudbasiertem Computing und Speicher anstelle eines lokalen Rechners in Alteryx One auszuführen.

  • Alteryx Datenebene: Die Multi-Tenant-Cloud-Ausführungsumgebung von Alteryx, in der Cloud-Ressourcen auf sichere Weise von mehreren Kunden gemeinsam genutzt werden können.

Überblick über die Systemarchitektur

Dieses Diagramm zeigt, wie Alteryx Datenbrücken Workspace Execution-Workflows sicher mit von Kundinnen und Kunden verwalteten Datenquellen verbinden, wobei alle Kundendaten in privaten Netzwerken gespeichert werden.

Data_Bridge_Diagram_architecture.png

Datenfluss (blaue Pfeile)

  1. Workflows, die in Workspace Execution auf der Alteryx Datenebene ausgeführt werden, initiieren Verbindungen zu Datenquellen mithilfe von Standard-Hostnamen und -ports.

  2. Der Datenverkehr fließt privat über AWS PrivateLink in die AWS-VPC des Kunden.

  3. Der Bridge-Client, der innerhalb des Kundennetzwerks ausgeführt wird, leitet den Datenverkehr an die Zieldatenquelle (z. B. eine Datenbank) weiter.

  4. Daten werden auf demselben privaten Pfad zurück zum ausführenden Workflow geleitet.

Metadaten- und Steuerungsfluss (orangefarbene Pfeile)

Der Metadaten- und Steuerungsfluss verwaltet Konfiguration, Bereitstellung und Lebenszyklus und überträgt niemals Kundendaten:

  1. Der Kunde konfiguriert die Datenbrücke und die Netzwerkzuordnungen über die Alteryx One Platform-Benutzeroberfläche.

  2. Die Konfiguration wird über AWS PrivateLink an die Alteryx Datenebene und schließlich an den Bridge-Client übertragen.

Durch diese Trennung wird sichergestellt, dass der Steuerungs- und Orchestrierungsdatenverkehr vom Kundendatenverkehr isoliert ist. Dies verbessert Sicherheit und Zuverlässigkeit.

Konfigurationsoptionen für Datenbrücken und Arbeitsbereiche

Jede Datenbrücke kann mit einem oder mehreren Arbeitsbereichen verknüpft werden. Jeder Arbeitsbereich kann auch keiner, einer oder mehreren Datenbrücken zugeordnet werden.

Wenn eine umfassende Isolierung zwischen Arbeitsbereichen erforderlich ist, empfehlen wir eine 1:1-Zuordnung zwischen einer Datenbrücke und einem Arbeitsbereich. Für die meisten gängigen Szenarien wird eine einzelne Datenbrücke empfohlen, die mit mehreren Arbeitsbereichen verbunden ist. Dies vereinfacht die Verwaltung.

Admins bestimmen, welche Verbindungen während der Einrichtung eine Datenbrücke verwenden dürfen. Dadurch wird sichergestellt, dass nur Verbindungen zu von der:dem Admin genehmigten Datenquellen hergestellt werden.

Zusammenfassung

  • Kundendaten fließen nur über private Netzwerkpfade zwischen Workflows zur Laufzeit und Kundeninfrastruktur.

  • Metadaten, Bereitstellung und operativer Datenverkehr werden von Alteryx Diensten separat verarbeitet.

  • Es sind keine Änderungen an Workflows erforderlich und die Datenquellen von Kunden müssen nicht öffentlich zugänglich sein.

  • Diese Architektur ermöglicht es Kunden, Desktop-Workflows in der Cloud auszuführen – bei gleicher Sicherheit wie im eigenen Netzwerk.

Kunden-Workflow

Voraussetzungen

Alteryx One Voraussetzungen

  • Ihr Unternehmen befindet sich auf der Enterprise 2025-Stufe der Alteryx One Platform. In früheren Editionen sind keine Datenbrücken verfügbar.

  • Sie haben Zugriff auf das mit Ihrem Alteryx One-Abonnement verknüpfte Rechnungskonto.

  • Sie sind Admin für dieses Rechnungskonto, um Bridge-Client-Ressourcen zu erstellen und zu verwalten.

  • Workspace Execution ist auf der Alteryx Datenebene für den Arbeitsbereich aktiviert, der die Datenbrücke verwendet.

  • Sie verfügen über die erforderlichen internen Genehmigungen und Anmeldedaten, um auf die privaten Datenquellen zuzugreifen, die Sie über eine Datenbrücke verbinden möchten.

  • Die Datenquellen, auf die Sie zugreifen möchten, sind nicht über das öffentliche Internet zugänglich (z. B. sind sie nur über private Netzwerke oder VPN erreichbar).

AWS-Voraussetzungen

  • Sie verfügen über ein AWS-Konto, das den Bridge-Client hostet.

  • Die Datenquellen, auf die Sie zugreifen möchten, sind über mindestens eine AWS-VPC erreichbar.

  • Sie haben in diesem AWS-Konto Berechtigungen für Folgendes:

    • EC2-Instanzen erstellen und verwalten (für das Hosting des Bridge-Clients)

    • AWS PrivateLink-Endpunkte konfigurieren (falls zutreffend)

    • Netzwerk- und Sicherheitsressourcen wie Virtual Private Clouds (VPC), Sicherheitsgruppen usw. verwalten

  • Die AWS-Umgebung verfügt über eine Netzwerkverbindung zu den privaten Datenquellen, auf die über die Datenbrücke zugegriffen wird.

Empfohlene EC2-Instanzgrößen

Die folgenden Beispiele sind Ausgangspunkte, die auf allgemeinen AWS-Best-Practices basieren, aber keine strikte Produktanforderung darstellen. Führen Sie eine Validierung mit Ihrem internen Cloud- oder Infrastrukturteam durch und nehmen Sie nach Bedarf Anpassungen entsprechend Ihren Workloads vor.

  • Beginnen Sie mit t3.small (2 vCPUs, 2 GiB RAM) für Entwicklung, Tests oder sehr geringe Nutzung.

  • Verwenden Sie t3.medium (2 vCPUs, 4 GiB RAM) als Standard für die meisten Produktions-Workloads.

  • Skalieren Sie (z. B. mit t3.large oder m6i.large), wenn der CPU- oder Arbeitsspeicherbedarf konstant hoch ist oder Sie umfangreiche gleichzeitige Workloads erwarten.

Datenbrücke einrichten

Führen Sie die folgenden Schritte aus, um eine Datenbrücke zu konfigurieren. Nach Abschluss der Konfiguration haben Workspace Execution-Workflows in den zugehörigen Arbeitsbereichen Zugriff auf die verbundenen Datenquellen.

Datenbrücke erstellen

  1. Gehen Sie in Alteryx One zu Administratorkonsole > Datenbrücken. Wählen Sie dann Datenbrücke erstellen aus. Geben Sie Folgendes ein:

    • Name der Datenbrücke

    • Region: Die Region muss Ihrer VPC-Region entsprechen und sollte standardmäßig die Region sein, in der Sie sich gerade befinden.

    • Verfügbarkeitszonen-ID: Die Verfügbarkeitszonen-ID identifiziert die AWS-Verfügbarkeitszonen, in denen dieser Endpunkt verfügbar ist.

    • Port: Über diesen Port wird die Datenbrücke mit Alteryx verbunden. Die Standardeinstellung ist „9001“.

    Wählen Sie Weiter aus.

  2. Auf der nächsten Seite werden Sie aufgefordert, die Bridge-Client-Binärdatei in Ihrer VPC zu installieren und zu konfigurieren.

    • Bridge-Client-Binärdatei im Lizenzierungsportal herunterladen.

      Machen Sie die Binärdatei ausführbar. Die Bridge-Client-Binärdatei muss über Ausführungsberechtigungen verfügen, damit sie ausgeführt werden kann.

    • Bridge-Client mit AWS Secret Access in EC2 importieren:

      Erstellen Sie in AWS eine EC2-Instanz (Amazon Linux AMI), die eine Verbindung zu Ihrer privaten Datenquelle herstellen kann und die Berechtigung hat, in AWS Secrets Manager vertrauliche Daten zu lesen oder zu schreiben. Weitere Informationen zum Erstellen einer EC2-Instanz finden Sie in der AWS-Dokumentation Erste Schritte mit Amazon EC2.

      Importieren Sie dann den Bridge-Client in die Instanz.

    • Konfigurations-Snippet in einer Datei speichern:

      Kopieren Sie das Snippet und fügen Sie es in eine Konfigurationsdatei namens bridge-client-config.json ein, auf die vom Bridge-Client verwiesen wird.

      Beispiel:

      {
  "logging": {
    "logLevel": "info"
    "logFormat": "json"
  },
  "bootstrap" : {
    "storageType": "secretsManager"
    "secretName": "<Name of the AWS Secrets Manager secret where the Bridge Client will store its private key. The Bridge Client will create and populate this secret automatically.>"
  },
  "libp2pPort": 9001,
  "libp2pBindIP": "<Private IPv4 address of the EC2 Instance>",
  "resourceFile": "/home/ec2-user/resources.json"
}

      Anmerkung

      The libp2pBindIP is going to be the Private IPv4 address of the EC2 Instance in which the Bridge Client is deployed in. Check the AWS Admin Console for that EC2 Instance.

      Data_Bridge_04.png

    • Datei resources.json erstellen:

      Erstellen Sie eine Datei mit dem Namen resources.json. Diese Datei ist erforderlich, damit der Bridge-Client Ressourcen zur Laufzeit starten und verwalten kann.

      Die Datei muss ein leeres JSON-Objekt ({}) enthalten und darf nicht leer sein.

    • Bridge-Client als Prozess ausführen:

      • Nachdem Sie den Bridge-Client mit dem obigen Befehl gestartet haben, rufen Sie die Peer-ID ab, indem Sie den folgenden Befehl ausführen:

        Copy the following content into a file and name it bridge-client.service in the directory /etc/systemd/system:

        [Unit]
Description=Bridge Client

[Service]
# App Running
ExecStart=/home/ec2-user/bridge-client -c /home/ec2-user/bridge-client-config.json
Restart=always
RestartSec=30s

[Install]
WantedBy=multi-user.target

      • Alternativ können Sie manuell nach einer Protokollzeile suchen, die etwa so aussieht:

        sudo systemctl start bridge-client

      • Der

        sudo systemctl enable bridge-client

      • Run the following command to check the health of the Bridge Client:

        sudo systemctl status bridge-client

      • Ensure the process state is Active: active (running) . If it is not, there are likely issues with startup that should be troubleshooted via the logs.

        The logs of a systemd service can be accessed by running the following command where -u is the unit name and -n describes how many of the latest log lines to display.

        journalctl -u bridge-client -n 50

      • On successful startup, record the Bridge Client peer ID from stdout.

        • Convenience script for retrieving the peer ID:

          sudo journalctl -u bridge-client -n 500 -r --no-pager \
| grep -m1 '"peerID"' \
| sed -E 's/.*"peerID":"([^"]+)".*/\1/'

        • Alternatively, manually look for a log line similar to the following:

          {"level":"info","ts":"2025-10-18T01:17:27Z","caller":"bootstrap/bootstrap.go:47","msg":"peerID","name":"bridge_client","peerID":"QmA7kT2Yp8ZLxNwC4H6B5eVJg9sDoUScmRyb3FhXPaMq"}

        • The peerID value is generated per private key and differs for each Bridge Client. Note that each Bridge Client should use or have its own private key. Private keys are and should not be reused between Bridge Clients.

    • PrivateLink Endpoint Service einrichten:

      Sobald die Installation abgeschlossen ist, richten Sie den PrivateLink Endpoint Service in Ihrer VPC ein.

      • Create and attach a target group that targets the specific EC2 instance where the Bridge Client lives. A health check should be configured on the target group to port 8081 pointing at the /ready endpoint of the bridge client.

      • Create a Network Load Balancer that forwards all TCP traffic on the port that bridge-client-config.json’s libp2pPort is deployed on (default is 9001).

        Anmerkung

        The Load Balancer used for the Endpoint Service must include two Availability Zone (AZ) IDs, and one of them must match the AZ where the Bridge Client is deployed.

      • Create a PrivateLink Endpoint Service of type Interface for Internal services that is on the same VPC network as the EC2 instance.

        Anmerkung

        If choosing to create a cross-region PrivateLink, the Endpoint Service must choose both the target region as well as the region where the bridge-client EC2 instance is deployed as entries in the Supported Regions field.

  3. Gehen Sie zu Alteryx One > Administratorkonsole > Datenbrücken zurück. Geben Sie Folgendes ein:

    • Den Namen des Endpunktdienstes

    • Die Peer-ID des Bridge-Clients, die Sie in Schritt 2 notiert haben

  4. Wählen Sie Datenbrücke erstellen aus.

Jetzt können Sie mit dem Hinzufügen von Arbeitsbereichen beginnen.

Arbeitsbereich hinzufügen

Nachdem Sie in der Administratorkonsole eine Datenbrücke erstellt haben, können Sie dieser einen oder mehrere Arbeitsbereiche hinzufügen. Der Prozess der Arbeitsbereichszuordnung dauert in der Regel 13 bis 15 Minuten.

  1. Wählen Sie unter Alteryx One > Administratorkonsole > Datenbrücken die Option Arbeitsbereich hinzufügen aus.

  2. Das Fenster Arbeitsbereich hinzufügen wird geöffnet.

    • Wählen Sie einen Arbeitsbereich aus der Dropdown-Liste aus. Es werden nur Arbeitsbereiche mit aktiviertem Workspace Execution angezeigt. Wählen Sie dann Weiter aus.

    • Die IAM-Rolle wird angezeigt. Kopieren Sie diese und fügen Sie sie in die Liste Prinzipale zulassen in Ihrer privaten VPC ein. Weitere Informationen zur Konfiguration des AWS IAM Identity Center finden Sie unter Erste Schritte mit IAM Identity Center oder IAM Identity Center-Authentifizierung mit der AWS-CLI konfigurieren.

      Wählen Sie anschließend Weiter aus.

    • Ein PrivateLink-Endpunkt wurde erstellt. Wählen Sie Bestätigen aus, um die Verbindung zu testen.

      Wenn der Test erfolgreich war, fahren Sie mit Neue Netzwerkzuordnung erstellen fort.

    • Akzeptieren Sie die Verbindung des privaten Endpunkts vom Alteryx Konto.

Neue Datenquellen-Netzwerkzuordnung erstellen

Erstellen Sie eine Netzwerkzuordnung, um der Datenbrücke zu ermöglichen, den Datenverkehr an eine bestimmte private Datenquelle weiterzuleiten. Die Erstellung der Netzwerkzuordnung dauert in der Regel 10 bis 20 Sekunden.

  1. Wählen Sie unter Alteryx One > Administratorkonsole > Datenbrücken die Option Neue Netzwerkzuordnung aus.

  2. Ein Fenster Neue Netzwerkzuordnung wird geöffnet. Geben Sie Folgendes ein:

    • Name

    • Beschreibung

    • Host: Dies ist der genaue Hostname oder die IP-Adresse aus Ihrer Datenquellenverbindung in Connection Manager oder Designer.

    • Port: Die für Ihre Datenquelle konfigurierte Portnummer.

  3. Wählen Sie dann Erstellen aus.

Fehlerbehebung und häufig gestellte Fragen

Häufige Installations- und Konfigurationsprobleme

Konnektivitäts- oder DNS-Fehler

Wenn Verbindungsfehler auftreten, suchen Sie nach allgemeinen DNS-Auflösungsproblemen.

  • Problem: Bridge-Client kann keine Verbindung zu Alteryx Cloud oder Kundendatenquellen herstellen.

  • Wahrscheinliche Ursache: Falsch konfigurierte VPC-Netzwerke oder falsche DNS-Einstellungen.

  • Nächste Schritte: Bestätigen Sie die VPC-DNS-Einstellungen, die PrivateLink-Endpunktkonfigurationen und die Firewall-Regeln.

Verbindungslimits

Um DDoS-Schutz (Distributed Denial-of-Service) zu ermöglichen, begrenzt der Bridge-Client eingehende gleichzeitige Verbindungen auf 256 pro Datenquelle. Wenden Sie sich an den Alteryx Kundendienst, wenn Sie dieses Limit erhöhen müssen.

Metriken und Support

Wenn Sie Hilfe beim Debuggen des Bridge-Clients benötigen, rufen Sie den Endpunkt /metrics.json auf, um einen Statusbericht im JSON-Format abzurufen. Bitte fügen Sie diese Ausgabe Ihrem Support-Ticket oder Ihrer Nachricht hinzu, damit das Support-Team das Problem überprüfen kann.

Der Bridge-Client stellt auch einen /metrics-Endpunkt im Prometheus-Stil bereit, den Kunden nutzen können, um Dashboards zu erstellen oder die Daten eigenständig zu analysieren.

Upgrade und Kompatibilität

Kompatibilität

Datenbrücken werden nicht unterstützt in:

  • Bereitstellungen für die Verarbeitung privater Daten

  • Konfigurationen für privaten Datenspeicher

Upgrades

  • Upgrades auf den Bridge-Client sind in der Regel erforderlich, wenn neue Funktionen oder Sicherheitsupdates veröffentlicht werden.

  • Die öffentliche Vorschau setzt Abwärtskompatibilität voraus. Bei Bedarf werden jedoch Upgrade-Anweisungen bereitgestellt.

In diesem Abschnitt: