Datenbrücken

Hinweis

Datenbrücken befinden sich in der öffentlichen Vorschau. Es ist möglich, dass sie bekannte Probleme aufweisen, möglicherweise nicht alle vorgesehenen Funktionen enthalten und ohne vorherige Ankündigung geändert werden.

Der Zugriff ist derzeit auf Kunden beschränkt, die für das Programm der öffentlichen Vorschau nominiert wurden. Wenn Sie noch nicht am Programm der öffentlichen Vorschau teilnehmen, dies aber wünschen, wenden Sie sich an den Account Manager bei Alteryx, um Zugriff anzufordern.

Wichtig

Datenbrücken unterstützen keine Hochverfügbarkeit (HA).

Alteryx Datenbrücken ermöglichen Workflows, die in Workspace Execution ausgeführt werden, um eine sichere Verbindung zu von Kunden verwalteten Datenquellen herzustellen. Sie verwenden AWS PrivateLink, um eine Verbindung herzustellen und den Zugriff auf private Ressourcen zu ermöglichen, ohne sie dem öffentlichen Internet zugänglich zu machen.

Es sind keine Änderungen an vorhandenen Workflows erforderlich. Die Alteryx Engine verbindet sich mit Datenquellen, die die von ihr verwendeten Hostnamen und Ports nutzen, wenn sie innerhalb des Netzwerks ausgeführt wird.

Datenbrücken wurden für die Verwendung von Workspace Execution auf der Alteryx Datenebene entwickelt. Dies ist die einzige unterstützte Methode für die sichere Verbindung dieser Workflows mit Kundendatenquellen, ohne dass ein öffentlicher Internetzugang erforderlich ist.

Abrechnung und Berechtigungen

Datenbrücken sind auf der Enterprise 2025-Stufe der Alteryx One Platform verfügbar. Frühere Editionen enthalten diese Funktion nicht.
Das Recht, Datenbrücken zu nutzen, ist an Ihr Rechnungskonto gebunden. Jedes Rechnungskonto kann eine oder mehrere Bridge-Client-Ressourcen erstellen.
Um eine Datenbrücke unter Administratorkonsole > Datenbrücken einzurichten, müssen Sie Admin für das mit Ihrem Alteryx One-Abonnement verknüpfte Rechnungskonto sein.

Terminologie

Bridge-Client: Eine einfache AMD64-Amazon Linux 2023-Binärdatei, die in der AWS Virtual Private Cloud (VPC) von Kunden bereitgestellt wird. Der Client arbeitet mit AWS PrivateLink zusammen, um eine private, authentifizierte Verbindung zwischen Alteryx und Datenquellen von Kunden bereitzustellen – ohne das öffentliche Internet zu nutzen.
AWS PrivateLink: Ein AWS-Dienst, der eine private Verbindung zwischen VPCs und AWS oder Diensten von Drittanbietern (wie dem Bridge-Client) unter Verwendung privater IP-Adressen ermöglicht. Der Datenverkehr durchquert nicht das öffentliche Internet.
Datenquelle: Jede vom Kunden verwaltete Datenbank oder jeder Dienst, auf den über TCP zugegriffen werden kann.
Workspace Execution: Ermöglicht es Benutzer:innen, Workflows in Designer Desktop zu erstellen, sie dann zu speichern, zu planen und mithilfe von cloudbasiertem Computing und Speicher anstelle eines lokalen Rechners in Alteryx One auszuführen.
Alteryx Datenebene: Die Multi-Tenant-Cloud-Ausführungsumgebung von Alteryx, in der Cloud-Ressourcen auf sichere Weise von mehreren Kunden gemeinsam genutzt werden können.

Überblick über die Systemarchitektur

Dieses Diagramm zeigt, wie Alteryx Datenbrücken Workspace Execution-Workflows sicher mit von Kundinnen und Kunden verwalteten Datenquellen verbinden, wobei alle Kundendaten in privaten Netzwerken gespeichert werden.

Datenfluss (blaue Pfeile)

Workflows, die in Workspace Execution auf der Alteryx Datenebene ausgeführt werden, initiieren Verbindungen zu Datenquellen mithilfe von Standard-Hostnamen und -ports.
Der Datenverkehr fließt privat über AWS PrivateLink in die AWS-VPC des Kunden.
Der Bridge-Client, der innerhalb des Kundennetzwerks ausgeführt wird, leitet den Datenverkehr an die Zieldatenquelle (z. B. eine Datenbank) weiter.
Daten werden auf demselben privaten Pfad zurück zum ausführenden Workflow geleitet.

Metadaten- und Steuerungsfluss (orangefarbene Pfeile)

Der Metadaten- und Steuerungsfluss verwaltet Konfiguration, Bereitstellung und Lebenszyklus und überträgt niemals Kundendaten:

Der Kunde konfiguriert die Datenbrücke und die Netzwerkzuordnungen über die Alteryx One Platform-Benutzeroberfläche.
Die Konfiguration wird über AWS PrivateLink an die Alteryx Datenebene und schließlich an den Bridge-Client übertragen.

Durch diese Trennung wird sichergestellt, dass der Steuerungs- und Orchestrierungsdatenverkehr vom Kundendatenverkehr isoliert ist. Dies verbessert Sicherheit und Zuverlässigkeit.

Konfigurationsoptionen für Datenbrücken und Arbeitsbereiche

Jede Datenbrücke kann mit einem oder mehreren Arbeitsbereichen verknüpft werden. Jeder Arbeitsbereich kann auch keiner, einer oder mehreren Datenbrücken zugeordnet werden.

Wenn eine umfassende Isolierung zwischen Arbeitsbereichen erforderlich ist, empfehlen wir eine 1:1-Zuordnung zwischen einer Datenbrücke und einem Arbeitsbereich. Für die meisten gängigen Szenarien wird eine einzelne Datenbrücke empfohlen, die mit mehreren Arbeitsbereichen verbunden ist. Dies vereinfacht die Verwaltung.

Admins bestimmen, welche Verbindungen während der Einrichtung eine Datenbrücke verwenden dürfen. Dadurch wird sichergestellt, dass nur Verbindungen zu von der:dem Admin genehmigten Datenquellen hergestellt werden.

Zusammenfassung

Kundendaten fließen nur über private Netzwerkpfade zwischen Workflows zur Laufzeit und Kundeninfrastruktur.
Metadaten, Bereitstellung und operativer Datenverkehr werden von Alteryx Diensten separat verarbeitet.
Es sind keine Änderungen an Workflows erforderlich und die Datenquellen von Kunden müssen nicht öffentlich zugänglich sein.
Diese Architektur ermöglicht es Kunden, Desktop-Workflows in der Cloud auszuführen – bei gleicher Sicherheit wie im eigenen Netzwerk.

Kunden-Workflow

Voraussetzungen

Alteryx One Voraussetzungen

Ihr Unternehmen befindet sich auf der Enterprise 2025-Stufe der Alteryx One Platform. In früheren Editionen sind keine Datenbrücken verfügbar.
Sie haben Zugriff auf das mit Ihrem Alteryx One-Abonnement verknüpfte Rechnungskonto.
Sie sind Admin für dieses Rechnungskonto, um Bridge-Client-Ressourcen zu erstellen und zu verwalten.
Workspace Execution ist auf der Alteryx Datenebene für den Arbeitsbereich aktiviert, der die Datenbrücke verwendet.
Sie verfügen über die erforderlichen internen Genehmigungen und Anmeldedaten, um auf die privaten Datenquellen zuzugreifen, die Sie über eine Datenbrücke verbinden möchten.
Die Datenquellen, auf die Sie zugreifen möchten, sind nicht über das öffentliche Internet zugänglich (z. B. sind sie nur über private Netzwerke oder VPN erreichbar).

AWS-Voraussetzungen

Sie verfügen über ein AWS-Konto, das den Bridge-Client hostet.
Die Datenquellen, auf die Sie zugreifen möchten, sind über mindestens eine AWS-VPC erreichbar.
Sie haben in diesem AWS-Konto Berechtigungen für Folgendes:
- EC2-Instanzen erstellen und verwalten (für das Hosting des Bridge-Clients)
- AWS PrivateLink-Endpunkte konfigurieren (falls zutreffend)
- Netzwerk- und Sicherheitsressourcen wie Virtual Private Clouds (VPC), Sicherheitsgruppen usw. verwalten
Die AWS-Umgebung verfügt über eine Netzwerkverbindung zu den privaten Datenquellen, auf die über die Datenbrücke zugegriffen wird.

Empfohlene EC2-Instanzgrößen

Die folgenden Beispiele sind Ausgangspunkte, die auf allgemeinen AWS-Best-Practices basieren, aber keine strikte Produktanforderung darstellen. Führen Sie eine Validierung mit Ihrem internen Cloud- oder Infrastrukturteam durch und nehmen Sie nach Bedarf Anpassungen entsprechend Ihren Workloads vor.

Beginnen Sie mit t3.small (2 vCPUs, 2 GiB RAM) für Entwicklung, Tests oder sehr geringe Nutzung.
Verwenden Sie t3.medium (2 vCPUs, 4 GiB RAM) als Standard für die meisten Produktions-Workloads.
Skalieren Sie (z. B. mit t3.large oder m6i.large), wenn der CPU- oder Arbeitsspeicherbedarf konstant hoch ist oder Sie umfangreiche gleichzeitige Workloads erwarten.

Datenbrücke einrichten

Führen Sie die folgenden Schritte aus, um eine Datenbrücke zu konfigurieren. Nach Abschluss der Konfiguration haben Workspace Execution-Workflows in den zugehörigen Arbeitsbereichen Zugriff auf die verbundenen Datenquellen.

Datenbrücke erstellen

Gehen Sie in Alteryx One zu Administratorkonsole > Datenbrücken. Wählen Sie dann Datenbrücke erstellen aus. Geben Sie Folgendes ein:
- Name der Datenbrücke
- Region: Die Region muss Ihrer VPC-Region entsprechen und sollte standardmäßig die Region sein, in der Sie sich gerade befinden.
- Verfügbarkeitszonen-ID: Die Verfügbarkeitszonen-ID identifiziert die AWS-Verfügbarkeitszonen, in denen dieser Endpunkt verfügbar ist.
- Port: Über diesen Port wird die Datenbrücke mit Alteryx verbunden. Die Standardeinstellung ist „9001“.
Wählen Sie Weiter aus.
Auf der nächsten Seite werden Sie aufgefordert, die Bridge-Client-Binärdatei in Ihrer VPC zu installieren und zu konfigurieren.
- Bridge-Client-Binärdatei im Lizenzierungsportal herunterladen.
- Bridge-Client mit AWS Secret Access in EC2 importieren:
  Erstellen Sie in AWS eine EC2-Instanz mithilfe von Amazon Linux 2023 AMI, die eine Verbindung zu Ihrer privaten Datenquelle herstellen kann und die Berechtigung hat, in AWS Secrets Manager Geheimnisse zu lesen oder zu schreiben. Weitere Informationen zum Erstellen einer EC2-Instanz finden Sie in der AWS-Dokumentation Erste Schritte mit Amazon EC2.
  Importieren Sie dann den Bridge-Client in das Verzeichnis /home/ec2-user unter /.
  Anmerkung
  Die Datei hat einen Namen mit einer Version wie bridge-client-v1.0.0, sollte aber in bridge-client umbenannt werden, um mit den folgenden Skripten zu arbeiten.
  Machen Sie die Binärdatei ausführbar. Die Bridge-Client-Binärdatei muss über Ausführungsberechtigungen verfügen, damit sie ausgeführt werden kann.
```
chmod +x bridge-client
```
- Konfigurations-Snippet in einer Datei speichern:
  Kopieren Sie den Ausschnitt und fügen Sie ihn in eine Konfigurationsdatei namens bridge-client-config.json im Verzeichnis /home/ec2-user ein, auf das vom Bridge Client verwiesen wird.
  Beispiel:
```
{
  "logging": {
    "logLevel": "info",
    "logFormat": "json"
  },
  "bootstrap" : {
    "storageType": "secretsManager",
    "secretName": "<Name of the AWS Secrets Manager secret where the Bridge Client will store its private key. The Bridge Client will create and populate this secret automatically.>"
  },
  "libp2pPort": 9001,
  "libp2pBindIP": "<Private IPv4 address of the EC2 Instance>",
  "resourceFile": "/home/ec2-user/resources.json"
}
```
  Anmerkung
  Die libp2pBindIP ist die private IPv4-Adresse der EC2-Instanz, in der der Bridge-Client bereitgestellt wird. Überprüfen Sie die AWS-Admin-Konsole auf diese EC2-Instanz.
- Datei resources.json erstellen:
  Erstellen Sie eine Datei mit dem Namen resources.json im Verzeichnis /home/ec2-user. Diese Datei ist erforderlich, damit der Bridge-Client Ressourcen zur Laufzeit starten und verwalten kann.
  Die Datei muss ein leeres JSON-Objekt ({}) enthalten und darf nicht leer sein.
- Bridge-Client als Prozess ausführen:
  - Verwenden Sie systemd, um den Bridge-Client als systemd-Dienst/lang andauernden Prozess auszuführen.
    Kopieren Sie den folgenden Inhalt in eine Datei und benennen Sie sie bridge-client.service im Verzeichnis /etc/systemd/system:
    [Unit] Description=Bridge Client [Service] # App Running ExecStart=/home/ec2-user/bridge-client -c /home/ec2-user/bridge-client-config.json Restart=always RestartSec=30s [Install] WantedBy=multi-user.target
  - Starten Sie den Bridge-Client mit folgendem Befehl:
    sudo systemctl start bridge-client
  - Aktivieren Sie den automatischen Start des Bridge-Clients beim Herunterfahren mit folgendem Befehl:
    sudo systemctl enable bridge-client
  - Führen Sie den folgenden Befehl aus, um den Status des Bridge-Clients zu prüfen:
    sudo systemctl status bridge-client
  - Stellen Sie sicher, dass der Prozessstatus Aktiv: aktiv (wird ausgeführt) lautet. Wenn dies nicht der Fall ist, gibt es wahrscheinlich Probleme beim Start, die über die Protokolle behoben werden sollten.
    Auf die Protokolle eines systemd-Dienstes kann über folgenden Befehl zugegriffen werden, wobei -u der Einheitenname ist und -n beschreibt, wie viele der letzten Protokollzeilen angezeigt werden sollen.
    journalctl -u bridge-client -n 50
  - Notieren Sie nach dem erfolgreichen Start die Peer-ID des Bridge-Clients von stdout.
    Hilfreiches Skript zum Abrufen der Peer-ID:
    sudo journalctl -u bridge-client -n 500 -r --no-pager \ | grep -m1 '"peerID"' \ | sed -E 's/.*"peerID":"([^"]+)".*/\1/'
    Alternativ können Sie manuell nach einer Protokollzeile suchen, die etwa so aussieht:
    {"level":"info","ts":"2025-10-18T01:17:27Z","caller":"bootstrap/bootstrap.go:47","msg":"peerID","name":"bridge_client","peerID":"QmA7kT2Yp8ZLxNwC4H6B5eVJg9sDoUScmRyb3FhXPaMq"}
    Der peerID-Wert wird pro privater Schlüssel generiert und ist für jeden Bridge-Client anders. Beachten Sie, dass jeder Bridge-Client einen eigenen privaten Schlüssel verwenden oder haben sollte. Private Schlüssel sind und dürfen nicht zwischen Bridge-Clients wiederverwendet werden.
- PrivateLink Endpoint Service einrichten:
  Sobald die Installation abgeschlossen ist, richten Sie den PrivateLink Endpoint Service in Ihrer VPC ein.
  - Erstellen und verknüpfen Sie eine Zielgruppe, die auf die spezifische EC2-Instanz zeigt, auf der der Bridge-Client aktiv ist. Eine Integritätsprüfung muss auf der Zielgruppe so konfiguriert werden, dass Port 8081 auf den /ready-Endpunkt des Bridge-Clients zeigt.
  - Erstellen Sie einen Netzwerklastenausgleich, der den gesamten TCP-Datenverkehr an dem Port weiterleitet, auf dem bridge-client-config.json-Dateien für libp2pPort bereitgestellt sind (Standard ist 9001).
    Anmerkung
    Der für den Endpunktdienst verwendete Lastenausgleich muss zwei Verfügbarkeitszonen-IDs enthalten. Eine davon muss mit der Verfügbarkeitszone übereinstimmen, in der der Bridge-Client bereitgestellt wird.
  - Erstellen Sie einen PrivateLink-Endpunktdienst vom Typ „Benutzeroberfläche“ für interne Dienste, der sich im selben VPC-Netzwerk wie die EC2-Instanz befindet.
    Anmerkung
    Wenn Sie einen regionsübergreifenden PrivateLink erstellen möchten, muss der Endpunktdienst als Einträge im Feld Unterstützte Regionensowohl die Zielregion als auch die Region auswählen, in der die Bridge-Client-EC2-Instanz bereitgestellt wird.
Gehen Sie zurück zu Alteryx One > Admin-Konsole > Datenbrücken und wählen Sie Weiter aus, sobald der Endpunktdienst bereit ist. Geben Sie dann Folgendes ein:
- Den Namen des Endpunktdienstes
- Die Peer-ID des Bridge-Clients, die Sie in Schritt 2 notiert haben
Wählen Sie Datenbrücke erstellen aus.

Jetzt können Sie mit dem Hinzufügen von Arbeitsbereichen beginnen.

Arbeitsbereich hinzufügen

Nachdem Sie in der Administratorkonsole eine Datenbrücke erstellt haben, können Sie dieser einen oder mehrere Arbeitsbereiche hinzufügen. Der Prozess der Arbeitsbereichszuordnung dauert in der Regel 13 bis 15 Minuten.

Wählen Sie unter Alteryx One > Administratorkonsole > Datenbrücken die Option Arbeitsbereich hinzufügen aus.
Das Fenster Arbeitsbereich hinzufügen wird geöffnet.
- Wählen Sie einen Arbeitsbereich aus der Dropdown-Liste aus. Es werden nur Arbeitsbereiche mit aktiviertem Workspace Execution angezeigt. Wählen Sie dann Weiter aus.
- Die IAM-Rolle wird angezeigt. Kopieren Sie diese und fügen Sie sie in die Liste Prinzipale zulassen in Ihrer privaten VPC ein. Weitere Informationen zur Konfiguration des AWS IAM Identity Center finden Sie unter Erste Schritte mit IAM Identity Center oder IAM Identity Center-Authentifizierung mit der AWS-CLI konfigurieren.
  Wählen Sie anschließend Weiter aus.
- Ein PrivateLink-Endpunkt wurde erstellt. Wählen Sie Bestätigen aus, um die Verbindung zu testen.
  Wenn der Test erfolgreich war, fahren Sie mit Neue Netzwerkzuordnung erstellen fort.
- Akzeptieren Sie die Verbindung des privaten Endpunkts vom Alteryx Konto.

Neue Datenquellen-Netzwerkzuordnung erstellen

Erstellen Sie eine Netzwerkzuordnung, um der Datenbrücke zu ermöglichen, den Datenverkehr an eine bestimmte private Datenquelle weiterzuleiten. Die Erstellung der Netzwerkzuordnung dauert in der Regel 10 bis 20 Sekunden.

Wählen Sie unter Alteryx One > Administratorkonsole > Datenbrücken die Option Neue Netzwerkzuordnung aus.
Ein Fenster Neue Netzwerkzuordnung wird geöffnet. Geben Sie Folgendes ein:
- Name
- Beschreibung
- Host: Dies ist der genaue Hostname oder die IP-Adresse aus Ihrer Datenquellenverbindung in Connection Manager oder Designer.
- Port: Die für Ihre Datenquelle konfigurierte Portnummer.
Wählen Sie dann Erstellen aus.

Fehlerbehebung und häufig gestellte Fragen

Häufige Installations- und Konfigurationsprobleme

Konnektivitäts- oder DNS-Fehler

Wenn Verbindungsfehler auftreten, suchen Sie nach allgemeinen DNS-Auflösungsproblemen.

Problem: Bridge-Client kann keine Verbindung zu Alteryx Cloud oder Kundendatenquellen herstellen.
Wahrscheinliche Ursache: Falsch konfigurierte VPC-Netzwerke oder falsche DNS-Einstellungen.
Nächste Schritte: Bestätigen Sie die VPC-DNS-Einstellungen, die PrivateLink-Endpunktkonfigurationen und die Firewall-Regeln.

Verbindungslimits

Um DDoS-Schutz (Distributed Denial-of-Service) zu ermöglichen, begrenzt der Bridge-Client eingehende gleichzeitige Verbindungen auf 256 pro Datenquelle. Wenden Sie sich an den Alteryx Kundendienst, wenn Sie dieses Limit erhöhen müssen.

Metriken und Support

Wenn Sie Hilfe beim Debuggen des Bridge-Clients benötigen, rufen Sie den Endpunkt /metrics.json auf, um einen Statusbericht im JSON-Format abzurufen. Bitte fügen Sie diese Ausgabe Ihrem Support-Ticket oder Ihrer Nachricht hinzu, damit das Support-Team das Problem überprüfen kann.

Der Bridge-Client stellt auch einen /metrics-Endpunkt im Prometheus-Stil bereit, den Sie nutzen können, um Dashboards zu erstellen oder die Daten eigenständig zu analysieren.

Upgrade und Kompatibilität

Kompatibilität

Datenbrücken werden nicht unterstützt in:

Bereitstellungen für die Verarbeitung privater Daten
Konfigurationen für privaten Datenspeicher

Upgrades

Upgrades auf den Bridge-Client sind in der Regel erforderlich, wenn neue Funktionen oder Sicherheitsupdates veröffentlicht werden.
Die öffentliche Vorschau setzt Abwärtskompatibilität voraus. Bei Bedarf werden jedoch Upgrade-Anweisungen bereitgestellt.

In diesem Abschnitt: