App Builder in AWS
Dieser Leitfaden führt Sie durch die Einrichtung von App Builder in AWS und ermöglicht eine automatische Datenanalyse und Erkenntnisse. Befolgen Sie die Schritte, um Ihre Einrichtung effizient zu konfigurieren und zu optimieren.
Voraussetzung
Die für Alteryx One dedizierte VPC wurde wie im Abschnitt VPC erstellen beschrieben konfiguriert.
Dienstkonto und Basis-IAM-Richtlinie sind wie unter Schritt 2: IAM konfigurieren beschrieben dem Dienstkonto zugeordnet.
Die PDP-Bereitstellung wurde wie in Schritt 7: Bereitstellung der Handhabung privater Daten auslösenbeschrieben erfolgreich ausgelöst.
Kontoeinrichtung
Schritt 1: IAM konfigurieren
Schritt 1a: App Builder-IAM-Richtlinie erstellen
Anmerkung
AAC_AppBuilder_SA_Policy ist ein Beispiel für einen Richtliniennamen. Sie können einen beliebigen Namen für die Richtlinie wählen, der Name muss jedoch mit AAC_AppBuilder beginnen.
Sie müssen eine benutzerdefinierte IAM-Richtlinie erstellen. Nennen Sie sie AAC_AppBuilder_SA_Policy und hängen Sie das folgende Richtliniendokument an. Wir empfehlen, die JSON-Registerkarte anstelle des visuellen Editors zu verwenden. Alteryx One erfordert einige -Berechtigungen für die Ausführung. Beim Erstellen der Richtlinie werden einige Sicherheitswarnungen angezeigt.
Schritt 1b: IAM-Richtlinie taggen
Versehen Sie die in Schritt 1a erstellte benutzerdefinierte IAM-Richtlinie mit Tags.
Tag-Name | Wert |
|---|---|
AACResource | aac_sa_custom_policy |
Schritt 1c: IAM-Richtlinie anhängen
Hängen Sie die IAM-Richtlinie AAC_AppBuilder_SA_Policy dem auf der Seite AWS-Konto und VPC für private Daten einrichten erstellten aac_automation_sa-Dienstkonto an.
Schritt 2: Subnetz konfigurieren
Anmerkung
Designer Cloud teilt eine Subnetzkonfiguration mit Machine Learning, Auto Insights und App Builder. Wenn Sie mehr als eine dieser Anwendungen bereitstellen, müssen Sie die Subnetze nur einmal konfigurieren.
Designer Cloud in einer Umgebung zur Verarbeitung privater Daten erfordert bis zu drei Subnetzgruppen. Jede Gruppe enthält drei einzelne Subnetze, die jeweils in einer anderen Verfügbarkeitszone liegen.
eks_control-Gruppe (erforderlich): Die EKS-Steuerungsebene verwendet dieses Subnetz, um eingehende Auftragsausführungsanforderungen zu akzeptieren.
eks_node-Gruppe (erforderlich): Der EKS-Cluster verwendet dieses Subnetz zur Ausführung von Alteryx Softwareaufträgen (z. B. Konnektivität, Konvertierung, Verarbeitung und Veröffentlichung).
public-Gruppe (erforderlich): Diese Gruppe führt keine Dienste aus, aber die
eks_node-Gruppe verwendet sie für den ausgehenden Datenverkehr aus dem Cluster.private-Gruppe (erforderlich): Diese Gruppe führt private Dienste für die Verarbeitung privater Daten aus.
Schritt 2a: Subnetze in der VPC erstellen
Konfigurieren Sie Subnetze in der aac-vpc-VPC.
Erstellen Sie Subnetze und taggen Sie sie gemäß dem folgenden Beispiel. Sie können die CIDRs und Subnetzwerte an Ihre Netzwerkarchitektur anpassen.
Die großen Adressräume sind für eine vollständig skaliertes Cluster ausgelegt. Sie können bei Bedarf einen kleineren Adressenspeicher wählen, was aber bei hohen Verarbeitungslasten zu Skalierungsproblemen führen könnte.
Wichtig
Sie müssen Subnetze mit Tag-Name und Tag-Wert, wie in der Tabelle angegeben, taggen.
CIDRs | Subnetzname | Subnetz | AZ | Tag-Name | Tag-Wert | Hinweis |
|---|---|---|---|---|---|---|
10.64.0.0/18 | eks_node | 10.64.0.0/21 | AZa | AACSubnet | eks_node | |
eks_node | 10.64.8.0/21 | AZb | AACSubnet | eks_node | ||
eks_node | 10.64.16.0/21 | AZc | AACSubnet | eks_node | ||
10.64.24.0/21 | ERSATZTEIL | |||||
10.64.32.0/19 | ERSATZTEIL (kann später für blaues/grünes Upgrade konfiguriert werden) | |||||
10.10.0.0/21 | eks_control | 10.10.0.0/27 | AZa | AACSubnet | eks_control | |
eks_control | 10.10.0.32/27 | AZb | AACSubnet | eks_control | ||
eks_control | 10.10.0.64/27 | AZc | AACSubnet | eks_control | ||
10.10.0.96/27 | ERSATZTEIL | |||||
öffentlich | 10.10.0.128/27 | AZa | AACSubnet | öffentlich | ||
öffentlich | 10.10.0.160/27 | AZb | AACSubnet | öffentlich | ||
öffentlich | 10.10.0.192/27 | AZc | AACSubnet | öffentlich | ||
10.10.0.224/27 | ERSATZTEIL | |||||
privat | 10.10.1.0/25 | AZa | AACSubnet | privat | ||
privat | 10.10.1.128/25 | AZb | AACSubnet | privat | ||
privat | 10.10.2.0/25 | AZc | AACSubnet | privat | ||
10.10.1.128/25 | ERSATZTEIL |
Schritt 2b: Subnetzroutentabellen
Erstellen Sie die Routentabelle für Ihre Subnetze. Die Routentabelleneinträge für die Subnetze lauten wie folgt:
Anmerkung
Ihr <gateway id> könnte je nach Netzwerkarchitektur entweder ein pro AZ erstelltes NAT-Gateway oder ein Transit-Gateway sein. Erstellen Sie bei einem NAT-Gateway ein NAT-Gateway pro AZ für öffentliche Subnetze.
Subnetzname | Routenziel | Ziel | Kommentare |
|---|---|---|---|
eks_node | /18 CIDR-Block /21 CIDR-Block <S3 prefix id> 0.0.0.0/0 | Lokal Lokal <vpce endpoint id> <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. |
eks_control | /18 CIDR-Block /21 CIDR-Block <S3 prefix id> 0.0.0.0/0 | Lokal Lokal <vpce endpoint id> <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. |
öffentlich | /18 CIDR-Block /21 CIDR-Block 0.0.0.0/0 | Lokal Lokal <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. |
privat | /18 CIDR-Block /21 CIDR-Block <S3 prefix id> 0.0.0.0/0 | lokal lokal <vpce endpoint id> <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. 0.0.0.0/0 sollte auf das öffentliche Netzwerk ausgedehnt werden. |
Schritt 3: KMS-Schlüsselrichtlinie aktualisieren
Nachdem die Verarbeitung privater Daten erfolgreich erstellt wurde, wird eine benutzerdefinierte Rolle namens credential-service-role im Konto eingerichtet, damit das Dienstkonto der Kubernetes-Anmeldedaten auf private Datenanmeldedaten aus dem Schlüsseltresor zugreifen kann. Aktualisieren Sie außerdem die Richtlinie des KMS-Schlüssels, der in AWS-Konto und VPC für private Daten einrichten – Schritt 5: Einen symmetrischen Schlüssel für den sicheren Tresor erstellen erstellt wurde, um der benutzerdefinierten Rolle credential-service-role die erforderlichen Berechtigungen zu erteilen.
Gehen Sie zu Schlüsselverwaltungsdienste und wählen Sie den Schlüssel aus, der in AWS-Konto und VPC für private Daten einrichten – Schritt 5: Einen symmetrischen Schlüssel für den sicheren Tresor erstellen erstellt wurde.
Wählen Sie Schlüsselrichtlinie und dann Bearbeiten aus.
Löschen Sie die Standardberechtigung und aktualisieren Sie sie mit den folgenden Berechtigungen:
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account id>:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account id>:role/credential-service-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }Anmerkung
<accountId>– AWS-Kontonummer, bei der die Handhabung privater Datenverarbeitungsumgebungen bereitgestellt wurde.Wählen Sie Änderungen speichern aus.
Verarbeitung privater Daten
Achtung
Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.
Schritt 1: App Builder-Bereitstellung auslösen
Die Bereitstellung von App Builder wird von der Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen.
Wählen Sie auf der Alteryx One-Startseite oben rechts das Kreissymbol mit Ihren Initialen aus. Wählen Sie Admin-Konsole im Menü aus.
Wählen Sie im linken Navigationsmenü die Option Handhabung privater Daten aus.
Wählen Sie Sie das Auto Insights-Kontrollkästchen und dann Speichern aus.
Die Auswahl von Aktualisieren löst die Bereitstellung des Clusters und der Ressourcen im AWS-Konto aus. Dadurch wird eine Reihe von Validierungsprüfungen durchgeführt, um die korrekte Konfiguration des AWS-Kontos zu überprüfen.
Nachdem die ersten Validierungsprüfungen abgeschlossen sind, beginnt die Bereitstellung. Ein Meldungsfeld auf dem Bildschirm wird regelmäßig mit Statusaktualisierungen aktualisiert.
Anmerkung
Der Bereitstellungsprozess dauert bis zum Abschluss etwa 35–40 Minuten.
Nach Abschluss der Bereitstellung können Sie die erstellten Ressourcen (z. B. EC2-Instanzen und Knotengruppen) über die AWS-Konsole anzeigen. Es ist sehr wichtig, dass Sie sie nicht selbst ändern. Manuelle Änderungen können zu Problemen mit der Funktionalität der Verarbeitung personenbezogener Daten führen.