Skip to main content

Cloud Execution for Desktop in Azure

Befolgen Sie diese Anleitung, um das Cloud Execution for Desktop-Modul für die Verarbeitung personenbezogener Daten in Azure bereitzustellen.

Voraussetzung

Bevor Sie das Cloud Execution for Desktop-Modul bereitstellen, müssen Sie die folgenden Schritte auf der Azure-Abonnement und Vnet für private Daten einrichten-Seite ausführen:

  1. Eine für Alteryx One Platform bestimmte Ressourcengruppe konfigurieren, wie im Abschnitt Ressourcengruppe erstellen beschrieben.

  2. Eine Vnet konfigurieren, die speziell für Alteryx One bestimmt ist, wie im Abschnitt Virtuelles privates Netzwerk konfigurieren beschrieben.

  3. An das Dienstkonto angehängte App-Registrierung und Basis-IAM-Richtlinie, wie im Abschnitt IAM konfigurieren beschrieben.

  4. Lösen Sie die Bereitstellung der Verarbeitung privater Daten aus, wie im Abschnitt „Bereitstellung der Handhabung privater Daten auslösen“ beschrieben.

Abonnement-Einrichtung

Schritt 1: IAM konfigurieren

Schritt 1a: Benutzerdefinierte IAM-Rolle erstellen

Anmerkung

AAC_CEFD_SA_Role ist ein Beispiel für einen Rollennamen. Sie können einen beliebigen Namen für die Rolle auswählen, der Name muss jedoch mit AAC_CEFD beginnen.

Sie müssen eine benutzerdefinierte IAM-Rolle erstellen. Nennen Sie sie AAC_CEFD_SA_Role und verwenden Sie das folgende Rollendokument. Wir empfehlen, die JSON-Registerkarte anstelle des visuellen Editors zu verwenden. Alteryx One erfordert einige -Berechtigungen für die Ausführung. Beim Erstellen der Rolle werden einige Sicherheitswarnungen angezeigt.

Wichtig

Aktualisieren Sie den Geltungsbereich assignableScopes dieser benutzerdefinierten Rolle. Der Geltungsbereich muss die Abonnement-ID sein.

{
    "properties": {
        "roleName": "AAC_CEFD_SA_Role",
        "description": "Custom role for provisioning AAC private data handling",
        "assignableScopes": [
            "/subscriptions/<subscription ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Authorization/roleAssignments/delete",
                    "Microsoft.Authorization/roleAssignments/write",
                    "Microsoft.Compute/availabilitySets/*",
                    "Microsoft.Compute/cloudServices/*",
                    "Microsoft.Compute/disks/delete",
                    "Microsoft.Compute/disks/read",
                    "Microsoft.Compute/disks/write",
                    "Microsoft.Compute/locations/*",
                    "Microsoft.Compute/virtualMachineScaleSets/*",
                    "Microsoft.Compute/virtualMachines/*",
                    "Microsoft.Insights/autoScaleSettings/delete",
                    "Microsoft.Insights/autoScaleSettings/read",
                    "Microsoft.Insights/autoScaleSettings/write",
                    "Microsoft.KeyVault/*",
                    "Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
                    "Microsoft.ManagedIdentity/userAssignedIdentities/delete",
                    "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
                    "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
                    "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
                    "Microsoft.ManagedIdentity/userAssignedIdentities/read",
                    "Microsoft.ManagedIdentity/userAssignedIdentities/write",
                    "Microsoft.Network/applicationGateways/backendAddressPools/join/action",
                    "Microsoft.Network/loadBalancers/backendAddressPools/join/action",
                    "Microsoft.Network/loadBalancers/inboundNatPools/join/action",
                    "Microsoft.Network/loadBalancers/inboundNatRules/join/action",
                    "Microsoft.Network/loadBalancers/probes/join/action",
                    "Microsoft.Network/loadBalancers/read",
                    "Microsoft.Network/locations/*",
                    "Microsoft.Network/networkInterfaces/*",
                    "Microsoft.Network/networkSecurityGroups/delete",
                    "Microsoft.Network/networkSecurityGroups/join/action",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Network/networkSecurityGroups/write",
                    "Microsoft.Network/publicIPAddresses/join/action",
                    "Microsoft.Network/publicIPAddresses/read",
                    "Microsoft.Network/routeTables/read",
                    "Microsoft.Network/routeTables/routes/read",
                    "Microsoft.Network/routeTables/routes/write",
                    "Microsoft.Network/routeTables/write",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Network/virtualNetworks/subnets/join/action",
                    "Microsoft.RecoveryServices/locations/*",
                    "Microsoft.ResourceHealth/availabilityStatuses/read",
                    "Microsoft.Resources/deployments/*",
                    "Microsoft.Resources/subscriptions/operationresults/read",
                    "Microsoft.Resources/subscriptions/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Web/serverFarms/write",
                    "Microsoft.Web/serverFarms/read",
                    "Microsoft.Web/serverFarms/delete",
                    "Microsoft.OperationalInsights/workspaces/read",
                    "Microsoft.OperationalInsights/workspaces/write",
                    "Microsoft.OperationalInsights/workspaces/delete",
                    "Microsoft.Insights/components/*",
                    "Microsoft.Web/sites/*"
                    
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Schritt 1b: Benutzerdefinierte Rolle an App-Registrierung im Abonnement binden

Fügen Sie die benutzerdefinierte IAM-Rolle AAC_CEFD_SA_Role dem auf der Seite Azure-Abonnement und Vnet für private Daten einrichten erstellten Dienstkonto aac_automation_sa hinzu.

Schritt 1c: Cloud Execution-Umgebungsanpassung aktivieren

Mit der Cloud Execution-Umgebungsanpassung können Kund:innen benutzerdefinierte Treiber und Konnektoren in ein S3-Bucket hochladen.

Um die Anpassungseinrichtung zu aktivieren, setzen Sie feature.privateDataPlaneHandling.admin.cEFDEnvironmentCustomizationsEnabled auf TRUE.

IAM-Rolle für die CEFD-Anpassung erstellen

Erstellen Sie eine benutzerdefinierte IAM-Rolle, benennen Sie sie AAC_CEFD_Customization_SA_Role und hängen Sie das folgende Richtliniendokument an.

Anmerkung

Der hier genannte Rollenname ist ein Beispiel. Sie können einen beliebigen Namen für die Rolle auswählen, der Name muss jedoch mit AAC_CEFD_Customization beginnen.

Wir empfehlen, die JSON-Registerkarte anstelle des visuellen Editors zu verwenden. Alteryx One Platform erfordert einige *-Berechtigungen, um ausgeführt werden zu können. Beim Erstellen der Richtlinie werden einige Sicherheitswarnungen angezeigt.

{
    "properties": {
        "roleName": "AAC_CEFD_Customization_SA_Role",
        "description": "Custom role for provisioning AAC private data handling",
        "assignableScopes": [
            "/subscriptions/<subscription ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ContainerService/fleets/listCredentials/action",
                    "Microsoft.ContainerService/fleets/read",
                    "Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
                    "Microsoft.ContainerService/managedClusters/agentPools/delete",
                    "Microsoft.ContainerService/managedClusters/agentPools/read",
                    "Microsoft.ContainerService/managedClusters/agentPools/upgradeNodeImageVersion/write",
                    "Microsoft.ContainerService/managedClusters/agentPools/write",
                    "Microsoft.ContainerService/managedClusters/availableAgentPoolVersions/read",
                    "Microsoft.ContainerService/managedClusters/delete",
                    "Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
                    "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
                    "Microsoft.ContainerService/managedClusters/read",
                    "Microsoft.ContainerService/managedClusters/runcommand/action",
                    "Microsoft.ContainerService/managedClusters/write",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Storage/storageAccounts/*"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.ContainerService/fleets/*",
                    "Microsoft.ContainerService/managedClusters/*"
                ],
                "notDataActions": []
            }
        ]
    }
}

Aktualisieren Sie den Geltungsbereich assignableScopes der benutzerdefinierten Rolle. Der Geltungsbereich muss die Abonnement-ID sein.

Benutzerdefinierte Rolle an App-Registrierung im Abonnement binden

Fügen Sie die benutzerdefinierte Rolle, die Sie im vorherigen Schritt erstellt haben, dem aac_automation_sa-Dienstkonto hinzu, das in Schritt 3: IAM konfigurieren erstellt wurde.

Schritt 2: Routentabelle

Erstellen Sie die Routentabelle für Ihre Subnetze.

Wichtig

Sie müssen das Vnet mit einer Netzwerkverbindung zum Internet in Ihrem Abonnement konfigurieren.

Anmerkung

Diese Routentabelle dient als Beispiel.

Adresspräfix

Typ des nächsten Hops

/22 CIDR-Block

v-net

0.0.0.0/0

<gateway_ID>

Anmerkung

Ihr Gateway <gateway id> kann je nach Netzwerkarchitektur entweder ein pro AZ erstelltes NAT-Gateway oder ein Transit-Gateway sein.

Schritt 3: Subnetz konfigurieren

Cloud Execution for Desktop in der Verarbeitung privater Daten ist 1 Subnetz erforderlich.

  • aac_public (erforderlich): Diese Gruppe führt keine Dienste aus, wird aber für den ausgehenden Datenverkehr aus dem Cluster verwendet. Delegieren Sie dieses Subnetz an Microsoft.ContainerService/managedClusters, wodurch dem AKS-Dienst Berechtigungen erteilt werden, die API-Dienst-Pods und den internen Load Balancer in dieses Subnetz einzuspeisen.

  • aac_private (erforderlich): Diese Gruppe führt private Dienste für den PDP aus.

  • aac_option: Verwenden Sie diese Gruppe, wenn Sie Cloud Execution for Desktop in der Verarbeitung Ihrer privaten Daten aktivieren. Wenn Sie diese Option aktivieren, wird ein AMI-Swarm in diesem Subnetz ausgeführt, um Designer Desktop-Verarbeitungsaufträge zu handhaben, die in der Cloud ausgeführt werden.

  • aac_function: (erforderlich) Dieses Subnetz wird von der Azure-Funktion für die automatische Skalierung von Cloud Execution for Desktop-VMs verwendet. Delegieren Sie dieses Subnetz an Microsoft.Web/serverFarms, um die Netzwerkschnittstellen für die Instanzen von Funktion-Apps innerhalb dieses Subnetzes zu erstellen und zu verwalten.

Schritt 3a: Subnetz in der Vnet erstellen

Konfigurieren Sie Subnetze in der aac-vpc-VPC.

Erstellen Sie Subnetze gemäß dem Beispiel unten. Sie können die Werte des Adressraums und des Subnetzes an Ihre Netzwerkarchitektur anpassen. Hängen Sie die Netzwerksicherheitsgruppe, die auf der Seite Azure-Abonnement und Vnet für private Daten einrichten erstellt wurde, den Subnetzen an.

Die Adressräume sind für eine vollständig skalierte Datenverarbeitungsumgebung ausgelegt. Sie können bei Bedarf einen kleineren Adressenspeicher wählen, was aber bei hohen Verarbeitungslasten zu Skalierungsproblemen führen könnte.

Wichtig

Der Subnetzname ist kein flexibles Feld. Er muss mit der folgenden Tabelle übereinstimmen.

Adressraum

Subnetzname

Subnetz

Dienstendpunkte

Routentabelle

Anmerkungen

10.10.0.0/22

aac_option

10.10.0.0/23

Microsoft.Storage

Microsoft.KeyVault

An die in Schritt 2 erstellte Routentabelle anhängen.

aac-function

10.10.2.0/29

Keine

Microsoft.Web/serverFarms

Verarbeitung privater Daten

Achtung

Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.

Schritt 1: Cloud Execution-Bereitstellung auslösen

Die Bereitstellung der Cloud Execution for Desktop wird über die Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen.

  1. Wählen Sie über die Alteryx One-Startseite das Menü Profil und dann Arbeitsbereich-Administrator aus.

  2. Wählen Sie in der Admin-Konsole die Option Handhabung privater Daten und dann Verarbeitung aus.

  3. Wählen Sie Sie das Cloud Execution for Desktop-Kontrollkästchen und dann Aktualisieren aus.

Die Auswahl von Aktualisieren löst die Bereitstellung des Clusters und der Ressourcen im Azure-Abonnement aus. Dadurch wird eine Reihe von Validierungsprüfungen durchgeführt, um die korrekte Konfiguration des Azure-Abonnements zu überprüfen.

Anmerkung

Der Bereitstellungsprozess dauert bis zum Abschluss etwa 35–40 Minuten.

Nach Abschluss der Bereitstellung können Sie die erstellten Ressourcen (z. B. VM-Instanzen und Knoten-Pools) über das Azure-Portal anzeigen. Es ist sehr wichtig, dass Sie sie nicht selbst ändern. Manuelle Änderungen können zu Problemen mit der Funktionalität der Verarbeitung personenbezogener Daten führen.

In diesem Abschnitt: