Cloud Execution for Desktop en Azure
Sigue esta guía para implementar el módulo de Cloud Execution for Desktop para el procesamiento privado de datos de Azure.
Requisitos previos
Antes de implementar el módulo de Cloud Execution for Desktop, debes completar estos pasos en la página Configura la suscripción de Azure y Vnet para datos privados:
Se configuró un grupo de recursos dedicado al Alteryx One Platform como se menciona en la sección Crear grupo de recursos.
Se configuró una Vnet dedicada a Alteryx One como se menciona en la sección Configurar red privada virtual.
Registro de aplicación y política de IAM base adjuntos a la cuenta de servicio como se menciona en la sección Configurar IAM.
Se activó correctamente el aprovisionamiento de procesamiento privado de datos, como se menciona en la sección Aprovisionamiento de manejo privado de datos de activación.
Configuración de la suscripción
Paso 1: Cómo configurar IAM
Paso 1a: Crear un rol personalizado de IAM
Nota
AAC_CEFD_SA_Role es un nombre de rol de ejemplo. Puedes elegir cualquier nombre para el rol, pero el nombre debe comenzar con AAC_CEFD.
Debes crear un rol de IAM personalizado. Nómbralo AAC_CEFD_SA_Role y utiliza el siguiente documento de roles. Recomendamos utilizar la pestaña JSON en lugar del editor visual. Alteryx One requiere algunos permisos de * para ejecutarse. Espera algunas advertencias de seguridad cuando crees el rol.
Importante
Actualiza el alcance de assignableScopes de este rol personalizado. El alcance debe ser el Id. de suscripción.
{
"properties": {
"roleName": "AAC_CEFD_SA_Role",
"description": "Custom role for provisioning AAC private data handling",
"assignableScopes": [
"/subscriptions/<subscription ID>"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/cloudServices/*",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Insights/autoScaleSettings/delete",
"Microsoft.Insights/autoScaleSettings/read",
"Microsoft.Insights/autoScaleSettings/write",
"Microsoft.KeyVault/*",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/loadBalancers/probes/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/locations/*",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.RecoveryServices/locations/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Web/serverFarms/write",
"Microsoft.Web/serverFarms/read",
"Microsoft.Web/serverFarms/delete",
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/write",
"Microsoft.OperationalInsights/workspaces/delete",
"Microsoft.Insights/components/*",
"Microsoft.Web/sites/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}Paso 1b: Vincular el rol personalizado al registro de la aplicación en la suscripción
Agrega el rol personalizado de IAM AAC_CEFD_SA_Role a la cuenta de servicio aac_automation_sa creada en la página Configura la suscripción de Azure y Vnet para datos privados.
Paso 1c: Habilitar la personalización del entorno Cloud Execution
La personalización del entorno Cloud Execution permite a los clientes cargar controladores y conectores personalizados en un bucket S3.
Para habilitar la configuración de personalización, establece feature.privateDataPlaneHandling.admin.cEFDEnvironmentCustomizationsEnabled como VERDADERO.
Crear un rol de IAM de personalización de CEFD
Crea un rol de IAM personalizado, nómbralo AAC_CEFD_Customization_SA_Role y adjunta el siguiente documento de política.
Nota
El nombre del rol al que se hace referencia aquí es un ejemplo. Puedes elegir cualquier nombre para el rol, pero el nombre debe comenzar con AAC_CEFD_Customization.
Recomendamos utilizar la pestaña JSON en lugar del editor visual. Alteryx One Platform requiere algunos* permisos para ejecutarse. Espera algunas advertencias de seguridad cuando crees la política.
{
"properties": {
"roleName": "AAC_CEFD_Customization_SA_Role",
"description": "Custom role for provisioning AAC private data handling",
"assignableScopes": [
"/subscriptions/<subscription ID>"
],
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/agentPools/delete",
"Microsoft.ContainerService/managedClusters/agentPools/read",
"Microsoft.ContainerService/managedClusters/agentPools/upgradeNodeImageVersion/write",
"Microsoft.ContainerService/managedClusters/agentPools/write",
"Microsoft.ContainerService/managedClusters/availableAgentPoolVersions/read",
"Microsoft.ContainerService/managedClusters/delete",
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Storage/storageAccounts/*"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
]
}
}Actualiza el alcance de assignableScopes del rol personalizado. El alcance debe ser el Id. de suscripción.
Vincular el rol personalizado al registro de la aplicación en la suscripción
Agrega el rol personalizado que creaste en el paso anterior a la cuenta de servicio aac_automation_sa creada en Paso 3: Cómo configurar IAM.
Paso 2: Tabla de rutas
Crea la tabla de rutas para tus subredes.
Importante
Debes configurar la Vnet con una conexión de red a Internet en tu suscripción.
Nota
Esta tabla de rutas es un ejemplo.
Prefijo de dirección | Siguiente tipo de salto |
|---|---|
/22 Bloque de CIDR | v-net |
0.0.0.0/0 | <gateway_ID> |
Nota
Tu <id> de puerta de enlace puede ser una puerta de enlace NAT creada por AZ o una puerta de enlace de tránsito, según la arquitectura de tu red.
Paso 3: Configurar la subred
Cloud Execution for Desktop en el procesamiento privado de datos requiere una subred.
aac_public (obligatorio): este grupo no ejecuta ningún servicio, pero se utiliza para salir del clúster. Delega esta subred a
Microsoft.ContainerService/managedClusters, que otorga permisos al servicio AKS para inyectar los pods del servidor de API y el equilibrador de carga interno en esa subred.aac_private (obligatorio): este grupo ejecuta servicios privados para el PDP.
aac_option: utiliza este grupo si habilitas Cloud Execution for Desktop dentro de tu procesamiento privado de datos. Si habilitas esta opción, se ejecuta un enjambre AMI en esta subred para manejar los trabajos de procesamiento de Designer Desktop que se ejecutan en la nube.
aac_function (obligatorio): esta subred es utilizada por la función Azure para escalar automáticamente las máquinas virtuales de Cloud Execution for Desktop. Delega esta subred a Microsoft.Web/serverFarms para crear y administrar las interfaces de red para las instancias de la aplicación Función dentro de esta subred.
Paso 3a: Crear subred en la Vnet
Configura las subredes en la VPC aac_vpc.
Crea subredes siguiendo el ejemplo a continuación. Puedes ajustar los valores del espacio de la dirección y la subred para que coincidan con tu arquitectura de red. Adjunta el grupo de seguridad de red creado en la página Configura la suscripción de Azure y Vnet para datos privados a las subredes.
Los espacios de direcciones están diseñados para adaptarse a un entorno de procesamiento de datos totalmente escalado. Puedes elegir un espacio de direcciones más pequeño si es necesario, pero podrías tener problemas de escalado bajo cargas de procesamiento pesadas.
Importante
El Nombre de la subred no es un campo flexible. Debe coincidir con la siguiente tabla.
Espacio de la dirección | Nombre de la subred | Subred | Puntos de conexión de servicio | Tabla de rutas | Notas |
|---|---|---|---|---|---|
10.10.0.0/22 | aac_option | 10.10.0.0/23 | Microsoft.Storage Microsoft.KeyVault | Adjunta a la tabla de rutas creada en el paso 2. | |
aac_function | 10.10.2.0/29 | Ninguno | Microsoft.Web/serverFarms |
Procesamiento de datos privados
Atención
Cambiar o eliminar cualquier recurso de nube pública provisionado por Alteryx One después de configurar el Manejo privado de datos puede causar incoherencias. Estas incoherencias pueden provocar errores durante la ejecución de tareas o al desaprovisionar la configuración de Manejo privado de datos.
Paso 1: Activar la implementación de Cloud Execution
El aprovisionamiento de Cloud Execution for Desktop se activa desde la consola de administrador dentro de Alteryx One. Necesitas privilegios de administrador de espacio de trabajo para poder verlo dentro de un espacio de trabajo.
En la página inicial de Alteryx One, selecciona el menú Perfil y, a continuación, selecciona Administrador de espacio de trabajo.
Desde la consola de administración, selecciona Manejo privado de datos y, a continuación, selecciona Procesamiento.
Selecciona la casilla de verificación de Cloud Execution for Desktop y, a continuación, selecciona Update.
Al seleccionar Actualizar, se activa la implementación del clúster y los recursos en la suscripción a Azure. Esto ejecuta un conjunto de comprobaciones de validación para verificar la configuración correcta de la suscripción a Azure.
Nota
El proceso de aprovisionamiento tarda aproximadamente entre 35 y 40 minutos en completarse.
Después de completar el aprovisionamiento, puedes ver los recursos creados (por ejemplo, instancias de VM y grupos de nodos) a través de Azure Portal. Es muy importante que no los modifiques tú mismo. Los cambios manuales pueden causar problemas con la función del procesamiento privado de datos.