Skip to main content

Configura la suscripción de Azure y Vnet para datos privados

El procesamiento privado de datos de Azure implica ejecutar un clúster de procesamiento de datos de Alteryx One Platform dentro de tu suscripción de Azure y Vnet. Esta combinación de tu infraestructura, junto con los recursos y software de Azure administrados por Alteryx, se conoce comúnmente como procesamiento de datos privado.

Esta página se centra en cómo configurar tu suscripción de Azure y Vnet para un procesamiento de datos privado en Alteryx One.

Nota

La suscripción de Azure y la configuración de Vnet requieren acceso y permisos al portal de Azure. Si no tienes este acceso, comunícate con tu equipo de TI para completar este paso.

Atención

Nunca elimines los recursos aprovisionados para el procesamiento privado de datos.

Pasos de configuración

Importante

Para continuar con estos pasos, debes tener asignados los roles de RBAC de desarrollador y propietario de aplicaciones de Azure.

Paso 1: Seleccionar la suscripción de Azure

Selecciona la suscripción en la que deseas ejecutar el procesamiento de datos privado.

Para optimizar el rendimiento y minimizar los costos de salida, el almacenamiento de blob y el manejo privado de datos del clúster de AKS deben residir en la misma región y grupo de recursos que el almacenamiento privado de datos. Esto se aplica a cualquier fuente de datos que desees conectar a Alteryx One.

La VPC creada en la suscripción de Azure debe estar dedicada a Alteryx One. Puedes configurar la conectividad a fuentes de datos privadas a través de la conexión de VPC, las puertas de enlace de tránsito, PrivateLink u otros.

Paso 2: Crear un grupo de recursos

Recursos en la nube de Azure requeridos de Alteryx One para implementar en un grupo de recursos.

  1. Crea un grupo de recursos con el nombre aac_resource_group.

    Nota

    aac_resource_group es un nombre de ejemplo en esta guía. Puedes elegir cualquier nombre para el grupo de recursos.

  2. Etiqueta el grupo de recursos con estos parámetros:

    1. Nombre de la etiqueta: AACResource

    2. Valor de etiqueta: aac

  3. Revisa y crea el grupo de recursos.

Paso 3: Cómo configurar IAM

Con tu suscripción de Azure en su lugar, ahora configura la entidad de servicio y las claves de acceso.

Nota

Puedes utilizar el mismo registro de aplicación para proporcionar el procesamiento privado de datos en una suscripción diferente bajo el mismo inquilino.

Paso 3a: Crear un registro de aplicación (cuenta de servicio) 

  1. Crea un nuevo registro con el nombre aac_automation_sa.

  2. En Tipos de cuenta admitidos, selecciona Cuentas en cualquier directorio organizativo (Cualquier tenant de Microsoft Entra ID - Multitenant).

  3. Selecciona Registrar.

  4. Generar una clave de acceso:

    1. Selecciona el registro de aplicación que acabas de crear.

    2. Selecciona Certificados y secretos.

    3. Selecciona Secretos de cliente.

    4. Selecciona Nuevo secreto de cliente.

    5. Selecciona Agregar.

Nota

Necesitarás el ID del cliente del registro de aplicaciones y la clave secreta para aprovisionar los recursos en la nube para el procesamiento privado de datos.

Paso 3b: Crear un rol personalizado de IAM

Debes crear un rol de IAM personalizado. Nombra el rol de IAM AAC_Base_SA_Role y adjunta el siguiente documento de rol. Recomendamos que utilices la pestaña JSON en lugar del editor visual. Alteryx One requiere algunos permisos * para ejecutarse. Espera algunas advertencias de seguridad cuando crees el rol.

{
    "properties": {
        "roleName": "AAC_Base_SA_Role",
        "description": "Custom role for provisioning AAC private data handling",
        "assignableScopes": [
            "/subscriptions/<subscription ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Network/applicationGateways/backendAddressPools/join/action",
                    "Microsoft.Network/locations/*",
                    "Microsoft.Network/networkInterfaces/*",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Network/publicIPAddresses/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Resources/deployments/*",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Resources/subscriptions/read",
                    "Microsoft.Resources/subscriptions/operationresults/read",
                    "Microsoft.Storage/storageAccounts/*",
                    "Microsoft.KeyVault/*",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Network/routeTables/routes/read",
                    "Microsoft.Network/routeTables/read",
                    "Microsoft.Authorization/roleDefinitions/write",
                    "Microsoft.Authorization/roleDefinitions/delete",
                    "Microsoft.Authorization/roleAssignments/delete"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Importante

AAC_Base_SA_Rol es un nombre de rol de ejemplo. Puedes elegir cualquier nombre para el rol, pero el nombre debe comenzar con AAC_Base.

Paso 3c: Vincular el rol personalizado al registro de la aplicación en la suscripción

  1. Selecciona la suscripción que creaste en el paso 1.

  2. Selecciona Control de acceso (IAM).

  3. Selecciona Agregar y, a continuación, Agregar asignación de rol.

  4. Selecciona el rol personalizado que creaste en el paso 3b.

    1. El rol personalizado puede estar en la pestañaRoles de función de tarea o Roles de administrador privilegiados.

  5. Selecciona Siguiente.

  6. En Miembros, selecciona el registro de la aplicación creado en el paso 3a.

  7. En Condiciones, selecciona Permitir que el usuario asigne todos los roles excepto los roles de administrador privilegiados Propietario, UAA, RBAC.

  8. En Tipo de tarea, selecciona Activo y Duración de la tarea como permanente.

  9. Selecciona Revisar y Asignar.

Paso 4: Crear grupo de seguridad de red (NSG)

  1. Crea un grupo de seguridad de red en el grupo de recursos aac_resource_group.

  2. Etiqueta el grupo de seguridad de red con estos parámetros:

    1. Nombre de la etiqueta: AACResource

    2. Valor de etiqueta: aac

Paso 5: Configurar la red privada virtual

Paso 5a: Crear una red virtual (Vnet)

  1. Crea una red virtual en el grupo de recursos aac_resource_group.

    Sugerencia

    Azure crea un espacio de direcciones predeterminado y una subred predeterminada. Elimina la subred predeterminada y actualiza el espacio de direcciones.

    Los bloques CIDR mencionados a continuación están reservados para el plano de control de Alteryx One. Evita configurar los CIDR de VPC con:

    • 100.64.0.0/10

    • 10.4.0.0/14

    • 10.64.0.0/20

    • 10.0.0.0/22

  2. Agrega estos espacios de direcciones IPv4 según los módulos que desees implementar. Es posible que debas crear la red virtual con un solo espacio de dirección y, a continuación, seleccionar Configuración > Espacio de dirección para agregar el segundo.

    1. Para Designer Cloud y Machine Learning, agrega espacios de direcciones /18 y /22.

    2. Para la ejecución en Cloud para Desktop, agrega espacio de direcciones /22

  3. Etiqueta la Vnet con estos parámetros:

    1. Nombre de la etiqueta: AACResource

    2. Valor de etiqueta: aac

Paso 5b: Configurar el indicador de características

Registra el indicador de características EnableAPIServerVnetIntegrationPreview en tu suscripción de Azure.

Nota

Las conexiones a fuentes de datos privadas requieren rutas de red entre la Vnet y la fuente de datos. Como se define en la matriz de responsabilidad compartida, configuras estas rutas de red de acuerdo con tus propias políticas y preferencias de red.

Paso 5c: Lista blanca de IP

Los productos de Alteryx Cloud se implementan dentro de un clúster de Kubernetes. El plano de control se comunica de forma segura con el clúster de Kubernetes de plano de datos a través de un túnel VPN de WireGuard. Para habilitar una comunicación fluida y segura a través de WireGuard VPN, la siguiente dirección IP debe incluirse en la lista blanca en la red del plano de datos para el tráfico de entrada y salida:

PDP en Alteryx Cloud

Los IP que se incluirán en la lista blanca

us1.alteryxcloud.com

Los IP del servidor WireGuard: 34.149.191.17 y puerto TCP 443

34.127.5.134, 35.203.150.52 y puerto UDP 51820

Los IP del plano de control: 34.118.199.26, 34.82.130.80/29

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 en el puerto TCP 443

eu1.alteryxcloud.com

Los IP del servidor WireGuard: 35.244.193.191 y puerto TCP 443

34.141.115.208, 34.159.185.26 y puerto UDP 51820

Los IP del plano de control: 34.141.45.236, 34.89.162.16/29

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

au1.alteryxcloud.com

Los IP del servidor WireGuard: 34.107.140.97 y puerto TCP 443

35.197.167.155, 35.244.84.72, y puerto UDP 51820

Los IP del plano de control: 34.87.234.110, 34.40.128.80/29

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

preprod.alteryxcloud.com

Los IP del servidor WireGuard: 34.120.226.216 y puerto TCP 443

35.230.188.196, 35.221.3.230 y puerto UDP 51820

Los IP del plano de control: 34.86.96.59, 35.199.17.14, 34.86.74.210

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

Paso 6: Crear un almacén de claves

Tus credenciales de fuente de datos se cifran con tu clave y se almacenan de forma segura en un almacén privado (almacenamiento de credenciales privadas) dentro de tu cuenta de plano de datos privado. Estas credenciales solo se recuperan del almacén cuando las necesitas.

  1. Crear un almacén de claves en el grupo de recursos aac_resource_group.

  2. Nombra el almacén aac-credentials-vault y selecciona Siguiente.

  3. Elige el control de acceso basado en roles de Azure como modelo de permisos y, luego, selecciona Siguiente para continuar.

  4. Para permitir el acceso, selecciona Redes seleccionadas.

  5. Etiqueta el almacén de claves

    Nombre de la etiqueta

    Valor

    AACResource

    aac

  6. Selecciona Revisar y Crear.

    Nota

    El nombre del almacén de claves se proporciona en la página Procesamiento privado de datos.

Paso 7: Activar el aumento de la cuota de solicitud

De forma predeterminada, cada suscripción de Azure tiene un límite máximo en la cantidad de vCPU que se ejecutan simultáneamente. Para ejecutar tu entorno privado, debes solicitar un aumento en la cuota. Esto permite que tu entorno se amplíe para satisfacer tu demanda.

La cantidad exacta que especifiques dependerá de varios factores, como cuántas aplicaciones estés ejecutando, tu nivel de tolerancia para esperar a que se ejecuten las tareas si no hay suficiente hardware y tu disposición a pagar por más infraestructura para que puedas pasar menos tiempo esperando que se ejecuten las tareas.

A continuación, proporcionaremos números recomendados para ejecutar cargas de trabajo de analítica en Alteryx One Platform. Puedes elegir un número diferente. Por ejemplo, es posible que no desees escalar tan alto para limitar el costo del entorno. O es posible que desees aumentarlo porque estás ejecutando varias aplicaciones de Alteryx One Platform y quieres asegurarte de que el hardware siempre esté disponible.

Alteryx recomienda solicitar un aumento de cuotas para las siguientes cuotas:

Límites de CPU

Nombre de cuota: Total de vCPU regionales

Alcance: Regional

Valor de cuota predeterminado de Azure: 10

Valor de cuota recomendado: 800 (50 nodos * 16 CPU por nodo)

Nombre de la cuota: vCPU estándar de la familia Basv2

Alcance: Regional

Valor de cuota predeterminado de Azure: 10

Valor de cuota recomendado: 800 (50 nodos * 16 CPU por nodo)

Paso 8: Activar el aprovisionamiento de manejo privado de datos

Aviso

Cambiar o eliminar cualquier recurso de nube pública provisionado por Alteryx One después de configurar el Manejo privado de datos puede causar incoherencias. Estas incoherencias pueden provocar errores durante la ejecución de tareas o al desaprovisionar la configuración de Manejo privado de datos.

El aprovisionamiento del entorno de procesamiento de datos se activa desde la consola de administrador en Alteryx One. Necesitas privilegios de administrador de espacio de trabajo para poder verlo dentro de un espacio de trabajo.

  1. En la página inicial de Alteryx One, selecciona el ícono de círculo en la parte superior derecha con tus iniciales en él. Selecciona Consola de administración en el menú.

  2. Selecciona Manejo privado de datos en el menú de navegación de la izquierda.

Asegúrate de que el almacenamiento privado de datos aparezca comoconfigurado correctamente antes de continuar. Si el estado es no está configurado, primero dirígete a ADLS as Private Data Storage y vuelve a este paso.

En la sección Procesamiento privado de datos, debes completar cinco campos. Estos valores provienen de los pasos de configuración que acabas de completar.

Al seleccionar Crear, se activará un conjunto de comprobaciones de validación para verificar que la suscripción de Azure esté configurada según sea necesario. Si los permisos no están configurados de forma adecuada o los recursos de Vnet no se crean o etiquetan correctamente, recibirás un mensaje de error con una descripción que debería apuntarte en la dirección correcta.

Notas importantes

Sincronización de los cambios en la configuración

Alteryx One Platform es un sistema distribuido. Los cambios realizados en la configuración de procesamiento privado de datos deben propagarse a varios sistemas antes de que surtan efecto completo. Por ejemplo, si tu espacio de trabajo ya tiene tareas programadas que se ejecutan cuando configuras el procesamiento privado de datos, es posible que sigas viendo la ejecución de tareas en el entorno de procesamiento de datos de Alteryx durante unos minutos después.

Acceso de Terraform Runner a tu VPC

Alteryx utiliza Terraform para aplicar cambios en la infraestructura y los recursos en la nube dentro de tu VPC. Agregamos una cantidad de direcciones IP a una lista de permisos en el clúster de EKS para que nuestros corredores Terraform y el plano de control tengan acceso.

No modifiques esta lista.

Puedes encontrar direcciones del plano de control de Alteryx en Agregar el rango de direcciones IP del servicio Alteryx a la lista de permitidos. Los corredores Terraform de Alteryx utilizan las siguientes direcciones IP:

  • “44.227.135.252/32”

  • “44.225.123.94/32”

  • “104.193.47.0/24”

  • “66.35.44.241/32”

  • “74.199.216.160/27”

  • “54.188.210.240/32”

Conexiones salientes

El software que se ejecuta en tu entorno de procesamiento privado de datos requiere comunicación saliente (de salida) por varias razones:

  1. Los flujos de trabajo a menudo necesitan acceso a una fuente de datos pública, como buckets de almacenamiento en la nube y almacenes de datos.

  2. Los servicios de plano de datos a menudo requieren acceso a otros servicios que se ejecutan en el plano de control (realizar una llamada de API, suscribirse a una cola de mensajes, etc.).

  3. A menudo, las imágenes de software se recuperan de los repositorios de imágenes para mantener el software actualizado.

  4. Alteryx recopila registros de aplicaciones y datos de telemetría para supervisar la salud y el rendimiento de los servicios del plano de datos y para respaldar los esfuerzos de solución de problemas.

No apliques ninguna regla adicional a tu VPC o grupos de seguridad para bloquear o restringir este tráfico saliente.

Rotación de credenciales

En el paso Paso 3b: Crear un rol personalizado de IAM, creaste un registro de aplicación llamado aac_automation_sa, junto con un secreto de cliente adjunto. Alteryx no controla estas credenciales.

Alteryx recomienda rotar esta credencial de acuerdo con las políticas de tu empresa. Si tu empresa no tiene una política establecida, rotar un secreto cada 90 días es un buen punto de partida. Solo recuerda que Alteryx necesita conservar el acceso a la VPC para actualizar los recursos y el software en la nube, supervisar la salud de tu entorno privado y solucionar problemas. Cuando gires esta credencial en Azure, recuerda iniciar sesión en Alteryx One Platform y proporcionar la credencial más reciente.

Próximos pasos

App Builder in Azure

Auto Insights in Azure

Cloud Execution for Desktop in Azure

Designer Cloud in Azure

Machine Learning in Azure

En esta sección: