Designer Cloud en GCP
Sigue esta guía para implementar el módulo Designer Cloud para el procesamiento privado de datos de Google Cloud Platform (GCP).
Requisitos previos
Antes de implementar el módulo Designer Cloud, debes completar estos pasos en la página Configurar la cuenta de GCP y VPC para datos privados…
Se configuró una VPC dedicada a Alteryx One como se menciona en la sección Configure Virtual Private Network.
Roles de cuenta de servicio y base de IAM adjuntos a la cuenta de servicio como se menciona en la sección Configure IAM.
Se activó correctamente el aprovisionamiento de procesamiento privado de datos, como se menciona en la sección Trigger Private Data Handling Provisioning.
Configuración del proyecto
Paso 1: Configurar IAM
Paso 1a: Vinculación de IAM a la cuenta de servicio
Asigna estos roles adicionales a la cuenta de servicio aac-automation-sa que creaste durante Configurar la cuenta de GCP y VPC para datos privados:
Administrador del equilibrador de carga de cálculo:
roles/compute.loadBalancerAdminAdministrador de instancia de cálculo (v1):
roles/compute.instanceAdmin.v1Administrador de almacenamiento de cálculo:
roles/compute.storageAdminAdministrador de clúster de Kubernetes Engine:
roles/container.clusterAdminAdministrador de almacenamiento:
roles/storage.adminAdministrador de Redis de Cloud Memorystore:
roles/redis.admin
Paso 2: Configurar la subred
Nota
Designer Cloud comparte una configuración de subred con aprendizaje automático, Auto Insights y App Builder. Si estás implementando más de una de esas aplicaciones, solo debes configurar las subredes una vez.
Designer Cloud en un entorno de procesamiento privado de datos, se requieren tres subredes. Creaste la subred aac-private anteriormente al crear la VPC. No es necesario volver a crearlo, pero se incluye aquí para que sea completo.
aac-gke-node (obligatorio): El clúster de GKE usa esta subred para ejecutar trabajos de software de Alteryx (conectividad, conversión, procesamiento, publicación).
aac-public (obligatorio): Este grupo no ejecuta ningún servicio, pero el grupo
aac-gke-nodelo utiliza para salir del clúster.aac-private (obligatorio): Este grupo ejecuta servicios privados para el PDP.
Paso 2a: Crear subredes en la VPC
Configura las subredes en la VPC aac-vpc.
Crea subredes siguiendo el ejemplo a continuación. Puedes ajustar el tamaño de la subred y el tamaño de la subred secundaria para que coincida con tu arquitectura de red.
Los espacios de direcciones están diseñados para adaptarse a un entorno de procesamiento de datos totalmente escalado. Puedes elegir un espacio de direcciones más pequeño si es necesario, pero podrías tener problemas de escalado bajo cargas de procesamiento pesadas.
Importante
El nombre de la subred no es un campo flexible, debe coincidir con la siguiente tabla.
Puedes seleccionar cualquier región de la lista de Regiones admitidas. Sin embargo, debes utilizar la misma región para la región de subred ahora y cuando alcances el paso de aprovisionamiento del activador más tarde.
Nombre de la subred | Subred | Nombre de subred secundaria | Tamaño de subred secundaria | Notas |
|---|---|---|---|---|
aac-gke-node | 10.0.0.0/22 | aac-gke-pod | 10.4.0.0/14 | Clúster de GKE, pod de GKE y subredes de servicio de GKE. |
| aac-gke-service | 10.64.0.0/20 |
| |
aac-public | 10.10.1.0/25 | N/A | N/A | Salida pública. |
Paso 2b: Tabla de ruta de subred
Crea la tabla de rutas para tus subredes.
Importante
Debes configurar la Vnet con una conexión de red a Internet en tu suscripción.
Nota
Esta tabla de rutas es un ejemplo.
Prefijo de dirección | Siguiente tipo de salto |
|---|---|
/22 Bloque de CIDR (aac-gke-node) | aac-vpc |
/24 Bloque de CIDR (aac-private) | aac-vpc |
/25 Bloque de CIDR (aac-public) | aac-vpc |
0.0.0.0/0 | <gateway_ID> |
Nota
Tu <gateway id> puede ser una puerta de enlace NAT o una puerta de enlace a Internet, dependiendo de la arquitectura de tu red.
Procesamiento de datos privados
Atención
Cambiar o eliminar cualquier recurso de nube pública provisionado por Alteryx One después de configurar el Manejo privado de datos puede causar incoherencias. Estas incoherencias pueden provocar errores durante la ejecución de tareas o al desaprovisionar la configuración de Manejo privado de datos.
Paso 1: Activar la implementación de Designer Cloud
El aprovisionamiento de procesamiento de datos se activa desde la consola de administrador dentro de Alteryx One. Necesitas privilegios de administrador de espacio de trabajo dentro de un espacio de trabajo para verlo.
En la página inicial de Alteryx One, selecciona el Profile menu y, a continuación, selecciona Workspace Admin.
En la consola de administrador, selecciona Private Data Handling y, a continuación, selecciona Processing.
Selecciona la casilla de verificación de Designer Cloud y, a continuación, selecciona Update.
Al seleccionar Update, se activa la implementación del clúster y los recursos en el proyecto de GCP. Esto ejecuta un conjunto de comprobaciones de validación para verificar la configuración correcta del proyecto de GCP.
Nota
El proceso de aprovisionamiento tarda aproximadamente entre 35 y 40 minutos en completarse.
Una vez finalizado el aprovisionamiento, puedes ver los recursos creados (por ejemplo, instancias de VM y grupos de nodos) a través de la consola de GCP. Es muy importante que no los modifiques por tu cuenta. Los cambios manuales pueden causar problemas con la función del entorno de procesamiento privado de datos.
Paso 2: Actualizar el rol de IAM para la cuenta de servicio de Kubernetes
Una vez configurado correctamente el procesamiento privado de datos, se crea una cuenta de servicio de Kubernetes llamada credential-pod-sa. Esta cuenta permite que el servicio de credenciales de Kubernetes acceda a las credenciales de datos privados almacenadas en el almacén de claves.
Nota
Reemplaza <project number> y <project id> por el número de proyecto y el id del proyecto.
Ve a Key Management y selecciona el anillo de claves con la clave creada en Paso 5: Crear una clave y un conjunto de claves.
Selecciona PERMISSIONS y, a continuación, GRANT ACCESS.
En el campo New Principal, ingresa lo siguiente:
principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa
Proporciona los roles de Encriptador/Desencriptador de CryptoKey de Cloud KMS y de Administrador de Secret Manager.
Selecciona Guardar.