Machine Learning en GCP
Sigue esta guía para implementar el módulo de Machine Learning para el procesamiento privado de datos de Google Cloud Platform (GCP).
Requisitos previos
Antes de implementar el módulo de Machine Learning, debes completar estos pasos en la página de Configurar la cuenta de GCP y VPC para datos privados:
Se configuró una VPC dedicada a Alteryx One como se menciona en la sección Configurar red privada virtual.
Roles de cuenta de servicio y base de IAM adjuntos a la cuenta de servicio tal y como se menciona en la sección Configurar IAM.
Se activó correctamente el aprovisionamiento de procesamiento privado de datos, como se menciona en la sección Aprovisionamiento de manejo privado de datos de activación.
Configuración del proyecto
Paso 1: Cómo configurar IAM
Paso 1a: Cómo vincular de IAM a la cuenta de servicio
Asigna estos roles adicionales a la cuenta de servicio aac-automation-sa que creaste durante Configurar la cuenta de GCP y VPC para datos privados:
Administrador del equilibrador de carga de cálculo:
roles/compute.loadBalancerAdminAdministrador de instancia de cálculo (v1):
roles/compute.instanceAdmin.v1Administrador de almacenamiento de cálculo:
roles/compute.storageAdminAdministrador de clúster de Kubernetes Engine:
roles/container.clusterAdminAdministrador de almacenamiento:
roles/storage.adminAdministrador de Redis de Cloud Memorystore:
roles/redis.admin
Paso 2: Configurar la subred
Nota
Designer Cloud comparte una configuración de subred con aprendizaje automático, Auto Insights y App Builder. Si estás implementando más de una de esas aplicaciones, solo debes configurar las subredes una vez.
Machine Learning en un entorno de procesamiento de datos privado requiere tres subredes. Creaste una subred aac-private anteriormente, cuando creaste la VPC. No es necesario volver a crearla, pero se incluye en este apartado para mayor exhaustividad.
aac-gke-node (obligatorio): el clúster de GKE utiliza esta subred para ejecutar tareas de software de Alteryx (conectividad, conversión, procesamiento, publicación).
aac-public (obligatorio): este grupo no ejecuta ningún servicio, pero el
grupo gke_nodelo utiliza para salir del clúster.aac-private (obligatorio): este grupo ejecuta servicios privados para el PDP.
Paso 2a: Crear subredes en la VPC
Configura las subredes en la VPC aac-vpc.
Crea subredes siguiendo el ejemplo a continuación. Puedes ajustar el tamaño de la subred y el tamaño de la subred secundaria para que coincida con tu arquitectura de red.
Los espacios de direcciones están diseñados para adaptarse a un entorno de procesamiento de datos totalmente escalado. Puedes elegir un espacio de direcciones más pequeño si es necesario, pero podrías tener problemas de escalado bajo cargas de procesamiento pesadas.
Importante
El nombre de la subred no es un campo flexible, debe coincidir con la siguiente tabla.
Puedes seleccionar cualquier región de la lista Regiones admitidas. Sin embargo, debes utilizar la misma región para la región de subred ahora y cuando alcances el paso de aprovisionamiento del activador más tarde.
Nombre de la subred | Subred | Nombre de subred secundaria | Tamaño de subred secundaria | Notas |
|---|---|---|---|---|
aac-gke-node | 10.0.0.0/22 | aac-gke-pod | 10.4.0.0/14 | Clúster de GKE, pod de GKE y subredes de servicio de GKE. |
| aac-gke-service | 10.64.0.0/20 |
| |
caa-public | 10.10.1.0/25 | N/A | N/A | Salida pública. |
Paso 2b: Tabla de ruta de subred
Crea la tabla de rutas para tus subredes.
Importante
Debes configurar la Vnet con una conexión de red a Internet en tu suscripción.
Nota
Esta tabla de rutas es un ejemplo.
Prefijo de dirección | Siguiente tipo de salto |
|---|---|
/22 Bloque de CIDR (aac-gke-node) | aac-vpc |
/24 Bloque de CIDR (aac-private) | aac-vpc |
/25 Bloque de CIDR (aac-public) | aac-vpc |
0.0.0.0/0 | <gateway_ID> |
Nota
Tu <puerta de enlace id> puede ser una puerta de enlace NAT o una puerta de enlace a Internet, según la arquitectura de tu red.
Procesamiento de datos privados
Atención
Cambiar o eliminar cualquier recurso de nube pública provisionado por Alteryx One después de configurar el Manejo privado de datos puede causar incoherencias. Estas incoherencias pueden provocar errores durante la ejecución de tareas o al desaprovisionar la configuración de Manejo privado de datos.
Paso 1: Activar la implementación de Machine Learning
El aprovisionamiento de procesamiento de datos se activa desde la consola de administrador dentro de Alteryx One. Necesitas privilegios de administrador de espacio de trabajo para poder verlo dentro de un espacio de trabajo.
En la página inicial de Alteryx One, selecciona el menú Perfil y, a continuación, selecciona Administrador de espacio de trabajo.
Desde la consola de administración, selecciona Manejo privado de datos y, a continuación, selecciona Procesamiento.
Selecciona la casilla de verificación Machine Learning y, a continuación, selecciona Actualizar.
Al seleccionar Actualizar, se activa la implementación del clúster y los recursos en el proyecto de GCP. Esto ejecuta un conjunto de comprobaciones de validación para verificar la configuración correcta del proyecto de GCP.
Nota
El proceso de aprovisionamiento tarda aproximadamente entre 35 y 40 minutos en completarse.
Una vez finalizado el aprovisionamiento, puedes ver los recursos creados (por ejemplo, instancias de VM y grupos de nodos) a través de la consola de GCP. Es muy importante que no los modifiques por tu cuenta. Los cambios manuales pueden causar problemas con la función del entorno de procesamiento privado de datos.
Paso 2: Actualizar el rol de IAM para la cuenta de servicio de Kubernetes
Una vez configurado correctamente el procesamiento privado de datos, se crea una cuenta de servicio de Kubernetes llamada credential-pod-sa. Esta cuenta permite que el servicio de credenciales de Kubernetes acceda a las credenciales de datos privados almacenadas en el almacén de claves.
Nota
Reemplaza <Número de proyecto> y <D del proyecto> por el número y el ID del proyecto.
Ve a Administración de claves y selecciona el conjunto de claves con la clave que creó en Paso 5: Crear una clave y un conjunto de claves.
Selecciona PERMISOS y, a continuación, CONCEDER ACCESO.
En el campo Nueva principal, ingresa lo siguiente:
principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa
Asignar los roles de Cifrador/Descifrador de CryptoKey de Cloud KMS y Administrador de Secret Manager.
Selecciona Guardar.