Skip to main content

Configurar la cuenta de GCP y VPC para datos privados

El procesamiento privado de datos de Google Cloud Platform (GCP) implica ejecutar un clúster de procesamiento de datos de Alteryx One Platform dentro de tu proyecto de GCP y VPC. Esta combinación de tu infraestructura, junto con los recursos y software de GCP administrados de Alteryx, se conoce comúnmente como procesamiento de datos privado.

Esta página se centra en cómo configurar tu proyecto de GCP y tu VPC para un procesamiento de datos privado en Alteryx One.

Nota

El proyecto de GCP y la configuración de la VPC requieren acceso y permisos a la consola de GCP. Si no tienes este acceso, comunícate con tu equipo de TI para completar este paso.

Atención

Nunca elimines los recursos aprovisionados para el procesamiento privado de datos.

Pasos de configuración

Importante

Para continuar con estos pasos, debes tener asignado el rol de RBAC de propietario de GCP.

Paso 1: Seleccionar el proyecto de GCP

Selecciona el proyecto en el que deseas ejecutar el procesamiento privado de datos.

Para optimizar el rendimiento y minimizar los costos de salida, tu clúster de GKE de almacenamiento y manejo privado de datos de Google debe residir en la misma región que el almacenamiento privado de datos. Esto se aplica a cualquier fuente de datos que desees conectar a Alteryx One.

La VPC creada en el proyecto de GCP debe estar dedicada a Alteryx One. Puedes configurar la conectividad a fuentes de datos privadas a través de la conexión de VPC, las puertas de enlace de tránsito, PrivateLink u otros.

Importante

Solo debes configurar una instancia de manejo privado de datos por proyecto de GCP.

Paso 2: Habilitar las API de Google

Para crear recursos en la nube para el manejo privado de datos, debes habilitar las API en el proyecto.

  1. En la consola de GCP, selecciona API y Servicios.

  2. SELECCIONA API Y SERVICIOS HABILITADOS.

  3. Habilita estas API:

    1. API de registro en Cloud

    2. API de monitoreo en Cloud

    3. API de Alteryx Engine

    4. API de Administrador secreto

    5. API de redes de servicio

    6. API de Cloud Asset

    7. API de Alteryx Engine

    8. Google Cloud Memorystore para API de Redis

    9. API de uso de servicios

Paso 3: Cómo configurar IAM

Con tu proyecto de GCP en su lugar, ahora configura la entidad de servicio y las claves de acceso.

Paso 3a: Crear una cuenta de servicio

  1. Crea una cuenta de servicio con el nombre aac-automation-sa.

  2. Genera claves con el tipo de clave como JSON.

  3. Almacena el archivo Blob JSON.

Nota

Necesitarás el archivo Blob JSON de clave de servicio para aprovisionar los recursos en la nube en un paso posterior.

Paso 3b: Cómo vincular IAM a la cuenta de servicio

Asigna estos roles a la cuenta de servicio aac-automation-sa:

  • Administrador de Secret Manager: roles/secretmanager.admin

  • Administrador de cuenta de servicio: roles/iam.serviceAccountAdmin

  • Usuario de cuenta de servicio: roles/iam.serviceAccountUser

  • Administrador de IAM del proyecto: roles/resourcemanager.projectIamAdmin

  • Administrador de claves de cuenta de servicio: roles/iam.serviceAccountKeyAdmin

  • Visualizador de red de cálculo: roles/compute.networkViewer

  • Visualizador de KMS en Cloud: roles/cloudkms.viewer

Importante

GCP no permite comodín (*) en el documento sobre las políticas. GCP también tiene limitaciones en la cantidad de permisos individuales asignados a un rol personalizado. Por lo tanto, debes asignar a la cuenta de servicio un conjunto de roles predefinidos administrados por GCP.

Paso 4: Configurar la red privada virtual

Paso 4a: Crear una red de VPC

Los bloques CIDR mencionados a continuación están reservados para el plano de control de Alteryx One. Evita configurar los CIDR de VPC con:

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

  1. Crea una red virtual.

  2. Selecciona Modo de creación de subred = Personalizado.

  3. Deshabilita o elimina las reglas de firewall predeterminadas.

  4. Selecciona Modo de enrutamiento dinámico = Global.

  5. La VPC requiere una subred. Configura las subredes como se muestra en esta tabla:

Nombre de la subred

Tamaño de subred

Nombre de subred secundaria

Tamaño de subred secundaria

aac-private

10.10.10.0/24

N/A

N/A

aac-private (obligatorio): este grupo ejecuta servicios privados para el PDP.

Importante

Las direcciones IP de subred y los tamaños de la tabla se muestran como ejemplo.

Modifica los valores según sea necesario para cumplir con la arquitectura de red. La región de la subred debe ser la región en la que se va a aprovisionar el “manejo privado de datos”.

El nombre de la subred DEBE coincidir con el nombre como se muestra en la tabla.

Paso 4b: Tabla de ruta de subred

Importante

Debes configurar la VPC con una conexión de red a Internet en tu proyecto.

Nota

La <puerta de enlace id> podría ser una puerta de enlace NAT o una puerta de enlace a Internet, dependiendo de la arquitectura de la red.

Esta es una tabla de ruta de subred de ejemplo:

Prefijo de dirección

Siguiente salto

/24 Bloque de CIDR (aac-private)

aac-vpc

0.0.0.0/0

<gateway_ID>

Paso 4c: Lista blanca de IP

Los productos de Alteryx Cloud se implementan dentro de un clúster de Kubernetes. El plano de control se comunica de forma segura con el clúster de Kubernetes de plano de datos a través de un túnel VPN de WireGuard. Para habilitar una comunicación fluida y segura a través de WireGuard VPN, la siguiente dirección IP debe incluirse en la lista blanca en la red del plano de datos para el tráfico de entrada y salida:

PDP en Alteryx Cloud

Los IP que se incluirán en la lista blanca

us1.alteryxcloud.com

Los IP del servidor WireGuard: 34.149.191.17 en el puerto TCP 443

34.127.5.134, 35.203.150.52 en el puerto UDP 51820

Los IP del plano de control: 34.118.199.26, 34.82.130.80/29

Los IP de teletransporte: 34.145.177.98 en el puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 en el puerto TCP 443

eu1.alteryxcloud.com

Los IP del servidor WireGuard: 35.244.193.191 en el puerto TCP 443

34.141.115.208, 34.159.185.26 en el puerto UDP 51820

Los IP del plano de control: 34.141.45.236, 34.89.162.16/29

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

au1.alteryxcloud.com

Los IP del servidor WireGuard: 34.107.140.97 en el puerto TCP 443

35.197.167.155, 35.244.84.72, y puerto UDP 51820

Los IP del plano de control: 34.87.234.110, 34.40.128.80/29

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

preprod.alteryxcloud.com

Los IP del servidor WireGuard: 34.120.226.216 en el puerto TCP 443

35.230.188.196, 35.221.3.230 y puerto UDP 51820

Los IP del plano de control: 34.86.96.59, 35.199.17.14, 34.86.74.210

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

Paso 5: Crear una clave y un conjunto de claves

Tus credenciales de fuente de datos se cifran con tu clave y se almacenan de forma segura en un almacén privado (almacenamiento de credenciales privadas) dentro de tu proyecto de plano de datos privado. Estas credenciales solo se recuperan del almacén cuando las necesitas.

Paso 5a: Habilitar el agente de servicio de Secret Manager

  1. Abre Google Cloud Shell seleccionando el ícono de terminal en la barra de herramientas de la consola de Google Cloud.

  2. Ejecuta el comando:

    $ gcloud beta services identity create --service "secretmanager.googleapis.com" \
    --project <project id>

  3. La salida que obtienes:

    Service identity created: service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com

Paso 5b: Otorgar el rol de IAM al agente de servicio

  1. Ve a IAM y selecciona Conceder acceso.

  2. Proporciona la nueva entidad principal de servicio: service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com.

  3. Proporciona el rol Cloud KMS CryptoKey Encrypter/Decrypter.

  4. Selecciona Guardar.

Paso 5c: Crear una clave y un conjunto de clave

  1. Ve a Seguridad > Administración de claves.

  2. Selecciona Crear conjunto de claves.

  3. Proporciona el nombre del conjunto de claves aac-key-ring.

  4. Selecciona la regiónMultirregión y elige una región de la lista desplegable.

  5. Selecciona Crear.

  6. Proporciona el nombre de clave aac-key.

  7. Como nivel de protección, selecciona Software.

  8. Selecciona Crear.

Nota

Cada clave y nombre de clave deben ser únicos dentro de tu proyecto. Debes proporcionar un conjunto de claves y los nombres clave en la página Procesamiento privado de datos.

Paso 6: Activar el aprovisionamiento de manejo privado de datos

El aprovisionamiento de procesamiento de datos se activa desde la consola de administrador dentro de Alteryx One. Necesitas privilegios de administrador de espacio de trabajo para poder verlo dentro de un espacio de trabajo.

  1. En la página inicial de Alteryx One, selecciona el ícono de círculo en la parte superior derecha con tus iniciales en él. Selecciona Consola de administración en el menú.

  2. Selecciona Manejo privado de datos en el menú de navegación de la izquierda.

Atención

Cambiar o eliminar cualquier recurso de nube pública provisionado por Alteryx One después de configurar el Manejo privado de datos puede causar incoherencias. Estas incoherencias pueden provocar errores durante la ejecución de tareas o al desaprovisionar la configuración de Manejo privado de datos.

Asegúrate de que el almacenamiento privado de datos aparezca comoconfigurado correctamente antes de continuar. Si el estado no está configurado, ve primero a GCS como Almacenamiento privado de datos y vuelve a este paso.

En la sección Procesamiento privado de datos, hay cinco campos para completar. Estos valores provienen de completar los pasos en Pasos de configuración.

Al seleccionar Crear, se activa un conjunto de comprobaciones de validación para verificar que el proyecto de GCP esté configurado según sea necesario. Si los permisos no están configurados de forma adecuada o los recursos de Vnet no se crean o etiquetan correctamente, recibirás un mensaje de error con una descripción que debería apuntarte en la dirección correcta.

Notas importantes

Sincronización de los cambios en la configuración

Alteryx One Platform es un sistema distribuido. Los cambios realizados en la configuración de procesamiento privado de datos deben propagarse a varios sistemas antes de que surtan efecto completo. Por ejemplo, si tu espacio de trabajo ya tiene tareas programadas que se ejecutan cuando configuras el procesamiento privado de datos, es posible que sigas viendo la ejecución de tareas en el entorno de procesamiento de datos de Alteryx durante unos minutos después.

Acceso de Terraform Runner a tu VPC

Alteryx utiliza Terraform para aplicar cambios en la infraestructura y los recursos en la nube dentro de tu VPC. Agregamos una cantidad de direcciones IP a una lista de permisos en el clúster de EKS para que nuestros corredores Terraform y el plano de control tengan acceso.

No modifiques esta lista.

Puedes encontrar direcciones del plano de control de Alteryx en Agregar el rango de direcciones IP del servicio Alteryx a la lista de permitidos. Los corredores Terraform de Alteryx utilizan las siguientes direcciones IP:

  • “44.227.135.252/32”

  • “44.225.123.94/32”

  • “104.193.47.0/24”

  • “66.35.44.241/32”

  • “74.199.216.160/27”

  • “54.188.210.240/32”

Conexiones salientes

El software que se ejecuta en tu entorno de procesamiento privado de datos requiere comunicación saliente (de salida) por varias razones:

  1. Los flujos de trabajo a menudo necesitan acceso a una fuente de datos pública, como buckets de almacenamiento en la nube y almacenes de datos.

  2. Los servicios de plano de datos a menudo requieren acceso a otros servicios que se ejecutan en el plano de control (realizar una llamada de API, suscribirse a una cola de mensajes, etc.).

  3. A menudo, las imágenes de software se recuperan de los repositorios de imágenes para mantener el software actualizado.

  4. Alteryx recopila registros de aplicaciones y datos de telemetría para supervisar la salud y el rendimiento de los servicios del plano de datos y para respaldar los esfuerzos de solución de problemas.

No apliques ninguna regla adicional a tu VPC o grupos de seguridad para bloquear o restringir este tráfico saliente.

Rotación de credenciales

En el paso Paso 3a: Crear una cuenta de servicio, creaste una cuenta de servicio llamada aac_automation_sa, junto con las claves que la acompañan. Alteryx no controla estas credenciales.

Alteryx recomienda rotar estas credenciales de acuerdo con las políticas de tu empresa. Si tu empresa no tiene una política establecida, rotar un secreto cada 90 días es un buen punto de partida. Solo recuerda que Alteryx necesita conservar el acceso a la VPC para actualizar los recursos y el software en la nube, supervisar la salud de tu entorno privado y solucionar problemas. Cuando rotes esta credencial en GCP, recuerda iniciar sesión Alteryx One Platformy proporcionar la última credencial.

Próximos pasos

App Builder in GCP

Auto Insights in GCP

Ejecución en Cloud para Desktop en GCP

Designer Cloud en GCP

Machine Learning en GCP

En esta sección: