Cloud Execution for Desktop dans Azure
Suivez ce guide pour déployer le module Cloud Execution for Desktop pour le traitement des données privé Azure.
Condition préalable
Avant de déployer le module Cloud Execution for Desktop, vous devez effectuer les étapes suivantes sur la page Configurer la souscription Azure et VNet pour les données privées :
Un groupe de ressources dédié à Alteryx One Platform a été configuré comme indiqué dans la section Créer un groupe de ressources.
Avoir configuré un Vnet dédié à Alteryx One, comme indiqué dans la section Configurer un réseau privé virtuel.
Avoir rattaché l'enregistrement d'application et une politique IAM de base au compte de service, comme indiqué dans la section Configurer l'IAM.
Avoir réussi à déclencher le provisionnement du traitement des données privé, comme indiqué dans la section Déclencher le provisionnement de la gestion des données privées.
Configuration de la souscription
Étape 1 : Configurer l'IAM
Étape 1a : Créer un rôle personnalisé IAM
Note
AAC_CEFD_SA_Role est un exemple de nom de rôle. Vous pouvez choisir n'importe quel nom pour le rôle, mais il doit commencer par AAC_CEFD.
Vous devez créer un rôle IAM personnalisé. Nommez-le AAC_CEFD_SA_Role et utilisez le document de rôle suivant. Nous vous recommandons d'utiliser l'onglet JSON au lieu de l'éditeur visuel. Alteryx One a besoin d'autorisations * pour s'exécuter. Attendez-vous à recevoir des avertissements de sécurité lorsque vous créez le rôle.
Important
Mettez à jour le champ d'application assignableScopes de ce rôle personnalisé. Le champ d'application doit être l'ID de souscription.
{
"properties": {
"roleName": "AAC_CEFD_SA_Role",
"description": "Custom role for provisioning AAC private data handling",
"assignableScopes": [
"/subscriptions/<subscription ID>"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/cloudServices/*",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Insights/autoScaleSettings/delete",
"Microsoft.Insights/autoScaleSettings/read",
"Microsoft.Insights/autoScaleSettings/write",
"Microsoft.KeyVault/*",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/loadBalancers/probes/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/locations/*",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.RecoveryServices/locations/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Web/serverFarms/write",
"Microsoft.Web/serverFarms/read",
"Microsoft.Web/serverFarms/delete",
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/write",
"Microsoft.OperationalInsights/workspaces/delete",
"Microsoft.Insights/components/*",
"Microsoft.Web/sites/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}Étape 1b : Lier le rôle personnalisé à l'enregistrement d'application dans la souscription
Ajoutez le rôle personnalisé IAM AAC_CEFD_SA_Role au compte de service aac_automation_sa créé sur la page Configurer la souscription Azure et VNet pour les données privées.
Étape 1c : Activer la personnalisation de l'environnement Cloud Execution
La personnalisation de l'environnement Cloud Execution permet aux clients de charger des pilotes et des connecteurs personnalisés dans un compartiment S3.
Pour activer la configuration de la personnalisation, définissez feature.privateDataPlaneHandling.admin.cEFDEnvironmentCustomizationsEnabled sur VRAI.
Créer un rôle IAM de personnalisation CEFD
Créez un rôle IAM personnalisé, nommez-le AAC_CEFD_Customization_SA_Role et rattachez le document de politique suivant.
Note
Le nom de rôle cité ici est un exemple. Vous pouvez choisir n'importe quel nom pour le rôle, mais il doit commencer par AAC_CEFD_Customization.
Nous vous recommandons d'utiliser l'onglet JSON au lieu de l'éditeur visuel. Alteryx One Platform nécessite des autorisations * pour s'exécuter. Attendez-vous à recevoir des avertissements de sécurité lorsque vous créez la politique.
{
"properties": {
"roleName": "AAC_CEFD_Customization_SA_Role",
"description": "Custom role for provisioning AAC private data handling",
"assignableScopes": [
"/subscriptions/<subscription ID>"
],
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/agentPools/delete",
"Microsoft.ContainerService/managedClusters/agentPools/read",
"Microsoft.ContainerService/managedClusters/agentPools/upgradeNodeImageVersion/write",
"Microsoft.ContainerService/managedClusters/agentPools/write",
"Microsoft.ContainerService/managedClusters/availableAgentPoolVersions/read",
"Microsoft.ContainerService/managedClusters/delete",
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Storage/storageAccounts/*"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
]
}
}Mettez à jour le champ d'application assignableScopes du rôle personnalisé. Le champ d'application doit être l'ID de souscription.
Lier le rôle personnalisé à l'enregistrement d'application dans la souscription
Ajoutez le rôle personnalisé que vous avez créé à l'étape précédente au compte de service aac_automation_sa créé dans Étape 3 : Configurer l'IAM.
Étape 2 : Table de routage
Créez la table de routage pour vos sous-réseaux.
Important
VNet doit être configuré avec une connexion réseau à Internet dans votre souscription.
Note
Cette table de routage est un exemple.
Préfixe d'adresse | Type de saut suivant |
|---|---|
Bloc CIDR /22 | v-net |
0.0.0.0/0 | <gateway_ID> |
Note
Votre <gateway id> peut correspondre à une passerelle NAT créée via AZ ou à une passerelle de transit, en fonction de votre architecture réseau.
Étape 3 : Configurer le sous-réseau
Cloud Execution for Desktop dans un traitement de données privé, 1 sous-réseau est nécessaire.
aac_public (obligatoire) : ce groupe n'exécute aucun service, mais il est utilisé pour les flux sortants du cluster. Déléguez ce sous-réseau à
Microsoft.ContainerService/managedClusters, qui accorde au service AKS les autorisations d'injecter les pods du serveur d'API et l'équilibreur de charge interne dans ce sous-réseau.aac_private (obligatoire) : ce groupe exécute des services privés sur le PDP.
aac_option : utilisez ce groupe si vous activez Cloud Execution for Desktop dans votre traitement de données privé. Si vous activez cette option, un swarm AMI s'exécute dans ce sous-réseau pour gérer les tâches de traitement Designer Desktop qui s'exécutent dans le cloud.
aac_function : (obligatoire) ce sous-réseau est utilisé par la fonction Azure pour l'ajustement automatique des machines virtuelles Cloud Execution for Desktop. Déléguez ce sous-réseau à Microsoft.Web/serverFarms pour créer et gérer les interfaces réseau des instances d'application Fonction dans ce sous-réseau.
Étape 3 a : Créer des sous-réseaux dans le Vnet
Configurez des sous-réseaux dans le VPC aac_vpc.
Créez des sous-réseaux en suivant l'exemple ci-dessous. Vous pouvez ajuster l'espace d'adressage et les valeurs du sous-réseau en fonction de votre architecture réseau. Rattachez le groupe de sécurité réseau créé à la page Configurer la souscription Azure et VNet pour les données privées aux sous-réseaux.
Les espaces d'adressage sont conçus pour s'adapter à un environnement de traitement des données entièrement évolutif. Si nécessaire, vous pouvez choisir un espace d'adressage plus petit, mais vous risquez de rencontrer des problèmes de mise à l'échelle lors de charges de traitement importantes.
Important
Le nom du sous-réseau n'est pas un champ flexible. Il doit correspondre à la table ci-dessous.
Espace d'adressage | Nom du sous-réseau | Sous-réseau | Points de terminaison de service | Table de routage | Remarques |
|---|---|---|---|---|---|
10.10.0.0/22 | aac_option | 10.10.0.0/23 | Microsoft.Storage Microsoft.KeyVault | Rattacher à la table de routage créée à l'étape 2. | |
aac_function | 10.10.2.0/29 | Aucune | Microsoft.Web/serverFarms |
Traitement des données privé
Attention
La modification ou la suppression de ressources de cloud public provisionnées par Alteryx One après la configuration de gestion des données privées peut entraîner des incohérences. Ces incohérences peuvent causer des erreurs lors de l'exécution de la tâche ou lors du désapprovisionnement de la configuration de gestion des données privées.
Étape 1 : Déclencher le déploiement Cloud Execution
Le provisionnement de Cloud Execution for Desktop est déclenché à partir de la console d'administration dans Alteryx One. Vous devez disposer des privilèges Admin de l'espace de travail dans un espace de travail pour pouvoir le voir.
Depuis la page d'accueil Alteryx One, sélectionnez Menu Profil, puis sélectionnez Admin de l'espace de travail.
Dans la console d'administration, sélectionnez Gestion des données privées, puis Traitement.
Cochez la case Cloud Execution for Desktop, puis sélectionnez Mettre à jour.
Sélectionnez Mettre à jour pour déclencher le déploiement du cluster et des ressources dans la souscription Azure. Cela permet d'exécuter une série de contrôles de validation afin de vérifier la configuration correcte de la souscription Azure.
Note
Le processus de provisionnement dure environ 35 à 40 minutes.
Une fois le provisionnement terminé, vous pouvez afficher les ressources créées (par exemple, les instances VM et les pools de nœuds) via le portail Azure. Il est essentiel de ne pas les modifier vous-même. Les modifications manuelles peuvent entraîner des problèmes avec le fonctionnement du traitement des données privé.