App Builder in GCP
Questa guida spiega come configurare App Builder in GCP per consentire l'analisi automatica dei dati e la generazione degli insight. Le procedure che seguono hanno lo scopo di configurare e ottimizzare l'installazione in modo efficiente.
Prerequisito
Un VPC dedicato a Alteryx One, configurato come indicato in Passaggio 4: configurazione della VPN.
Un account di servizio e un criterio IAM di base associato a tale account, come spiegato in Passaggio 3: configurazione del modulo IAM.
Attivazione corretta del provisioning del sistema PDP, come indicato in Passaggio 6: attivazione del provisioning del trattamento dati privato.
Impostazione del progetto
Passaggio 1: configurazione del modulo IAM
Passaggio 1a: associazione di IAM all'account di servizio.
Devi assegnare i seguenti ruoli aggiuntivi all'account di servizio aac-automation-sa creato nella sezione Creazione di un account di servizio:
roles/compute.loadBalancerAdmin (Amministratore dello strumento di bilanciamento del carico di elaborazione)roles/compute.instanceAdmin.v1 (Amministratore dell'istanza di elaborazione (v1))roles/compute.storageAdmin (Amministratore dello spazio di archiviazione per l'elaborazione)roles/container.clusterAdmin (Amministratore del cluster Kubernetes Engine)roles/storage.admin (Amministratore dello spazio di archiviazione)roles/redis.admin (Amministratore di Cloud Memorystore for Redis)
Passaggio 2: configurazione della sottorete
Nota
Designer Cloud Condivide una configurazione di sottorete con machine Learning , Auto Insightse App Builder . Se distribuisci più di una di queste applicazioni, devi configurare le subnet una sola volta.
Negli ambienti di elaborazione privata dei dati, AppBuilder richiede 3 sottoreti. In precedenza, durante la creazione del VPC, hai creato le sottoreti aac-private e aac-public. Non devi ricrearla di nuovo, ma la procedura di creazione viene riportata anche qui per completezza.
aac-gke-node (obbligatorio) - Il cluster GKE utilizza questa sottorete per eseguire i processi software Alteryx (connettività, conversione, elaborazione, pubblicazione).
aac-public (obbligatorio) - Questo gruppo non esegue alcun servizio, ma viene utilizzato dal gruppo aac-gke-node per uscire dal cluster.
aac-private (obbligatorio) - Questo gruppo esegue i servizi privati del sistema PDP.
Passaggio 2a: creazione di sottoreti nel VPC
Devi configurare le sottoreti nel VPC aac_vpc.
Per creare le sottoreti, procedi come mostrato nell'esempio seguente. Le dimensioni delle sottoreti principali e secondarie possono essere adattate in base all'architettura della rete.
Gli spazi degli indirizzi sono progettati in modo da consentire la gestione dell'ambiente di elaborazione completamente espanso. Se necessario, puoi scegliere uno spazio di indirizzi più piccolo, ma con i carichi di elaborazione più pesanti rischi di incontrare problemi di scalabilità.
Importante
Nome sottorete non è un campo flessibile, ma deve avere il valore indicato nella tabella seguente.
Nell'elenco Regioni supportate puoi selezionare qualunque regione, ricordando che la regione che selezioni qui per la sottorete deve essere selezionata anche nel passaggio Trigger del provisioning, più avanti nella procedura.
Nome sottorete | Dimensione sottorete | Nome sottorete secondaria | Dimensione sottorete secondaria | Commenti |
|---|---|---|---|---|
aac_gke_node | 10.0.0.0/22 | aac-gke-pod | 10.4.0.0/14 | Sottoreti per cluster GKE, pod GKE e servizio GKE |
aac-gke-service | 10.64.0.0/20 |
Passaggio 2b: tabelle di routing delle sottoreti
Nota
Nel progetto, è necessario configurare il VPC con una connessione Internet.
Il valore <gateway id> deve indicare un gateway NAT o un gateway Internet, a seconda dell'architettura della rete.
La tabella di routing che segue è solo un esempio.
Prefisso indirizzo | Hop successivo |
|---|---|
Blocco CIDR /22 CIDR (aac-gke-node) Blocco CIDR /24 (aac-private) Blocco CIDR /25 (aac-public) 0.0.0.0/0 |
<gateway id> |
Elaborazione dei dati privati
Attenzione
La modifica o la rimozione di qualsiasi risorsa del cloud pubblico fornita da Alteryx One dopo la configurazione della gestione dei dati privati, può causare incongruenze. Tali incongruenze possono causare errori durante l'esecuzione del processo o il deprovisioning della configurazione di gestione dei dati privati.
Passaggio 1: attivazione del deployment di App Builder
Il provisioning di App Builder viene attivato dalla console di amministrazione in Alteryx One. Per vederlo, devi avere i privilegi di amministrazione dello spazio di lavoro in questione.
Nella pagina di destinazione di Alteryx One seleziona l'icona del cerchio con le tue iniziali, in alto a destra. Seleziona Console di amministrazione dal menu.
Seleziona Trattamento dati privato dal menu di navigazione a sinistra.
Seleziona la casella di spunta App Builder, quindi fai clic su Salva.
Quando selezioni Aggiorna, viene avviato il deployment del cluster e delle risorse nel progetto GCP. In tale contesto, viene eseguita una serie di controlli di convalida per verificare che la configurazione del progetto GCP sia corretta.
Il provisioning inizia al completamento dei controlli di convalida iniziali. Sullo schermo viene visualizzata una finestra di messaggio, che si aggiorna regolarmente per mostrare lo stato attuale.
Nota
Il processo di provisioning richiede circa 35-40 minuti.
Al termine del provisioning, puoi visualizzare le risorse create (ad esempio le istanze EC2 e i gruppi di nodi) tramite la console AWS. Evita di modificarle personalmente, perché le modifiche manuali possono causare problemi con il funzionamento dell'elaborazione privata dei dati.
Passaggio 2: aggiornamento del ruolo IAM per l'account di servizio Kubernetes
Dopo la creazione dell'ambiente di elaborazione privata dei dati, viene creato l'account di servizio Kubernetes credential-pod-sa per consentire al servizio credenziali Kubernetes di recuperare le credenziali di accesso ai dati privati dal vault delle chiavi.
Vai a Gestione chiavi, quindi seleziona il keyring e la chiave creati in Passaggio 5: creazione di keyring e chiave.
Seleziona AUTORIZZAZIONI, quindi CONCEDI ACCESSO.
Specifica la nuova entità di servizio
principal://iam.googleapis.com/projects/<project number>/locations/global/workloadIdentityPools/<project id>.svc.id.goog/subject/ns/credential/sa/credential-pod-saNota
Sostituisci <project number> e <project id> con il numero e l'ID del progetto, rispettivamente.
Specifica i ruoli Crittografia/decrittografia chiavi Cloud KMS e Amministratore Secrets Manager.
Seleziona Salva.