Cloud Execution for Desktop no AWS
Siga este guia para implantar o módulo Cloud Execution for Desktop para processamento de dados privados da AWS.
Pré-requisito
Antes de implantar o módulo Cloud Execution for Desktop, conclua estas etapas na página Configurar conta e VPC da AWS para dados privados...
Ter configurado uma VPC dedicada ao Alteryx One Platform, conforme mencionado na seção Criar uma VPC.
Ter conectado a conta de serviço e a função base do IAM à conta de serviço, conforme mencionado na seção Configurar o IAM.
Ter acionado com sucesso o provisionamento do processamento de dados privados, conforme mencionado na seção Acionar provisionamento do tratamento de dados privados.
Configuração da conta
Etapa 1: configurar o IAM
Etapa 1a: criar uma política do IAM do Cloud Execution
Nota
AAC_CEFD_SA_Policy é um nome de política de exemplo. Você pode escolher qualquer nome para a política, mas ele deve começar com AAC_CEFD.
Você precisa criar uma política do IAM personalizada. Dê a ela o nome AAC_CEFD_SA_Policy e use o seguinte documento de política. Recomendamos usar a guia "JSON" em vez do editor visual. O Alteryx One requer algumas permissões * para ser executado. Ao criar a política, você deverá receber alguns avisos de segurança. Observe que o documento de política do IAM é compatível com a criação de função e inclui uma política em linha para que a função do Lambda assuma funções.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEqualsIfExists": {
"iam:PassedToService": [
"ec2.amazonaws.com",
"ec2.amazonaws.com.cn"
]
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GetKeyPolicy",
"kms:GetKeyRotationStatus",
"kms:ListGrants",
"kms:ListResourceTags",
"kms:ListRetirableGrants",
"kms:PutKeyPolicy",
"kms:RetireGrant",
"kms:RevokeGrant",
"kms:ScheduleKeyDeletion",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": [
"arn:aws:kms:*:*:key/*",
"arn:aws:iam::*:role/*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:PutRolePolicy",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListInstanceProfilesForRole",
"iam:ListPolicyTags",
"iam:ListPolicyVersions",
"iam:ListRolePolicies",
"iam:PassRole",
"iam:TagPolicy",
"iam:TagRole",
"iam:UntagPolicy",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:CreateRole",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:DeleteRole",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::*:policy/*",
"arn:aws:iam::*:oidc-provider/*",
"arn:aws:iam::*:user/*",
"arn:aws:iam::*:role/*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": [
"autoscaling:*",
"ec2:*",
"elasticloadbalancing:*",
"iam:GetAccountName",
"iam:ListAccountAliases",
"iam:ListRoles",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:UntagInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:AddRoleToInstanceProfile",
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:DescribeLogGroups",
"logs:ListTagsLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:UntagResource",
"logs:TagLogGroup",
"logs:UntagLogGroup",
"networkmanager:Describe*",
"networkmanager:Get*",
"networkmanager:List*",
"sts:GetCallerIdentity",
"logs:CreateLogStream",
"logs:DeleteLogStream",
"logs:PutLogEvents",
"lambda:GetFunction",
"lambda:GetFunctionCodeSigningConfig",
"lambda:GetPolicy",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:ListVersionsByFunction",
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:UntagResource",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:tagResource",
"events:DescribeRule",
"events:DeleteRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets",
"events:ListTagsForResource",
"events:ListTargetsByRule"
],
"Resource": "*"
},
{
"Sid": "VisualEditor4",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": "arn:aws:secretsmanager:*:*:secret:*"
}
]
}Etapa 1b: marcar a política do IAM
Marque a política do IAM personalizada criada na Etapa 1a.
Nome da tag | Valor |
|---|---|
AACResource | aac_sa_custom_policy |
Etapa 1c: anexar a política do IAM
Anexe a política do IAM AAC_CEFD_SA_Policy à conta de serviço aac_automation_sa criada na página Configurar conta e VPC da AWS para dados privados.
Etapa 2: configurar a sub-rede
Nota
Se você comprou o Designer Cloud e o EMR, configure as sub-redes conforme mencionado em Designer Cloud and EMR Serverless in AWS. Os recursos EMR e CEfD compartilham as sub-redes de opção.
O Cloud Execution for Desktop em um ambiente de processamento de dados privados requer um grupo de sub-redes. O grupo contém 3 sub-redes individuais, cada uma em uma zona de disponibilidade diferente.
pública (obrigatório): esse grupo não executa nenhum serviço, mas é usado para sair da VPC.
privada (obrigatório): esse grupo executa serviços privados para o PDP.
Grupo de opções : use esse grupo se você habilitar o Cloud Execution for Desktop em seu ambiente de processamento de dados. Se você habilitar essa opção, um swarm de AMI será executado nessa sub-rede para lidar com trabalhos de processamento do Designer Desktop executados na nuvem.
Etapa 2a: criar sub-redes na VPC
Configure sub-redes na VPC aac_vpc.
Crie sub-redes e marque-as conforme mostrado no exemplo abaixo. Você pode ajustar os CIDRs e os valores de sub-rede para se ajustarem à sua arquitetura de rede.
Os grandes espaços de endereço são projetados para acomodar um cluster totalmente dimensionado. Se necessário, você pode escolher um espaço de endereço menor, mas pode ter problemas de dimensionamento sob cargas de processamento pesadas.
Importante
Você deve marcar as sub-redes com Nome da tag e Valor da tag, conforme mencionado na tabela.
CIDRs | Nome da sub-rede | Sub-rede | AZ | Nome da tag | Valor da tag |
|---|---|---|---|---|---|
10.10.0.0/21 | opção | 10.10.4.0/24 | AZa | AACSubnet | opção |
opção | 10.10.5.0/24 | AZb | AACSubnet | opção | |
opção | 10.10.6.0/24 | AZc | AACSubnet | opção |
Etapa 2b: tabelas de rotas de sub-rede
Crie a tabela de rotas para suas sub-redes.
Nota
Esta tabela de rotas é um exemplo.
Nome da sub-rede | Destino da rota | Alvo | Comentários |
|---|---|---|---|
pública | Bloco CIDR /18 Bloco CIDR /21 0.0.0.0/0 | local local <gateway id> | Configure as mesmas rotas para todas as três tabelas de roteamento de sub-rede de AZs. |
privada | Bloco CIDR /18 Bloco CIDR /21 <s3 prefix id> 0.0.0.0/0 | local local <vpce endpoint id> <gateway id> | Configure as mesmas rotas para todas as três tabelas de roteamento de sub-rede de AZs. 0.0.0.0/0 deve sair para a rede pública. |
opção | Bloco CIDR /21 <s3 prefix id> 0.0.0.0/0 | Local <vpce endpoint id> <gateway id> | Configure as mesmas rotas para todas as três tabelas de roteamento de sub-rede de AZs. Basicamente, a 0.0.0.0/0 deve sair para a rede pública. |
Nota
O <gateway id> pode ser um gateway NAT de zona que foi criado por AZ ou um gateway de trânsito, dependendo da arquitetura da sua rede. Em caso de gateway NAT, crie um gateway NAT por AZ para sub-redes públicas.
Processamento de dados privados
Cuidado
Modificar ou remover quaisquer recursos de nuvem pública provisionados pelo Alteryx One depois que o tratamento de dados privados for configurado poderá causar inconsistências. Essas inconsistências podem levar a erros durante a execução do trabalho ou ao desprovisionamento da configuração do tratamento de dados privados.
Etapa 1: acionar a implantação do Cloud Execution
O provisionamento do plano de dados é acionado a partir do console de administração dentro do Alteryx One. Você precisa de Privilégios do Administrador do espaço de trabalho dentro de um espaço de trabalho para vê-lo.
Na página de chegada do Alteryx One, selecione o menu Perfil e, em seguida, Administrador do espaço de trabalho.
No console de administração, selecione Tratamento de dados privados e, em seguida, Processamento.
Marque a caixa de seleção Cloud Execution for Desktop e clique em Atualizar.
A seleção de Atualizar aciona a implantação do cluster e dos recursos na conta da AWS. Isso executa um conjunto de verificações de validação da configuração correta da conta da AWS.
Nota
O processo de provisionamento leva aproximadamente de 35 a 40 minutos para ser concluído.
Após a conclusão do provisionamento, você pode visualizar os recursos criados (por exemplo, instâncias de EC2 e grupos de nós) por meio do console da AWS. É muito importante que você não os modifique por conta própria. As alterações manuais podem causar problemas com a função de plano de dados privados.