Cloud Execution for Desktop no Azure
Siga este guia para implantar o módulo Cloud Execution for Desktop para processamento de dados privados do Azure.
Pré-requisito
Antes de implantar o módulo Cloud Execution for Desktop, conclua estas etapas na página Configurar a assinatura e Vnet do Azure para dados privados:
Ter configurado um grupo de recursos dedicado ao Alteryx One Platform, conforme mencionado na seção Criar grupo de recursos.
Ter configurado uma Vnet dedicada ao Alteryx One, conforme mencionado na seção Configurar rede privada virtual.
Ter conectado o registro de aplicativo e as funções base do IAM à conta de serviço, conforme mencionado na seção Configurar o IAM.
Ter acionado com sucesso o provisionamento do processamento de dados privados, conforme mencionado na seção Acionar provisionamento do tratamento de dados privados.
Configuração da assinatura
Etapa 1: configurar o IAM
Etapa 1a: criar função personalizada do IAM
Nota
AAC_CEFD_SA_Role é um exemplo de nome de função. Você pode escolher qualquer nome para a função, mas ele deve começar com AAC_CEFD.
É necessário criar uma função personalizada do IAM. Dê a ela o nome AAC_CEFD_SA_Role e use o seguinte documento de função. Recomendamos usar a guia "JSON" em vez do editor visual. O Alteryx One requer algumas permissões * para ser executado. Ao criar a função, você receberá alguns avisos de segurança.
Importante
Atualize o escopo assignableScopes desta função personalizada. O escopo deve ser o ID da assinatura.
{
"properties": {
"roleName": "AAC_CEFD_SA_Role",
"description": "Custom role for provisioning AAC private data handling",
"assignableScopes": [
"/subscriptions/<subscription ID>"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/cloudServices/*",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Insights/autoScaleSettings/delete",
"Microsoft.Insights/autoScaleSettings/read",
"Microsoft.Insights/autoScaleSettings/write",
"Microsoft.KeyVault/*",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/loadBalancers/probes/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/locations/*",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.RecoveryServices/locations/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Web/serverFarms/write",
"Microsoft.Web/serverFarms/read",
"Microsoft.Web/serverFarms/delete",
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/write",
"Microsoft.OperationalInsights/workspaces/delete",
"Microsoft.Insights/components/*",
"Microsoft.Web/sites/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}Etapa 1b: vincular a função personalizada ao registro do aplicativo na assinatura
Adicione a função personalizada do IAM AAC_CEFD_SA_Role à conta de serviço aac_automation_sa criada na página Configurar a assinatura e Vnet do Azure para dados privados.
Etapa 1c: habilitar a personalização do ambiente Cloud Execution
A personalização do ambiente Cloud Execution permite que os clientes carreguem drivers e conectores personalizados para um bucket do S3.
Para habilitar a configuração da personalização, defina feature.privateDataPlaneHandling.admin.cEFDEnvironmentCustomizationsEnabled como TRUE (VERDADEIRO).
Criar função do IAM de personalização do CEFD
Crie uma função personalizada do IAM, dê a ela o nome AAC_CEFD_Customization_SA_Role e anexe o seguinte documento de política.
Nota
O nome de função mencionado aqui é um exemplo. Você pode escolher qualquer nome para a função, mas ele deve começar com AAC_CEFD_Customization.
Recomendamos usar a guia "JSON" em vez do editor visual. O Alteryx One Platform requer algumas permissões * para ser executado. Ao criar a política, você deverá receber alguns avisos de segurança.
{
"properties": {
"roleName": "AAC_CEFD_Customization_SA_Role",
"description": "Custom role for provisioning AAC private data handling",
"assignableScopes": [
"/subscriptions/<subscription ID>"
],
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/agentPools/delete",
"Microsoft.ContainerService/managedClusters/agentPools/read",
"Microsoft.ContainerService/managedClusters/agentPools/upgradeNodeImageVersion/write",
"Microsoft.ContainerService/managedClusters/agentPools/write",
"Microsoft.ContainerService/managedClusters/availableAgentPoolVersions/read",
"Microsoft.ContainerService/managedClusters/delete",
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Storage/storageAccounts/*"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
]
}
}Atualize o escopo assignableScopes da função personalizada. O escopo deve ser o ID da assinatura.
Vincular a função personalizada ao registro do aplicativo na assinatura
Adicione a função personalizada que você criou na etapa anterior à conta aac_automation_sa service criada em Etapa 3: configurar o IAM.
Etapa 2: tabela de rotas
Crie a tabela de rotas para suas sub-redes.
Importante
Você deve configurar a Vnet com uma conexão de rede com a Internet em sua assinatura.
Nota
Esta tabela de rotas é um exemplo.
Prefixo do endereço | Tipo do próximo salto |
|---|---|
Bloco CIDR /22 | v-net |
0.0.0.0/0 | <gateway_ID> |
Nota
O <gateway id> pode ser um gateway NAT criado por AZ ou um gateway de trânsito, dependendo da arquitetura da sua rede.
Etapa 3: configurar a sub-rede
O Cloud Execution for Desktop no processamento de dados privados requer uma sub-rede.
aac_public (obrigatório): esse grupo não executa nenhum serviço, mas é usado para sair do cluster. Delegue essa sub-rede ao
Microsoft.ContainerService/managedClusters, que concede permissões ao serviço AKS para injetar os pods do servidor de API e o balanceador de carga interno nessa sub-rede.aac_private (obrigatório): esse grupo executa serviços privados para o PDP.
aac_option: use esse grupo se você habilitar o Cloud Execution for Desktop em seu processamento de dados privados. Se você habilitar essa opção, um swarm de AMI será executado nessa sub-rede para lidar com trabalhos de processamento do Designer Desktop executados na nuvem.
aac_function: (obrigatório) essa sub-rede é usada pela função do Azure para escalonamento automático de VMs do Cloud Execution for Desktop. Delegue essa sub-rede ao Microsoft.Web/serverFarms para criar e gerenciar as interfaces de rede para instâncias de aplicativo de função dentro dessa sub-rede.
Etapa 3a: criar sub-redes na Vnet
Configure sub-redes na VPC aac_vpc.
Crie sub-redes seguindo o exemplo abaixo. Você pode ajustar o espaço de endereço e os valores da sub-rede para corresponder à sua arquitetura de rede. Anexe o grupo de segurança de rede criado na página Configurar a assinatura e Vnet do Azure para dados privados às sub-redes.
Os espaços de endereço são projetados para acomodar um ambiente de processamento de dados totalmente dimensionado. Se necessário, você pode escolher um espaço de endereço menor, mas pode ter problemas de dimensionamento sob cargas de processamento pesadas.
Importante
O Nome da sub-rede não é um campo flexível. Ele deve corresponder à tabela abaixo.
Espaço de endereço | Nome da sub-rede | Sub-rede | Pontos de extremidade do serviço | Tabela de rotas | Observações |
|---|---|---|---|---|---|
10.10.0.0/22 | aac_option | 10.10.0.0/23 | Microsoft.Storage Microsoft.KeyVault | Anexe à tabela de rotas criada na Etapa 2. | |
aac_function | 10.10.2.0/29 | Nenhum | Microsoft.Web/serverFarms |
Processamento de dados privados
Cuidado
Modificar ou remover quaisquer recursos de nuvem pública provisionados pelo Alteryx One depois que o tratamento de dados privados for configurado poderá causar inconsistências. Essas inconsistências podem levar a erros durante a execução do trabalho ou ao desprovisionamento da configuração do tratamento de dados privados.
Etapa 1: acionar a implantação do Cloud Execution
O provisionamento do Cloud Execution for Desktop é acionado a partir do console de administração dentro do Alteryx One. Você precisa de Privilégios do Administrador do espaço de trabalho dentro de um espaço de trabalho para vê-lo.
Na página de chegada do Alteryx One, selecione o menu Perfil e, em seguida, Administrador do espaço de trabalho.
No console de administração, selecione Tratamento de dados privados e, em seguida, Processamento.
Marque a caixa de seleção Cloud Execution for Desktop e clique em Atualizar.
Selecione Atualizar para acionar a implantação do cluster e dos recursos na assinatura do Azure. Isso executa um conjunto de verificações de validação da configuração correta da assinatura do Azure.
Nota
O processo de provisionamento leva aproximadamente de 35 a 40 minutos para ser concluído.
Após a conclusão do provisionamento, você pode visualizar os recursos criados (por exemplo, instâncias de VM e grupos de nós) por meio do portal do Azure. É muito importante que você não os modifique por conta própria. As alterações manuais podem causar problemas com a função de processamento de dados privados.