AWS-Konto und VPC für private Daten einrichten

Bei der privaten Datenverarbeitung von AWS wird ein Datenverarbeitungscluster für Alteryx One Platform in Ihrem AWS-Konto und Ihrer VPC ausgeführt. Diese Kombination aus Software, Ihrer Infrastruktur und AWS-Ressourcen, die von Alteryx verwaltet werden, wird als private Datenebene bezeichnet. Auf dieser Seite wird erläutert, wie Sie Ihr AWS-Konto und Ihre VPC für Alteryx One einrichten, um dort eine private Datenebene zu erstellen.

Anmerkung

Das AWS-Konto und die VPC-Einrichtung erfordern Zugriff auf die AWS-Konsole und die entsprechenden Berechtigungen. Wenn Sie diesen Zugriff nicht haben, wenden Sie sich an Ihr IT-Team, um diesen Schritt abzuschließen.

Warnung

Löschen Sie niemals Ressourcen, die für die private Datenverarbeitung bereitgestellt wurden.

Schritt 1: AWS-Konto auswählen

Wählen Sie das Konto aus, in dem Sie Ihre private Datenebene ausführen möchten.

Da die IAM-Anmeldedaten für das gesamte Konto gelten, ist die sicherste Methode zur Ausführung einer privaten Datenebene ein dediziertes AWS-Konto. Dies ist nicht erforderlich, wird aber empfohlen.

Sie möchten wahrscheinlich, dass sich dieses Konto in derselben Region wie der S3-Bucket befindet, den Sie für den privaten Datenspeicher ausgewählt haben, sowie alle Datenquellen, die Sie mit Alteryx One verbinden möchten. Dies verbessert die Leistung und senkt die Kosten für ausgehenden Datenverkehr.

Die im AWS-Konto erstellte VPC sollte Alteryx One zugewiesen werden. Sie können die Verbindung zu privaten Datenquellen über VPC-Peering und Transit-Gateways herstellen.

Schritt 2: IAM konfigurieren

Wenn Ihr AWS-Konto eingerichtet ist, besteht der nächste Schritt darin, das IAM-Benutzerkonto und die Zugangsschlüssel einzurichten.

Schritt 2a: IAM-Benutzer (Dienstkonto) erstellen

Schlüsselname	Wert
AACResource	aac_iam_user

Wählen Sie den neuen IAM-Benutzer und anschließend die Registerkarte Sicherheitsanmeldeinformationen aus.
Wählen Sie Zugriffsschlüssel erstellen aus.
Wählen Sie Other (Andere) unter Access key best practices & alternatives (Auf wichtige Best Practices & Alternativen zugreifen) und dann die Option Weiter aus.
Wählen Sie Zugriffsschlüssel erstellen aus.

Anmerkung

Sie benötigen den IAM-Benutzerzugriffsschlüssel und den Geheimschlüssel später, wenn Sie die Cloud-Ressourcen und die Software bereitstellen.

Erstellen Sie einen IAM-Benutzer mit dem Namen aac_automation_sa. Stellen Sie sicher, dass dieser Benutzer keinen Konsolenzugriff hat.
Wählen Sie unter Berechtigungen festlegen die Option Weiter.
Taggen Sie den IAM-Benutzer:
Wählen Sie Benutzer erstellen.
Zugriffsschlüssel generieren:

Schritt 2b: IAM-Richtlinie erstellen und an das Dienstkonto anbinden

Sie müssen eine benutzerdefinierte IAM-Richtlinie erstellen. Nennen Sie sie AAC_Base_SA_Policy und verwenden Sie das folgende Richtliniendokument. Wir empfehlen, die JSON-Registerkarte anstelle des visuellen Editors zu verwenden. Alteryx One erfordert einige -Berechtigungen für die Ausführung. Beim Erstellen der Richtlinie werden einige Sicherheitswarnungen angezeigt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "iam:GetOpenIDConnectProvider",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListInstanceProfilesForRole",
                "iam:ListPolicyTags",
                "iam:ListPolicyVersions",
                "iam:ListRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:oidc-provider/*",
                "arn:aws:iam::*:user/*",
                "arn:aws:iam::*:role/*"
            ]
        },
        {
            "Sid": "VisualEditor3",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*",
                "iam:GetAccountName",
                "iam:ListAccountAliases",
                "iam:ListRoles",
                "networkmanager:Describe*",
                "networkmanager:Get*",
                "networkmanager:List*",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketOwnershipControls",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionAttributes",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionTorrent",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "sts:GetCallerIdentity"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor4",
            "Effect": "Allow",
            "Action": "secretsmanager:*",
            "Resource": "arn:aws:secretsmanager:*:*:secret:*"
        }
    ]
}

Schritt 2c: IAM-Richtlinie taggen

Versehen Sie die in Schritt 2b erstellte benutzerdefinierte IAM-Richtlinie mit Tags.
Schlüsselname
Wert
AACResource
aac_sa_custom_policy
Verbinden Sie die IAM-Richtlinie AAC_Base_SA_Policy mit dem in Schritt 2a erstellten aac_automation_sa-Dienst.
Anmerkung
AAC_Base_SA_Policy ist ein Beispiel für einen Richtliniennamen. Sie können einen beliebigen Namen für die Richtlinie wählen, der Name muss jedoch mit AAC_Base beginnen.

Schlüsselname	Wert
AACResource	aac_sa_custom_policy

Schritt 3: Eine VPC erstellen

Die unten genannten CIDR-Blöcke sind für die Alteryx One-Steuerungsebene reserviert. Vermeiden Sie die Einrichtung der VPC-CIDRs mit:

100.64.0.0/10
10.4.0.0/14
10.64.0.0/20
10.0.0.0/22

VPC nachdem dem Erstellen der IAM-Richtlinie erstellen:

Erstellen Sie eine neue VPC in einer der unterstützten Regionen. Weitere Informationen zu unterstützten Regionen finden Sie unter Private Data Processing.
Wählen Sie VPC and more (VPC und weitere Optionen).
Konfigurieren Sie CIDR-Blöcke in der VPC. Möglicherweise müssen Sie die VPC mit einem einzelnen CIDR erstellen und dann Edit CIDRs (CIDRs bearbeiten) auswählen, um den zweiten hinzuzufügen.
1. Fügen Sie für Designer Cloud, Machine Learning, Auto Insights und App Builder/18- und /21-CIDR-Blöcke hinzu.
2. Fügen Sie für Cloud Execution for Desktop einen /21-CIDR-Block hinzu.
Wählen Sie 3 im Abschnitt „Number of Availability Zones (AZs)“ (Anzahl der Verfügbarkeitszonen [AZs]) aus.
Wählen Sie 0 im Abschnitt „Number of public subnets“ (Anzahl der öffentlichen Subnetze) aus.
Wählen Sie 0 im Abschnitt „Number of private subnets“ (Anzahl privater Subnetze) aus.
Wählen Sie Keine im Abschnitt „NAT gateways“ (NAT-Gateways) aus.
Aktivieren Sie den S3-Gateway--VPC-Endpunkt innerhalb der VPC.
Aktivieren Sie DNS-Hostnamen und -Auflösung.
Taggen Sie die VPC.

Tag-Name	Wert
AACResource	aac_vpc

Anmerkung

Um Verbindungen zu privaten Datenquellen herzustellen, müssen Netzwerkpfade zwischen der VPC und der Datenquelle eingerichtet werden. Wie in der Matrix zur gemeinsamen Verantwortung definiert, richten Sie diese Netzwerkpfade gemäß Ihren eigenen Netzwerkrichtlinien und -präferenzen ein.

Schritt 4: Transit-Gateway und Internet-Gateway taggen

Wenn Ihre Netzwerkeinrichtung die Verwendung eines Transit-Gateways oder Internet-Gateways erfordert, richten Sie diese jetzt ein und taggen Sie sie.

Tag-Name	Wert
AACResource	aac

Schritt 4a: IP-Whitelisting

Alteryx Cloud-Produkte werden in einem Kubernetes-Cluster bereitgestellt. Die Steuerungsebene kommuniziert sicher mit dem Datenebenen-Kubernetes-Cluster über einen WireGuard-VPN-Tunnel. Um eine nahtlose und sichere Kommunikation über das WireGuard-VPN zu ermöglichen, muss die folgende IP-Adresse im Datenebenen-Netzwerk sowohl für eingehenden als auch für ausgehenden Datenverkehr auf die Whitelist gesetzt werden:

PDP in der Alteryx Cloud	IPs, die auf die Whitelist gesetzt werden müssen
us1.alteryxcloud.com	WireGuard-Server-IPs: `34.149.191.17` auf TCP-Port `443` `34.127.5.134`, `35.203.150.52` auf UDP-Port `51820` IPs der Steuerungsebene: `34.118.199.26`, `34.82.130.80/29` Teleport-IPs: `34.145.177.98` auf TCP-Port `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` auf TCP-Port `443`
eu1.alteryxcloud.com	WireGuard-Server-IPs: `35.244.193.191` auf TCP-Port `443` `34.141.115.208`, `34.159.185.26` auf UDP-Port `51820` IPs der Steuerungsebene: `34.141.45.236`, `34.89.162.16/29` Teleport-IPs: `34.145.177.98` auf TCP-Port `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` auf TCP-Port `443`
au1.alteryxcloud.com	WireGuard-Server-IPs: `34.107.140.97` auf TCP-Port `443` `35.197.167.155`, `35.244.84.72` und UDP-Port `51820` IPs der Steuerungsebene: `34.87.234.110`, `34.40.128.80/29` Teleport-IPs: `34.145.177.98` und TCP-Port `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` und TCP-Port `443`
preprod.alteryxcloud.com	WireGuard-Server-IPs: `34.120.226.216` auf TCP-Port `443` `35.230.188.196`, `35.221.3.230` und UDP-Port `51820` IPs der Steuerungsebene: `34.86.96.59`, `35.199.17.14`, `34.86.74.210` Teleport-IPs: `34.145.177.98` und TCP-Port `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` und TCP-Port `443`

Schritt 5: Einen symmetrischen Schlüssel für den sicheren Tresor erstellen

Ihre Anmeldedaten für die Datenquelle werden mit Ihrem Schlüssel verschlüsselt und sicher in einem privaten Tresor (Privater Anmeldedatenspeicher) in Ihrem privaten Datenebenenkonto gespeichert. Diese Anmeldedaten werden nur dann aus dem Tresor abgerufen, wenn Sie sie benötigen.

Wechseln Sie zu Key Management Services (Schlüsselverwaltungsdienste) und wählen Sie Create Key (Schlüssel erstellen) aus.
Wählen Sie Key Type (Schlüsseltyp) > Symmetric (Symmetrisch) aus.
Wählen Sie Key Usage (Schlüsselverwendung) > Encrypt and Decrypt (Verschlüsseln und Entschlüsseln) aus.
Benennen Sie den Schlüssel aac-credentials-vault-key.
Taggen Sie den Schlüssel.
Tag-Name
Wert
AACResource
aac
Für Key Administrator (Schlüsselverwalter) wählen Sie Weiter aus.
Für Key Usage Permissions (Schlüsselverwendungsberechtigungen) wählen Sie Weiter aus.
Wählen Sie Fertigstellen aus.

Anmerkung

Der ARN-Schlüssel wird auf der Seite Private Datenverarbeitung bereitgestellt.

Schritt 6: Kontingenterhöhungen anfordern

Standardmäßig gibt es für jedes AWS-Konto eine maximale Obergrenze für die Anzahl der gleichzeitig ausgeführten vCPUs. Um Ihre private Umgebung auszuführen, müssen Sie eine Erhöhung des Kontingents anfordern. So kann Ihre Umgebung an Ihre Anforderungen angepasst werden.

Die genaue Zahl, die Sie angeben, hängt von verschiedenen Faktoren ab, wie z. B. der Anzahl der ausgeführten Anwendungen, der Toleranzstufe für das Warten auf die Ausführung von Aufträgen, wenn nicht genügend Hardware vorhanden ist, und der Bereitschaft, für mehr Infrastruktur zu bezahlen, damit Sie weniger Zeit für das Warten auf Auftragsausführungen aufwenden müssen.

Unten sehen Sie die empfohlenen Zahlen für die Ausführung von Analyse-Workloads in Alteryx One Platform. Sie können eine andere Zahl wählen. Beispielsweise möchten Sie möglicherweise nicht so hoch skalieren, um die Kosten für die Umgebung zu begrenzen. Oder Sie möchten den Wert erhöhen, weil Sie mehrere Alteryx One Platform-Anwendungen ausführen und sicherstellen möchten, dass die Hardware immer verfügbar ist.

Alteryx empfiehlt, eine Kontingenterhöhung für die folgenden Kontingente zu beantragen:

Amazon EC2

Dieses Kontingent gilt für den Kubernetes-Cluster, der Designer Cloud, Machine Learning, Auto Insights und App Builder ausführt. Es gilt auch für die VM-Gruppe mit automatischer Skalierung, die Cloud Execution for Desktop unterstützen.

Unsere Empfehlung für dieses Kontingent basiert darauf, dass Ihre Cluster- und Autoskalierungsgruppen bis zu 50 Knoten verbrauchen können.

Kontingentname: Running On-Demand Standard (A, C, D, H, I, M, R, T, Z) instances.
Kontingentbeschreibung: Maximale Anzahl der vCPUs, die den Running On-Demand Standard-Instanzen (A, C, D, H, I, M, R, T, Z) zugewiesen werden.
AWS-Standardkontingentwert: 5
Empfohlener Mindestkontingentwert: 800 (50 Knoten x 16 vCPU/Knoten).

Amazon EMR

Dieses Kontingent gilt nur, wenn Sie EMR als Designer Cloud-Verarbeitungsoption bereitstellen möchten.

Kontingentname: Max concurrent vCPUs per account.
Kontingentbeschreibung: Maximale Anzahl der vCPUs, die gleichzeitig in diesem Konto in der aktuellen Region ausgeführt werden können.
AWS-Standardkontingentwert: 16
Angewendeter Kontingentwert: 1024

So fordern Sie eine Kontingenterhöhung an

Melden Sie sich bei der AWS-Kontokonsole an.
Suchen Sie nach Service Quotas (Dienstkontingente), und wählen Sie den Dienst aus.
Wählen Sie im linken Navigationsbereich AWS Service (AWS-Dienst) aus.
Suchen Sie nach dem Dienst (z. B. Amazon EMR Serverless oder Amazon EC2).
Wählen Sie den Kontingentnamen aus.
Wählen Sie Request quota increase (Kontingenterhöhung anfordern) aus.
Fordern Sie die angegebene Kontingenterhöhung an.

Schritt 7: Bereitstellung der Handhabung privater Daten auslösen

Warnung

Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.

Die Bereitstellung der Datenverarbeitungsumgebung wird von der Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen.

Wählen Sie auf der Alteryx One-Startseite oben rechts das Kreissymbol mit Ihren Initialen aus. Wählen Sie Admin-Konsole im Menü aus.
Wählen Sie im linken Navigationsmenü die Option Handhabung privater Daten aus.

Stellen Sie sicher, dass Successfully Configured (Erfolgreich konfiguriert) für „Privater Datenspeicher“ angezeigt wird, bevor Sie fortfahren. Wenn der Status Not Configured (Nicht konfiguriert) ist, gehen Sie zuerst zu AWS S3 als privater Datenspeicher und kehren Sie dann zu diesem Schritt zurück.

Im Abschnitt „Private Datenverarbeitung“ müssen Sie 5 Felder ausfüllen. Diese Werte stammen aus den soeben abgeschlossenen Schritten zur Einrichtung des AWS-Kontos und der VPC.

Anmerkung

Der ARN-Schlüssel wird auf der Seite Private Datenverarbeitung in Schritt 5 „Einen symmetrischen Schlüssel für den sicheren Tresor erstellen“ bereitgestellt.

Wenn Sie Erstellen auswählen, werden eine Reihe von Validierungsprüfungen ausgelöst, um sicherzustellen, dass das AWS-Konto wie erforderlich eingerichtet ist. Wenn Berechtigungen nicht korrekt konfiguriert sind oder die Vnet-Ressourcen nicht korrekt erstellt oder getaggt wurden, erhalten Sie eine Fehlermeldung mit einer Beschreibung, die Ihnen weiterhelfen sollte.

Wichtige Hinweise

Zeitpunkt der Konfigurationsänderungen

Alteryx One Platform ist ein verteiltes System. Änderungen an der Konfiguration der privaten Datenverarbeitung müssen auf mehrere Systeme propagiert werden, bevor sie in Kraft treten. Wenn in Ihrem Arbeitsbereich beispielsweise bereits geplante Aufträge ausgeführt werden, wenn Sie die private Datenverarbeitung konfigurieren, sehen Sie möglicherweise, dass die Auftragsausführung noch einige Minuten lang in der Datenverarbeitungsumgebung von Alteryx fortgesetzt wird.

Ausgehende Verbindungen

Die Software, die in der Umgebung für die private Datenverarbeitung ausgeführt wird, erfordert aus mehreren Gründen eine ausgehende Kommunikation bzw. einen ausgehenden Datenverkehr:

Workflows benötigen häufig Zugriff auf eine öffentliche Datenquelle, wie Cloud-Speicher-Buckets und Data Warehouses.
Datenebenendienste erfordern oft Zugriff auf andere Dienste, die auf der Steuerungsebene ausgeführt werden (API-Aufruf, Abonnieren einer Meldungswarteschlange usw.).
Software-Images werden häufig aus Image-Repositorys abgerufen, um Ihre Software auf dem neuesten Stand zu halten.
Alteryx erfasst Anwendungsprotokolle und Telemetriedaten, um den Zustand und die Leistung von Datenebenendiensten zu überwachen und die Fehlerbehebung zu unterstützen.

Wenden Sie keine zusätzlichen Regeln auf Ihre VPC oder Ihre Sicherheitsgruppen an, um diesen ausgehenden Datenverkehr zu blockieren oder einzuschränken.

Zugangsdatenrotation

Im Schritt Schritt 2a: IAM-Benutzer (Dienstkonto) erstellen haben Sie einen IAM-Benutzer namens „aac_iam_user“ mit einem zugehörigen Zugriffsschlüssel erstellt. Alteryx kontrolliert diese Anmeldedaten nicht.

Alteryx empfiehlt, diese Anmeldedaten entsprechend den Richtlinien Ihres Unternehmens zu rotieren. Wenn Ihr Unternehmen diesbezüglich keine Richtlinie hat, empfiehlt AWS eine Rotation alle 90 Tage. Denken Sie daran, dass Alteryx weiterhin Zugriff auf die VPC haben muss, um Cloud-Ressourcen und Software zu aktualisieren, den Zustand Ihrer privaten Umgebung zu überwachen und Fehler zu beheben. Wenn Sie diese Anmeldedaten in AWS rotieren, melden Sie sich bei Alteryx One Platform an und geben Sie auch die neuesten Anmeldedaten an.