Skip to main content

Azure-Abonnement und Vnet für private Daten einrichten

Die private Datenverarbeitung in Azure umfasst die Ausführung eines Alteryx One Platform-Datenverarbeitungsclusters in Ihrem Azure-Abonnement und Vnet. Diese Kombination aus Ihrer Infrastruktur und den von Alteryx verwalteten Azure-Ressourcen und -Software wird allgemein als private Datenverarbeitung bezeichnet.

Diese Seite konzentriert sich auf die Einrichtung Ihres Azure-Abonnements und Ihres Vnet für die private Datenverarbeitung in Alteryx One.

Anmerkung

Für die Azure-Abonnement- und Vnet-Einrichtung sind Zugriff und Berechtigungen für das Azure-Portal erforderlich. Wenn Sie keinen Zugriff haben, wenden Sie sich bitte an Ihr IT-Team, um diesen Schritt abzuschließen.

Achtung

Löschen Sie niemals Ressourcen, die für die private Datenverarbeitung bereitgestellt wurden.

Einrichtungsschritte

Wichtig

Um mit diesen Schritten fortzufahren, müssen Ihnen die Rollen Application Developer (Anwendungsentwickler) und Besitzer zugewiesen sein.

Schritt 1: Azure Abonnement auswählen

Wählen Sie das Abonnement aus, in dem Sie Ihre privaten Datenverarbeitung durchführen möchten.

Um die Performance zu verbessern und die Kosten für ausgehenden Datenverkehr zu senken, sollten sich Ihr Blob-Speicher und AKS-Cluster für die Handhabung privater Daten in derselben Region und Ressourcengruppe befinden, die Sie für den privaten Datenspeicher ausgewählt haben. Dies gilt für alle Datenquellen, die Sie mit Alteryx One verbinden möchten.

Die im Azure-Abonnement erstellte VPC sollte für Alteryx One reserviert sein. Sie können die Konnektivität zu privaten Datenquellen z. B. mithilfe von VPC-Peering, Transit-Gateways und PrivateLink einrichten.

Schritt 2: Ressourcengruppe erstellen

Azure-Cloud-Ressourcen, die von Alteryx One benötigt werden, werden in einer Ressourcengruppe bereitgestellt.

  1. Erstellen Sie eine Ressourcengruppe mit dem Namen aac_resource_group.

    Anmerkung

    aac_resource_group ist ein Beispielname in diesem Handbuch. Sie können einen beliebigen Namen für die Ressourcengruppe auswählen.

  2. Taggen Sie die Ressourcengruppe mit folgenden Parametern:

    1. Tag-Name: AACResource

    2. Tag-Wert: aac

  3. Prüfen und erstellen Sie die Ressourcengruppe.

Schritt 3: IAM konfigurieren

Richten Sie nach der Einrichtung Ihres Azure-Abonnements nun den Dienstprinzipal und die Zugriffsschlüssel ein.

Anmerkung

Sie können dieselbe App-Registrierung verwenden, um die private Datenverarbeitung in einem anderen Abonnement unter demselben Tenant bereitzustellen.

Schritt 3a: App-Registrierung erstellen (Dienstkonto) 

  1. Erstellen Sie eine neue Registrierung mit dem Namen aac_automation_sa.

  2. Wählen Sie unter Supported account types (Unterstützte Kontotypen) die Option Accounts in any organizational directory (Any Microsoft Entra ID tenant - Multitenant) (Konten in einem beliebigen Unternehmensverzeichnis [beliebiger Microsoft Entra ID-Tenant – Multi-Tenant]) aus.

  3. Wählen Sie Register (Registrieren) aus.

  4. Erstellen Sie einen Zugriffsschlüssel:

    1. Wählen Sie die gerade erstellte App-Registrierung aus.

    2. Wählen Sie Certificates & secrets (Zertifikate & Geheimnisse) aus.

    3. Wählen Sie Client secrets (Client-Geheimnisse) aus.

    4. Wählen Sie Neues Client-Geheimnis aus.

    5. Wählen Sie Hinzufügen aus.

Anmerkung

Sie benötigen die Client-ID und den Geheimschlüssel der App-Registrierung, um die Cloud-Ressourcen für die private Datenverarbeitung bereitzustellen.

Schritt 3b: Benutzerdefinierte IAM-Rolle erstellen

Sie müssen eine benutzerdefinierte IAM-Rolle erstellen. Benennen Sie die IAM-Rolle als AAC_Base_SA_Role und fügen Sie das folgende Rollendokument hinzu. Wir empfehlen, die Registerkarte „JSON“ anstelle des visuellen Editors zu verwenden. Alteryx One erfordert einige *-Berechtigungen, um ausgeführt werden zu können. Beim Erstellen der Rolle werden einige Sicherheitswarnungen angezeigt.

{
    "properties": {
        "roleName": "AAC_Base_SA_Role",
        "description": "Custom role for provisioning AAC private data handling",
        "assignableScopes": [
            "/subscriptions/<subscription ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Network/applicationGateways/backendAddressPools/join/action",
                    "Microsoft.Network/locations/*",
                    "Microsoft.Network/networkInterfaces/*",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Network/publicIPAddresses/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Resources/deployments/*",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Resources/subscriptions/read",
                    "Microsoft.Resources/subscriptions/operationresults/read",
                    "Microsoft.Storage/storageAccounts/*",
                    "Microsoft.KeyVault/*",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Network/routeTables/routes/read",
                    "Microsoft.Network/routeTables/read",
                    "Microsoft.Authorization/roleDefinitions/write",
                    "Microsoft.Authorization/roleDefinitions/delete",
                    "Microsoft.Authorization/roleAssignments/delete"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Wichtig

AAC_Base_SA_Role ist ein Beispiel für einen Rollennamen. Sie können einen beliebigen Namen für die Rolle auswählen, der Name muss jedoch mit AAC_Base beginnen.

Schritt 3c: Benutzerdefinierte Rolle an App-Registrierung im Abonnement binden

  1. Wählen Sie das in Schritt 1 erstellte Abonnement aus.

  2. Wählen Sie Access control (IAM) (Zugriffssteuerung [IAM]) aus.

  3. Wählen Sie Hinzufügen aus und dann Add role assignment (Rollenzuweisung hinzufügen).

  4. Wählen Sie die in Schritt 3b erstellte benutzerdefinierte Rolle aus.

    1. Die benutzerdefinierte Rolle kann sich auf der Registerkarte Job function roles (Tätigkeitsfeldrolle) oder Privileged administrator roles (Privilegierte Administratorrollen) befinden.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie unter Members (Mitglieder) die in Schritt 3a erstellte App-Registrierung aus.

  7. Wählen Sie unter Bedingungen die Option Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Benutzer erlauben, alle Rollen mit Ausnahme der privilegierten Administratorrollen Besitzer, UAA, RBAC zuzuweisen).

  8. Wählen Sie unter Assignment type (Zuweisungstyp) die Option Aktiv und für die Assignment duration (Zuweisungsdauer) die Option Permanent (Dauerhaft) aus.

  9. Wählen Sie Review and Assign (Prüfen und zuweisen).

Schritt 4: Netzwerksicherheitsgruppe (NSG) erstellen

  1. Erstellen Sie eine Netzwerksicherheitsgruppe in der Ressourcengruppe aac_resource_group.

  2. Taggen Sie die Netzwerksicherheitsgruppe mit den folgenden Parametern:

    1. Tag-Name: AACResource

    2. Tag-Wert: aac

Schritt 5: Virtuelles privates Netzwerk konfigurieren

Schritt 5a: Virtuelles Netzwerk (Vnet) erstellen

  1. Erstellen Sie ein virtuelles Netzwerk in der Ressourcengruppe aac_resource_group.

    Tipp

    Azure erstellt einen Standard-Adressbereich und ein Standard-Subnetz. Löschen Sie das Standard-Subnetz, und aktualisieren Sie den Adressbereich.

    Die unten genannten CIDR-Blöcke sind für die Alteryx One-Steuerungsebene reserviert. Vermeiden Sie es, die VPC-CIDRs einzurichten mit:

    • 100.64.0.0/10

    • 10.4.0.0/14

    • 10.64.0.0/20

    • 10.0.0.0/22

  2. Fügen Sie diese IPv4-Adressbereiche hinzu, je nachdem, welche Module Sie bereitstellen möchten. Möglicherweise müssen Sie das Vnet mit einem einzelnen Adressbereich erstellen und dann Einstellungen > Address space (Adressbereich) auswählen, um den zweiten hinzuzufügen.

    1. Fügen Sie für Designer Cloud und Machine Learning die /18- und /22--Adressbereiche hinzu.

    2. Fügen Sie für Cloud Execution for Desktop den /22- Adressbereich hinzu

  3. Taggen Sie das Vnet mit den folgenden Parametern:

    1. Tag-Name: AACResource

    2. Tag-Wert: aac

Schritt 5b: Funktionsmarkierung konfigurieren

Registrieren Sie die EnableAPIServerVnetIntegrationPreview-Funktionsmarkierung in Ihrem Azure-Abonnement.

Anmerkung

Verbindungen zu privaten Datenquellen erfordern Netzwerkpfade zwischen dem Vnet und der Datenquelle. Wie in der Matrix zur gemeinsamen Verantwortung definiert, richten Sie diese Netzwerkpfade gemäß Ihren eigenen Netzwerkrichtlinien und -präferenzen ein.

Schritt 5c: IP-Whitelisting

Alteryx Cloud-Produkte werden in einem Kubernetes-Cluster bereitgestellt. Die Steuerungsebene kommuniziert sicher mit dem Datenebenen-Kubernetes-Cluster über einen WireGuard-VPN-Tunnel. Um eine nahtlose und sichere Kommunikation über das WireGuard-VPN zu ermöglichen, muss die folgende IP-Adresse im Datenebenen-Netzwerk sowohl für eingehenden als auch für ausgehenden Datenverkehr auf die Whitelist gesetzt werden:

PDP in der Alteryx Cloud

IPs, die auf die Whitelist gesetzt werden müssen

us1.alteryxcloud.com

WireGuard-Server-IPs: 34.149.191.17 und TCP-Port 443

34.127.5.134, 35.203.150.52 und UDP-Port 51820

IPs der Steuerungsebene: 34.118.199.26, 34.82.130.80/29

Teleport-IPs: 34.145.177.98 und TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 auf TCP-Port 443

eu1.alteryxcloud.com

WireGuard-Server-IPs: 35.244.193.191 und TCP-Port 443

34.141.115.208, 34.159.185.26 und UDP-Port 51820

IPs der Steuerungsebene: 34.141.45.236, 34.89.162.16/29

Teleport-IPs: 34.145.177.98 und TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 und TCP-Port 443

au1.alteryxcloud.com

WireGuard-Server-IPs: 34.107.140.97 und TCP-Port 443

35.197.167.155, 35.244.84.72 und UDP-Port 51820

IPs der Steuerungsebene: 34.87.234.110, 34.40.128.80/29

Teleport-IPs: 34.145.177.98 und TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 und TCP-Port 443

preprod.alteryxcloud.com

WireGuard-Server-IPs: 34.120.226.216 und TCP-Port 443

35.230.188.196, 35.221.3.230 und UDP-Port 51820

IPs der Steuerungsebene: 34.86.96.59, 35.199.17.14, 34.86.74.210

Teleport-IPs: 34.145.177.98 und TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 und TCP-Port 443

Schritt 6: Schlüsseltresor erstellen

Ihre Anmeldedaten für die Datenquelle werden mit Ihrem Schlüssel verschlüsselt und sicher in einem privaten Tresor (Privater Anmeldedatenspeicher) in Ihrem privaten Datenebenenkonto gespeichert. Diese Anmeldedaten werden nur dann aus dem Tresor abgerufen, wenn Sie sie benötigen.

  1. Erstellen Sie den Schlüsseltresor in der Ressourcengruppe aac_resource_group.

  2. Benennen Sie den Tresor als aac-credentials-vault und wählen Sie Weiter aus.

  3. Wählen Sie die rollenbasierte Azure-Zugriffskontrolle als Berechtigungsmodell aus, und klicken Sie dann auf Weiter, um fortzufahren.

  4. Wählen Sie Selected networks (Ausgewählte Netzwerke) aus, um den Zugriff zuzulassen.

  5. Schlüsseltresor taggen

    Tag-Name

    Wert

    AACResource

    aac

  6. Wählen Sie Review and Create (Prüfen und erstellen) aus.

    Anmerkung

    Der Name des Schlüsseltresors wird auf der Seite Private Datenverarbeitung angegeben.

Schritt 7: Anforderungskontingent-Erhöhung auslösen

Standardmäßig verfügt jedes Azure-Abonnement über eine maximale Anzahl von vCPUs, die gleichzeitig ausgeführt werden. Um Ihre private Umgebung auszuführen, müssen Sie eine Erhöhung des Kontingents anfordern. So kann Ihre Umgebung an Ihre Anforderungen angepasst werden.

Die genaue Zahl, die Sie angeben, hängt von verschiedenen Faktoren ab, wie z. B. der Anzahl der ausgeführten Anwendungen, der Toleranzstufe für das Warten auf die Ausführung von Aufträgen, wenn nicht genügend Hardware vorhanden ist, und der Bereitschaft, für mehr Infrastruktur zu bezahlen, damit Sie weniger Zeit für das Warten auf Auftragsausführungen aufbringen müssen.

Nachfolgend finden Sie die empfohlenen Zahlen für die Ausführung von Analyse-Workloads auf der Alteryx One Platform. Sie können eine andere Zahl wählen. Sie sollten beispielsweise nicht so hoch skalieren, um die Kosten für die Umgebung zu begrenzen. Oder Sie möchten den Wert erhöhen, weil Sie mehrere Alteryx One Platform-Anwendungen ausführen und sicherstellen möchten, dass die Hardware immer verfügbar ist.

Alteryx empfiehlt, eine Kontingenterhöhung für die folgenden Kontingente zu beantragen:

CPU-Grenzwerte

Kontingentname: Total Regional vCPUs

Geltungsbereich: Regional

Azure-Standard-Kontingentwert: 10

Empfohlener Kontingentwert: 800 (50 Knoten * 16 CPUs pro Knoten)

Kontingentname: Standard Basv2 Family vCPUs

Geltungsbereich: Regional

Azure-Standard-Kontingentwert: 10

Empfohlener Kontingentwert: 800 (50 Knoten * 16 CPUs pro Knoten)

Schritt 8: Bereitstellung der Handhabung privater Daten auslösen

Warnung

Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.

Die Bereitstellung der Datenverarbeitungsumgebung wird von der Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen.

  1. Wählen Sie auf der Alteryx One-Startseite oben rechts das Kreissymbol mit Ihren Initialen aus. Wählen Sie Admin-Konsole im Menü aus.

  2. Wählen Sie im linken Navigationsmenü die Option Handhabung privater Daten aus.

Stellen Sie sicher, dass Successfully Configured (Erfolgreich konfiguriert) für „Privater Datenspeicher“ angezeigt wird, bevor Sie fortfahren. Wenn der Status Not Configured (Nicht konfiguriert) ist, gehen Sie zuerst zu ADLS as Private Data Storage und kehren Sie dann zu diesem Schritt zurück.

Im Abschnitt „Private Datenverarbeitung“ müssen Sie 5 Felder ausfüllen. Diese Werte stammen aus den Einrichtungsschritten, die Sie gerade durchgeführt haben.

Wenn Sie Erstellen auswählen, wird eine Reihe von Validierungsprüfungen ausgelöst, um zu überprüfen, ob das Azure-Abonnement wie erforderlich eingerichtet ist. Wenn Berechtigungen nicht korrekt konfiguriert sind oder die Vnet-Ressourcen nicht korrekt erstellt oder getaggt wurden, erhalten Sie eine Fehlermeldung mit einer Beschreibung, die Ihnen weiterhelfen sollte.

Wichtige Hinweise

Zeitpunkt der Konfigurationsänderungen

Alteryx One Platform ist ein verteiltes System. Änderungen an der Konfiguration der privaten Datenverarbeitung müssen auf mehrere Systeme propagiert werden, bevor sie in Kraft treten. Wenn in Ihrem Arbeitsbereich beispielsweise bereits geplante Aufträge ausgeführt werden, wenn Sie die private Datenverarbeitung konfigurieren, sehen Sie möglicherweise, dass die Auftragsausführung noch einige Minuten lang in der Datenverarbeitungsumgebung von Alteryx fortgesetzt wird.

Terraform-Runner-Zugriff auf Ihre VPC

Alteryx verwendet Terraform, um Änderungen an der Infrastruktur und den Cloud-Ressourcen in Ihrer VPC vorzunehmen. Wir fügen eine Reihe von IP-Adressen zu einer Zulassungsliste im EKS-Cluster hinzu, damit unsere Terraform-Runner und die Steuerungsebene Zugriff haben.

Ändern Sie diese Liste nicht.

Die Adressen für die Alteryx-Steuerungsebene finden Sie unter Den IP-Adressbereich des Alteryx-Dienstes auf die Whitelist setzen. Die Terraform-Runner von Alteryx verwenden die folgenden IP-Adressen:

  • „44.227.135.252/32“

  • „44.225.123.94/32“

  • „104.193.47.0/24“

  • „66.35.44.241/32“

  • „74.199.216.160/27“

  • „54.188.210.240/32“

Ausgehende Verbindungen

Die Software, die in der Umgebung für die private Datenverarbeitung ausgeführt wird, erfordert aus mehreren Gründen eine ausgehende Kommunikation bzw. ausgehenden Datenverkehr:

  1. Workflows benötigen häufig Zugriff auf eine öffentliche Datenquelle, wie Cloud-Speicher-Buckets und Data Warehouses.

  2. Datenebenendienste erfordern oft Zugriff auf andere Dienste, die auf der Steuerungsebene ausgeführt werden (API-Aufruf, Abonnieren einer Meldungswarteschlange usw.).

  3. Software-Images werden häufig aus Image-Repositorys abgerufen, um Ihre Software auf dem neuesten Stand zu halten.

  4. Alteryx erfasst Anwendungsprotokolle und Telemetriedaten, um den Zustand und die Leistung von Datenebenendiensten zu überwachen und die Fehlerbehebung zu unterstützen.

Wenden Sie keine zusätzlichen Regeln auf Ihre VPC oder Ihre Sicherheitsgruppen an, um diesen ausgehenden Datenverkehr zu blockieren oder einzuschränken.

Zugangsdatenrotation

In Schritt Schritt 3b: Benutzerdefinierte IAM-Rolle erstellen haben Sie eine App-Registrierung mit dem Namen „aac_automation_sa“ zusammen mit einem zugehörigen Client-Geheimnis erstellt. Alteryx kontrolliert diese Anmeldedaten nicht.

Alteryx empfiehlt, diese Anmeldedaten entsprechend den Richtlinien Ihres Unternehmens zu rotieren. Wenn Ihr Unternehmen diesbezüglich keine Richtlinie hat, ist eine Geheimnisrotation alle 90 Tage ein guter Ausgangspunkt. Denken Sie daran, dass Alteryx weiterhin Zugriff auf die VPC haben muss, um Cloud-Ressourcen und Software zu aktualisieren, den Zustand Ihrer privaten Umgebung zu überwachen und Fehler zu beheben. Wenn Sie diese Anmeldedaten in Azure rotieren, melden Sie sich bei Alteryx One Platform an und geben Sie auch die neuesten Anmeldedaten an.

Nächste Schritte

App Builder in Azure

Auto Insights in Azure

Cloud Execution for Desktop in Azure

Designer Cloud in Azure

Machine Learning in Azure

In diesem Abschnitt: