Skip to main content

Designer Cloud in GCP

Befolgen Sie diese Anleitung, um das Designer Cloud-Modul für die Verarbeitung personenbezogener Daten auf der Google Cloud Platform (GCP) bereitzustellen.

Voraussetzung

Bevor Sie das Designer Cloud-Modul bereitstellen, müssen Sie die folgenden Schritte auf der GCP-Projekt und VPC für private Daten einrichten-Seite ausführen...

  1. Konfigurieren Sie eine VPC, die speziell für Alteryx One bestimmt ist, wie im Abschnitt Virtuelles privates Netzwerk konfigurieren beschrieben.

  2. Ordnen Sie dem Dienstkonto das Dienstkonto und die Basis-IAM-Rollen zu, wie im Abschnitt IAM konfigurieren beschrieben.

  3. Lösen Sie die Bereitstellung der Verarbeitung privater Daten aus, wie im Abschnitt Bereitstellung der Handhabung privater Daten auslösen beschrieben.

Projekteinrichtung

Schritt 1: IAM konfigurieren

Schritt 1a: IAM-Bindung an das Dienstkonto

Weisen Sie diese zusätzlichen Rollen dem aac-automation-sa-Dienstkonto zu, das Sie während GCP-Projekt und VPC für private Daten einrichten erstellt haben:

  • Compute Load Balancer Admin: roles/compute.loadBalancerAdmin

  • Compute Instance Admin (v1): roles/compute.instanceAdmin.v1

  • Compute Storage Admin: roles/compute.storageAdmin

  • Kubernetes Engine Cluster Admin: roles/container.clusterAdmin

  • Storage Admin: roles/storage.admin

  • Cloud Memorystore Redis Admin: roles/redis.admin

Schritt 2: Subnetz konfigurieren

Anmerkung

Designer Cloud teilt eine Subnetzkonfiguration mit Machine Learning, Auto Insights und App Builder. Wenn Sie mehr als eine dieser Anwendungen bereitstellen, müssen Sie die Subnetze nur einmal konfigurieren.

Designer Cloud in einer Umgebung zur Verarbeitung privater Daten sind 3 Subnetze erforderlich. Sie haben das aac-private-Subnetz zuvor beim Erstellen der VPC erstellt. Sie müssen es nicht erneut erstellen, aber es ist hier aus Gründen der Vollständigkeit enthalten.

  • aac-gke-node (erforderlich): Der GKE-Cluster verwendet dieses Subnetz zur Ausführung von Alteryx-Softwareaufträgen (Konnektivität, Konvertierung, Verarbeitung, Veröffentlichung).

  • aac-public (erforderlich): Diese Gruppe führt keine Dienste aus, aber die aac-gke-node-Gruppe verwendet sie für den ausgehenden Datenverkehr aus dem Cluster.

  • aac-private (erforderlich): Diese Gruppe führt private Dienste für den PDP aus.

Schritt 2a: Subnetze in der VPC erstellen

Konfigurieren Sie Subnetze in der aac-vpc-VPC.

Erstellen Sie Subnetze gemäß dem Beispiel unten. Sie können die Größe des Subnetzes und des sekundären Subnetzes an Ihre Netzwerkarchitektur anpassen.

Die Adressräume sind für eine vollständig skalierte Datenverarbeitungsumgebung ausgelegt. Sie können bei Bedarf einen kleineren Adressenspeicher wählen, was aber bei hohen Verarbeitungslasten zu Skalierungsproblemen führen könnte.

Wichtig

Der Subnetzname ist kein flexibles Feld. Er muss mit der folgenden Tabelle übereinstimmen.

Sie können eine beliebige Region aus der Liste Unterstützte Regionen auswählen. Allerdings müssen Sie jetzt und später, wenn Sie den Schritt zur Auslösung der Bereitstellung erreichen, dieselbe Region für die Subnetzregion verwenden.

Subnetzname

Subnetz

Name des sekundären Subnetzes

Größe des sekundären Subnetzes

Anmerkungen

aac-gke-node

10.0.0.0/22

aac-gke-pod

10.4.0.0/14

GKE-Cluster, GKE-Pod und GKE-Dienst-Subnetze.

 

aac-gke-service

10.64.0.0/20

 

aac-public

10.10.1.0/25

N.z.

N.z.

Öffentlicher ausgehender Datenverkehr.

Schritt 2b: Subnetzroutentabelle

Erstellen Sie die Routentabelle für Ihre Subnetze.

Wichtig

Sie müssen das Vnet mit einer Netzwerkverbindung zum Internet in Ihrem Abonnement konfigurieren.

Anmerkung

Diese Routentabelle dient als Beispiel.

Adresspräfix

Typ des nächsten Hops

22-CIDR-Block (aac-gke-node)

ac-vpc

24-CIDR-Block (aac-private)

ac-vpc

25-CIDR-Block (aac-public)

ac-vpc

0.0.0.0/0

<gateway_ID>

Anmerkung

Ihr Gateway <gateway id> kann je nach Netzwerkarchitektur entweder ein NAT-Gateway oder ein Internet-Gateway sein.

Verarbeitung privater Daten

Achtung

Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.

Schritt 1: Designer Cloud-Bereitstellung auslösen

Die Datenverarbeitungsbereitstellung wird über die Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen.

  1. Wählen Sie über die Alteryx One-Startseite das Menü Profil und dann Arbeitsbereich-Administrator aus.

  2. Wählen Sie in der Admin-Konsole die Option Handhabung privater Daten und dann Verarbeitung aus.

  3. Wählen Sie Sie das Designer Cloud-Kontrollkästchen und dann Aktualisieren aus.

Die Auswahl von Aktualisieren löst die Bereitstellung des Clusters und der Ressourcen im GCP-Projekt aus. Dadurch wird eine Reihe von Validierungsprüfungen durchgeführt, um die korrekte Konfiguration des GCP-Projekts zu überprüfen.

Anmerkung

Der Bereitstellungsprozess dauert bis zum Abschluss etwa 35–40 Minuten.

Nach Abschluss der Bereitstellung können Sie die erstellten Ressourcen (z. B. VM-Instanzen und Knotengruppen) über die GCP-Konsole anzeigen. Es ist sehr wichtig, dass Sie sie nicht selbst ändern. Manuelle Änderungen können zu Problemen mit der Funktionalität der Umgebung zur Verarbeitung personenbezogener Daten führen.

Schritt 2: IAM-Rolle für das Kubernetes-Dienstkonto aktualisieren

Nachdem die Verarbeitung privater Daten erfolgreich eingerichtet wurde, wird ein Kubernetes-Dienstkonto mit dem Namen credential-pod-sa erstellt. Mit diesem Konto kann der Kubernetes-Anmeldedatendienst auf private Anmeldedaten zugreifen, die im Schlüsseltresor gespeichert sind.

Anmerkung

Ersetzen Sie <project number> und <project id> durch Projektnummer und Projekt-ID.

  1. Gehen Sie zu Key Management (Schlüsselverwaltung) und wählen Sie den Schlüsselbund mit dem Schlüssel aus, der in Schritt 5: Schlüsselbund und Schlüssel erstellen erstellt wurde.

  2. Wählen Sie PERMISSIONS(Berechtigungen) und wählen Sie dann GRANT ACCESS (Zugriff gewähren) aus.

  3. Geben Sie im Feld New Principal (Neuer Prinzipal) Folgendes ein:

    principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa

  4. Stellen Sie die Rollen Cloud KMS CryptoKey Encrypter/Decrypter und Secret Manager Admin bereit.

  5. Wählen Sie Speichern aus.

In diesem Abschnitt: