Skip to main content

Machine Learning in GCP

Befolgen Sie diese Anleitung, um das Machine Learning-Modul für die private Datenverarbeitung auf der Google Cloud Platform (GCP) bereitzustellen.

Voraussetzung

Bevor Sie das Machine Learning-Modul bereitstellen, müssen Sie die folgenden Schritte auf der GCP-Projekt und VPC für private Daten einrichten-Seite ausführen:

  1. Konfigurieren Sie eine VPC, die speziell für Alteryx One bestimmt ist, wie im Abschnitt Virtuelles privates Netzwerk konfigurieren beschrieben.

  2. Verbinden Sie das Dienstkonto und die Basis-IAM-Rollen mit dem Dienstkonto, wie im Abschnitt IAM konfigurieren beschrieben.

  3. Lösen Sie erfolgreich die Bereitstellung der privaten Datenverarbeitung aus, wie im Abschnitt Bereitstellung der Handhabung privater Daten auslösen beschrieben.

Projekteinrichtung

Schritt 1: IAM konfigurieren

Schritt 1a: IAM-Bindung an das Dienstkonto

Weisen Sie diese zusätzlichen Rollen dem Dienstkonto aac-automation-sa zu, das Sie während GCP-Projekt und VPC für private Daten einrichten erstellt haben:

  • Compute Load Balancer Admin: roles/compute.loadBalancerAdmin

  • Compute Instance Admin (v1): roles/compute.instanceAdmin.v1

  • Compute Storage Admin: roles/compute.storageAdmin

  • Kubernetes Engine Cluster Admin: roles/container.clusterAdmin

  • Storage Admin: roles/storage.admin

  • Cloud MemoryStore Redis Admin: roles/redis.admin

Schritt 2: Subnetz konfigurieren

Anmerkung

Designer Cloud teilt eine Subnetzkonfiguration mit Machine Learning, Auto Insights und App Builder. Wenn Sie mehr als eine dieser Anwendungen bereitstellen, müssen Sie die Subnetze nur einmal konfigurieren.

Machine Learning in einer Umgebung zur Verarbeitung privater Daten erfordert 3 Subnetze. Sie haben das aac-private-Subnetz zuvor beim Erstellen der VPC erstellt. Sie müssen es nicht erneut erstellen, aber es ist hier aus Gründen der Vollständigkeit enthalten.

  • aac-gke-node (erforderlich): Der GKE-Cluster verwendet dieses Subnetz zur Ausführung von Alteryx-Softwareaufträgen (Konnektivität, Konvertierung, Verarbeitung, Veröffentlichung).

  • aac-public (erforderlich): Diese Gruppe führt keine Dienste aus, aber die gke_node-Gruppe verwendet sie für den ausgehenden Datenverkehr aus dem Cluster.

  • aac-private (erforderlich): Diese Gruppe führt private Dienste für den PDP aus.

Schritt 2a: Subnetze in der VPC erstellen

Konfigurieren Sie Subnetze in der aac-vpc-VPC.

Erstellen Sie Subnetze gemäß dem Beispiel unten. Sie können die Größe des Subnetzes und des sekundären Subnetzes an Ihre Netzwerkarchitektur anpassen.

Die Adressräume sind für eine vollständig horizontal skalierte Datenverarbeitungsumgebung ausgelegt. Sie können bei Bedarf einen kleineren Adressbereich wählen, was aber bei hohen Verarbeitungslasten zu Skalierungsproblemen führen könnte.

Wichtig

Der Subnetzname ist kein flexibles Feld. Er muss mit der folgenden Tabelle übereinstimmen.

Sie können eine beliebige Region aus der Liste Supported Regions (Unterstützte Regionen) auswählen. Sie müssen jedoch jetzt dieselbe Region für die Subnetzregion verwenden und später, wenn Sie den Schritt zur Auslösung der Bereitstellung erreichen.

Subnetzname

Subnetz

Name des sekundären Subnetzes

Größe des sekundären Subnetzes

Anmerkungen

aac-gke-node

10.0.0.0/22

aac-gke-pod

10.4.0.0/14

GKE-Cluster, GKE-Pod und GKE-Dienst-Subnetze.

 

aac-gke-service

10.64.0.0/20

 

aac-public

10.10.1.0/25

n. z.

n. z.

Öffentlicher ausgehender Datenverkehr.

Schritt 2b: Subnetz-Routentabelle

Erstellen Sie die Routentabelle für Ihre Subnetze.

Wichtig

Sie müssen das Vnet mit einer Netzwerkverbindung zum Internet in Ihrem Abonnement konfigurieren.

Anmerkung

Diese Routentabelle dient als Beispiel.

Adresspräfix

Nächster Hop-Typ

/22-CIDR-Block (aac-gke-node)

aac-vpc

/24-CIDR-Block (aac-private)

aac-vpc

/25-CIDR-Block (aac-public)

aac-vpc

0.0.0.0/0

<gateway_ID>

Anmerkung

Ihre <gateway id> kann je nach Netzwerkarchitektur entweder ein NAT-Gateway oder ein Internet-Gateway sein.

Private Datenverarbeitung

Achtung

Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.

Schritt 1: Machine Learning-Bereitstellung auslösen

Die Datenverarbeitungsbereitstellung wird über die Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen innerhalb eines Arbeitsbereichs.

  1. Wählen Sie auf der Alteryx One-Startseite das Menü „Profil“ und dann Arbeitsbereich-Administrator aus.

  2. Wählen Sie in der Admin-Konsole die Option Handhabung privater Daten und dann Verarbeitung aus.

  3. Aktivieren Sie das Kontrollkästchen Machine Learning und wählen Sie dann Aktualisierung aus.

Die Auswahl von Aktualisierung löst die Bereitstellung des Clusters und der Ressourcen im GCP-Projekt aus. Dabei werden verschiedene Validierungsprüfungen durchgeführt, um die korrekte Konfiguration des GCP-Projekts zu überprüfen.

Anmerkung

Der Bereitstellungsprozess dauert bis zum Abschluss etwa 35–40 Minuten.

Nachdem die Bereitstellung abgeschlossen wurde, können Sie die erstellten Ressourcen (z. B. VM-Instanzen und Knotengruppen) über die GCP-Konsole anzeigen. Es ist sehr wichtig, dass Sie sie nicht selbst ändern. Manuelle Änderungen können zu Problemen mit der Funktionalität der Umgebung für die private Datenverarbeitung führen.

Schritt 2: IAM-Rolle für das Kubernetes-Dienstkonto aktualisieren

Nachdem die private Datenverarbeitung erfolgreich eingerichtet wurde, wird ein Kubernetes-Dienstkonto mit der Bezeichnung credential-pod-sa erstellt. Mit diesem Konto kann der Kubernetes-Anmeldedienst auf Anmeldedaten für private Daten zugreifen, die im Schlüsseltresor gespeichert sind.

Anmerkung

Ersetzen Sie die <project number> und <project id> durch die Projektnummer und die Projekt-ID des Projekts.

  1. Gehen Sie zu Key Management (Schlüsselverwaltung) und wählen Sie den Schlüsselbund mit dem Schlüssel aus, der in Schritt 5: Schlüsselbund und Schlüssel erstellen erstellt wurde.

  2. Wählen Sie BERECHTIGUNGEN und dann GRANT ACCESS (Zugriff gewähren).

  3. Geben Sie im Feld New Principal (Neuer Prinzipal) Folgendes ein:

    principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa

  4. Stellen Sie die Rollen Cloud KMS CryptoKey Encrypter/Decrypter und Secret Manager Admin (Geheimnismanager-Admin) bereit.

  5. Wählen Sie Speichern aus.

In diesem Abschnitt: