Skip to main content

GCP-Projekt und VPC für private Daten einrichten

Bei der privaten Datenverarbeitung auf der Google Cloud Platform (GCP) wird ein Alteryx One Platform-Datenverarbeitungscluster innerhalb Ihres GCP-Projekts und Ihrer VPC ausgeführt. Diese Kombination aus Ihrer Infrastruktur zusammen mit Alteryx-verwalteten/verwalteter GCP-Ressourcen und -Software wird allgemein als private Datenverarbeitung bezeichnet.

Diese Seite konzentriert sich auf die Einrichtung Ihres GCP-Projekts und Ihrer VPC für die private Datenverarbeitung in Alteryx One.

Anmerkung

Das GCP-Projekt und die VPC-Einrichtung erfordern Zugriff auf und Berechtigungen für die GCP-Konsole. Wenn Sie keinen Zugriff haben, wenden Sie sich bitte an Ihr IT-Team, um diesen Schritt abzuschließen.

Achtung

Löschen Sie niemals Ressourcen, die für die private Datenverarbeitung bereitgestellt wurden.

Einrichtungsschritte

Wichtig

Um mit diesen Schritten fortzufahren, muss Ihnen die RBAC-Rolle Besitzer zugewiesen sein.

Schritt 1: GCP-Projekt auswählen

Wählen Sie das Projekt aus, in dem Sie Ihre private Datenverarbeitung durchführen möchten.

Um die Leistung zu verbessern und die Kosten für den ausgehenden Datenverkehr zu senken, sollten sich Ihr Google-Speicher und GKE-Cluster für die Handhabung privater Daten in derselben Region befinden, die Sie für den privaten Datenspeicher ausgewählt haben. Dies gilt für alle Datenquellen, die Sie mit Alteryx One verbinden möchten.

Die im GCP-Projekt erstellte VPC sollte für Alteryx One reserviert sein. Sie können die Konnektivität zu privaten Datenquellen z. B. mithilfe von VPC-Peering, Transit-Gateways und PrivateLink einrichten.

Wichtig

Sie sollten pro GCP-Projekt nur 1 Instanz für die Handhabung privater Daten einrichten.

Schritt 2: Google APIs aktivieren

Um Cloud-Ressourcen für die Handhabung privater Daten zu erstellen, müssen Sie APIs im Projekt aktivieren.

  1. Wählen Sie in der GCP-Konsole die Option APIs & Services (APIs & Dienste) aus.

  2. Wählen Sie ENABLED APIS AND SERVICES (AKTIVIERTE APIs UND DIENSTE) aus.

  3. Aktivieren Sie die folgenden APIs:

    1. Cloud Logging-API

    2. Cloud Monitoring-API

    3. Compute Engine-API

    4. Secret Manager-API

    5. Service Networking-API

    6. Cloud Asset-API

    7. Kubernetes Engine-API

    8. Google Cloud Memorystore for Redis-API

    9. Service Usage-API

Schritt 3: IAM konfigurieren

Richten Sie nach der Einrichtung Ihres GCP-Projekts nun den Dienstprinzipal und die Zugriffsschlüssel ein.

Schritt 3a: Dienstkonto erstellen

  1. Erstellen Sie ein Dienstkonto mit dem Namen aac-automation-sa.

  2. Generieren Sie Schlüssel mit dem Schlüsseltyp JSON.

  3. Speichern Sie die JSON-Blob-Datei.

Anmerkung

Sie benötigen die JSON-Blob-Datei des Dienstschlüssels, um die Cloud-Ressourcen in einem späteren Schritt bereitzustellen.

Schritt 3b: IAM-Bindung an das Dienstkonto

Weisen Sie dem Dienstkonto aac-automation-sa die folgenden Rollen zu:

  • Secret Manager Admin (Geheimnismanager-Admin): roles/secretmanager.admin

  • Service Account Admin (Dienstkonto-Admin): roles/iam.serviceAccountAdmin

  • Service Account User (Dienstkonto-Benutzer): roles/iam.serviceAccountUser

  • Project IAM Admin (Projekt-IAM-Admin): roles/resourcemanager.projectIamAdmin

  • Service Account key Admin (Dienstkontoschlüssel-Admin): roles/iam.serviceAccountKeyAdmin

  • Compute Network Viewer (Rechennetzwerk-Betrachter): roles/compute.networkViewer

  • Cloud KMS Viewer (Cloud-KMS-Betrachter): roles/cloudkms.viewer

Wichtig

GCP lässt keine Platzhalter (*) im Richtliniendokument zu. GCP weist auch Einschränkungen in Bezug auf die Anzahl der einzelnen Berechtigungen auf, die einer benutzerdefinierten Rolle zugewiesen sind. Daher müssen Sie dem Dienstkonto eine Gruppe von durch GCP verwalteten vordefinierten Rollen zuweisen.

Schritt 4: Virtuelles privates Netzwerk konfigurieren

Schritt 4a: VPC-Netzwerk erstellen

Die unten genannten CIDR-Blöcke sind für die Alteryx One-Steuerungsebene reserviert. Vermeiden Sie die Einrichtung der VPC-CIDRs mit:

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

  1. Erstellen Sie ein virtuelles Netzwerk.

  2. Wählen Sie Subnet creation mode (Subnetz-Erstellungsmodus) = Benutzerdefiniert aus.

  3. Deaktivieren oder löschen Sie die Standard-Firewall-Regeln.

  4. Wählen Sie Dynamic routing mode (Dynamischer Routing-Modus) = Global aus.

  5. Die VPC benötigt ein Subnetz. Konfigurieren Sie die Subnetze wie in dieser Tabelle dargestellt:

Subnetzname

Subnetzgröße

Name des sekundären Subnetzes

Größe des sekundären Subnetzes

aac-private

10.10.10.0/24

n. z.

n. z.

aac-private (erforderlich): Diese Gruppe führt private Dienste für den PDP aus.

Wichtig

Bei den Subnetz-IP-Adressen und -Größen in der Tabelle handelt es sich um Beispiele.

Ändern Sie die Werte nach Bedarf, damit sie Ihrer Netzwerkarchitektur entsprechen. Die Subnetzregion muss der Bereich sein, in dem die „Handhabung privater Daten“ bereitgestellt werden soll.

Der Subnetzname MUSS mit dem in der Tabelle angegebenen Namen übereinstimmen.

Schritt 4b: Subnetz-Routentabelle

Wichtig

Sie müssen die VPC mit einer Netzwerkverbindung zum Internet in Ihrem Projekt konfigurieren.

Anmerkung

Die <gateway id> kann je nach Netzwerkarchitektur entweder ein NAT-Gateway oder ein Internet-Gateway sein.

Dies ist ein Beispiel für eine Subnetz-Routentabelle:

Adresspräfix

Nächster Hop

/24-CIDR-Block (aac-private)

aac-vpc

0.0.0.0/0

<gateway_ID>

Schritt 4c: IP-Whitelisting

Alteryx Cloud-Produkte werden in einem Kubernetes-Cluster bereitgestellt. Die Steuerungsebene kommuniziert sicher mit dem Datenebenen-Kubernetes-Cluster über einen WireGuard-VPN-Tunnel. Um eine nahtlose und sichere Kommunikation über das WireGuard-VPN zu ermöglichen, muss die folgende IP-Adresse im Datenebenen-Netzwerk sowohl für eingehenden als auch für ausgehenden Datenverkehr auf die Whitelist gesetzt werden:

PDP in der Alteryx Cloud

IPs, die auf die Whitelist gesetzt werden müssen

us1.alteryxcloud.com

WireGuard-Server-IPs: 34.149.191.17 auf TCP-Port 443

34.127.5.134, 35.203.150.52 auf UDP-Port 51820

IPs der Steuerungsebene: 34.118.199.26, 34.82.130.80/29

Teleport-IPs: 34.145.177.98 auf TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 auf TCP-Port 443

eu1.alteryxcloud.com

WireGuard-Server-IPs: 35.244.193.191 auf TCP-Port 443

34.141.115.208, 34.159.185.26 auf UDP-Port 51820

IPs der Steuerungsebene: 34.141.45.236, 34.89.162.16/29

Teleport-IPs: 34.145.177.98 und TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 und TCP-Port 443

au1.alteryxcloud.com

WireGuard-Server-IPs: 34.107.140.97 auf TCP-Port 443

35.197.167.155, 35.244.84.72 und UDP-Port 51820

IPs der Steuerungsebene: 34.87.234.110, 34.40.128.80/29

Teleport-IPs: 34.145.177.98 und TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 und TCP-Port 443

preprod.alteryxcloud.com

WireGuard-Server-IPs: 34.120.226.216 auf TCP-Port 443

35.230.188.196, 35.221.3.230 und UDP-Port 51820

IPs der Steuerungsebene: 34.86.96.59, 35.199.17.14, 34.86.74.210

Teleport-IPs: 34.145.177.98 und TCP-Port 443, 3023, 3024, 3026, 3036

34.85.215.128 und TCP-Port 443

Schritt 5: Schlüsselbund und Schlüssel erstellen

Ihre Anmeldedaten für die Datenquelle werden mit Ihrem Schlüssel verschlüsselt und sicher in einem privaten Tresor (Privater Anmeldedatenspeicher) in Ihrem Projekt der privaten Datenebene gespeichert. Diese Anmeldedaten werden nur dann aus dem Tresor abgerufen, wenn Sie sie benötigen.

Schritt 5a: Secret Manager Service-Agent aktivieren

  1. Öffnen Sie Google Cloud Shell, indem Sie das Terminalsymbol in der Symbolleiste der Google Cloud Console auswählen.

  2. Führen Sie den folgenden Befehl aus:

    $ gcloud beta services identity create --service "secretmanager.googleapis.com" \
    --project <project id>

  3. Sie erhalten die folgende Ausgabe:

    Service identity created: service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com

Schritt 5b: Dem Service-Agent die IAM-Rolle zuweisen

  1. Gehen Sie zu IAM und wählen Sie Grant Access (Zugriff gewähren) aus.

  2. Stellen Sie den neuen Prinzipal service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com bereit.

  3. Stellen Sie die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler bereit.

  4. Wählen Sie Speichern aus.

Schritt 5c: Schlüsselbund und Schlüssel erstellen

  1. Gehen Sie zu Sicherheit > > Key Management (Schlüsselverwaltung).

  2. Wählen Sie Create Key Ring (Schlüsselbund erstellen) aus.

  3. Geben Sie den Schlüsselbundnamen aac-key-ring an.

  4. Wählen Sie die Region Multi-region aus und wählen Sie die Region aus der Dropdown-Liste.

  5. Wählen Sie Erstellen aus.

  6. Geben Sie den Schlüsselnamen aac-key an.

  7. Wählen Sie als Protection Level (Schutzniveau) die Option Software aus.

  8. Wählen Sie Erstellen aus.

Anmerkung

Jeder Schlüsselbund und Schlüsselname muss innerhalb des Projekts eindeutig sein. Auf der Seite „Private Datenverarbeitung“ müssen Sie den Namen des Schlüsselbunds und des Schlüssels angeben.

Schritt 6: Bereitstellung der Handhabung privater Daten auslösen

Die Datenverarbeitungsbereitstellung wird über die Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen.

  1. Wählen Sie auf der Alteryx One-Startseite oben rechts das Kreissymbol mit Ihren Initialen aus. Wählen Sie Admin-Konsole im Menü aus.

  2. Wählen Sie im linken Navigationsmenü die Option Handhabung privater Daten aus.

Achtung

Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.

Stellen Sie sicher, dass Successfully Configured (Erfolgreich konfiguriert) für „Privater Datenspeicher“ angezeigt wird, bevor Sie fortfahren. Wenn der Status Not Configured (Nicht konfiguriert) ist, gehen Sie zuerst zu GCS als privater Datenspeicher und kehren Sie dann zu diesem Schritt zurück.

Im Abschnitt Private Datenverarbeitung müssen 5 Felder ausgefüllt werden. Diese Werte stammen aus den Schritten unter „Einrichtungsschritte“.

Durch die Auswahl von Erstellen wird eine Reihe von Validierungsprüfungen ausgelöst, um zu überprüfen, ob das GCP-Projekt wie erforderlich eingerichtet ist. Wenn Berechtigungen nicht korrekt konfiguriert sind oder die Vnet-Ressourcen nicht korrekt erstellt oder getaggt wurden, erhalten Sie eine Fehlermeldung mit einer Beschreibung, die Ihnen weiterhelfen sollte.

Wichtige Hinweise

Zeitpunkt der Konfigurationsänderungen

Alteryx One Platform ist ein verteiltes System. Änderungen an der Konfiguration der privaten Datenverarbeitung müssen auf mehrere Systeme propagiert werden, bevor sie in Kraft treten. Wenn in Ihrem Arbeitsbereich beispielsweise bereits geplante Aufträge ausgeführt werden, wenn Sie die private Datenverarbeitung konfigurieren, sehen Sie möglicherweise, dass die Auftragsausführung noch einige Minuten lang in der Datenverarbeitungsumgebung von Alteryx fortgesetzt wird.

Terraform-Runner-Zugriff auf Ihre VPC

Alteryx verwendet Terraform, um Änderungen an der Infrastruktur und den Cloud-Ressourcen in Ihrer VPC vorzunehmen. Wir fügen eine Reihe von IP-Adressen zu einer Zulassungsliste im EKS-Cluster hinzu, damit unsere Terraform-Runner und die Steuerungsebene Zugriff haben.

Ändern Sie diese Liste nicht.

Die Adressen für die Alteryx-Steuerungsebene finden Sie unter Den IP-Adressbereich des Alteryx-Dienstes auf die Whitelist setzen. Die Terraform-Runner von Alteryx verwenden die folgenden IP-Adressen:

  • „44.227.135.252/32“

  • „44.225.123.94/32“

  • „104.193.47.0/24“

  • „66.35.44.241/32“

  • „74.199.216.160/27“

  • „54.188.210.240/32“

Ausgehende Verbindungen

Die Software, die in der Umgebung für die private Datenverarbeitung ausgeführt wird, erfordert aus mehreren Gründen eine ausgehende Kommunikation bzw. ausgehenden Datenverkehr:

  1. Workflows benötigen häufig Zugriff auf eine öffentliche Datenquelle, wie Cloud-Speicher-Buckets und Data Warehouses.

  2. Datenebenendienste erfordern oft Zugriff auf andere Dienste, die auf der Steuerungsebene ausgeführt werden (API-Aufruf, Abonnieren einer Meldungswarteschlange usw.).

  3. Software-Images werden häufig aus Image-Repositorys abgerufen, um Ihre Software auf dem neuesten Stand zu halten.

  4. Alteryx erfasst Anwendungsprotokolle und Telemetriedaten, um den Zustand und die Leistung von Datenebenendiensten zu überwachen und die Fehlerbehebung zu unterstützen.

Wenden Sie keine zusätzlichen Regeln auf Ihre VPC oder Ihre Sicherheitsgruppen an, um diesen ausgehenden Datenverkehr zu blockieren oder einzuschränken.

Zugangsdatenrotation

In Schritt Schritt 3a: Dienstkonto erstellen haben Sie ein Dienstkonto mit dem Namen „aac_automation_sa“ zusammen mit den zugehörigen Schlüsseln erstellt. Alteryx kontrolliert diese Anmeldedaten nicht.

Alteryx empfiehlt, diese Anmeldedaten gemäß den Richtlinien Ihres Unternehmens zu rotieren. Wenn Ihr Unternehmen diesbezüglich keine Richtlinie hat, ist eine Geheimnisrotation alle 90 Tage ein guter Ausgangspunkt. Denken Sie daran, dass Alteryx weiterhin Zugriff auf die VPC haben muss, um Cloud-Ressourcen und Software zu aktualisieren, den Zustand Ihrer privaten Umgebung zu überwachen und Fehler zu beheben. Wenn Sie diese Anmeldedaten in GCP rotieren, melden Sie sich bei Alteryx One Platform an und geben Sie auch die neuesten Anmeldedaten an.

Nächste Schritte

App Builder in GCP

Auto Insights in GCP

Cloud Execution for Desktop in GCP

Designer Cloud in GCP

Machine Learning in GCP

In diesem Abschnitt: