Skip to main content

Configurer la souscription Azure et VNet pour les données privées

Le traitement des données privé Azure consiste à exécuter un cluster de traitement des données Alteryx One Platform au sein de votre souscription Azure et de VNet. Cette combinaison de votre infrastructure, associée aux ressources et logiciels Azure gérés par Alteryx, est généralement appelée « traitement des données privé ».

Cette page explique comment configurer votre abonnement Azure et VNet pour un traitement des données privé sur Alteryx One.

Note

La souscription Azure et la configuration VNet nécessitent un accès et des autorisations au portail Azure. Si vous n'avez pas accès à ce service, veuillez contacter votre équipe informatique pour effectuer cette étape.

Attention

Ne supprimez jamais les ressources provisionnées pour le traitement des données privé.

Étapes de configuration

Important

Pour poursuivre ces étapes, les rôles RBAC Développeur d'applications et Propriétaire Azure doivent vous être attribués.

Étape 1 : Sélectionner la souscription Azure

Sélectionnez la souscription sur laquelle vous souhaitez exécuter votre traitement des données privé.

Pour améliorer les performances et réduire les coûts sortants, votre cluster AKS de stockage blob et de gestion des données privées doit se trouver dans la même région et le même groupe de ressources que ceux que vous avez sélectionnés pour le stockage de données privées. Cela s'applique à toutes les sources de données que vous souhaitez connecter à Alteryx One.

Le VPC créé dans la souscription Azure doit être dédié à Alteryx One. Vous pouvez configurer la connectivité à des sources de données privées à l'aide de l'appairage VPC, de passerelles de transit, de PrivateLink ou d'autres.

Étape 2 : Créer un groupe de ressources

Ressources cloud Azure requises par le déploiement Alteryx One dans un groupe de ressources.

  1. Créez un groupe de ressources nommé aac_resource_group.

    Note

    aac_resource_group est un exemple de nom dans ce guide. Vous pouvez choisir n'importe quel nom pour le groupe de ressources.

  2. Marquez le groupe de ressources avec les paramètres suivants :

    1. Nom de la balise : AACResource

    2. Valeur de la balise : aac

  3. Vérifiez et créez le groupe de ressources.

Étape 3 : Configurer l'IAM

Une fois votre souscription Azure en place, configurez le principal du service et les clés d'accès.

Note

Vous pouvez utiliser le même enregistrement d'application pour provisionner le traitement des données privé dans une souscription différente sous le même locataire.

Étape 3a : Créer un enregistrement d'application (compte de service) 

  1. Créez un nouvel enregistrement avec le nom aac_automation_sa.

  2. Sous Types de comptes pris en charge, sélectionnez Comptes de n'importe quel répertoire organisationnel (tout locataire Microsoft Entra ID - Multilocataire).

  3. Sélectionnez Enregistrer.

  4. Générez une clé d'accès :

    1. Sélectionnez l'enregistrement d'application que vous venez de créer.

    2. Sélectionnez Certificats et secrets.

    3. Sélectionnez Secrets de clients.

    4. Sélectionnez Nouveau secret du client.

    5. Sélectionnez Ajouter.

Note

Vous aurez besoin de l'ID client et de la clé secrète d'enregistrement de l'application pour provisionner les ressources cloud pour le traitement des données privé.

Étape 3b : Créer un rôle personnalisé IAM

Vous devez créer un rôle IAM personnalisé. Nommez le rôle IAM AAC_Base_SA_Role et joignez le document de rôle suivant. Nous vous recommandons d'utiliser l'onglet JSON au lieu de l'éditeur visuel. Alteryx One nécessite des autorisations * pour s'exécuter. Attendez-vous à recevoir des avertissements de sécurité lorsque vous créez le rôle.

{
    "properties": {
        "roleName": "AAC_Base_SA_Role",
        "description": "Custom role for provisioning AAC private data handling",
        "assignableScopes": [
            "/subscriptions/<subscription ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Network/applicationGateways/backendAddressPools/join/action",
                    "Microsoft.Network/locations/*",
                    "Microsoft.Network/networkInterfaces/*",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Network/publicIPAddresses/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Resources/deployments/*",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Resources/subscriptions/read",
                    "Microsoft.Resources/subscriptions/operationresults/read",
                    "Microsoft.Storage/storageAccounts/*",
                    "Microsoft.KeyVault/*",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Network/routeTables/routes/read",
                    "Microsoft.Network/routeTables/read",
                    "Microsoft.Authorization/roleDefinitions/write",
                    "Microsoft.Authorization/roleDefinitions/delete",
                    "Microsoft.Authorization/roleAssignments/delete"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Important

AAC_Base_SA_Role est un exemple de nom de rôle. Vous pouvez choisir n'importe quel nom pour le rôle, mais il doit commencer par AAC_Base.

Étape 3c : Lier le rôle personnalisé à l'enregistrement d'application dans la souscription

  1. Sélectionnez la souscription créée à l'étape 1.

  2. Sélectionnez Contrôle d'accès (IAM).

  3. Sélectionnez Ajouter, puis sélectionnez Ajouter une attribution de rôle.

  4. Sélectionnez le rôle personnalisé créé à l'étape 3b.

    1. Le rôle personnalisé peut se trouver dans l'onglet Rôles de poste ou Rôles d'administrateur privilégié.

  5. Sélectionnez Suivant.

  6. Sous Membres, sélectionnez l'enregistrement d'application créé à l'étape 3a.

  7. Sous Conditions, sélectionnez Autoriser l'utilisateur à affecter tous les rôles à l'exception des rôles d'administrateur privilégié Propriétaire, UAA, RBAC.

  8. Sous Type d'attribution, sélectionnez Actif et définissez Durée de l'attribution comme Permanente.

  9. Sélectionnez Vérifier et attribuer.

Étape 4 : Créer un groupe de sécurité réseau (NSG)

  1. Créez un groupe de sécurité réseau dans le groupe de ressources aac_resource_group.

  2. Marquez le groupe de sécurité réseau avec les paramètres suivants :

    1. Nom de la balise : AACResource

    2. Valeur de la balise : aac

Étape 5 : Configurer le réseau privé virtuel

Étape 5a : Créer un réseau virtuel (VNet)

  1. Créez un réseau virtuel dans le groupe de ressources aac_resource_group.

    Astuce

    Azure crée un espace d'adressage par défaut et un sous-réseau par défaut. Supprimez le sous-réseau par défaut et mettez à jour l'espace d'adressage.

    Les blocs CIDR mentionnés ci-dessous sont réservés au plan de contrôle Alteryx One. Évitez de configurer les CIDR du VPC avec :

    • 100.64.0.0/10

    • 10.4.0.0/14

    • 10.64.0.0/20

    • 10.0.0.0/22

  2. Ajoutez ces espaces d'adressage IPv4 en fonction des modules que vous souhaitez déployer. Vous devrez peut-être créer le VNet avec un seul espace d'adressage, puis sélectionner Paramètres > Espace d'adressage pour ajouter le second.

    1. Pour Designer Cloud et Machine Learning, ajoutez les espaces d'adressage /18 et /22.

    2. Pour Exécution Cloud pour Desktop, ajoutez l'espace d'adressage /22.

  3. Marquer le VNet avec les paramètres suivants :

    1. Nom de la balise : AACResource

    2. Valeur de la balise : aac

Étape 5b : Configurer la balise de fonctionnalité

Enregistrez la balise de fonctionnalité EnableAPIServerVNetIntegrationPreview sur votre souscription Azure.

Note

Les connexions à des sources de données privées nécessitent des chemins réseau entre le VNet et la source de données. Comme défini dans la matrice de responsabilité partagée, vous configurez ces chemins réseau conformément à vos propres politiques et préférences réseau.

Étape 5c : Mettre l'adresse IP sur liste blanche

Les produits Alteryx Cloud sont déployés au sein d'un cluster Kubernetes. Le plan de contrôle communique de manière sécurisée avec le cluster Kubernetes du plan de données via un tunnel VPN WireGuard. Pour permettre une communication transparente et sécurisée via le VPN WireGuard, l'adresse IP suivante doit être mise sur liste blanche dans le réseau du plan de données pour le trafic d'entrée et de sortie :

PDP dans Alteryx Cloud

Adresses IP à mettre sur liste blanche

us1.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.149.191.17 et le port TCP 443

34.127.5.134, 35.203.150.52 et le port UDP 51820

Adresses IP du plan de contrôle : 34.118.199.26, 34.82.130.80/29

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 sur le port TCP 443

eu1.alteryxcloud.com

Adresses IP du serveur WireGuard : 35.244.193.191 et le port TCP 443

34.141.115.208, 34.159.185.26 et le port UDP 51820

Adresses IP du plan de contrôle : 34.141.45.236, 34.89.162.16/29

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

au1.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.107.140.97 et le port TCP 443

35.197.167.155, 35.244.84.72 et le port UDP 51820

Adresses IP du plan de contrôle : 34.87.234.110, 34.40.128.80/29

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

preprod.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.120.226.216 et le port TCP 443

35.230.188.196, 35.221.3.230 et le port UDP 51820

Adresses IP du plan de contrôle : 34.86.96.59, 35.199.17.14, 34.86.74.210

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

Étape 6 : Créer un coffre-fort de clés

Vos informations d'identification de source de données sont chiffrées à l'aide de votre clé et stockées en toute sécurité dans un coffre-fort privé (stockage d'informations d'identification privé) au sein de votre compte de plan de données privé. Ces informations d'identification ne sont récupérées du coffre-fort que lorsque vous en avez besoin.

  1. Créez un coffre-fort de clés dans le groupe de ressources aac_resource_group.

  2. Nommez le coffre-fort aac-credentials-vault et sélectionnez Suivant.

  3. Choisissez Contrôle d'accès basé sur les rôles Azure comme modèle d'autorisation, puis sélectionnez Suivant pour continuer.

  4. Pour autoriser l'accès, sélectionnez Réseaux sélectionnés.

  5. Marquer le coffre-fort de clés

    Nom de la balise

    Valeur

    AACResource

    aac

  6. Sélectionnez Vérifier et créer.

    Note

    Le nom du coffre-fort de clés est fourni sur la page Traitement des données privé.

Étape 7 : Déclencher une demande d'augmentation de quota

Par défaut, chaque souscription Azure dispose d'une limite maximale sur le nombre de vCPU exécutés simultanément. Pour exécuter votre environnement privé, vous devez demander une augmentation de quota. Votre environnement peut ainsi évoluer pour répondre à vos besoins.

Le nombre exact que vous spécifiez dépend de plusieurs facteurs, tels que le nombre d'applications que vous exécutez, votre niveau de tolérance pour l'attente de l'exécution des tâches en cas de manque de matériel et votre volonté à payer pour une infrastructure supplémentaire afin de passer moins de temps à attendre l'exécution des tâches.

Vous trouverez ci-dessous les chiffres recommandés pour l'exécution de charges de travail analytiques sur Alteryx One Platform. Vous pouvez choisir un autre chiffre. Par exemple, vous pourriez ne pas vouloir monter aussi haut pour limiter le coût de l'environnement. Ou vous pouvez l'augmenter parce que vous exécutez plusieurs applications Alteryx One Platform et que vous voulez vous assurer que le matériel est toujours disponible.

Alteryx recommande de demander une augmentation du quota pour les quotas suivants :

Limites du CPU

Nom du quota : nombre total de vCPU régionaux

Champ d'application : régional

Valeur du quota par défaut Azure : 10

Valeur de quota recommandée : 800 (50 nœuds x 16 CPU par nœud).

Nom du quota : vCPU de la famille Basv2 standard

Champ d'application : régional

Valeur du quota par défaut Azure : 10

Valeur de quota recommandée : 800 (50 nœuds x 16 CPU par nœud).

Étape 8 : Déclencher le provisionnement du traitement des données privé

Avertissement

La modification ou la suppression de ressources de cloud public provisionnées par Alteryx One après la configuration de gestion des données privées peut entraîner des incohérences. Ces incohérences peuvent causer des erreurs lors de l'exécution de la tâche ou lors du désapprovisionnement de la configuration de gestion des données privées.

Le provisionnement de l'environnement de traitement des données est déclenché à partir de la console d'administration dans Alteryx One. Vous devez disposer des privilèges Admin de l'espace de travail dans un espace de travail pour pouvoir le voir.

  1. Depuis la page d'accueil Alteryx One, sélectionnez l'icône en forme de cercle en haut à droite avec vos initiales. Sélectionnez Console d'administration dans le menu.

  2. Dans le menu de navigation de gauche, sélectionnez Gestion des données privées.

Assurez-vous que le stockage de données privées indique Configuré avec succès avant de continuer. Si le statut est Non configuré, accédez d'abord à ADLS as Private Data Storage, puis revenez à cette étape.

Dans la section Traitement des données privé, vous devez remplir 5 champs. Ces valeurs proviennent des étapes de configuration que vous venez de terminer.

Sélectionner Créer déclenche une série de contrôles de validation afin de vérifier que la souscription Azure est configurée en fonction des besoins. Si les autorisations ne sont pas configurées correctement, ou si les ressources VNet ne sont pas créées ou marquées correctement, vous recevrez un message d'erreur avec une description qui devrait vous orienter dans la bonne direction.

Remarques importantes

Planification des changements de configuration

Alteryx One Platform est un système distribué. Les modifications apportées à la configuration du traitement des données privé doivent être propagées à plusieurs systèmes avant qu'elles ne prennent pleinement effet. Par exemple, si des tâches planifiées sont déjà en cours d'exécution dans votre espace de travail lorsque vous configurez le traitement des données privé, vous pouvez continuer à voir l'exécution des tâches se produire dans l'environnement de traitement des données Alteryx pendant quelques minutes par la suite.

Accès des runners Terraform à votre VPC

Terraform permet à Alteryx d'appliquer des modifications à l'infrastructure et aux ressources cloud au sein de votre VPC. Nous ajoutons un certain nombre d'adresses IP à une liste d'autorisations dans le cluster EKS afin que nos runners Terraform et notre plan de contrôle puissent y accéder.

Ne modifiez pas cette liste.

Vous trouverez les adresses du plan de contrôle Alteryx sur Mise sur liste d'autorisations de la plage d'adresses IP du service Alteryx. Les runners Terraform d'Alteryx utilisent les adresses IP suivantes :

  • « 44.227.135.252/32 »

  • « 44.225.123.94/32 »

  • « 104.193.47.0/24 »

  • « 66.35.44.241/32 »

  • « 74.199.216.160/27 »

  • « 54.188.210.240/32 »

Connexions sortantes

Le logiciel qui s'exécute dans votre environnement de traitement des données privé nécessite une communication sortante (sortie) pour plusieurs raisons :

  1. Les workflows ont souvent besoin d'accéder à une source de données publique, telle que les compartiments de stockage dans le cloud et les entrepôts de données.

  2. Les services de plan de données nécessitent souvent l'accès à d'autres services exécutés dans le plan de contrôle (passer un appel API, s'abonner à une file d'attente de messages, etc.).

  3. Les images logicielles sont souvent récupérées à partir de référentiels d'images pour maintenir vos logiciels à jour.

  4. Alteryx collecte les journaux d'application et les données de télémétrie pour surveiller l'intégrité et les performances des services du plan de données et pour faciliter les efforts de dépannage.

N'appliquez aucune règle supplémentaire à votre VPC ou à vos groupes de sécurité pour bloquer ou restreindre ce trafic sortant.

Modification des informations d'identification

À l'étape Étape 3b : Créer un rôle personnalisé IAM, vous avez créé un enregistrement d'application nommé aac_automation_sa, ainsi qu'un secret client associé. Alteryx ne contrôle pas ces informations d'identification.

Alteryx vous recommande de procéder à une modification de ces informations d'identification conformément aux politiques de votre entreprise. Si votre entreprise n'applique aucune politique, changer un secret tous les 90 jours est un bon point de départ. N'oubliez pas qu'Alteryx doit conserver l'accès au VPC pour mettre à jour les ressources et les logiciels cloud, surveiller l'intégrité de votre environnement privé et résoudre les problèmes. Lors de la modification de ces informations d'identification dans Azure, n'oubliez pas de vous connecter à Alteryx One Platform et de fournir également les informations d'identification les plus récentes.

Prochaines étapes

App Builder in Azure

Auto Insights in Azure

Cloud Execution for Desktop in Azure

Designer Cloud in Azure

Machine Learning in Azure

Dans cette section​: