Machine Learning dans GCP
Suivez ce guide pour déployer le module Machine Learning pour le traitement des données privé Google Cloud Platform (GCP).
Condition préalable
Avant de déployer le module Machine Learning, vous devez effectuer les étapes suivantes sur la page Configurer un projet GCP et un VPC pour les données privées…
Avoir configuré un VPC dédié à Alteryx One, comme indiqué dans la section Configurer un réseau privé virtuel.
Avoir rattaché des rôles de compte de service et IAM de base au compte de service, comme indiqué dans la section Configurer l'IAM.
Avoir déclenché avec succès le provisionnement du traitement des données privé, comme indiqué dans la section Déclencher le provisionnement de la gestion des données privées.
Configuration du projet
Étape 1 : Configurer l'IAM
Étape 1a : Liaison de l'IAM au compte de service
Attribuez ces rôles supplémentaires au compte de service aac-automation-sa que vous avez créé lors de Configurer un projet GCP et un VPC pour les données privées :
Administrateur de l'équilibreur de charge de calcul :
roles/compute.loadBalancerAdminAdministrateur de l'instance de calcul (v1) :
roles/compute.instanceAdmin.v1Administrateur du stockage de calcul :
roles/compute.storageAdminAdministrateur du cluster du moteur Kubernetes :
roles/container.clusterAdminAdministrateur du stockage :
roles/storage.adminAdministrateur de Cloud Memorystore Redis :
roles/redis.admin
Étape 2 : Configurer le sous-réseau
Note
Designer Cloud partage une configuration de sous-réseau avec Machine Learning, Auto Insights et App Builder. Si vous déployez plusieurs de ces applications, vous n'avez besoin de configurer les sous-réseaux qu'une seule fois.
Le Machine Learning dans un environnement de traitement des données privé nécessite 3 sous-réseaux. Vous avez créé le sous-réseau aac-private précédemment lors de la création du VPC. Vous n'avez pas besoin de le recréer, mais il est inclus ici pour plus d'exhaustivité.
aac-gke-node (requis) : le cluster GKE utilise ce sous-réseau pour exécuter des tâches logicielles Alteryx (connectivité, conversion, traitement, publication).
aac-public (requis) : ce groupe n'exécute aucun service, mais le
groupe gke_nodel'utilise pour les flux sortants du cluster.aac-private (requis) : ce groupe exécute des services privés sur le PDP.
Étape 2a : Créer des sous-réseaux dans le VPC
Configurez des sous-réseaux dans le VPC aac-vpc.
Créez des sous-réseaux en suivant l'exemple ci-dessous. Vous pouvez ajuster la taille du sous-réseau et la taille du sous-réseau secondaire en fonction de votre architecture réseau.
Les espaces d'adressage sont conçus pour s'adapter à un environnement de traitement des données entièrement évolutif. Si nécessaire, vous pouvez choisir un espace d'adressage plus petit, mais vous risquez de rencontrer des problèmes de mise à l'échelle lors de charges de traitement importantes.
Important
Le nom du sous-réseau n'est pas un champ flexible, il doit correspondre à la table ci-dessous.
Vous pouvez sélectionner n'importe quelle région dans la liste Régions prises en charge. Toutefois, vous devez utiliser la même région pour la région de sous-réseau maintenant et lorsque vous atteignez l'étape Déclencher le provisionnement ultérieurement.
Nom du sous-réseau | Sous-réseau | Nom du sous-réseau secondaire | Taille du sous-réseau secondaire | Remarques |
|---|---|---|---|---|
aac-gke-node | 10.0.0.0/22 | aac-gke-pod | 10.4.0.0/14 | Cluster GKE, pod GKE et sous-réseaux de service GKE. |
| aac-gke-service | 10.64.0.0/20 |
| |
aac-public | 10.10.1.0/25 | N/A | N/A | Flux sortants publics. |
Étape 2b : Table de routage des sous-réseaux
Créez la table de routage pour vos sous-réseaux.
Important
VNet doit être configuré avec une connexion réseau à Internet dans votre souscription.
Note
Cette table de routage est un exemple.
Préfixe d'adresse | Type de saut suivant |
|---|---|
Bloc CIDR /22 (aac-gke-node) | aac-vpc |
Bloc CIDR /24 (aac-private) | aac-vpc |
Bloc CIDR /25 (aac-public) | aac-vpc |
0.0.0.0/0 | <gateway_ID> |
Note
Votre <gateway id> peut correspondre à une passerelle NAT ou à une passerelle Internet, en fonction de votre architecture réseau.
Traitement des données privé
Attention
La modification ou la suppression de ressources de cloud public provisionnées par Alteryx One après la configuration de gestion des données privées peut entraîner des incohérences. Ces incohérences peuvent causer des erreurs lors de l'exécution de la tâche ou lors du désapprovisionnement de la configuration de gestion des données privées.
Étape 1 : Déclencher le déploiement Machine Learning
Le provisionnement du traitement des données est déclenché à partir de la console d'administration dans Alteryx One. Vous devez disposer des privilèges Admin de l'espace de travail dans un espace de travail pour pouvoir le voir.
Depuis la page d'accueil Alteryx One, sélectionnez Menu Profil, puis sélectionnez Admin de l'espace de travail.
Dans la console d'administration, sélectionnez Gestion des données privées, puis Traitement.
Cochez la case Machine Learning, puis sélectionnez Mettre à jour.
Sélectionner Mettre à jour déclenche le déploiement du cluster et des ressources dans le projet GCP. Cela permet d'exécuter une série de contrôles de validation afin de vérifier la configuration correcte du projet GCP.
Note
Le processus de provisionnement dure environ 35 à 40 minutes.
Une fois le provisionnement terminé, vous pouvez afficher les ressources créées (par exemple, les instances VM et les groupes de nœuds) via la console GCP. Il est essentiel de ne pas les modifier vous-même. Les modifications manuelles peuvent entraîner des problèmes avec le fonctionnement de l'environnement de traitement des données privé.
Étape 2 : Mettre à jour le rôle IAM pour le compte de service Kubernetes
Une fois le traitement des données privé configuré avec succès, un compte de service Kubernetes appelé credential-pod-sa est créé. Ce compte permet au service d'informations d'identification Kubernetes d'accéder aux informations d'identification de données privées stockées dans le coffre-fort de clés.
Note
Remplacez <project number> et <project id> par le numéro de projet et l'ID de projet du projet.
Accédez à Gestion des clés et sélectionnez le trousseau de clés contenant la clé créée dans Étape 5 : Créer un trousseau de clés et une clé.
Sélectionnez AUTORISATIONS, puis ACCORDER UN ACCÈS.
Dans le champ Nouveau principal, saisissez :
principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa
Renseignez les rôles Chiffreur/déchiffreur Cloud KMS CryptoKey et Administrateur du gestionnaire de secrets.
Sélectionnez Enregistrer.