Skip to main content

Configurer un projet GCP et un VPC pour les données privées

Le traitement des données privé Google Cloud Platform (GCP) implique l'exécution d'un cluster de traitement des données Alteryx One Platform au sein de votre projet GCP et de votre VPC. Cette combinaison de votre infrastructure, associée aux ressources et logiciels GCP gérés par Alteryx, est généralement appelée « traitement des données privé ».

Cette page explique comment configurer votre projet GCP et votre VPC pour un traitement des données privé sur Alteryx One.

Note

Le projet GCP et la configuration VPC nécessitent un accès et des permissions à la console GCP. Si vous n'avez pas accès à ce service, veuillez contacter votre équipe informatique pour effectuer cette étape.

Attention

Ne supprimez jamais les ressources provisionnées pour le traitement des données privé.

Étapes de configuration

Important

Pour poursuivre ces étapes, le rôle RBAC Propriétaire GCP doit vous être attribué.

Étape 1 : Sélectionner le projet GCP

Sélectionnez le projet sur lequel vous souhaitez exécuter votre traitement des données privé.

Pour améliorer les performances et réduire les coûts sortants, votre cluster GKE de stockage Google et de gestion des données privées doit se trouver dans la même région que celle que vous avez sélectionnée pour le stockage de données privées. Ceci s'applique à toutes les sources de données que vous souhaitez connecter à Alteryx One.

Le VPC créé dans le projet GCP doit être dédié à Alteryx One. Vous pouvez configurer la connectivité à des sources de données privées à l'aide de l'appairage VPC, de passerelles de transit, de PrivateLink ou d'autres.

Important

Vous ne devez configurer qu'une seule instance de gestion des données privées par projet GCP.

Étape 2 : Activer les API Google

Pour créer des ressources cloud pour la gestion des données privées, vous devez activer les API dans le projet.

  1. Dans la console GCP, sélectionnez API et services.

  2. Sélectionnez API ET SERVICES ACTIVÉS.

  3. Activez ces API :

    1. API de connexion au cloud

    2. API de surveillance du cloud

    3. API du moteur de calcul

    4. API du gestionnaire de secrets

    5. API de networking de services

    6. API de ressources cloud

    7. API du moteur Kubernetes

    8. API Google Cloud Memorystore pour Redis

    9. API d'utilisation des services

Étape 3 : Configurer l'IAM

Une fois le projet GCP en place, configurez le principal du service et les clés d'accès.

Étape 3a : Créer un compte de service

  1. Créez un compte de service avec le nom aac-automation-sa.

  2. Générez des clés avec le type de clé JSON.

  3. Stockez le fichier Blob JSON.

Note

Vous aurez par la suite besoin du fichier Blob JSON de la clé de service pour provisionner les ressources cloud.

Étape 3b : Liaison de l'IAM au compte de service

Attribuez ces rôles au compte de service aac-automation-sa :

  • Administrateur du gestionnaire de secrets : roles/secretmanager.admin

  • Administrateur du compte de service : roles/iam.serviceAccountAdmin

  • Utilisateur du compte de service : roles/iam.serviceAccountUser

  • Administrateur IAM du projet : roles/resourcemanager.projectIamAdmin

  • Administrateur de la clé du compte de service : roles/iam.serviceAccountKeyAdmin

  • Visiteur du réseau de calcul : roles/compute.networkViewer

  • Visiteur Cloud KMS : roles/cloudkms.viewer

Important

GCP n'autorise pas le caractère générique (*) dans le document de politique. GCP dispose également de limitations sur le nombre d'autorisations individuelles attribuées à un rôle personnalisé. Par conséquent, vous devez attribuer au compte de service un ensemble de rôles prédéfinis gérés par GCP.

Étape 4 : Configurer le réseau privé virtuel

Étape 4a : Créer un réseau VPC

Les blocs CIDR mentionnés ci-dessous sont réservés au plan de contrôle Alteryx One. Évitez de configurer les CIDR du VPC avec :

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

  1. Créez un réseau virtuel.

  2. Sélectionnez Mode de création de sous-réseau = Personnalisé.

  3. Désactivez ou supprimez les règles de pare-feu par défaut.

  4. Sélectionnez Mode de routage dynamique = Global.

  5. Le VPC nécessite 1 sous-réseau. Configurez les sous-réseaux comme indiqué dans cette table :

Nom du sous-réseau

Taille du sous-réseau

Nom du sous-réseau secondaire

Taille du sous-réseau secondaire

aac-private

10.10.10.0/24

N/A

N/A

aac-private (requis) : ce groupe exécute des services privés sur le PDP.

Important

Les adresses IP et les tailles de sous-réseau indiquées dans la table sont indiquées à titre d'exemple.

Modifiez les valeurs en fonction de vos besoins pour les adapter à votre architecture réseau. La région du sous-réseau doit être la région où la « gestion des données privées » doit être provisionnée.

Le nom du sous-réseau DOIT correspondre au nom indiqué dans la table.

Étape 4b : Table de routage des sous-réseaux

Important

Vous devez configurer le VPC avec une connexion réseau à Internet dans votre projet.

Note

Le <gateway id> pourrait correspondre à une passerelle NAT ou à une passerelle Internet, en fonction de votre architecture réseau.

Voici un exemple de table de routage de sous-réseau :

Préfixe d'adresse

Saut suivant

Bloc CIDR /24 (aac-private)

aac-vpc

0.0.0.0/0

<gateway_ID>

Étape 4c : Mettre l'adresse IP sur liste blanche

Les produits Alteryx Cloud sont déployés au sein d'un cluster Kubernetes. Le plan de contrôle communique de manière sécurisée avec le cluster Kubernetes du plan de données via un tunnel VPN WireGuard. Pour permettre une communication transparente et sécurisée via le VPN WireGuard, l'adresse IP suivante doit être mise sur liste blanche dans le réseau du plan de données pour le trafic d'entrée et de sortie :

PDP dans Alteryx Cloud

Adresses IP à mettre sur liste blanche

us1.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.149.191.17 sur le port TCP 443

34.127.5.134, 35.203.150.52 sur le port UDP 51820

Adresses IP du plan de contrôle : 34.118.199.26, 34.82.130.80/29

Adresses IP Teleport : 34.145.177.98 sur le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 sur le port TCP 443

eu1.alteryxcloud.com

Adresses IP du serveur WireGuard : 35.244.193.191 sur le port TCP 443

34.141.115.208, 34.159.185.26 sur le port UDP 51820

Adresses IP du plan de contrôle : 34.141.45.236, 34.89.162.16/29

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

au1.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.107.140.97 sur le port TCP 443

35.197.167.155, 35.244.84.72 et le port UDP 51820

Adresses IP du plan de contrôle : 34.87.234.110, 34.40.128.80/29

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

preprod.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.120.226.216 sur le port TCP 443

35.230.188.196, 35.221.3.230 et le port UDP 51820

Adresses IP du plan de contrôle : 34.86.96.59, 35.199.17.14, 34.86.74.210

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

Étape 5 : Créer un trousseau de clés et une clé

Vos informations d'identification de source de données sont chiffrées à l'aide de votre clé et stockées en toute sécurité dans un coffre-fort privé (stockage d'informations d'identification privé) au sein de votre projet de plan de données privé. Ces informations d'identification ne sont récupérées du coffre-fort que lorsque vous en avez besoin.

Étape 5a : Activer l'agent de service du gestionnaire de secrets

  1. Ouvrez Google Cloud Shell en sélectionnant l'icône du terminal dans la barre d'outils de la console Google Cloud.

  2. Exécutez la commande :

    $ gcloud beta services identity create --service "secretmanager.googleapis.com" \
    --project <project id>

  3. Résultat obtenu :

    Service identity created: service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com

Étape 5b : Attribuer le rôle IAM à l'agent de service

  1. Accédez à IAM et sélectionnez Accorder un accès.

  2. Fournissez le nouveau principal service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com.

  3. Renseignez le rôle Chiffreur/déchiffreur Cloud KMS CryptoKey.

  4. Sélectionnez Enregistrer.

Étape 5c : Créer un trousseau de clés et une clé

  1. Accédez à Sécurité > Gestion des clés.

  2. Sélectionnez Créer un trousseau de clés.

  3. Renseignez le nom du trousseau de clés aac-key-ring.

  4. Sélectionnez la région Multi-région et choisissez la région dans la liste déroulante.

  5. Sélectionnez Créer.

  6. Indiquez le nom de la clé aac-key.

  7. Pour le Niveau de protection, sélectionnez Logiciel.

  8. Sélectionnez Créer.

Note

Tous les trousseaux de clés et noms de clé doivent être uniques au sein de votre projet. Vous devez fournir les noms du trousseau de clés et de la clé sur la page Traitement des données privé.

Étape 6 : Déclencher le provisionnement du traitement des données privé

Le provisionnement du traitement des données est déclenché à partir de la console d'administration dans Alteryx One. Vous devez disposer des privilèges Admin de l'espace de travail dans un espace de travail pour pouvoir le voir.

  1. Depuis la page d'accueil Alteryx One, sélectionnez l'icône en forme de cercle en haut à droite avec vos initiales. Sélectionnez Console d'administration dans le menu.

  2. Dans le menu de navigation de gauche, sélectionnez Gestion des données privées.

Attention

La modification ou la suppression de ressources de cloud public provisionnées par Alteryx One après la configuration de gestion des données privées peut entraîner des incohérences. Ces incohérences peuvent causer des erreurs lors de l'exécution de la tâche ou lors du désapprovisionnement de la configuration de gestion des données privées.

Assurez-vous que le stockage de données privées indique Configuré avec succès avant de continuer. Si le statut est Non configuré, accédez d'abord à GCS en tant que stockage de données privées, puis revenez à cette étape.

Dans la section Traitement des données privé, il y a 5 champs à remplir. Ces valeurs proviennent de la réalisation des étapes de configuration.

Sélectionner Créer déclenche une série de contrôles de validation afin de vérifier que le projet GCP est configuré en fonction des besoins. Si les autorisations ne sont pas configurées correctement, ou si les ressources VNet ne sont pas créées ou marquées correctement, vous recevrez un message d'erreur avec une description qui devrait vous orienter dans la bonne direction.

Remarques importantes

Planification des changements de configuration

Alteryx One Platform est un système distribué. Les modifications apportées à la configuration du traitement des données privé doivent être propagées à plusieurs systèmes avant qu'elles ne prennent pleinement effet. Par exemple, si des tâches planifiées sont déjà en cours d'exécution dans votre espace de travail lorsque vous configurez le traitement des données privé, vous pouvez continuer à voir l'exécution des tâches se produire dans l'environnement de traitement des données Alteryx pendant quelques minutes par la suite.

Accès des runners Terraform à votre VPC

Terraform permet à Alteryx d'appliquer des modifications à l'infrastructure et aux ressources cloud au sein de votre VPC. Nous ajoutons un certain nombre d'adresses IP à une liste d'autorisations dans le cluster EKS afin que nos runners Terraform et notre plan de contrôle puissent y accéder.

Ne modifiez pas cette liste.

Vous trouverez les adresses du plan de contrôle Alteryx sur Mise sur liste d'autorisations de la plage d'adresses IP du service Alteryx. Les runners Terraform d'Alteryx utilisent les adresses IP suivantes :

  • « 44.227.135.252/32 »

  • « 44.225.123.94/32 »

  • « 104.193.47.0/24 »

  • « 66.35.44.241/32 »

  • « 74.199.216.160/27 »

  • « 54.188.210.240/32 »

Connexions sortantes

Le logiciel qui s'exécute dans votre environnement de traitement des données privé nécessite une communication sortante (sortie) pour plusieurs raisons :

  1. Les workflows ont souvent besoin d'accéder à une source de données publique, telle que les compartiments de stockage dans le cloud et les entrepôts de données.

  2. Les services de plan de données nécessitent souvent l'accès à d'autres services exécutés dans le plan de contrôle (passer un appel API, s'abonner à une file d'attente de messages, etc.).

  3. Les images logicielles sont souvent récupérées à partir de référentiels d'images pour maintenir vos logiciels à jour.

  4. Alteryx collecte les journaux d'application et les données de télémétrie pour surveiller l'intégrité et les performances des services du plan de données et pour faciliter les efforts de dépannage.

N'appliquez aucune règle supplémentaire à votre VPC ou à vos groupes de sécurité pour bloquer ou restreindre ce trafic sortant.

Modification des informations d'identification

À l'étape Étape 3a : Créer un compte de service, vous avez créé un compte de service nommé aac_automation_sa, ainsi que les clés associées. Alteryx ne contrôle pas ces informations d'identification.

Alteryx vous recommande de modifier ces informations d'identification conformément aux politiques de votre entreprise. Si votre entreprise n'applique aucune politique, changer un secret tous les 90 jours est un bon point de départ. N'oubliez pas qu'Alteryx doit conserver l'accès au VPC pour mettre à jour les ressources et les logiciels cloud, surveiller l'intégrité de votre environnement privé et résoudre les problèmes. Lors de la modification de ces informations d'identification dans GCP, n'oubliez pas de vous connecter à Alteryx One Platform et de fournir également les informations d'identification les plus récentes.

Prochaines étapes

App Builder in GCP

Auto Insights in GCP

Exécution Cloud pour Desktop dans GCP

Designer Cloud in GCP

Machine Learning dans GCP

Dans cette section​: