Configurazione dell'iscrizione Azure e della rete virtuale per l'elaborazione privata dei dati
In Azure, l'elaborazione privata dei dati consiste nell'eseguire un cluster di elaborazione dati Alteryx One Platform nell'ambito dell'iscrizione Azure e della rete virtuale (Vnet). Quando utilizzi questa combinazione della tua infrastruttura con le risorse e il software Azure gestiti da Alteryx, normalmente si parla di elaborazione privata dei dati.
Questa articolo spiega come impostare l'iscrizione Azure e la rete virtuale per l'elaborazione privata dei dati in Alteryx One.
Nota
L'iscrizione Azure e la configurazione della rete virtuale richiedono le autorizzazioni di accesso al portale Azure. Se non disponi di tali autorizzazioni, per completare questo passaggio devi contattare il personale IT.
Attenzione
Non eliminare mai le risorse fornite per l'elaborazione privata dei dati.
Procedura di configurazione
Importante
Per continuare con questa procedura, è necessario disporre dei ruoli RBAC Sviluppatore applicazioni e Proprietario di Azure.
Passaggio 1: selezione dell'iscrizione Azure
Seleziona l'iscrizione in cui desideri eseguire l'elaborazione privata dei dati.
Per migliorare le prestazioni e ridurre i costi di uscita, il cluster AKS utilizzato per l'archiviazione blob e il trattamento dati privato deve trovarsi nella stessa regione e nello stesso gruppo di risorse selezionati per l'archiviazione dati privata. Questo vale per qualsiasi origine dati che desideri connettere a Alteryx One.
Il VPC creato nell'iscrizione Azure dovrebbe essere dedicato a Alteryx One. Per impostare la connettività alle origini dati private, è possibile utilizzare il peering VPC, i gateway di transito, PrivateLink o altro.
Passaggio 2: creazione di un gruppo di risorse
Risorse cloud Azure necessarie per l'implementazione di Alteryx One in un gruppo di risorse.
Crea un gruppo di risorse con il nome
aac_resource_group.Nota
Il nome
aac_resource_grouputilizzato in questa guida è solo un esempio. È possibile scegliere qualsiasi nome per il gruppo di risorse.Assegna un tag al gruppo di risorse, applicando i parametri seguenti:
Nome del tag:
AACResourceValore del tag:
aac
Rivedi e crea il gruppo di risorse.
Passaggio 3: configurazione del modulo IAM
Dopo aver configurato l'iscrizione Azure, devi configurare l'entità di servizio e le chiavi di accesso.
Nota
È possibile utilizzare la stessa registrazione app per eseguire il provisioning dell'elaborazione privata dei dati in un altra iscrizione per lo stesso tenant.
Passaggio 3a: creazione di una registrazione app (account di servizio)
Crea una nuova registrazione con il nome
aac_automation_sa.In Tipi di account supportati seleziona Account in qualsiasi directory organizzativa (qualsiasi tenant Microsoft Entra ID - Multitenant).
Seleziona Registra.
Genera una chiave di accesso:
Seleziona la registrazione app appena creata.
Seleziona Certificati e segreti.
Seleziona Segreti client.
Seleziona Nuovo segreto client.
Seleziona Aggiungi.
Nota
Per eseguire il provisioning delle risorse cloud necessarie per l'elaborazione privata dei dati, servono l'ID client e la chiave segreta della registrazione app.
Passaggio 3b: creazione di un ruolo IAM personalizzato
È necessario creare un ruolo IAM personalizzato. Assegna il nome AAC_Base_SA_Role al ruolo IAM e associa il documento seguente per il ruolo. È consigliabile utilizzare la scheda JSON al posto dell'editor visivo. Per l'esecuzione di Alteryx One sono necessarie alcune autorizzazioni *. Durante la creazione del ruolo verranno probabilmente visualizzati alcuni avvisi di sicurezza.
{
"properties": {
"roleName": "AAC_Base_SA_Role",
"description": "Custom role for provisioning AAC private data handling",
"assignableScopes": [
"/subscriptions/<subscription ID>"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/locations/*",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.KeyVault/*",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}Importante
Il nome AAC_Base_SA_Role è solo un esempio. È possibile scegliere qualsiasi nome per i ruoli, purché cominci con AAC_Base.
Passaggio 3c: Associazione del ruolo personalizzato alla registrazione app nell'iscrizione
Seleziona l'iscrizione creata nel Passaggio 1.
Seleziona Controllo dell'accesso (IAM).
Seleziona Aggiungi, quindi Aggiungi assegnazione ruolo.
Seleziona il ruolo personalizzato creato nel Passaggio 3b.
Il ruolo personalizzato potrebbe trovarsi nella scheda Ruoli funzione processi o Ruoli Amministratore con privilegi.
Seleziona Avanti.
In Membri, seleziona la registrazione app creata nel Passaggio 3a.
In Condizioni, seleziona Consenti all'utente di assegnare tutti i ruoli, tranne i ruoli di Amministratore con privilegi Proprietario, UAA e RBAC.
In Tipo di assegnazione, seleziona Attiva e imposta Durata assegnazione su Permanente.
Seleziona Rivedi e assegna.
Passaggio 4: creazione di un gruppo di sicurezza della rete (NSG)
Crea un gruppo di sicurezza della rete nel gruppo di risorse
aac_resource_group.Assegna un tag al di sicurezza della rete, applicando i parametri seguenti:
Nome del tag:
AACResourceValore del tag:
aac
Passaggio 5: configurazione della VPN
Passaggio 5a: creazione di una rete virtuale (Vnet)
Crea una rete virtuale nel gruppo di risorse
aac_resource_group.Suggerimento
Azure crea uno spazio di indirizzi predefinito e una sottorete predefinita. Elimina la sottorete predefinita e aggiorna lo spazio di indirizzi.
I blocchi CIDR indicati di seguito sono riservati al Piano di controllo Alteryx One. Evita di configurare i blocchi CIDR del VPC con:
100.64.0.0/1010.4.0.0/1410.64.0.0/2010.0.0.0/22
Aggiungi questi spazi di indirizzi IPv4 in base ai moduli che desideri implementare. Potrebbe essere necessario creare la rete virtuale con un unico spazio di indirizzi e quindi selezionare Impostazioni > Spazio di indirizzi per aggiungere il secondo.
Per Designer Cloud e Machine Learning, aggiungi gli spazi di indirizzi
/18e/22.Per Cloud Execution for Desktop, aggiungi gli spazi di indirizzi
/22.
Assegna un tag alla rete virtuale, applicando i parametri seguenti:
Nome del tag:
AACResourceValore del tag:
aac
Passaggio 5b: configurazione del flag della funzionalità
Registra il flag della funzionalità EnableAPIServerVnetIntegrationPreview nella tua iscrizione Azure.
Nota
Per connettere un'origine dati privata, è necessario un percorso di rete fra la Vnet e l'origine dati. Come indicato nella matrice di responsabilità condivisa, questi percorsi di rete devono essere impostati in base alle preferenze e policy di rete dell'utente.
Passaggio 5c: autorizzazione degli indirizzi IP
I prodotti Alteryx Cloud vengono implementati all'interno di un cluster Kubernetes. Il Piano di controllo utilizza un tunnel VPN WireGuard per comunicare in modo sicuro con il cluster Kubernetes del Piano dati. Per garantire comunicazioni fluide e sicure tramite la VPN WireGuard, è necessario autorizzare il seguente indirizzo IP della rete del Piano dati, sia per il traffico in entrata che per quello in uscita:
PDP in Alteryx Cloud | Indirizzi IP da autorizzare |
|---|---|
us1.alteryxcloud.com | Indirizzi IP del server Wireguard:
Indirizzi IP del piano di controllo: Indirizzi IP Teleport:
|
eu1.alteryxcloud.com | Indirizzi IP del server Wireguard
Indirizzi IP del piano di controllo: Indirizzi IP Teleport:
|
au1.alteryxcloud.com | Indirizzi IP del server Wireguard:
Indirizzi IP del piano di controllo: Indirizzi IP Teleport:
|
preprod.alteryxcloud.com | Indirizzi IP del server Wireguard
Indirizzi IP del piano di controllo: Indirizzi IP Teleport:
|
Passaggio 6: creazione di un vault delle chiavi
Le credenziali dell'origine dati vengono crittografate utilizzando la chiave e memorizzate in modo sicuro in un vault privato (archiviazione privata delle credenziali) nell'ambito dell'account del Piano dati privato. Queste credenziali vengono recuperate dal vault solo quando necessario.
Crea un vault delle chiavi nel gruppo di risorse
aac_resource_group.Assegna il nome
aac-credentials-vaultal vault e seleziona Avanti.Scegli il Controllo dell'accesso basato sui ruoli di Azure come modello di autorizzazione, quindi seleziona Avanti per continuare.
Per consentire l'accesso, seleziona Reti selezionate.
Aggiungi la rete virtuale (VNet) creata in Configurazione dell'iscrizione Azure e della rete virtuale per l'elaborazione privata dei dati - Passaggio 5a: creazione di una rete virtuale (Vnet).
Seleziona la casella di spunta Seleziona tutto.
Seleziona Aggiungi per continuare.
Assegna un tag al vault delle chiavi.
Nome tag
Valore
AACResource
aac
Seleziona Rivedi e crea.
Nota
Il nome del vault delle chiavi è disponibile nella pagina Elaborazione privata dei dati.
Passaggio 7: attivazione della richiesta di incremento della quota
Per impostazione predefinita, per ogni iscrizione Azure è previsto un numero massimo di vCPU eseguibili contemporaneamente. Per gestire l'ambiente privato, è necessario richiedere un incremento della quota di modo che l'ambiente possa scalare in funzione delle tue esigenze.
Il numero esatto da specificare dipende da diversi fattori, come il numero delle applicazioni in esecuzione, il tempo massimo di attesa dell'esecuzione dei processi quando l'hardware non è sufficiente e la tua disponibilità ad aumentare i costi sostenuti per l'infrastruttura al fine di ridurre i tempi di esecuzione dei processi.
Di seguito sono riportati i valori consigliati per l'esecuzione dei carichi di lavoro analitici in Alteryx One Platform, ma tu puoi scegliere di impostare valori diversi. Ad esempio potresti scegliere di non aumentare la scala, per limitare il costo dell'ambiente, oppure di incrementarla perché devi eseguire diverse applicazioni Alteryx One Platform e vuoi avere la certezza che l'hardware sia sempre disponibile.
Alteryx consiglia di richiedere un incremento delle quote seguenti:
Limiti della CPU
Nome della quota: vCPU regionali totali
Ambito: Regionale
Quota predefinita di Azure: 10
Valore consigliato per la quota: 800 (50 nodi * 16 CPU per nodo)
Nome della quota: vCPU della famiglia Basv2 standard
Ambito: Regionale
Quota predefinita di Azure: 10
Valore consigliato per la quota: 800 (50 nodi * 16 CPU per nodo)
Passaggio 8: attivazione del provisioning del trattamento dati privato
Avvertimento
La modifica o la rimozione di qualsiasi risorsa del cloud pubblico fornita da Alteryx One dopo la configurazione della gestione dei dati privati, può causare incongruenze. Tali incongruenze possono causare errori durante l'esecuzione del processo o il deprovisioning della configurazione di gestione dei dati privati.
Il provisioning dell'ambiente di elaborazione dati viene attivato dalla console di amministrazione in Alteryx One. Per vederlo, devi avere i privilegi di amministrazione dello spazio di lavoro in questione.
Nella pagina di destinazione di Alteryx One seleziona l'icona del cerchio con le tue iniziali, in alto a destra. Seleziona Console di amministrazione dal menu.
Seleziona Trattamento dati privato dal menu di navigazione a sinistra.
Prima di procedere, assicurati che per Archiviazione dati privata sia visualizzata la dicitura Configurata correttamente. Se lo stato è Non configurata, vai prima a ADLS as Private Data Storage, quindi torna a questo passaggio.
Nella sezione Elaborazione privata dei dati, è necessario compilare 5 campi, utilizzando i valori ottenuti durante i passaggi della procedura di configurazione appena completata.
Quando selezioni il pulsante Crea viene avviata una serie di controlli di convalida per verificare che l'iscrizione Azure sia configurata correttamente. Se le autorizzazioni non sono configurate correttamente, o le risorse della rete virtuale non sono state create o taggate correttamente, riceverai un messaggio di errore con una descrizione che spiega come correggerlo.
Note importanti
Tempistica delle modifiche alla configurazione
Alteryx One Platform è un sistema distribuito. Per avere completamente effetto, le modifiche apportate alla configurazione di elaborazione privata dei dati devono essere propagate a vari sistemi. Ad esempio, se nel tuo spazio di lavoro sono già in esecuzione alcuni processi programmati, quando configuri l'elaborazione privata dei dati l'esecuzione di tali processi nell'ambiente di elaborazione dati Alteryx potrebbe continuare ancora per alcuni minuti dopo la configurazione.
Accesso al VPC da Terraform Runner
Alteryx utilizza Terraform per applicare modifiche all'infrastruttura e alle risorse cloud all'interno del VPC. Abbiamo aggiunto una serie di indirizzi IP a un elenco di autorizzazioni nel cluster EKS, per garantire l'accesso ai Terraform Runner e al Piano di controllo.
Non modificare questo elenco.
Gli indirizzi del Piano di controllo Alteryx sono disponibili in Autorizzazione dell'intervallo di indirizzi IP del servizio Alteryx. I Terraform Runner di Alteryx utilizzano gli indirizzi IP riportati di seguito:
"44.227.135.252/32"
"44.225.123.94/32"
"104.193.47.0/24"
"66.35.44.241/32"
"74.199.216.160/27"
"54.188.210.240/32"
Connessioni in uscita
Il software eseguito nell'ambiente di elaborazione privata dei dati richiede la comunicazione in uscita per diversi motivi:
I flussi di lavoro hanno spesso bisogno di accedere a un'origine dati pubblica, come i bucket di archiviazione nel cloud e i data warehouse.
I servizi del Piano dati richiedono spesso l'accesso ad altri servizi in esecuzione nel Piano di controllo (chiamate API, iscrizione a una coda di messaggi e così via).
Le immagini software vengono spesso recuperate dai repository di immagini, per garantire l'aggiornamento regolare del software.
Alteryx raccoglie i log applicativi e i dati di telemetria per monitorare lo stato e le prestazioni dei servizi del Piano dati e per supportare le attività di risoluzione dei problemi.
Non applicare al VPC o ai gruppi di sicurezza regole aggiuntive con lo scopo di bloccare o limitare il traffico in uscita.
Rotazione delle credenziali
Nel passaggio Passaggio 3b: creazione di un ruolo IAM personalizzato è stata creata una registrazione app denominata aac_automation_sa, insieme al segreto client associato. Queste credenziali non sono controllate da Alteryx.
Alteryx consiglia di ruotare queste credenziali come previsto dalle policy aziendali. Se la tua azienda non applica alcuna policy, per cominciare è consigliabile eseguire la rotazione dei segreti ogni 90 giorni. Ricorda che Alteryx deve mantenere l'accesso al VPC per aggiornare il software e le risorse cloud, monitorare lo stato dell'ambiente privato e risolvere i problemi. Quando esegui la rotazione di queste credenziali in Azure, ricordati di accedere anche a Alteryx One Platform e fornire le credenziali più recenti.