Designer Cloud in GCP
Questa guida spiega come implementare il modulo Designer Cloud per l'elaborazione privata dei dati in Google Cloud Platform (GCP).
Prerequisito
Prima di implementare il modulo Designer Cloud, è necessario completare la procedura che segue nella pagina Impostazione del progetto GCP e del VPC per i dati privati...
Configurazione di un VPC dedicato a Alteryx One, come indicato nella sezione Configurazione della VPN.
Creazione di un account di servizio associato ai ruoli IAM di base, come indicato nella sezione Configurazione di IAM.
Attivazione corretta del provisioning dell'elaborazione dati privata, come indicato nella sezione Attivazione del provisioning dell'elaborazione dati privata.
Impostazione del progetto
Passaggio 1: configurazione di IAM
Passaggio 1a: associazione di IAM all'account di servizio.
Assegna questi ruoli aggiuntivi all'account di servizio aac-automation-sa creato nel corso della procedura Impostazione del progetto GCP e del VPC per i dati privati:
Amministratore dello strumento di bilanciamento del carico di elaborazione:
roles/compute.loadBalancerAdminAmministratore dell'istanza di elaborazione (v1):
roles/compute.instanceAdmin.v1Amministratore dello spazio di archiviazione per l'elaborazione:
Roles/compute.storageAdminAmministratore del cluster Kubernetes Engine:
roles/container.clusterAdminAmministratore archiviazione:
roles/storage.adminAmministratore di Cloud Memorystore for Redis:
roles/redis.admin
Passaggio 2: configurazione della sottorete
Nota
Designer Cloud Condivide una configurazione di sottorete con machine Learning , Auto Insightse App Builder . Se distribuisci più di una di queste applicazioni, devi configurare le subnet una sola volta.
Negli ambienti di elaborazione privata dei dati, Designer Cloud richiede 3 sottoreti. In precedenza, durante la creazione del VPC, hai creato la sottorete aac-private. Non devi ricrearla di nuovo, ma la procedura di creazione viene riportata anche qui per completezza.
aac-gke-node (obbligatorio): il cluster GKE utilizza questa sottorete per eseguire i processi software di Alteryx (connettività, conversione, elaborazione, pubblicazione).
aac-public (obbligatorio): questo gruppo non esegue alcun servizio, ma viene utilizzato dal gruppo
aac-gke-nodeper uscire dal cluster.aac-private (obbligatorio): questo gruppo esegue i servizi privati del sistema PDP.
Passaggio 2a: creazione di sottoreti nel VPC
Devi configurare le sottoreti nel VPC aac-vpc.
Crea le sottoreti come mostrato nell'esempio seguente. Le dimensioni delle sottoreti principali e secondarie possono essere adattate in base all'architettura della rete.
Gli spazi degli indirizzi sono progettati in modo da consentire la gestione dell'ambiente di elaborazione completamente espanso. Se necessario, puoi scegliere uno spazio degli indirizzi più piccolo, ma con i carichi di elaborazione più pesanti rischi di incontrare problemi di scalabilità.
Importante
Nome sottorete non è un campo flessibile, ma deve avere il valore indicato nella tabella seguente.
Nell'elenco Regioni supportate, puoi selezionare qualunque regione, ricordando che la regione che selezioni qui per la sottorete deve essere selezionata anche nel passaggio Trigger del provisioning, più avanti nella procedura.
Nome sottorete | Sottorete | Nome sottorete secondaria | Dimensioni delle sottoreti secondarie | Note |
|---|---|---|---|---|
aac-gke-node | 10.0.0.0/22 | aac-gke-pod | 10.4.0.0/14 | Sottoreti per cluster GKE, pod GKE e servizio GKE. |
| aac-gke-service | 10.64.0.0/20 |
| |
aac-public | 10.10.1.0/25 | N/A | N/A | Uscita dal cluster, in direzione dell'ambiente pubblico. |
Passaggio 2b: tabella di routing delle sottoreti
È necessario creare una tabella di routing per le sottoreti.
Importante
Nel tuo abbonamento, devi configurare la rete virtuale con una connessione Internet.
Nota
Questa tabella di routing è solo un esempio.
Prefisso indirizzo | Tipo hop successivo |
|---|---|
/22 CIDR Block (aac-gke-node) | aac-vpc |
/24 CIDR Block (aac-private) | aac-vpc |
/25 CIDR Block (aac-public) | aac-vpc |
0.0.0.0/0 | <gateway_ID> |
Nota
Il valore <gateway id> deve indicare un gateway NAT o Internet, a seconda dell'architettura della rete.
Elaborazione dei dati privati
Attenzione
La modifica o la rimozione di qualsiasi risorsa del cloud pubblico fornita da Alteryx One dopo la configurazione della gestione dei dati privati, può causare incongruenze. Tali incongruenze possono causare errori durante l'esecuzione del processo o il deprovisioning della configurazione di gestione dei dati privati.
Passaggio 1: deployment del trigger Designer Cloud
Trigger del provisioning dell'elaborazione dei dati dalla console di amministrazione all'interno di Alteryx One. Per vederlo, devi avere i privilegi di amministrazione dello spazio di lavoro in questione.
Nella pagina di destinazione Alteryx One, seleziona il Menu del profilo, quindi seleziona Amministratore spazio di lavoro.
Nella console di amministrazione, seleziona Trattamento dati privato, quindi seleziona Elaborazione.
Seleziona la casella di spunta Designer Cloud, quindi seleziona Aggiorna.
Quando selezioni Aggiorna, viene avviato il deployment del cluster e delle risorse nel progetto GCP. In tale contesto, viene eseguita una serie di controlli di convalida per verificare che la configurazione del progetto GCP sia corretta.
Nota
Il processo di provisioning richiede circa 35-40 minuti.
Al termine del provisioning, puoi visualizzare le risorse create (ad esempio le istanze delle macchine virtuali e i gruppi di nodi) tramite la console GCP. Evita di modificarle personalmente, perché le modifiche manuali possono causare problemi con il funzionamento degli ambienti di elaborazione privata dei dati.
Passaggio 2: aggiornamento del ruolo IAM per l'account di servizio Kubernetes
Terminata la configurazione dell'elaborazione privata dei dati, viene creato un account di servizio Kubernetes di nome credential-pod-sa, che consente al servizio credenziali Kubernetes di accedere alle credenziali dell'ambiente di elaborazione privata dei dati memorizzate nel vault delle chiavi.
Nota
Sostituisci <project number> e <project id> con il numero e l'ID del progetto, rispettivamente.
Vai a Gestione chiavi e seleziona il keyring con la chiave creata in Passaggio 5: creazione di keyring e chiave.
Seleziona AUTORIZZAZIONI, quindi CONCEDI ACCESSO.
Nel campo Nuova entità di servizio, inserisci:
principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa
Specifica i ruoli Crittografia/decrittografia chiavi Cloud KMS e Amministratore Secrets Manager.
Seleziona Salva.