Skip to main content

Impostazione del progetto GCP e del VPC per i dati privati

In Google Cloud Platform (GCP), l'elaborazione privata dei dati implica l'esecuzione di un cluster di elaborazione dati Alteryx One Platform all'interno del progetto GCP e del VPC. Quando utilizzi questa combinazione della tua infrastruttura con le risorse e il software GCP gestiti da Alteryx, normalmente si parla di elaborazione privata dei dati.

Questa articolo spiega come impostare il progetto GCP e il VPC per l'elaborazione privata dei dati in Alteryx One.

Nota

Il progetto GCP e la configurazione del VPC richiedono le autorizzazioni di accesso alla console GCP. Se non disponi di tali autorizzazioni, per completare questo passaggio devi contattare il personale IT.

Attenzione

Non eliminare mai le risorse fornite per l'elaborazione privata dei dati.

Procedura di configurazione

Importante

Per continuare con questa procedura, devi disporre del ruolo RBAC Proprietario in GCP.

Passaggio 1: selezione del progetto GCP

Seleziona il progetto in cui desideri eseguire l'elaborazione privata dei dati.

Per migliorare le prestazioni e ridurre i costi di uscita, il cluster GKE utilizzato per l'archiviazione Google e il trattamento dati privato deve trovarsi nella stessa regione selezionata per l'archiviazione dati privata. Questo vale per qualsiasi origine dati che desideri connettere a Alteryx One.

Il VPC creato nel progetto GCP dovrebbe essere dedicato a Alteryx One. Per impostare la connettività alle origini dati private, è possibile utilizzare il peering VPC, i gateway di transito, PrivateLink o altro.

Importante

È consigliabile impostare solo 1 istanza di gestione privata dei dati per ogni progetto GCP.

Passaggio 2: abilitazione delle API Google

Al fine di creare le risorse cloud necessarie per il trattamento dati privato, devi abilitare le API nel progetto.

  1. Dalla console GCP, seleziona API e servizi.

  2. Seleziona API E SERVIZI ABILITATI.

  3. Abilita le API seguenti:

    1. API Cloud Logging

    2. API Cloud Monitoring

    3. API Compute Engine

    4. API Secret Manager

    5. API Service Networking

    6. API Cloud Asset

    7. API Kubernetes Engine

    8. API Google Cloud Memorystore for Redis

    9. API Service Usage

Passaggio 3: configurazione del modulo IAM

Dopo aver creato il tuo progetto GCP, devi configurare l'entità di servizio e le chiavi di accesso.

Passaggio 3a: creazione di un account di servizio

  1. Crea un account di servizio di nome aac-automation-sa.

  2. Genera chiavi di tipo JSON.

  3. Memorizza il file blob JSON.

Nota

Il file blob JSON delle chiavi di servizio sarà necessario in un secondo momento per eseguire il provisioning delle risorse cloud.

Passaggio 3b: associazione di IAM all'account di servizio

Assegna i ruoli seguenti all'account di servizio aac-automation-sa:

  • Amministratore di Secrets Manager: roles/secretmanager.admin

  • Amministratore dell'account di servizio: roles/iam.serviceAccountAdmin

  • Utente dell'account di servizio: roles/iam.serviceAccountUser

  • Amministratore del progetto IAM: roles/resourcemanager.projectIamAdmin

  • Amministratore delle chiavi dell'account di servizio: roles/iam.serviceAccountKeyAdmin

  • Visualizzatore della rete informatica: roles/compute.networkViewer

  • Visualizzatore di Cloud KMS: roles/cloudkms.viewer

Importante

GCP non consente di utilizzare caratteri jolly (*) nel documento delle policy. GCP impone inoltre un limite massimo al numero di autorizzazioni individuali assegnate a un ruolo personalizzato. Pertanto, è necessario assegnare all'account di servizio un insieme di ruoli predefinito gestito da GCP.

Passaggio 4: configurazione della VPN

Passaggio 4a: creazione di una rete VPC

I blocchi CIDR indicati di seguito sono riservati al Piano di controllo Alteryx One. Evita di configurare i blocchi CIDR del VPC con:

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

  1. Crea una rete virtuale.

  2. Imposta Modalità di creazione della sottorete su Personalizzata.

  3. Disabilita o elimina le regole predefinite del firewall.

  4. Imposta Modalità di routing dinamico su Globale.

  5. Il VPC richiede 1 sottorete. Configura le sottoreti come indicato nella tabella seguente:

Nome sottorete

Dimensione sottorete

Nome sottorete secondaria

Dimensione sottorete secondaria

aac-private

10.10.10.0/24

N/A

N/A

aac-private (obbligatorio) - Questo gruppo esegue i servizi privati del sistema PDP.

Importante

Gli indirizzi IP e le dimensioni delle sottoreti riportati nella tabella sono solo esempi.

Modifica i valori come necessario, in base all'architettura della tua rete. La regione della sottorete è quella in cui deve essere eseguito il provisioning della gestione privata dei dati.

Il nome della sottorete deve corrispondere a quello indicato nella tabella.

Passaggio 4b: tabella di routing delle sottoreti

Importante

Nel progetto, è necessario configurare il VPC con una connessione Internet.

Nota

Il valore <gateway id> deve indicare un gateway NAT o un gateway Internet, a seconda dell'architettura della rete.

Di seguito è riportato un esempio di tabella di routing per una sottorete:

Prefisso indirizzo

Hop successivo

Blocco CIDR /24 (aac-private)

aac-vpc

0.0.0.0/0

<gateway_ID>

Passaggio 4c: autorizzazione degli indirizzi IP

I prodotti Alteryx Cloud vengono implementati all'interno di un cluster Kubernetes. Il Piano di controllo utilizza un tunnel VPN WireGuard per comunicare in modo sicuro con il cluster Kubernetes del Piano dati. Per garantire comunicazioni fluide e sicure tramite la VPN WireGuard, è necessario autorizzare il seguente indirizzo IP della rete del Piano dati, sia per il traffico in entrata che per quello in uscita:

PDP in Alteryx Cloud

Indirizzi IP da autorizzare

us1.alteryxcloud.com

Indirizzi IP del server Wireguard: 34.149.191.17 sulla porta TCP 443

34.127.5.134 e 35.203.150.52 sulla porta UDP 51820

Indirizzi IP del piano di controllo: 34.118.199.26 e 34.82.130.80/29

Indirizzi IP Teleport: 34.145.177.98 sulle porte TCP 443, 3023, 3024, 3026 e 3036

34.85.215.128 sulla porta TCP 443

eu1.alteryxcloud.com

Indirizzi IP del server Wireguard: 35.244.193.191 sulla porta TCP 443

34.141.115.208, 34.159.185.26 sulla porta UDP 51820

Indirizzi IP del piano di controllo: 34.141.45.236 e 34.89.162.16/29

Indirizzi IP Teleport: 34.145.177.98 sulle porte TCP 443, 3023, 3024, 3026 e 3036

34.85.215.128 sulla porta TCP 443

au1.alteryxcloud.com

Indirizzi IP del server Wireguard: 34.107.140.97 sulla porta TCP 443

35.197.167.155, 35.244.84.72 sulla porta UDP 51820

Indirizzi IP del piano di controllo: 34.87.234.110 e 34.40.128.80/29

Indirizzi IP Teleport: 34.145.177.98 sulle porte TCP 443, 3023, 3024, 3026 e 3036

34.85.215.128 sulla porta TCP 443

preprod.alteryxcloud.com

Indirizzi IP del server Wireguard: 34.120.226.216 sulla porta TCP 443

35.230.188.196, 35.221.3.230 sulla porta UDP 51820

Indirizzi IP del piano di controllo: 34.86.96.59, 35.199.17.14, 34.86.74.210

Indirizzi IP Teleport: 34.145.177.98 sulle porte TCP 443, 3023, 3024, 3026 e 3036

34.85.215.128 sulla porta TCP 443

Passaggio 5: creazione di keyring e chiave

Le credenziali dell'origine dati vengono crittografate utilizzando la chiave e memorizzate in modo sicuro in un vault privato (archiviazione privata delle credenziali) nell'ambito del progetto del Piano dati privato. Queste credenziali vengono recuperate dal vault solo quando necessario.

Passaggio 5a: abilitazione dell'agente di servizio Secret Manager

  1. Apri Google Cloud Shell selezionando l'icona del terminale nella barra degli strumenti di Google Cloud Console.

  2. Esegui il comando:

    $ gcloud beta services identity create --service "secretmanager.googleapis.com" \
    --project <project id>

  3. Viene restituito l'output seguente:

    Service identity created: service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com

Passaggio 5b: assegnazione del ruolo IAM all'agente di servizio

  1. Vai a IAM e seleziona Concedi accesso.

  2. Inserisci la nuova entità service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com.

  3. Specifica il ruolo Cloud KMS CryptoKey Encrypter/Decrypter.

  4. Seleziona Salva.

Passaggio 5c: creazione di keyring e chiave

  1. Vai a Sicurezza > Gestione chiavi.

  2. Seleziona Crea keyring.

  3. Specifica aac-key-ring come nome del keyring.

  4. Seleziona Multiregionale, quindi scegli la regione dal menu a discesa.

  5. Seleziona Crea.

  6. Specifica aac-key come nome della chiave.

  7. In Livello di protezione seleziona Software.

  8. Seleziona Crea.

Nota

Il nome del keyring e il nome della chiave devono essere univoci all'interno del progetto. Tali nomi devono essere specificati nella pagina Elaborazione privata dei dati.

Passaggio 6: attivazione del provisioning del trattamento dati privato

Il provisioning dell'elaborazione dei dati viene attivato dalla console di amministrazione all'interno di Alteryx One. Per vederlo, devi avere i privilegi di amministrazione dello spazio di lavoro in questione.

  1. Nella pagina di destinazione di Alteryx One seleziona l'icona del cerchio con le tue iniziali, in alto a destra. Seleziona Console di amministrazione dal menu.

  2. Seleziona Trattamento dati privato dal menu di navigazione a sinistra.

Attenzione

La modifica o la rimozione di qualsiasi risorsa del cloud pubblico fornita da Alteryx One dopo la configurazione della gestione dei dati privati, può causare incongruenze. Tali incongruenze possono causare errori durante l'esecuzione del processo o il deprovisioning della configurazione di gestione dei dati privati.

Prima di procedere, assicurati che per Archiviazione dati privata sia visualizzata la dicitura Configurata correttamente. Se lo stato è Non configurata, vai prima a GCS come archivio dati privato, quindi torna a questo passaggio.

Nella sezione Elaborazione privata dei dati sono disponibili 5 campi da compilare utilizzando i valori ottenuti durante i passaggi della procedura di configurazione.

Quando selezioni il pulsante Crea viene avviata una serie di controlli di convalida per verificare che il progetto GCP sia configurato correttamente. Se le autorizzazioni non sono configurate correttamente, o le risorse della rete virtuale non sono state create o taggate correttamente, riceverai un messaggio di errore con una descrizione che spiega come correggerlo.

Note importanti

Tempistica delle modifiche alla configurazione

Alteryx One Platform è un sistema distribuito. Per avere completamente effetto, le modifiche apportate alla configurazione di elaborazione privata dei dati devono essere propagate a vari sistemi. Ad esempio, se nel tuo spazio di lavoro sono già in esecuzione alcuni processi programmati, quando configuri l'elaborazione privata dei dati l'esecuzione di tali processi nell'ambiente di elaborazione dati Alteryx potrebbe continuare ancora per alcuni minuti dopo la configurazione.

Accesso al VPC da Terraform Runner

Alteryx utilizza Terraform per applicare modifiche all'infrastruttura e alle risorse cloud all'interno del VPC. Abbiamo aggiunto una serie di indirizzi IP a un elenco di autorizzazioni nel cluster EKS, per garantire l'accesso ai Terraform Runner e al Piano di controllo.

Non modificare questo elenco.

Gli indirizzi del Piano di controllo Alteryx sono disponibili in Autorizzazione dell'intervallo di indirizzi IP del servizio Alteryx. I Terraform Runner di Alteryx utilizzano gli indirizzi IP riportati di seguito:

  • "44.227.135.252/32"

  • "44.225.123.94/32"

  • "104.193.47.0/24"

  • "66.35.44.241/32"

  • "74.199.216.160/27"

  • "54.188.210.240/32"

Connessioni in uscita

Il software eseguito nell'ambiente di elaborazione privata dei dati richiede la comunicazione in uscita per diversi motivi:

  1. I flussi di lavoro hanno spesso bisogno di accedere a un'origine dati pubblica, come i bucket di archiviazione nel cloud e i data warehouse.

  2. I servizi del Piano dati richiedono spesso l'accesso ad altri servizi in esecuzione nel Piano di controllo (chiamate API, iscrizione a una coda di messaggi e così via).

  3. Le immagini software vengono spesso recuperate dai repository di immagini, per garantire l'aggiornamento regolare del software.

  4. Alteryx raccoglie i log applicativi e i dati di telemetria per monitorare lo stato e le prestazioni dei servizi del Piano dati e per supportare le attività di risoluzione dei problemi.

Non applicare al VPC o ai gruppi di sicurezza regole aggiuntive con lo scopo di bloccare o limitare il traffico in uscita.

Rotazione delle credenziali

Nel passaggio Passaggio 3a: creazione di un account di servizio è stato creato un account di servizio di nome aac_automation_sa, insieme alla chiave associata. Queste credenziali non sono controllate da Alteryx.

Alteryx consiglia di ruotare queste credenziali come previsto dalle policy aziendali. Se la tua azienda non applica alcuna policy, per cominciare è consigliabile eseguire la rotazione dei segreti ogni 90 giorni. Ricorda che Alteryx deve mantenere l'accesso al VPC per aggiornare il software e le risorse cloud, monitorare lo stato dell'ambiente privato e risolvere i problemi. Quando esegui la rotazione di queste credenziali in GCP, ricordati di accedere anche a Alteryx One Platform e fornire le credenziali più recenti.

Prossimi passi

App Builder in GCP

Auto Insights in GCP

Cloud Execution for Desktop in GCP

Designer Cloud in GCP

Machine Learning in GCP

In questa sezione: