GCPのDesigner Cloud
このガイドに従って、Google Cloud Platform (GCP)プライベートデータ処理用にDesigner Cloudモジュールをデプロイします。
必要条件
Designer Cloudモジュールをデプロイする前に、プライベートデータ用のGCPプロジェクトとVPCのセットアップページで以下の手順を実行する必要があります。
「仮想プライベートネットワークの設定」セクションで説明されているように、Alteryx One専用のVPCが設定されている。
「IAMの設定」セクションで説明されている、サービスアカウントとサービスアカウントに紐付いたベースIAMロールが用意されている。
「プライベートデータ処理のプロビジョニングをトリガーする」セクションで説明されているように、プライベートデータ処理のプロビジョニングが正常にトリガーされている。
プロジェクトの設定
ステップ1: IAMの設定
ステップ1a: IAMをサービスアカウントにバインドする
プライベートデータ用のGCPプロジェクトとVPCのセットアップで作成したaac-automation-saサービスアカウントに、以下の追加ロールを割り当てます。
Compute Load Balancer Admin:
roles/compute.loadBalancerAdminCompute Instance Admin (v1):
roles/compute.instanceAdmin.v1Compute Storage Admin:
roles/compute.storageAdminKubernetes Engine Cluster Admin:
roles/container.clusterAdminStorage Admin:
roles/storage.adminCloud Memorystore Redis Admin:
roles/redis.admin
ステップ2: サブネットの設定
注記
Designer Cloud は、Machine Learning、Auto Insights、およびApp Builderとサブネットの設定を共有します。これらのアプリケーションを複数展開している場合、サブネットの設定は一度のみ必要になります。
プライベートデータ処理環境のDesigner Cloudには、3つのサブネットが必要です。以前VPCを作成した時に、aac-privateサブネットを作成しています。再度作成する必要はありませんが、ここではすべてを説明するため記載しています。
aac-gke-node (必須): GKEクラスターは、このサブネットを使用してAlteryxソフトウェアのジョブ(接続、変換、処理、公開)を実行します。
aac-public (必須): このグループでサービスは実行されませんが、
aac-gke-nodeグループがクラスターからの出力に使用します。aac-private (必須): このグループは、PDP専用にサービスを実行します。
ステップ2a: VPCでのサブネットの作成
aac-vpc VPCでサブセットを設定します。
以下の例に従ってサブネットを作成します。このサブネットサイズとセカンダリサブネットサイズは、ネットワークアーキテクチャに合わせて調整できます。
アドレス空間は、完全にスケールアウトされたデータ処理環境に対応するように設計されています。必要に応じてアドレス空間を小さくすることもできますが、処理負荷が高くなると、スケーリングに問題が起きる可能性があります。
重要
サブネット名は固定されているため、次のテーブルと一致している必要があります。
サポートされているリージョンの一覧から任意のリージョンを選択できます。ただし、このサブネットリージョンには同じリージョンを使用する必要があり、後の「プロビジョニングのトリガー」ステップでも同じリージョンを使用する必要があります。
サブネット名 | サブネット | セカンダリサブネット名 | セカンダリサブネットサイズ | メモ |
|---|---|---|---|---|
aac-gke-node | 10.0.0.0/22 | aac-gke-pod | 10.4.0.0/14 | GKEクラスター、GKE Pod、GKEサービスサブネット。 |
| aac-gke-service | 10.64.0.0/20 |
| |
aac-public | 10.10.1.0/25 | N/A | N/A | パブリック出力。 |
ステップ2b: サブネットのルートテーブル
サブネット用のルートテーブルを作成します。
重要
サブスクリプションのインターネットへのネットワーク接続を使用して、Vnetを設定する必要があります。
注記
このルートテーブルは一例です。
アドレス接頭辞 | ネクストホップタイプ |
|---|---|
/22 CIDRブロック(aac-gke-node) | aac-vpc |
/24 CIDRブロック(aac-private) | aac-vpc |
/25 CIDRブロック(aac-public) | aac-vpc |
0.0.0.0/0 | <gateway_ID> |
注記
<gateway id>は、ネットワークアーキテクチャに応じて、NATゲートウェイまたはインターネットゲートウェイのどちらかになります。
プライベートデータ処理
注意
プライベートデータ処理を設定した後に、Alteryx Oneをプロビジョニングされたパブリッククラウドリソースを変更または削除すると、不整合が生じる可能性があります。これらの不整合により、ジョブの実行中またはプライベートデータ処理設定のプロビジョニング解除時にエラーが発生する可能性があります。
ステップ1: Designer Cloudのデプロイをトリガーする
データ処理のプロビジョニングは、Alteryx One内の管理者コンソールからトリガーされます。これを表示するには、ワークスペース内でワークスペース管理者権限が必要です。
Alteryx Oneのランディングページで[プロファイル]メニューを選択し、[ワークスペース管理者]を選択します。
管理者コンソールから[Private Data Handling]を選択し、[Processing]を選択します。
Designer Cloudチェックボックスを選択し、[更新]を選択します。
[更新]を選択すると、GCPプロジェクトにクラスターとリソースのデプロイがトリガーされます。これにより、一連の検証チェックが実行され、GCPプロジェクトの設定が正しいか確認されます。
注記
プロビジョニングプロセスの完了には、約35-40分かかります。
プロビジョニングが完了すると、作成したリソース(VMインスタンスやノードグループなど)をGCPコンソールで表示できます。これは絶対に自分で変更しないでください。手動で変更すると、プライベートデータ処理環境の機能に問題が発生する可能性があります。
ステップ2: KubernetesサービスアカウントのIAMロールの更新
プライベートデータ処理が正常に設定されると、credential-pod-saという名前のKubernetesサービスアカウントが作成されます。このアカウントで、Kubernetes資格情報サービスがキー保管庫に保存されているプライベートデータ資格情報にアクセスできます。
注記
<project number>と<project id>をプロジェクトのプロジェクト番号とプロジェクトIDに置き換えます。
[鍵管理]に移動し、ステップ5: キーリングとキーの作成で作成されたキーを持つキーリングを選択します。
[PERMISSIONS]を選択し、[GRANT ACCESS]を選択します。
[New Principal]フィールドに、以下のように入力します。
principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa
Cloud KMS CryptoKey Encrypter/DecrypterロールとSecret Manager Adminロールを付与します。
[保存]を選択します。