Skip to main content

Configurar a assinatura e Vnet do Azure para dados privados

O processamento de dados privados do Azure envolve a execução de um cluster de processamento de dados do Alteryx One Platform dentro da sua assinatura e Vnet do Azure. Essa combinação de sua infraestrutura com recursos e software do Azure gerenciados pelo Alteryx é comumente chamada de processamento de dados privados.

Esta página se concentra em como configurar sua assinatura e Vnet do Azure para um processamento de dados privados no Alteryx One.

Nota

A configuração da assinatura e da Vnet do Azure exigem acesso e permissões ao portal do Azure. Se você não tiver esse acesso, entre em contato com sua equipe de TI para concluir esta etapa.

Cuidado

Nunca exclua recursos provisionados para processamento de dados privados.

Etapas de configuração

Importante

Para continuar com estas etapas, você deve ter as funções RBAC de Desenvolvedor de aplicativos e Proprietário do Azure atribuídas a você.

Etapa 1: selecionar a assinatura do Azure

Selecione a assinatura na qual você gostaria de executar seu processamento de dados privados.

Para melhorar o desempenho e reduzir os custos de saída, o armazenamento de blobs e o cluster do AKS de tratamento de dados privados devem estar na mesma região e grupo de recursos que você selecionou para o armazenamento de dados privado. Isso se aplica a todas as fontes de dados que você deseja conectar ao Alteryx One.

A VPC criada na assinatura do Azure deve ser dedicada ao Alteryx One. Você pode configurar a conectividade com fontes de dados privadas usando peering de VPC, gateways de trânsito, PrivateLink ou outros.

Etapa 2: criar grupo de recursos

Recursos do Azure Cloud necessários para que o Alteryx One implante em um grupo de recursos.

  1. Crie um grupo de recursos com o nome aac_resource_group.

    Nota

    aac_resource_group é um nome de exemplo neste guia. Você pode escolher qualquer nome para o grupo de recursos.

  2. Marque o grupo de recursos com estes parâmetros:

    1. Nome da tag: AACResource

    2. Valor da tag: aac

  3. Revise e crie o grupo de recursos.

Etapa 3: configurar o IAM

Com sua assinatura do Azure ativa, configure a entidade de serviço e as chaves de acesso.

Nota

Você pode usar o mesmo registro de aplicativo para provisionar o processamento de dados privados em uma assinatura diferente sob o mesmo locatário.

Etapa 3a: criar um registro de aplicativo (conta de serviço) 

  1. Crie um novo registro com o nome aac_automation_sa.

  2. Em Tipos de conta compatíveis, selecione Contas em qualquer diretório organizacional (qualquer locatário do Microsoft Entra ID - multilocatário).

  3. Selecione Registrar.

  4. Gerar uma chave de acesso:

    1. Selecione o registro de aplicativo que você acabou de criar.

    2. Selecione Certificados e segredos.

    3. Selecione Segredos de cliente.

    4. Selecione Novo segredo do cliente.

    5. Clique em Adicionar.

Nota

Você precisará do client id e da secret key para provisionar os recursos de nuvem para o processamento de dados privados.

Etapa 3b: criar função personalizada do IAM

É necessário criar uma função personalizada do IAM. Nomeie a função do IAM AAC_Base_SA_Role e anexe o seguinte documento de função. Recomendamos usar a guia "JSON" em vez do editor visual. O Alteryx One requer algumas permissões * para ser executado. Ao criar a função, você receberá alguns avisos de segurança.

{
    "properties": {
        "roleName": "AAC_Base_SA_Role",
        "description": "Custom role for provisioning AAC private data handling",
        "assignableScopes": [
            "/subscriptions/<subscription ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Network/applicationGateways/backendAddressPools/join/action",
                    "Microsoft.Network/locations/*",
                    "Microsoft.Network/networkInterfaces/*",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Network/publicIPAddresses/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Resources/deployments/*",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Resources/subscriptions/read",
                    "Microsoft.Resources/subscriptions/operationresults/read",
                    "Microsoft.Storage/storageAccounts/*",
                    "Microsoft.KeyVault/*",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Network/routeTables/routes/read",
                    "Microsoft.Network/routeTables/read",
                    "Microsoft.Authorization/roleDefinitions/write",
                    "Microsoft.Authorization/roleDefinitions/delete",
                    "Microsoft.Authorization/roleAssignments/delete"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Importante

AAC_Base_SA_Role é um exemplo de nome de função. Você pode escolher qualquer nome para a função, mas ele deve começar com AAC_Base.

Etapa 3c: vincular a função personalizada ao registro do aplicativo na assinatura

  1. Selecione a assinatura criada na Etapa 1.

  2. Selecione Controle de acesso (IAM).

  3. Selecione Adicionar e, em seguida, clique em Adicionar atribuição da função.

  4. Selecione a função personalizada criada na Etapa 3b.

    1. A função personalizada pode estar na guia Funções de trabalho ou Funções de administrador privilegiadas.

  5. Selecione Próximo.

  6. Em Membros, selecione o registro de aplicativo criado na Etapa 3a.

  7. Em Condições, selecione Permitir que o usuário atribua todas as funções, exceto as funções de administrador privilegiadas Proprietário, UAA e RBAC.

  8. Em Tipo de atribuição, selecione Ativa e Duração da atribuição como Permanente.

  9. Selecione Revisar e atribuir.

Etapa 4: criar grupo de segurança de rede (NSG)

  1. Crie um grupo de segurança de rede no grupo de recursos aac_resource_group.

  2. Marque o grupo de segurança de rede com estes parâmetros:

    1. Nome da tag: AACResource

    2. Valor da tag: aac

Etapa 5: configurar a rede privada virtual

Etapa 5a: criar uma rede virtual (Vnet)

  1. Crie uma rede virtual no grupo de recursos aac_resource_group.

    Dica

    O Azure cria um espaço de endereço padrão e uma sub-rede padrão. Exclua a sub-rede padrão e atualize o espaço de endereço.

    Os blocos CIDR mencionados abaixo são reservados para o plano de controle do Alteryx One. Evite configurar CIDRs da VPC com:

    • 100.64.0.0/10

    • 10.4.0.0/14

    • 10.64.0.0/20

    • 10.0.0.0/22

  2. Adicione esses espaços de endereço IPv4 dependendo de quais módulos você deseja implantar. Pode ser necessário criar a Vnet com um único espaço de endereço e selecionar Configurações > Espaço de endereço para adicionar o segundo.

    1. Para Designer Cloud e Machine Learning, adicione os espaços de endereço /18 e /22.

    2. Para a execução no Cloud para o Desktop, adicione o espaço de endereço /22

  3. Marque a Vnet com estes parâmetros:

    1. Nome da tag: AACResource

    2. Valor da tag: aac

Etapa 5b: configurar o sinalizador de recursos

Registre o sinalizador de recursos EnableAPIServerVnetIntegrationPreview na sua assinatura do Azure.

Nota

As conexões com fontes de dados privadas exigem caminhos de rede entre a Vnet e a fonte de dados. Conforme definido na matriz de responsabilidade compartilhada, você configura esses caminhos de rede de acordo com suas próprias políticas e preferências de rede.

Etapa 5c: colocar o IP na lista de permissão

Os produtos do Alteryx Cloud são implantados em um cluster do Kubernetes. O plano de controle se comunica de forma segura com o cluster do Kubernetes no plano de dados por meio de um túnel VPN do WireGuard. Para habilitar a comunicação contínua e segura por meio da VPN do WireGuard, o seguinte endereço IP deve estar na lista de permissão na rede do plano de dados para tráfego de entrada e saída:

PDP no Alteryx Cloud

IPs a serem incluídos na lista de permissão

us1.alteryxcloud.com

IPs do servidor do Wireguard: 34.149.191.17 e porta TCP 443

34.127.5.134, 35.203.150.52 e porta UDP 51820

IPs do plano de controle: 34.118.199.26, 34.82.130.80/29

IPs do Teleport: 34.145.177.98 e porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 na porta TCP 443

eu1.alteryxcloud.com

IPs do servidor do Wireguard: 35.244.193.191 e porta TCP 443

34.141.115.208, 34.159.185.26 e porta UDP 51820

IPs do plano de controle: 34.141.45.236, 34.89.162.16/29

IPs do Teleport: 34.145.177.98 e porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 e porta TCP 443

au1.alteryxcloud.com

IPs do servidor do Wireguard: 34.107.140.97 e porta TCP 443

35.197.167.155, 35.244.84.72 e porta UDP 51820

IPs do plano de controle: 34.87.234.110, 34.40.128.80/29

IPs do Teleport: 34.145.177.98 e porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 e porta TCP 443

preprod.alteryxcloud.com

IPs do servidor do Wireguard: 34.120.226.216 e porta TCP 443

35.230.188.196, 35.221.3.230 e porta UDP 51820

IPs do plano de controle: 34.86.96.59, 35.199.17.14, 34.86.74.210

IPs do Teleport: 34.145.177.98 e porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 e porta TCP 443

Etapa 6: criar um cofre de chaves

As credenciais da fonte de dados são criptografadas usando sua chave e armazenadas com segurança em um cofre privado (armazenamento de credenciais privado) em sua conta do plano de dados privado. Essas credenciais só são recuperadas do cofre quando você precisa delas.

  1. Crie o cofre de chaves no grupo de recursos aac_resource_group.

  2. Nomeie o cofre como aac-credentials-vault e selecione Avançar.

  3. Escolha Controle de acesso baseado em função do Azure como o modelo de permissão e clique em Avançar para continuar.

  4. Para permitir o acesso, selecione Redes selecionadas.

  5. Marcar o cofre de chaves

    Nome da tag

    Valor

    AACResource

    aac

  6. Selecione Revisar e criar.

    Nota

    O nome do cofre de chaves é fornecido na página Processamento de dados privados.

Etapa 7: acionar solicitação de aumento de cota

Por padrão, cada assinatura do Azure tem um limite máximo para o número de vCPUs sendo executadas simultaneamente. Para executar seu ambiente privado, é necessário solicitar um aumento na cota. Isso permite que seu ambiente seja dimensionado para atender à sua demanda.

O número exato que você especificar dependerá de vários fatores, como quantos aplicativos estão em execução, seu nível de tolerância para aguardar a execução de trabalhos se não houver hardware suficiente e sua disposição de pagar por mais infraestrutura para que possa gastar menos tempo esperando por execuções de trabalhos.

Abaixo, fornecemos os números recomendados para cargas de trabalho de analytics em execução no Alteryx One Platform. Você pode escolher um número diferente. Por exemplo, talvez você não queira escalar tão alto para limitar o custo do ambiente. Ou você pode querer aumentá-lo porque está executando múltiplos aplicativos do Alteryx One Platform e deseja garantir que o hardware esteja sempre disponível.

A Alteryx recomenda solicitar um aumento para as seguintes cotas:

Limites de CPU

Nome da cota: Total de vCPUs regionais

Escopo: Regional

Valor de cota padrão do Azure: 10

Valor de cota recomendado: 800 (50 nós * 16 CPUs por nó)

Nome da cota: VCPUs padrão da família Basv2

Escopo: Regional

Valor de cota padrão do Azure: 10

Valor de cota recomendado: 800 (50 nós * 16 CPUs por nó)

Etapa 8: acionar o provisionamento do tratamento de dados privados

Atenção

Modificar ou remover quaisquer recursos de nuvem pública provisionados pelo Alteryx One depois que o tratamento de dados privados for configurado poderá causar inconsistências. Essas inconsistências podem levar a erros durante a execução do trabalho ou ao desprovisionamento da configuração do tratamento de dados privados.

O provisionamento do ambiente de processamento de dados é acionado a partir do console de administração no Alteryx One. Você precisa de Privilégios do Administrador do espaço de trabalho dentro de um espaço de trabalho para vê-lo.

  1. Na página de chegada do Alteryx One, selecione o ícone de círculo no canto superior direito com suas iniciais. No menu, selecione Console de administração.

  2. Selecione Tratamento de dados privados no menu de navegação esquerdo.

Antes de continuar, verifique se o armazenamento de dados privado mostra Configurado com sucesso. Se o status for Não configurado, acesse o ADLS as Private Data Storage primeiro e retorne para essa etapa.

Na seção "Processamento de dados privados", você precisa preencher cinco campos. Esses valores vêm das etapas de configuração que você acabou de concluir.

A seleção de Criar acionará um conjunto de verificações de validação para checar se a assinatura do Azure está configurada conforme necessário. Se as permissões não estiverem configuradas corretamente ou se os recursos da Vnet não forem criados ou marcados corretamente, você receberá uma mensagem de erro com uma descrição que deve indicar a direção certa.

Observações importantes

Momento das alterações de configuração

O Alteryx One Platform é um sistema distribuído. As alterações feitas na configuração do processamento de dados privados devem ser propagadas para vários sistemas antes de entrarem em vigor. Por exemplo, se o espaço de trabalho já tiver trabalhos agendados em execução quando você configurar o processamento de dados privados, você pode continuar a ver a execução do trabalho ocorrendo no ambiente de processamento de dados do Alteryx por alguns minutos depois.

Acesso do runner do Terraform à sua VPC

O Alteryx usa o Terraform para aplicar alterações à infraestrutura e aos recursos de nuvem dentro da sua VPC. Nós adicionamos um número de endereços IP a uma lista de permissão no cluster do EKS para que nossos runners do Terraform e o plano de controle tenham acesso.

Não modifique esta lista.

Você pode encontrar endereços do plano de controle Alteryx em Colocar o intervalo de endereços IP do Alteryx Service na lista de permissões. Os runners do Terraform do Alteryx usam os seguintes endereços IP:

  • "44.227.135.252/32"

  • "44.225.123.94/32"

  • "104.193.47.0/24"

  • "66.35.44.241/32"

  • "74.199.216.160/27"

  • "54.188.210.240/32"

Conexões de saída

O software que é executado em seu ambiente de processamento de dados privados requer comunicação de saída por vários motivos:

  1. Os fluxos de trabalho geralmente precisam de acesso a uma fonte de dados pública, como buckets de armazenamento em nuvem e data warehouses.

  2. Os serviços do plano de dados geralmente exigem acesso a outros serviços em execução no plano de controle (fazer uma chamada de API, inscrever-se em uma fila de mensagens etc.).

  3. As imagens de software são frequentemente recuperadas de repositórios de imagens para manter seu software atualizado.

  4. O Alteryx coleta logs de aplicativos e dados de telemetria para monitorar a integridade e o desempenho dos serviços do plano de dados e dar suporte aos esforços de solução de problemas.

Não aplique nenhuma regra extra à sua VPC ou aos grupos de segurança para bloquear ou restringir esse tráfego de saída.

Rotação de credenciais

Na etapa Etapa 3b: criar função personalizada do IAM, você criou um registro de aplicativo chamado "aac_automation_sa", juntamente com um segredo de cliente que o acompanha. O Alteryx não controla essas credenciais.

A Alteryx recomenda a rotação dessa credencial de acordo com as políticas da sua empresa. Se a sua empresa não tem nenhuma política, rotacionar um segredo a cada 90 dias é um bom ponto de partida. Lembre-se de que o Alteryx precisa manter o acesso à VPC para atualizar recursos e software da nuvem, monitorar a integridade do seu ambiente privado e solucionar problemas. Ao rotacionar essa credencial no Azure, lembre-se de fazer login no Alteryx One Platform e fornecer também a credencial mais recente.

Próximas etapas

App Builder in Azure

Auto Insights in Azure

Cloud Execution for Desktop in Azure

Designer Cloud in Azure

Machine Learning in Azure

Nesta secção: