Designer Cloud no GCP
Siga este guia para implantar o módulo Designer Cloud para processamento de dados privados do Google Cloud Platform (GCP).
Pré-requisito
Antes de implantar o módulo Designer Cloud, conclua estas etapas na página Configurar o projeto do GCP e a VPC para dados privados...
Ter configurado uma VPC dedicada ao Alteryx One, conforme mencionado na seção Configurar rede privada virtual.
Ter anexado a conta de serviço e as funções base do IAM à conta de serviço, conforme mencionado na seção Configurar o IAM.
Ter acionado com sucesso o provisionamento do processamento de dados privados, conforme mencionado na seção Acionar provisionamento do tratamento de dados privados.
Configuração do projeto
Etapa 1: configurar o IAM
Etapa 1a: vincular o IAM à conta de serviço
Atribua estas funções adicionais à conta de serviço aac-automation-sa que você criou durante a etapa Configurar o projeto do GCP e a VPC para dados privados:
Administrador do balanceador de carga de computação:
roles/compute.loadBalancerAdminAdministrador da instância de computação (v1):
roles/compute.instanceAdmin.v1Administrador de armazenamento de computação:
roles/compute.storageAdminAdministrador do cluster do Kubernetes Engine:
roles/container.clusterAdminAdministrador de armazenamento:
roles/storage.adminAdministrador de Redis do Cloud Memorystore:
roles/redis.admin
Etapa 2: configurar a sub-rede
Nota
Designer Cloud compartilha uma configuração de sub-rede com o Machine Learning, Auto Insights e o App Builder. Se você estiver implantando mais de um desses aplicativos, precisará configurar as sub-redes apenas uma vez.
O Designer Cloud em um ambiente de processamento de dados privados requer três sub-redes. Você criou a sub-rede aac-private anteriormente ao criar a VPC. Não é necessário criá-la novamente, mas ela está incluída aqui para fins de completude.
aac-gke-node (obrigatório): o cluster do GKE usa essa sub-rede para executar trabalhos de software do Alteryx (conectividade, conversão, processamento e publicação).
aac-public (obrigatório): esse grupo não executa nenhum serviço, mas o grupo
aac-gke-nodeo usa para sair do cluster.aac-private (obrigatório): esse grupo executa serviços privados para o PDP.
Etapa 2a: criar sub-redes na VPC
Configure sub-redes na VPC aac-vpc.
Crie sub-redes seguindo o exemplo abaixo. Você pode ajustar o tamanho da sub-rede e da sub-rede secundária para corresponder à sua arquitetura de rede.
Os espaços de endereço são projetados para acomodar um ambiente de processamento de dados totalmente dimensionado. Se necessário, você pode escolher um espaço de endereço menor, mas pode ter problemas de dimensionamento sob cargas de processamento pesadas.
Importante
"Nome da sub-rede" não é um campo flexível, ele deve corresponder à tabela abaixo.
Você pode selecionar qualquer região na lista Regiões compatíveis. No entanto, você deve usar a mesma região para a região da sub-rede agora e quando chegar à etapa "Provisionamento de acionador" mais tarde.
Nome da sub-rede | Sub-rede | Nome da sub-rede secundária | Tamanho da sub-rede secundária | Observações |
|---|---|---|---|---|
aac-gke-node | 10.0.0.0/22 | aac-gke-pod | 10.4.0.0/14 | Cluster do GKE, pod do GKE e sub-redes de serviço do GKE. |
| aac-gke-service | 10.64.0.0/20 |
| |
aac-public | 10.10.1.0/25 | N/A | N/A | Saída pública. |
Etapa 2b: tabela de rota de sub-rede
Crie a tabela de rota para suas sub-redes.
Importante
Você deve configurar a Vnet com uma conexão de rede com a Internet em sua assinatura.
Nota
Esta tabela de rota é um exemplo.
Prefixo do endereço | Tipo do próximo salto |
|---|---|
Bloco CIDR /22 (aac-gke-node) | aac-vpc |
Bloco CIDR /24 (aac-private) | aac-vpc |
Bloco CIDR /25 (aac-public) | aac-vpc |
0.0.0.0/0 | <gateway_ID> |
Nota
O <gateway id> pode ser um gateway NAT ou um gateway da Internet, dependendo da arquitetura da sua rede.
Processamento de dados privados
Cuidado
Modificar ou remover quaisquer recursos de nuvem pública provisionados pelo Alteryx One depois que o tratamento de dados privados for configurado poderá causar inconsistências. Essas inconsistências podem levar a erros durante a execução do trabalho ou ao desprovisionamento da configuração do tratamento de dados privados.
Etapa 1: acionar a implantação do Designer Cloud
O provisionamento do processamento de dados é acionado a partir do console de administração no Alteryx One. Você precisa de Privilégios do Administrador do espaço de trabalho dentro de um espaço de trabalho para vê-lo.
Na página de chegada do Alteryx One, selecione o menu Perfil e, em seguida, Administrador do espaço de trabalho.
No console de administração, selecione Tratamento de dados privados e, em seguida, Processamento.
Marque a caixa de seleção Designer Cloud e clique em Atualizar.
A seleção de Atualizar aciona a implantação do cluster e dos recursos no projeto do GCP. Isso executa um conjunto de verificações de validação da configuração correta do projeto do GCP.
Nota
O processo de provisionamento leva aproximadamente de 35 a 40 minutos para ser concluído.
Após a conclusão do provisionamento, você pode visualizar os recursos criados (por exemplo, instâncias de VM e grupos de nós) por meio do console do GCP. É muito importante que você não os modifique por conta própria. As alterações manuais podem causar problemas com a função do ambiente de processamento de dados privado.
Etapa 2: atualizar a função do IAM para a conta de serviço do Kubernetes
Uma vez que o processamento de dados privados é configurado com sucesso, uma conta de serviço do Kubernetes chamada credential-pod-sa é criada. Essa conta permite que o serviço de credenciais do Kubernetes acesse credenciais de dados privados armazenadas no cofre de chaves.
Nota
Substitua <project number> e <project id> pelo número e ID do projeto.
Acesse Gerenciamento de chaves e selecione o chaveiro com a chave criada em Etapa 5: criar o chaveiro e a chave.
Selecione PERMISSÕES e, em seguida, CONCEDER ACESSO.
No campo Nova entidade de serviço, insira:
principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa
Forneça as funções de Criptografador/Descriptografador de chave criptografada do KMS na nuvem e Administrador do gerenciador de segredos.
Clique em Salvar.