Skip to main content

Configurar o projeto do GCP e a VPC para dados privados

O processamento de dados privados do Google Cloud Platform (GCP) envolve a execução de um cluster de processamento de dados do Alteryx One Platform dentro do seu projeto do GCP e da VPC. Essa combinação de sua infraestrutura com recursos e software do GCP gerenciados pelo Alteryx é comumente chamada de processamento de dados privados.

Esta página se concentra em como configurar seu projeto do GCP e a VPC para um processamento de dados privados no Alteryx One.

Nota

O projeto do GCP e a configuração da VPC exigem acesso e permissões ao console do GCP. Se você não tiver esse acesso, entre em contato com sua equipe de TI para concluir esta etapa.

Cuidado

Nunca exclua recursos provisionados para processamento de dados privados.

Etapas de configuração

Importante

Para continuar com essas etapas, você deve ter a função RBAC de Proprietário do GCP atribuída a você.

Etapa 1: selecionar o projeto do GCP

Selecione o projeto no qual você gostaria de executar o processamento de dados privados.

Para melhorar o desempenho e reduzir os custos de saída, o armazenamento do Google e o cluster do GKE de tratamento de dados privados devem estar na mesma região que você selecionou para o armazenamento de dados privado. Isso se aplica a todas as fontes de dados que você deseja conectar ao Alteryx One.

A VPC criada no projeto do GCP deve ser dedicada ao Alteryx One. Você pode configurar a conectividade com fontes de dados privadas usando peering de VPC, gateways de trânsito, PrivateLink ou outros.

Importante

Você só deve configurar uma instância de tratamento de dados privados por projeto do GCP.

Etapa 2: habilitar as APIs do Google

Para criar recursos de nuvem para o tratamento de dados privados, você deve habilitar APIs no projeto.

  1. No console do GCP, selecione APIs e serviços.

  2. Selecione APIS E SERVIÇOS HABILITADOS.

  3. Habilite estas APIs:

    1. Cloud Logging API

    2. Cloud Monitoring API

    3. Compute Engine API

    4. Secret Manager API

    5. Service Networking API

    6. Cloud Asset API

    7. Kubernetes Engine API

    8. Google Cloud Memorystore for Redis API

    9. Service Usage API

Etapa 3: configurar o IAM

Com seu projeto do GCP ativo, configure a entidade de serviço e as chaves de acesso.

Etapa 3a: criar uma conta de serviço

  1. Crie uma conta de serviço com o nome aac-automation-sa.

  2. Gere chaves com o tipo de chave JSON.

  3. Armazene o arquivo Blob JSON.

Nota

Você precisará do arquivo Blob JSON da chave de serviço para provisionar os recursos da nuvem em uma etapa posterior.

Etapa 3b: vincular o IAM à conta de serviço

Atribua estas funções à conta de serviço aac-automation-sa:

  • Administrador do gerenciador de segredos: roles/secretmanager.admin

  • Administrador da conta de serviço: roles/iam.serviceAccountAdmin

  • Usuário da conta de serviço: roles/iam.serviceAccountUser

  • Administrador do IAM do projeto: roles/resourcemanager.projectIamAdmin

  • Administrador da chave da conta de serviço: roles/iam.serviceAccountKeyAdmin

  • Visualizar da rede de computação: roles/compute.networkViewer

  • Visualizador do KMS da nuvem: roles/cloudkms.viewer

Importante

O GCP não permite o caractere curinga (*) no documento da política. O GCP também tem limitações quanto ao número de permissões individuais atribuídas a uma função personalizada. Portanto, você deve atribuir à conta de serviço um conjunto de funções predefinidas gerenciadas pelo GCP.

Etapa 4: configurar a rede privada virtual

Etapa 4a: criar uma rede VPC

Os blocos CIDR mencionados abaixo são reservados para o plano de controle do Alteryx One. Evite configurar CIDRs da VPC com:

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

  1. Crie uma rede virtual.

  2. Selecione Modo de criação de sub-rede = Personalizado.

  3. Desabilite ou exclua as regras de firewall padrão.

  4. Selecione Modo de roteamento dinâmico = Global.

  5. A VPC requer uma sub-rede. Configure as sub-redes conforme mostrado nesta tabela:

Nome da sub-rede

Tamanho da sub-rede

Nome da sub-rede secundária

Tamanho da sub-rede secundária

aac-private

10.10.10.0/24

N/A

N/A

aac-private (obrigatório): esse grupo executa serviços privados para o PDP.

Importante

Os endereços IP e os tamanhos da sub-rede na tabela são mostrados como exemplo.

Modifique os valores conforme necessário para atender à sua arquitetura de rede. A região da sub-rede deve ser a região onde o "Tratamento de dados privados" deve ser provisionado.

O nome da sub-rede DEVE corresponder ao nome mostrado na tabela.

Etapa 4b: tabela de rotas de sub-rede

Importante

Você deve configurar a VPC com uma conexão de rede com a Internet no seu projeto.

Nota

O <gateway id> pode ser um gateway NAT ou um gateway da Internet, dependendo da arquitetura da sua rede.

Este é um exemplo de tabela de rotas de sub-rede:

Prefixo do endereço

Próximo salto

Bloco CIDR /24 (aac-private)

aac-vpc

0.0.0.0/0

<gateway_ID>

Etapa 4c: colocar o IP na lista de permissão

Os produtos do Alteryx Cloud são implantados em um cluster do Kubernetes. O plano de controle se comunica de forma segura com o cluster do Kubernetes no plano de dados por meio de um túnel VPN do WireGuard. Para habilitar a comunicação contínua e segura por meio da VPN do WireGuard, o seguinte endereço IP deve estar na lista de permissão na rede do plano de dados para tráfego de entrada e saída:

PDP no Alteryx Cloud

IPs a serem incluídos na lista de permissão

us1.alteryxcloud.com

IPs do servidor do Wireguard: 34.149.191.17 na porta TCP 443

34.127.5.134, 35.203.150.52 na porta UDP 51820

IPs do plano de controle: 34.118.199.26, 34.82.130.80/29

IPs do Teleport: 34.145.177.98 na porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 na porta TCP 443

eu1.alteryxcloud.com

IPs do servidor do Wireguard: 35.244.193.191 na porta TCP 443

34.141.115.208, 34.159.185.26 na porta UDP 51820

IPs do plano de controle: 34.141.45.236, 34.89.162.16/29

IPs do Teleport: 34.145.177.98 e porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 e porta TCP 443

au1.alteryxcloud.com

IPs do servidor do Wireguard: 34.107.140.97 na porta TCP 443

35.197.167.155, 35.244.84.72 e porta UDP 51820

IPs do plano de controle: 34.87.234.110, 34.40.128.80/29

IPs do Teleport: 34.145.177.98 e porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 e porta TCP 443

preprod.alteryxcloud.com

IPs do servidor do Wireguard: 34.120.226.216 na porta TCP 443

35.230.188.196, 35.221.3.230 e porta UDP 51820

IPs do plano de controle: 34.86.96.59, 35.199.17.14, 34.86.74.210

IPs do Teleport: 34.145.177.98 e porta TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 e porta TCP 443

Etapa 5: criar o chaveiro e a chave

As credenciais da fonte de dados são criptografadas usando sua chave e armazenadas com segurança em um cofre privado (armazenamento de credenciais privado) em seu projeto do plano de dados privado. Essas credenciais só são recuperadas do cofre quando você precisa delas.

Etapa 5a: habilitar o agente do serviço do gerenciador de segredos

  1. Abra o Shell do Google Cloud selecionando o ícone do terminal na barra de ferramentas do Console do Google Cloud.

  2. Execute o comando:

    $ gcloud beta services identity create --service "secretmanager.googleapis.com" \
    --project <project id>

  3. A saída que você obtém:

    Service identity created: service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com

Etapa 5b: conceder a função do IAM ao agente de serviço

  1. Acesse IAM e selecione Conceder acesso.

  2. Forneça a nova entidade de serviço service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com.

  3. Forneça a função Criptografador/Descriptografador de chave criptografada do KMS na nuvem.

  4. Clique em Salvar.

Etapa 5c: criar o chaveiro e a chave

  1. Acesse Segurança > Gerenciamento de chaves.

  2. Selecione Criar chaveiro.

  3. Forneça o nome do chaveiro aac-key-ring.

  4. Selecione a região Multirregião e escolha a região na lista suspensa.

  5. Selecione Criar.

  6. Forneça o nome da chave aac-key.

  7. Como Nível de proteção, selecione Software.

  8. Selecione Criar.

Nota

Cada chaveiro e nome de chave deve ser exclusivo dentro do seu projeto. É necessário fornecer o chaveiro e os nomes das chaves na página "Processamento de dados privados".

Etapa 6: acionar o provisionamento do tratamento de dados privados

O provisionamento do processamento de dados é acionado a partir do console de administração no Alteryx One. Você precisa de Privilégios do Administrador do espaço de trabalho dentro de um espaço de trabalho para vê-lo.

  1. Na página de chegada do Alteryx One, selecione o ícone de círculo no canto superior direito com suas iniciais. No menu, selecione Console de administração.

  2. Selecione Tratamento de dados privados no menu de navegação esquerdo.

Cuidado

Modificar ou remover quaisquer recursos de nuvem pública provisionados pelo Alteryx One depois que o tratamento de dados privados for configurado poderá causar inconsistências. Essas inconsistências podem levar a erros durante a execução do trabalho ou ao desprovisionamento da configuração do tratamento de dados privados.

Antes de continuar, verifique se o armazenamento de dados privado mostra Configurado com sucesso. Se o status for Não configurado, acesse o GCS como armazenamento de dados privado primeiro e retorne para essa etapa.

Na seção Processamento de dados privados, há cinco campos para preencher. Esses valores vêm da conclusão das etapas em "Etapas de configuração".

A seleção de Criar aciona um conjunto de verificações de validação para checar se o projeto do GCP está configurado conforme necessário. Se as permissões não estiverem configuradas corretamente ou se os recursos da Vnet não forem criados ou marcados corretamente, você receberá uma mensagem de erro com uma descrição que deve indicar a direção certa.

Observações importantes

Momento das alterações de configuração

O Alteryx One Platform é um sistema distribuído. As alterações feitas na configuração do processamento de dados privados devem ser propagadas para vários sistemas antes de entrarem em vigor. Por exemplo, se o espaço de trabalho já tiver trabalhos agendados em execução quando você configurar o processamento de dados privados, você pode continuar a ver a execução do trabalho ocorrendo no ambiente de processamento de dados do Alteryx por alguns minutos depois.

Acesso do runner do Terraform à sua VPC

O Alteryx usa o Terraform para aplicar alterações à infraestrutura e aos recursos de nuvem dentro da sua VPC. Nós adicionamos um número de endereços IP a uma lista de permissão no cluster do EKS para que nossos runners do Terraform e o plano de controle tenham acesso.

Não modifique esta lista.

Você pode encontrar endereços do plano de controle Alteryx em Colocar o intervalo de endereços IP do Alteryx Service na lista de permissões. Os runners do Terraform do Alteryx usam os seguintes endereços IP:

  • "44.227.135.252/32"

  • "44.225.123.94/32"

  • "104.193.47.0/24"

  • "66.35.44.241/32"

  • "74.199.216.160/27"

  • "54.188.210.240/32"

Conexões de saída

O software que é executado em seu ambiente de processamento de dados privados requer comunicação de saída por vários motivos:

  1. Os fluxos de trabalho geralmente precisam de acesso a uma fonte de dados pública, como buckets de armazenamento em nuvem e data warehouses.

  2. Os serviços do plano de dados geralmente exigem acesso a outros serviços em execução no plano de controle (fazer uma chamada de API, inscrever-se em uma fila de mensagens etc.).

  3. As imagens de software são frequentemente recuperadas de repositórios de imagens para manter seu software atualizado.

  4. O Alteryx coleta logs de aplicativos e dados de telemetria para monitorar a integridade e o desempenho dos serviços do plano de dados e dar suporte aos esforços de solução de problemas.

Não aplique nenhuma regra extra à sua VPC ou aos grupos de segurança para bloquear ou restringir esse tráfego de saída.

Rotação de credenciais

Na etapa Etapa 3a: criar uma conta de serviço, você criou uma conta de serviço chamada "aac_automation_sa", juntamente com as chaves que a acompanham. O Alteryx não controla essas credenciais.

A Alteryx recomenda rotacionar essas credenciais de acordo com as políticas da sua empresa. Se a sua empresa não tem nenhuma política, rotacionar um segredo a cada 90 dias é um bom ponto de partida. Lembre-se de que o Alteryx precisa manter o acesso à VPC para atualizar recursos e software da nuvem, monitorar a integridade do seu ambiente privado e solucionar problemas. Ao rotacionar essa credencial no GCP, lembre-se de fazer login no Alteryx One Platform e fornecer também a credencial mais recente.

Próximas etapas

App Builder in GCP

Auto Insights in GCP

Execução no Cloud para o Desktop no GCP

Designer Cloud no GCP

Machine Learning no GCP

Nesta secção: