为私有数据设置 AWS 账户和 VPC

AWS 私有数据处理是指在您的 AWS 账户和 VPC 内部为 Alteryx One Platform 运行一个数据处理群集。这种由软件、您的基础架构以及 Alteryx 所管理的 AWS 资源组成的组合被称为私有数据平面。本页面将重点介绍如何设置您的 AWS 账户和 VPC，以便 Alteryx One 在其中创建私有数据平面。

注意

AWS 账户和 VPC 设置需要访问 AWS 控制台并具备相关权限。如果您没有此访问权限，请与 IT 团队联系以完成此步骤。

警告

切勿删除为私有数据处理预配的资源。

步骤 1：选择 AWS 账户

选择要在其中运行私有数据平面的账户。

由于 IAM 凭证的作用域是整个账户，因此运行私有数据平面的最安全方法是使用专用的 AWS 账户。这不是必需的，但建议这样做。

您可能希望此账户与您为私有数据存储选择的 S3 存储桶以及您要连接到 Alteryx One 的任何数据源位于同一区域。这可提高性能并降低出站流量成本。

在 AWS 账户中创建的 VPC 应专用于 Alteryx One。您可以使用 VPC 对等连接、传输网关来设置与私有数据源的连接。

步骤 2：配置 IAM

有了 AWS 账户后，下一步是设置 IAM 用户账户和访问密钥

步骤 2a：创建 IAM 用户（服务账户）

键名称	Value
AACResource	aac_iam_user

选择新的 IAM 用户，然后选择安全凭证选项卡。
选择创建访问密钥。
在访问密钥最佳实践和替代方案下，选择其他，然后选择下一步。
选择创建访问密钥。

注意

稍后在预配云资源和部署软件时，您需要使用 IAM 用户访问密钥和私密密钥。

创建名为 aac_automation_sa 的 IAM 用户。确保此用户没有控制台访问权限。
在设置权限上，选择下一步。
标记 IAM 用户：
选择创建用户。
生成访问密钥...

步骤 2b：创建 IAM 策略并绑定到服务账户

您需要创建自定义 IAM 策略。将其命名为 AAC_Base_SA_Policy 并使用以下策略文档。我们建议使用 JSON 选项卡而不是可视化编辑器。Alteryx One 需要一些 * 权限才能运行。在创建策略时，预计会出现一些安全警告。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "iam:GetOpenIDConnectProvider",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListInstanceProfilesForRole",
                "iam:ListPolicyTags",
                "iam:ListPolicyVersions",
                "iam:ListRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:oidc-provider/*",
                "arn:aws:iam::*:user/*",
                "arn:aws:iam::*:role/*"
            ]
        },
        {
            "Sid": "VisualEditor3",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*",
                "iam:GetAccountName",
                "iam:ListAccountAliases",
                "iam:ListRoles",
                "networkmanager:Describe*",
                "networkmanager:Get*",
                "networkmanager:List*",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketOwnershipControls",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionAttributes",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionTorrent",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "sts:GetCallerIdentity"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor4",
            "Effect": "Allow",
            "Action": "secretsmanager:*",
            "Resource": "arn:aws:secretsmanager:*:*:secret:*"
        }
    ]
}

步骤 2c：标记 IAM 策略

标记在步骤 2b 中创建的自定义 IAM 策略。
键名称
Value
AACResource
aac_sa_custom_policy
将 IAM 策略 AAC_Base_SA_Policy 附加到在步骤 2a 中创建的 aac_automation_sa 服务账户。
注意
AAC_Base_SA_Policy 是一个示例策略名称。您可以为策略选择任何名称，但该名称必须以 AAC_Base 开头。

键名称	Value
AACResource	aac_sa_custom_policy

步骤 3：创建 VPC

以下列出的 CIDR 块专为 Alteryx One 控制平面保留。避免使用以下项设置 VPC CIDR：

100.64.0.0/10
10.4.0.0/14
10.64.0.0/20
10.0.0.0/22

在创建 IAM 策略后创建 VPC...

在其中一个受支持的区域中创建新的 VPC。如需了解受支持的区域，请转至 Private Data Processing。
选择 VPC 等。
在 VPC 中配置 CIDR 块。您可能需要使用单个 CIDR 创建 VPC，然后选择编辑 CIDR 以添加第二个 CIDR。
1. 对于 Designer Cloud、Machine Learning、Auto Insights 和 App Builder，请添加 /18 和 /21 CIDR。
2. 对于 Cloud Execution for Desktop，添加 /21 CIDR。
在“可用区域 (AZ) 数量”部分中，选择 3。
在“公共子网数量”部分中，选择 0。
在“专用子网数量”部分中，选择 0。
在“NAT 网关”部分中，选择无。
在 VPC 中，启用 S3 网关 VPC 端点。
启用 DNS 主机名和解析。
标记 VPC。

标记名称	Value
AACResource	aac_vpc

注意

与私有数据源的连接需要 VPC 与数据源之间的网络路径。按照共担责任矩阵中的定义，您可以根据自己的网络策略和首选项设置这些网络路径。

步骤 4：标记传输网关和互联网网关

如果您的网络设置需要使用传输网关或互联网网关，请立即设置并标记它们。

标记名称	Value
AACResource	aac

步骤 4a：IP 允许列表

Alteryx Cloud 产品部署在 Kubernetes 群集中。控制平面通过 WireGuard VPN 隧道与数据平面 Kubernetes 群集进行安全通信。为了通过 WireGuard VPN 实现无缝和安全通信，必须在数据平面网络中将以下 IP 地址列入允许列表，供入站和出站流量使用：

Alteryx Cloud 中的 PDP	将列入允许列表的 IP
us1.alteryxcloud.com	Wireguard 服务器 IP：`34.149.191.17`（在 TCP 端口 `443` 上） `34.127.5.134`、`35.203.150.52`（在 UDP 端口 `51820` 上）控制平面 IP：`34.118.199.26`、`34.82.130.80/29` 传送 IP：`34.145.177.98`（在 TCP 端口 `443`、`3023`、`3024`、`3026`、 `3036` 上） `34.85.215.128`（在 TCP 端口 `443` 上）
eu1.alteryxcloud.com	Wireguard 服务器 IP：`35.244.193.191`（在 TCP 端口 `443` 上） `34.141.115.208`、`34.159.185.26`（在 UDP 端口 `51820` 上）控制平面 IP：`34.141.45.236`、`34.89.162.16/29` 传送 IP：`34.145.177.98`（在 TCP 端口 `443`、`3023`、`3024`、`3026`、 `3036` 上） `34.85.215.128`（在 TCP 端口 `443` 上）
au1.alteryxcloud.com	Wireguard 服务器 IP：`34.107.140.97`（在 TCP 端口 `443` 上） `35.197.167.155`、`35.244.84.72` 和 UDP 端口 `51820`）控制平面 IP：`34.87.234.110`、`34.40.128.80/29` 传送 IP：`34.145.177.98` 和 TCP 端口 `443`、`3023`、`3024`、`3026`、`3036` `34.85.215.128` 和 TCP 端口 `443`
preprod.alteryxcloud.com	Wireguard 服务器 IP：`34.120.226.216`（在 TCP 端口 `443` 上） `35.230.188.196`、`35.221.3.230` 和 UDP 端口 `51820` 控制平面 IP：`34.86.96.59`、`35.199.17.14`、`34.86.74.210` 传送 IP：`34.145.177.98` 和 TCP 端口 `443`、`3023`、`3024`、`3026`、`3036` `34.85.215.128` 和 TCP 端口 `443`

步骤 5：为安全加密保管库创建对称密钥

您的数据源凭证使用您的密钥进行加密，并安全地存储在您的私有数据平面账户内的私有加密保管库（私有凭证存储）中。仅在您需要时，才会从库中检索这些凭证。

转至密钥管理服务并选择创建密钥。
选择密钥类型 > 对称。
选择密钥用途 > 加密和解密。
将密钥命名为 aac-credentials-vault-key。
标记密钥。
标记名称
Value
AACResource
aac
对于密钥管理员，选择下一步。
对于密钥用途权限，选择下一步。
选择完成。

注意

ARN 密钥是在私有数据处理页面中提供的。

步骤 6：请求增加配额

默认情况下，每个 AWS 账户对同时运行的 vCPU 数量设有上限。要运行您的私有环境，您需要请求增加配额。这使您的环境可以进行扩容以满足您的需求。

您指定的确切数量将取决于多种因素，例如正在运行的应用程序数量、在硬件不足时对等待作业运行的容忍度，以及您是否愿意支付更多基础架构费用以减少作业运行的等待时间。

下面列出了在 Alteryx One Platform 上运行分析工作负载的建议数量。您可以选择其他数量。例如，为了限制环境成本，您可能不希望将规模扩展得过高。或者，您可能希望增加数量，因为您正在运行多个 Alteryx One Platform 应用程序，并且希望确保硬件始终可用。

Alteryx 建议针对以下项目请求增加配额：

Amazon EC2

此配额适用于运行 Designer Cloud、Machine Learning、Auto Insights 和 App Builder 的 Kubernetes 群集。它也适用于为 Cloud Execution for Desktop 提供支持的虚拟机自动扩缩组。

我们对该配额的建议是允许您的群集和自动扩缩组最多使用 50 个节点。

配额名称：运行按需标准（A、C、D、H、I、M、R、T、Z）实例。
配额说明：分配给运行按需标准（A、C、D、H、I、M、R、T、Z）实例的 vCPU 数量上限。
AWS 默认配额值：5
建议的最小配额值：800（50 个节点 x 16 个 vCPU/节点）。

Amazon EMR

仅当您计划将 EMR 部署为 Designer Cloud 处理选项时，此配额才适用。

配额名称：每个账户的最大并发 vCPU 数。
配额说明：当前区域中此账户可同时运行的 vCPU 的最大数量。
AWS 默认配额值：16
已应用的配额值：1024

如何申请增加配额

登录 AWS 账户控制台。
搜索服务限额并选择服务。
从左侧导航窗格中选择 AWS 服务。
搜索服务（例如 Amazon EMR Serverless 或 Amazon EC2）。
选择配额名称。
选择请求增加配额。
请求增加指定的配额。

步骤 7：触发私有数据处理预配

警告

在设置私有数据处理后，更改或移除任何 Alteryx One 预配的公有云资源都可能导致不一致性。这些不一致可能会导致作业执行期间或取消私有数据处理设置时出错。

数据处理环境预配是从 Alteryx One 中的管理控制台触发的。您需要工作区内的“工作区管理员”权限才能查看它。

在 Alteryx One 登录页面上，单击右上方包含您姓名首字母缩写的圆圈图标。从菜单中选择管理控制台。
从左侧导航菜单中选择私有数据处理。

在继续操作之前，确保私有数据存储显示已成功配置。如果状态为未配置，请先转至AWS S3 作为私有数据存储，然后再返回此步骤。

在“私有数据处理”部分下，您需要填写 5 个字段。这些值可通过 AWS 账户或您刚才完成的 VPC 设置步骤来获取。

注意

ARN 密钥是在私有数据处理页面上的“步骤 5：为安全加密保管库创建对称密钥”中提供的。

选择创建将触发一组验证检查，以验证是否根据需要设置了 AWS 账户。如果权限配置不正确，或者 VNet 资源未正确创建或添加标记，您将收到一条错误消息，其中包含的说明应为您指明正确的方向。

重要说明

配置更改的生效时间

Alteryx One Platform 是一个分布式系统。对私有数据处理配置所做的更改必须先传播到多个系统，然后才能完全生效。例如，如果您在配置私有数据处理时，您的工作区中已存在正在运行的计划作业，则随后的几分钟内，您可能仍会看到作业在 Alteryx 数据处理环境中执行。

出站连接

在您的私有数据处理环境中运行的软件需要出站通信（出口），原因如下：

工作流通常需要访问公共数据源，例如云存储桶和数据仓库。
数据平面服务通常需要访问控制平面中运行的其他服务（进行 API 调用、订阅消息队列等）。
软件映像通常从映像存储库中检索，以确保您的软件始终是最新的。
Alteryx 会收集应用程序日志和遥测数据以监控数据平面服务的运行状况及性能，并支持故障排除工作。

请勿对您的 VPC 或安全组应用任何额外规则来阻止或限制此出站流量。

凭证轮换

在步骤步骤 2a：创建 IAM 用户（服务账户）中，您创建了一个名为 aac_iam_user 并附带访问密钥的 IAM 用户。Alteryx 不控制这些凭证。

Alteryx 建议根据贵公司的策略要求轮换此凭证。如果您的公司没有相关政策，则 AWS 建议每 90 天轮换一次凭证。只需记住，Alteryx 需要保留对 VPC 的访问权限，以更新云资源和软件、监控您的私有环境的运行状况以及进行故障排除。在 AWS 中轮换此凭证时，请务必登录 Alteryx One Platform 并提供最新的凭证。