Skip to main content

GCP 中的 Designer Cloud

按照本指南部署用于 Google Cloud Platform (GCP) 私有数据处理的 Designer Cloud 模块。

先决条件

在部署 Designer Cloud 模块之前,您必须在 为私有数据设置 GCP 项目和 VPC 页面上完成以下步骤...

  1. 已配置专用于 Alteryx One 的 VPC,如配置虚拟专用网络部分所述。

  2. 服务账户和连接到该服务账户的基本 IAM 角色,如配置 IAM 部分所述。

  3. 已成功触发了私有数据处理配置,如触发私有数据处理配置部分所述。

项目设置

步骤 1:配置 IAM

步骤 1a:IAM 绑定到服务账户

将这些附加角色分配给您在 为私有数据设置 GCP 项目和 VPC 期间创建的 aac-automation-sa 服务账户:

  • Compute Load Balancer Admin:roles/compute.loadBalancerAdmin

  • Compute Instance Admin (v1):roles/compute.instanceAdmin.v1

  • Compute Storage Admin:roles/compute.storageAdmin

  • Kubernetes Engine Cluster Admin:roles/container.clusterAdmin

  • Storage Admin:roles/storage.admin

  • Cloud Memorystore Redis Admin:roles/redis.admin

步骤 2:配置子网

注意

Designer CloudMachine LearningAuto InsightsApp Builder 共享子网配置。如果您要部署多个此类应用程序,则只需配置子网一次。

在私有数据处理环境中,Designer Cloud 需要 3 个子网。在创建 VPC 时,您之前创建了 aac-private 子网。您无需再次创建,但此处仍将其包含在内,以确保内容的完整性。

  • aac-gke-node(必填):GKE 集群使用此子网执行 Alteryx 软件作业(连接、转换、处理、发布)。

  • aac-public(必填):此组不运行任何服务,但 aac-gke-node 组使用它来实现集群的出站流量。

  • aac-private(必填):此组运行 PDP 专用的服务。

步骤 2a:在 VPC 中创建子网

aac-vpc VPC 中配置子网。

按照以下示例创建子网。您可以调整子网大小和次要子网大小以匹配您的网络架构。

地址空间旨在容纳全面扩展的数据处理环境。如果需要,您可以选择较小的地址空间,但在处理负载较重的情况下,可能会遇到扩展问题。

重要

子网名称并非灵活字段,它必须与下表匹配。

您可以从支持的区域列表中选择任何区域。然而,您必须在当前设置子网区域时,以及后续进入触发配置步骤时,使用相同的区域。

子网名称

子网

次要子网名称

次要子网大小

注释

aac-gke-node

10.0.0.0/22

aac-gke-pod

10.4.0.0/14

GKE 集群、GKE Pod 和 GKE 服务的子网。

 

aac-gke-service

10.64.0.0/20

 

aac-public

10.10.1.0/25

N/A

N/A

公共出站流量。

步骤 2b:子网路由表

为子网创建路由表。

重要

您必须配置 VNet,以确保订阅中具备与互联网的网络连接。

注意

此路由表是一个示例。

地址前缀

下一跳类型

/22 CIDR 块(aac-gke-node)

aac-vpc

/24 CIDR 块(aac-private)

aac-vpc

/25 CIDR 块(aac-public)

aac-vpc

0.0.0.0/0

<gateway_ID>

注意

您的 <gateway id> 可以是 NAT 网关或互联网网关,具体取决于您的网络架构。

私有数据处理

小心

在设置私有数据处理后更改或移除任何 Alteryx One 配置的公有云资源可能会导致不一致。这些不一致可能会导致作业执行期间或取消私有数据处理设置时出错。

步骤 1:触发 Designer Cloud 部署

数据处理配置从 Alteryx One 内部的管理员控制台触发。您需要工作区内的“工作区管理员”权限才能查看此项。

  1. Alteryx One 登录页面中,选择配置文件菜单,然后选择工作区管理员

  2. 从管理员控制台中,选择私有数据处理,然后选择处理

  3. 选中 Designer Cloud 复选框,然后选择更新

选择更新会触发 GCP 项目中的集群和资源部署。这将运行一组验证检查,以验证 GCP 项目的正确配置。

注意

配置过程大约需要 35–40 分钟才能完成。

配置完成后,您可以通过 GCP 控制台查看创建的资源(例如,虚拟机实例和节点组)。切勿自行修改这些资源,这一点非常重要。手动更改可能会导致私有数据处理环境的功能出现问题。

步骤 2:更新 Kubernetes 服务账户的 IAM 角色

私有数据处理成功完成设置后,将创建一个名为 credential-pod-sa 的 Kubernetes 服务账户。此账户允许 Kubernetes 凭证服务访问存储在密钥保管库中的私有数据凭证。

注意

<project number><project id> 分别替换为项目的项目编号和项目 ID。

  1. 转至密钥管理,并选择在 步骤 5:创建密钥环和密钥 中创建密钥的密钥环。

  2. 选择权限,然后选择授予访问权限

  3. 新主体字段中,输入:

    principal://iam.googleapis.com/projects/<project-number>/locations/global/workloadIdentityPools/<project-id>.svc.id.goog/subject/ns/credential/sa/credential-pod-sa

  4. 提供 Cloud KMS CryptoKey Encrypter/DecrypterSecret Manager Admin 角色。

  5. 选择保存

本节内容如下: