Skip to main content

为私有数据设置 GCP 项目和 VPC

Google Cloud Platform (GCP) 私有数据处理涉及在 GCP 项目和 VPC 内运行 Alteryx One Platform 数据处理群集。您的基础架构与 Alteryx 管理的 GCP 资源和软件的这种组合通常被称为私有数据处理。

本页面将重点介绍如何为 Alteryx One 上的私有数据处理设置您的 GCP 项目和 VPC。

注意

GCP 项目和 VPC 设置需要访问访问 GCP 控制台并具备相关权限。如果您没有此访问权限,请与 IT 团队联系以完成此步骤。

小心

切勿删除为私有数据处理预配的资源。

设置步骤

重要

要继续执行这些步骤,您必须获得 GCP Owner RBAC 角色。

步骤 1:选择 GCP 项目

选择您要在其中运行私有数据处理的项目。

为了提高性能和降低出站成本,您的 Google 存储和私有数据处理 GKE 群集应位于您选择用于私有数据存储的同一区域。这适用于您要连接到 Alteryx One 的任何数据源。

在 GCP 项目中创建的 VPC 应专用于 Alteryx One。您可以使用 VPC 对等连接、传输网关、PrivateLink 或其他方式来设置与私有数据源的连接。

重要

对于每个 GCP 项目,只应设置 1 个私有数据处理实例。

步骤 2:启用 Google API

要为私有数据处理创建云资源,您必须在项目中启用 API。

  1. 从 GCP 控制台中,选择 API 和服务

  2. 选择已启用的 API 和服务

  3. 启用以下 API:

    1. Cloud Logging API

    2. Cloud Monitoring API

    3. Compute Engine API

    4. Secret Manager API

    5. Service Networking API

    6. Cloud Asset API

    7. Kubernetes Engine API

    8. Google Cloud Memorystore for Redis API

    9. Service Usage API

步骤 3:配置 IAM

在您的 GCP 项目就绪后,现在设置服务主体和访问密钥。

步骤 3a:创建服务账户

  1. 创建一个名为 aac-automation-sa 的服务账户。

  2. 生成密钥类型为 JSON 的密钥。

  3. 存储 JSON Blob 文件。

注意

您需要服务密钥 JSON Blob 文件,以便在后续步骤中预配云资源。

步骤 3b:IAM 绑定到服务账户

将以下角色分配给 aac-automation-sa 服务账户:

  • Secret Manager Admin:roles/secretmanager.admin

  • Service Account Admin:roles/iam.serviceAccountAdmin

  • Service Account User:roles/iam.serviceAccountUser

  • Project IAM Admin:roles/resourcemanager.projectIamAdmin

  • Service Account key Admin:roles/iam.serviceAccountKeyAdmin

  • Compute Network Viewer:roles/compute.networkViewer

  • Cloud KMS Viewer:roles/cloudkms.viewer

重要

GCP 不允许在政策文档中使用通配符 ()。GCP 对分配给自定义角色的单个权限的数量也有限制。因此,您必须为服务账户分配一组由 GCP 管理的预定义角色。

步骤 4:配置虚拟专用网

步骤 4a:创建 VPC 网络

以下列出的 CIDR 块专为 Alteryx One 控制平面保留。避免使用以下项设置 VPC CIDR

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

  1. 创建虚拟网络。

  2. 选择子网创建模式 = 自定义

  3. 禁用或删除默认防火墙规则。

  4. 选择动态路由模式 = 全局

  5. VPC 需要 1 个子网。按照下表所示配置子网:

子网名称

子网大小

次要子网名称

次要子网大小

aac-private

10.10.10.0/24

N/A

N/A

aac-private(必填):此组运行 PDP 专用的服务。

重要

表中显示的子网 IP 地址和大小仅作为示例。

根据需要修改值,以符合您的网络架构要求。子网区域必须是要在其中预配“私有数据处理”的区域。

子网名称必须与表中所示的名称匹配。

步骤 4b:子网路由表

重要

您必须在项目中为 VPC 配置互联网连接。

注意

<gateway id> 可以是 NAT 网关或互联网网关,具体取决于您的网络架构。

以下是子网路由表示例:

地址前缀

下一个跃点

/24 CIDR 块 (aac-private)

aac-vpc

0.0.0.0/0

<gateway_ID>

步骤 4c:IP 允许列表

Alteryx Cloud 产品部署在 Kubernetes 群集中。控制平面通过 WireGuard VPN 隧道与数据平面 Kubernetes 群集进行安全通信。为了通过 WireGuard VPN 实现无缝和安全通信,必须在数据平面网络中将以下 IP 地址列入允许列表,供入站和出站流量使用:

Alteryx Cloud 中的 PDP

将列入允许列表的 IP

us1.alteryxcloud.com

Wireguard 服务器 IP:34.149.191.17(在 TCP 端口 443 上)

34.127.5.13435.203.150.52(在 UDP 端口 51820 上)

控制平面 IP:34.118.199.2634.82.130.80/29

传送 IP:34.145.177.98(在 TCP 端口 4433023302430263036 上)

34.85.215.128(在 TCP 端口 443 上)

eu1.alteryxcloud.com

Wireguard 服务器 IP:35.244.193.191(在 TCP 端口 443 上)

34.141.115.20834.159.185.26(在 UDP 端口 51820 上)

控制平面 IP:34.141.45.23634.89.162.16/29

传送 IP:34.145.177.98 和 TCP 端口 4433023302430263036

34.85.215.128 和 TCP 端口 443

au1.alteryxcloud.com

Wireguard 服务器 IP:34.107.140.97(在 TCP 端口 443 上)

35.197.167.15535.244.84.72 和 UDP 端口 51820

控制平面 IP:34.87.234.11034.40.128.80/29

传送 IP:34.145.177.98 和 TCP 端口 4433023302430263036

34.85.215.128 和 TCP 端口 443

preprod.alteryxcloud.com

Wireguard 服务器 IP:34.120.226.216(在 TCP 端口 443 上)

35.230.188.19635.221.3.230 和 UDP 端口 51820

控制平面 IP:34.86.96.5935.199.17.1434.86.74.210

传送 IP:34.145.177.98 和 TCP 端口 4433023302430263036

34.85.215.128 和 TCP 端口 443

步骤 5:创建密钥环和密钥

您的数据源凭证使用您的密钥进行加密,并安全地存储在您的私有数据平面项目内的私有加密保管库(私有凭证存储)中。仅在您需要时,才会从库中检索这些凭证。

步骤 5a:启用 Secret Manager 服务代理

  1. 在 Google Cloud Console 工具条中选择终端图标,打开 Google Cloud Shell

  2. 执行命令:

    $ gcloud beta services identity create --service "secretmanager.googleapis.com" \
    --project <project id>

  3. 您获得的输出为:

    Service identity created: service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com

步骤 5b:将 IAM 角色授予服务代理

  1. 转至 IAM 并选择授予访问权限

  2. 提供新的主体 service-<project number>@gcp-sa-secretmanager.iam.gserviceaccount.com

  3. 提供角色 Cloud KMS CryptoKey Encrypter/Decrypter

  4. 选择保存

步骤 5c:创建密钥环和密钥

  1. 转至安全 > 密钥管理

  2. 选择创建密钥环

  3. 提供密钥环名称 aac-key-ring

  4. 选择多区域,然后从下拉列表中选择区域。

  5. 点击创建

  6. 提供密钥名称 aac-key

  7. 对于保护级别,选择软件

  8. 点击创建

注意

每个密钥环和密钥名称在项目中都必须是唯一的。您需要在“私有数据处理”页面上提供密钥环和密钥名称。

步骤 6:触发私有数据处理预配

数据处理配置从 Alteryx One 内部的管理员控制台触发。您需要工作区内的“工作区管理员”权限才能查看它。

  1. Alteryx One 登录页面中,单击右上方包含您姓名首字母缩写的圆圈图标。从菜单中选择管理控制台

  2. 从左侧导航菜单中选择私有数据处理

小心

在设置私有数据处理后更改或移除任何 Alteryx One 配置的公有云资源可能会导致不一致。这些不一致可能会导致作业执行期间或取消私有数据处理设置时出错。

在继续操作之前,确保私有数据存储显示已成功配置。如果状态为未配置,请先转至GCS 作为私有数据存储,然后再返回此步骤。

私有数据处理部分中,有 5 个需要填写的字段。这些值可通过完成“设置步骤”中操作来获取。

选择创建将触发一组验证检查,以验证是否根据需要设置了 GCP 项目。如果权限配置不正确,或者 VNet 资源未正确创建或添加标记,您将收到一条错误消息,其中包含的说明应为您指明正确的方向。

重要说明

配置更改的生效时间

Alteryx One Platform 是一个分布式系统。对私有数据处理配置所做的更改必须先传播到多个系统,然后才能完全生效。例如,如果您在配置私有数据处理时,您的工作区中已存在正在运行的计划作业,则随后的几分钟内,您可能仍会看到作业在 Alteryx 数据处理环境中执行。

Terraform Runner 对 VPC 的访问权限

Alteryx 使用 Terraform 将更改应用于 VPC 中的基础架构和云资源。我们将多个 IP 地址添加到 EKS 群集的允许列表中,以便我们的 Terraform Runner 和控制平面能够进行访问。

请勿修改此列表。

您可以在 将 Alteryx Service 的 IP 地址范围列入允许列表 上找到 Alteryx 控制平面地址。Alteryx 的 Terraform Runner 使用以下 IP 地址:

  • "44.227.135.252/32"

  • "44.225.123.94/32"

  • "104.193.47.0/24"

  • "66.35.44.241/32"

  • "74.199.216.160/27"

  • "54.188.210.240/32"

出站连接

在您的私有数据处理环境中运行的软件需要出站通信(出口),原因如下:

  1. 工作流通常需要访问公共数据源,例如云存储桶和数据仓库。

  2. 数据平面服务通常需要访问控制平面中运行的其他服务(进行 API 调用、订阅消息队列等)。

  3. 软件映像通常从映像存储库中检索,以确保您的软件始终是最新的。

  4. Alteryx 会收集应用程序日志和遥测数据以监控数据平面服务的运行状况及性能,并支持故障排除工作。

请勿对您的 VPC 或安全组应用任何额外规则来阻止或限制此出站流量。

凭证轮换

在此步骤步骤 3a:创建服务账户中,您创建了一个名为 aac_automation_sa 并附带密钥的服务账户。Alteryx 不控制这些凭证。

Alteryx 建议根据贵公司的策略要求轮换这些凭证。如果贵公司没有相关策略,每 90 天轮换一次私密密钥不失为一个良好的开端。只需记住,Alteryx 需要保留对 VPC 的访问权限,以更新云资源和软件、监控您的私有环境的运行状况以及进行故障排除。在 GCP 中轮换此凭证时,请记住登录 Alteryx One Platform 并提供最新的凭证。

后续步骤

App Builder in GCP

Auto Insights in GCP

Cloud Execution for Desktop(GCP)

GCP 中的 Designer Cloud

GCP 中的 Machine Learning

本节内容如下: