Auto Insights in AWS
Questa guida spiega come configurare Auto Insights in AWS, per consentire l'analisi automatica dei dati e la generazione degli insight. Le procedure che seguono hanno lo scopo di configurare e ottimizzare l'installazione in modo efficiente.
Prerequisito
Configurazione di un VPC dedicato Alteryx One come indicato nella sezione Creazione di un VPC.
Un account di servizio e un criterio IAM di base associato a tale account, come spiegato in Passaggio 2: configurazione del modulo IAM.
Attivazione corretta del provisioning del sistema PDP, come indicato in Passaggio 7: attivazione del provisioning del trattamento dati privato.
Configurazione dell'account
Passaggio 1: configurazione del modulo IAM
Passaggio 1a: creazione del criterio IAM per Auto Insights
Nota
Il nome del criterio AAC_AutoInsights_SA_Policy è solo un esempio. È possibile scegliere qualsiasi nome per il criterio, purché cominci con AAC_AutoInsights.
È necessario creare una policy IAM personalizzata, assegnare il nome AAC_AutoInsights_SA_Policy e associare il documento di criteri seguente. È consigliabile utilizzare la scheda JSON al posto dell'editor visivo. Per l'esecuzione di Alteryx One sono necessarie alcune autorizzazioni *. Durante la creazione della policy verranno probabilmente visualizzati alcuni avvisi di sicurezza.
Passaggio 1b: aggiunta di un tag al criterio IAM.
Aggiungi un tag al criterio IAM personalizzato creato nel Passaggio 1a.
Nome tag | Valore |
|---|---|
AACResource | aac_sa_custom_policy |
Passaggio 1c: associazione del criterio IAM
Associa il criterio IAM AAC_AutoInsights_SA_Policy all'account di servizio aac_automation_sa creato nella pagina Configurazione dell'account AWS e di VPC per i dati privati.
Passaggio 2: configurazione della sottorete
Nota
Designer Cloud Condivide una configurazione di sottorete con machine Learning , Auto Insightse App Builder . Se distribuisci più di una di queste applicazioni, devi configurare le subnet una sola volta.
Negli ambienti di elaborazione privata dei dati Designer Cloud richiede 5 gruppi di sottoreti, ciascuno dei quali deve contenente 3 sottoreti distinte con zone di disponibilità diverse.
Gruppo eks_control (obbligatorio): il piano di controllo EKS utilizza questa sottorete per accettare le richieste di esecuzione dei processi in entrata.
Gruppo eks_node (obbligatorio): il cluster EKS utilizza questa sottorete allo scopo di eseguire i processi software Alteryx (ad esempio per connettività, conversione, elaborazione e pubblicazione).
Gruppo public (obbligatorio): questo gruppo non esegue alcun servizio, ma viene utilizzato dal gruppo
gke_nodeper uscire dal cluster.Gruppo private (obbligatorio): questo gruppo esegue i servizi privati per l'elaborazione privata dei dati.
Passaggio 2a: creazione di sottoreti nel VPC
Devi configurare le sottoreti nel VPC aac_vpc.
Devi creare e taggare le sottoreti come mostrato nell'esempio seguente. Puoi modificare i valori di CIDR e sottoreti in base all'architettura della rete in uso.
Gli spazi degli indirizzi molto grandi sono progettati in modo da consentire la gestione di un cluster completamente espanso. Se necessario, puoi scegliere uno spazio di indirizzi più piccolo, ma con i carichi di elaborazione più pesanti rischi di incontrare problemi di scalabilità.
Importante
Devi assegnare alle sottoreti i valori di Nome tag e Valore tag indicati nella tabella.
CIDR | Nome sottorete | Sottorete | Zona disponibilità | Nome tag | Valore tag | Nota |
|---|---|---|---|---|---|---|
10.64.0.0/18 | eks_node | 10.64.0.0/21 | AZa | AACSubnet | eks_node | |
eks_node | 10.64.8.0/21 | AZb | AACSubnet | eks_node | ||
eks_node | 10.64.16.0/21 | AZc | AACSubnet | eks_node | ||
10.64.24.0/21 | Di riserva | |||||
10.64.32.0/19 | L'indirizzo di riserva (può essere configurato in un secondo momento, per l'upgrade blu/verde) | |||||
10.10.0.0/21 | eks_control | 10.10.0.0/27 | AZa | AACSubnet | eks_control | |
eks_control | 10.10.0.32/27 | AZb | AACSubnet | eks_control | ||
eks_control | 10.10.0.64/27 | AZc | AACSubnet | eks_control | ||
10.10.0.96/27 | Di riserva | |||||
public | 10.10.0.128/27 | AZa | AACSubnet | public | ||
public | 10.10.0.160/27 | AZb | AACSubnet | public | ||
public | 10.10.0.192/27 | AZc | AACSubnet | public | ||
10.10.0.224/27 | Di riserva | |||||
private | 10.10.1.0/25 | AZa | AACSubnet | private | ||
private | 10.10.1.128/25 | AZb | AACSubnet | private | ||
private | 10.10.2.0/25 | AZc | AACSubnet | private | ||
10.10.1.128/25 | Di riserva | |||||
opzione | 10.10.4.0/24 | AZa | AACSubnet | opzione | ||
opzione | 10.10.5.0/24 | AZa | AACSubnet | opzione | ||
opzione | 10.10.6.0/24 | AZa | AACSubnet | opzione | ||
10.10.7.0/24 | Di riserva |
Passaggio 2b: tabelle di routing delle sottoreti
È necessario creare una tabella di routing per le sottoreti. Voci della tabella di routing per le sottoreti:
Nome sottorete | Destinazione route | Target | Commenti |
|---|---|---|---|
eks_node | Blocco CIDR /18 Blocco CIDR /21 <s3 prefix id> 0.0.0.0/0 | Locale Locale <vpce endpoint id> <gateway id> | Configura le stesse route nella tabelle di routing delle zone di disponibilità di tutte e 3 le reti. |
eks_control | Blocco CIDR /18 Blocco CIDR /21 <s3 prefix id> 0.0.0.0/0 | Locale Locale <vpce endpoint id> <gateway id> | Configura le stesse route nella tabelle di routing delle zone di disponibilità di tutte e 3 le reti. |
public | Blocco CIDR /18 Blocco CIDR /21 0.0.0.0/0 | Locale Locale <gateway id> | Configura le stesse route nella tabelle di routing delle zone di disponibilità di tutte e 3 le reti. |
private | Blocco CIDR /18 Blocco CIDR /21 <s3 prefix id> 0.0.0.0/0 | Locale Locale <vpce endpoint id> <gateway id> | Configura le stesse route nella tabelle di routing delle zone di disponibilità di tutte e 3 le reti. 0.0.0.0/0 deve essere in uscita dalla rete pubblica. |
Nota
Il valore <gateway id> può indicare un gateway NAT creato a livello di zona di disponibilità o un gateway di transito, a seconda dell'architettura della rete in uso. Nel caso di un gateway NAT, devi creare un gateway NAT per ogni zona di disponibilità delle sottoreti pubbliche.
Passaggio 3: aggiornamento dei criteri per la chiave KMS
Dopo la creazione dell'ambiente di elaborazione privata dei dati, nell'account viene creato un ruolo personalizzato di nome credential-service-role, per consentire all'account del servizio credenziali Kubernetes di accedere alle credenziali dell'ambiente dati privato dal vault delle chiavi. Occorre inoltre aggiornare il criterio per la chiave KMS, che è stato creato in Configurazione dell'account AWS e di VPC per i dati privatiPassaggio 5: creazione di una chiave simmetrica per il vault sicuro, in modo da concedere le autorizzazioni necessarie al ruolo personalizzato credential-service-role.
Vai a Key Management Services e seleziona la chiave creata in Configurazione dell'account AWS e di VPC per i dati privati - Passaggio 5: creazione di una chiave simmetrica per il vault sicuro.
Seleziona Criteri chiave e fai clic su Modifica.
Elimina l'autorizzazione predefinita e aggiorna i criteri configurando le autorizzazioni indicate di seguito:
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account id>:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account id>:role/credential-service-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }Nota
<accountId>- Numero dell'account AWS in cui è stato eseguito il provisioning del trattamento dati privato.Seleziona Salva modifiche.
Elaborazione dei dati privati
Attenzione
La modifica o la rimozione di qualsiasi risorsa del cloud pubblico fornita da Alteryx One dopo la configurazione della gestione dei dati privati, può causare incongruenze. Tali incongruenze possono causare errori durante l'esecuzione del processo o il deprovisioning della configurazione di gestione dei dati privati.
Passaggio 1: deployment del trigger Auto Insights
Il provisioning di Auto Insights viene attivato dalla console di amministrazione in Alteryx One. Per vederlo, devi avere i privilegi di amministrazione dello spazio di lavoro in questione.
Nella pagina di destinazione di Alteryx One seleziona l'icona del cerchio con le tue iniziali, in alto a destra. Seleziona Console di amministrazione dal menu.
Seleziona Trattamento dati privato dal menu di navigazione a sinistra.
Seleziona le caselle di spunta Auto Insights e Designer Cloud, quindi fai clic su Salva.
Importante
Anche se Designer Cloud potrebbe non essere necessario nel piano dati privato, devi selezionarlo comunque per eseguire il deployment di alcuni componenti chiave della piattaforma, che vengono utilizzati da Auto Insights. Questa è una misura temporanea che verrà modificata in futuro.
Quando selezioni Aggiorna, viene avviata l'implementazione del cluster e delle risorse nell'account AWS. Viene eseguita una serie di controlli di convalida per verificare che la configurazione dell'account AWS sia corretta.
Il provisioning inizia al completamento dei controlli di convalida iniziali. Sullo schermo viene visualizzata una finestra di messaggio, che si aggiorna regolarmente per mostrare lo stato attuale.
Nota
Il processo di provisioning richiede circa 35-40 minuti.
Al termine del provisioning, puoi visualizzare le risorse create (ad esempio le istanze EC2 e i gruppi di nodi) tramite la console AWS. Evita di modificarle personalmente, perché le modifiche manuali possono causare problemi con il funzionamento dell'elaborazione privata dei dati.