数据桥

注意

数据桥处于公开预览阶段。它可能存在已知问题，可能未包含所有预期功能，且如有更改，恕不另行通知。

目前，访问权限仅限于获邀参加公开预览计划的客户。如果您尚未加入公开预览版计划但希望参与，请联系您的 Alteryx 客户经理以申请访问权限。

重要

数据桥不支持高可用性 (HA)。

Alteryx 数据桥使在 Workspace Execution 中运行的工作流能够安全地连接到客户管理的数据源。它使用 AWS PrivateLink 建立连接，允许访问私有资源，同时避免将其暴露于公共互联网。

无需更改现有工作流。Alteryx 引擎连接数据源时，所使用的主机名和端口与在网络内部运行时完全一致。

数据桥旨在配合 Alteryx 数据平面上的 Workspace Execution 使用。这是将此类工作流安全连接至客户数据源且无需公共互联网访问的唯一受支持方法。

计费与权益

Alteryx One Platform 的 Enterprise 2025 层级提供数据桥功能。早期版本不包括此功能。
您使用数据桥的权利（“权益”）与您的计费账户相关联。每个计费账户均可创建一个或多个 Bridge Client 资源。
要在管理控制台 > 数据桥中设置数据桥，您必须是与您的 Alteryx One 订阅关联的计费账户的管理员。

术语

Bridge Client：部署在客户 AWS Virtual Private Cloud (VPC) 中的轻量级 AMD64 Amazon Linux 2023 二进制文件。它与 AWS PrivateLink 配合使用，可在 Alteryx 和客户数据源之间提供经过身份验证的专用连接，而无需使用公共互联网。
AWS PrivateLink：一种 AWS 服务，支持使用专用 IP 地址在 VPC 与 AWS 或第三方服务（如 Bridge Client）之间建立专用连接。流量不会经过公共互联网。
数据源：可通过 TCP 访问的任何客户管理的数据库或服务。
Workspace Execution：允许用户在 Designer Desktop 中构建工作流，随后即可在 Alteryx One 中使用基于云的计算和存储（而非本地计算机）进行保存、计划和运行。
Alteryx 数据平面：Alteryx 的多租户云执行环境，其中云资源在多个客户之间安全共享。

系统架构概览

本图展示了 Alteryx 数据桥如何将 Workspace Execution 工作流安全连接至客户管理的数据源，同时确保所有客户数据保留在私有网络中。

数据流（蓝色箭头）

在 Alteryx 数据平面的 Workspace Execution 中运行的工作流会使用标准主机名和端口发起数据源连接。
流量通过 AWS PrivateLink 以私有方式进入客户的 AWS VPC。
在客户网络内部运行的 Bridge Client 会将流量转发至目标数据源（例如数据库）。
数据将沿同一私有路径返回至正在执行的工作流。

元数据和控制流（橙色箭头）

元数据和控制流负责管理配置、置备及生命周期管理，且从不传输客户数据：

客户通过 Alteryx One Platform 用户界面配置数据桥和网络映射。
配置将通过 AWS Private Link 传输至 Alteryx 数据平面，并最终传输至 Bridge Client。

这种分离确保了控制与编排流量同客户数据流量相互隔离，从而提升了安全性和可靠性。

数据桥和工作区配置选项

每个数据桥都可以与一个或多个工作区关联。每个工作区也可以与零个、一个或多个数据桥关联。

若需要工作区之间的高度隔离，建议在数据桥与工作区之间建立一对一映射。针对大多数常见场景，建议使用连接到多个工作区的单个数据桥，以便于管理。

管理员可在设置过程中控制哪些连接可以使用数据桥。这可确保仅与管理员批准的数据源建立连接。

摘要

客户数据仅在运行时流经工作流与客户基础设施之间的专用网络路径。
元数据、置备和运营流量由 Alteryx 服务分别进行处理。
无需更改工作流，且客户数据源无需公开访问。
该架构允许客户在云中运行由 Desktop 创建的工作流，同时保持与在其自有网络内部运行时相同的安全态势。

客户工作流

先决条件

Alteryx One 先决条件

您的组织目前处于 Alteryx One Platform 的 Enterprise 2025 层级。早期版本不包含数据桥。
您可以访问与您的 Alteryx One 订阅关联的计费账户。
为了创建和管理 Bridge Client 资源，您必须是该计费账户的管理员。
针对将使用数据桥的工作区，其工作区执行功能已启用并在 Alteryx 数据平面上运行。
您已获得必要的内部批准并拥有相应凭证，可访问计划通过数据桥连接的专用数据源。
您要访问的数据源未暴露在公共互联网上（例如，它们只能通过私有网络或 VPN 访问）。

AWS 先决条件

您拥有一个将托管 Bridge Client 的 AWS 账户。
您要访问的数据源可通过至少一个 AWS VPC 访问。
您在该 AWS 账户中拥有以下权限：
- 创建和管理 EC2 实例（用于承载 Bridge Client）
- 配置 AWS PrivateLink 端点（如果适用）
- 管理网络和安全资源（VPC、安全组等）
AWS 环境与将通过数据桥访问的私有数据源之间具有网络连接。

推荐的 EC2 实例大小

以下示例仅作为基于一般 AWS 最佳实践的参考起点，而非硬性产品要求。请与您的内部云或基础设施团队核实，并根据您的工作负载需求进行调整。

从 t3.small（2 个 vCPU、2 GiB RAM）开始，适用于开发、测试或非常轻量级的使用场景。
使用 t3.medium（2 个 vCPU、4 GiB RAM）作为大多数生产工作负载的默认配置。
如果 CPU 或内存使用率持续较高，或者您预计会有大量并发工作负载，请向上扩展（例如 t3.large 或 m6i.large）。

设置数据桥

按照以下步骤配置数据桥。完成后，关联工作区中的 Workspace Execution 工作流将有权访问已连接的数据源。

创建数据桥

在 Alteryx One 中，转至管理控制台 > 数据桥。然后选择创建数据桥。输入：
- 数据桥名称
- 区域：该区域必须与您的 VPC 区域匹配，并且应默认为您当前所在的区域。
- 可用区 ID：可用区 ID 用于标识此端点所在的 AWS 可用区。
- 端口：该端口用于将数据桥连接到 Alteryx。默认值为 9001。
选择下一步。
在下一页上，系统会提示您在 VPC 中安装和配置 Bridge Client 二进制文件。
- 从许可门户下载 Bridge Client 二进制文件。
  使二进制文件可执行。Bridge Client 二进制文件需具备可执行权限方可运行。
- 使用 AWS 私密访问将 Bridge Client 导入 EC2：
  在 AWS 中，创建一个 EC2 (Amazon Linux AMI) 实例，该实例可连接至您的私有数据源，并拥有在 AWS Secrets Manager 中读取或写入私密密钥的权限。有关如何创建 EC2 实例的详细信息，请参阅 AWS 文档开始使用 Amazon EC2。
  然后，将 Bridge Client 导入到实例中。
- 将配置片段保存到文件：
  将片段复制并粘贴到名为 bridge-client-config.json 的配置文件中，该文件将由 Bridge Client 引用。
  示例：
```
{
  "logging": {
    "logLevel": "info"
    "logFormat": "json"
  },
  "bootstrap" : {
    "storageType": "secretsManager"
    "secretName": "<Name of the AWS Secrets Manager secret where the Bridge Client will store its private key. The Bridge Client will create and populate this secret automatically.>"
  },
  "libp2pPort": 9001,
  "libp2pBindIP": "<Private IPv4 address of the EC2 Instance>",
  "resourceFile": "/home/ec2-user/resources.json"
}
```
  注意
  The libp2pBindIP is going to be the Private IPv4 address of the EC2 Instance in which the Bridge Client is deployed in. Check the AWS Admin Console for that EC2 Instance.
- 创建 resources.json 文件：
  创建名为 resources.json 的文件。Bridge Client 在运行时启动和管理资源需要此文件。
  该文件必须包含一个空的 JSON 对象 ({})，且不能为空白。
- 将 Bridge Client 作为进程运行：
  - 使用上述命令启动 Bridge Client 后，请运行以下命令以获取对等 ID：
    Copy the following content into a file and name it bridge-client.service in the directory /etc/systemd/system:
    [Unit] Description=Bridge Client [Service] # App Running ExecStart=/home/ec2-user/bridge-client -c /home/ec2-user/bridge-client-config.json Restart=always RestartSec=30s [Install] WantedBy=multi-user.target
  - 作为替代方案，手动查找类似以下的日志行：
    sudo systemctl start bridge-client
  - 该
    sudo systemctl enable bridge-client
  - Run the following command to check the health of the Bridge Client:
    sudo systemctl status bridge-client
  - Ensure the process state is Active: active (running) . If it is not, there are likely issues with startup that should be troubleshooted via the logs.
    The logs of a systemd service can be accessed by running the following command where -u is the unit name and -n describes how many of the latest log lines to display.
    journalctl -u bridge-client -n 50
  - On successful startup, record the Bridge Client peer ID from stdout.
    Convenience script for retrieving the peer ID:
    sudo journalctl -u bridge-client -n 500 -r --no-pager \ | grep -m1 '"peerID"' \ | sed -E 's/.*"peerID":"([^"]+)".*/\1/'
    Alternatively, manually look for a log line similar to the following:
    {"level":"info","ts":"2025-10-18T01:17:27Z","caller":"bootstrap/bootstrap.go:47","msg":"peerID","name":"bridge_client","peerID":"QmA7kT2Yp8ZLxNwC4H6B5eVJg9sDoUScmRyb3FhXPaMq"}
    The peerID value is generated per private key and differs for each Bridge Client. Note that each Bridge Client should use or have its own private key. Private keys are and should not be reused between Bridge Clients.
- 设置 PrivateLink 端点服务：
  安装完成后，在 VPC 中设置 PrivateLink 端点服务。
  - Create and attach a target group that targets the specific EC2 instance where the Bridge Client lives. A health check should be configured on the target group to port 8081 pointing at the /ready endpoint of the bridge client.
  - Create a Network Load Balancer that forwards all TCP traffic on the port that bridge-client-config.json’s libp2pPort is deployed on (default is 9001).
    注意
    The Load Balancer used for the Endpoint Service must include two Availability Zone (AZ) IDs, and one of them must match the AZ where the Bridge Client is deployed.
  - Create a PrivateLink Endpoint Service of type Interface for Internal services that is on the same VPC network as the EC2 instance.
    注意
    If choosing to create a cross-region PrivateLink, the Endpoint Service must choose both the target region as well as the region where the bridge-client EC2 instance is deployed as entries in the Supported Regions field.
返回 Alteryx One > 管理控制台 > 数据桥。输入：
- 端点服务名称
- 在第 2 步中记录的 Bridge Client 对等 ID。
选择创建数据桥。

现在，您可以开始添加工作区。

添加工作区

在管理控制台中创建数据桥后，您即可将一个或多个工作区添加至该数据桥。工作区关联过程通常需要 13–15 分钟才能完成。

在 Alteryx One > 管理控制台 > 数据桥中，选择添加工作区。
系统将打开添加工作区窗口。
- 从下拉列表中选择一个工作区。仅显示已启用 Workspace Execution 的工作区。然后选择下一步。
- 系统将显示 IAM 角色。将其复制并粘贴到您私有 VPC 的允许的主体列表中。有关配置 AWS IAM Identity Center 的更多信息，请参阅开始使用 IAM Identity Center 或使用 AWS CLI 配置 IAM Identity Center 身份验证。
  完成后，选择下一步。
- PrivateLink 端点已创建。选择确认以测试连接。
  如果测试成功，请继续创建新的网络映射。
- 接受来自 Alteryx 账户的专用端点连接。

创建新的数据源网络映射

创建网络映射，以允许数据桥将流量路由到特定的专用数据源。创建网络映射通常需要 10–20 秒。

在 Alteryx One > 管理控制台 > 数据桥中，选择新建网络映射。
系统将打开新建网络映射窗口。输入：
- 名称
- 描述
- 主机：这是连接管理器或 Designer 中数据源连接的确切主机名或 IP 地址。
- 端口：为您的数据源配置的端口号。
然后选择创建。

故障排除和常见问题解答

常见的安装和配置问题

连接或 DNS 错误

若遇到连接失败的情况，请检查常见的 DNS 解析问题。

症状：Bridge Client 无法连接到 Alteryx Cloud 或客户数据源。
可能的原因：VPC 网络配置错误或 DNS 设置不正确。
后续步骤：确认 VPC DNS 设置、PrivateLink 端点配置以及防火墙规则。

连接限制

为提供 DDoS（分布式拒绝服务）保护，Bridge Client 会将每个数据源的传入并发连接数限制为 256 个。如需增加此限制，请联系 Alteryx 支持团队。

指标与支持

如果您需要有关调试 Bridge Client 的帮助，请调用 /metrics.json 端点以检索 JSON 格式的状态报告。请将此输出附加至您的支持请求单或消息，以便支持团队审阅该问题。

Bridge Client 还公开了 Prometheus 风格的 /metrics 端点，客户可以抓取该端点来创建仪表板或独立分析数据。

升级和兼容性

兼容性

数据桥在以下环境中不受支持：

私有数据处理部署
私有数据存储配置

升级

当发布新功能或安全更新时，通常需要升级 Bridge Client。
公开预览版假定具备向后兼容性。不过，如有需要，我们将提供升级说明。

本节内容如下: