Skip to main content

数据桥

注意

数据桥处于公开预览阶段。它可能存在已知问题,可能未包含所有预期功能,且如有更改,恕不另行通知。

目前,访问权限仅限于获邀参加公开预览计划的客户。如果您尚未加入公开预览版计划但希望参与,请联系您的 Alteryx 客户经理以申请访问权限。

重要

数据桥不支持高可用性 (HA)。

Alteryx 数据桥使在 Workspace Execution 中运行的工作流能够安全地连接到客户管理的数据源。它使用 AWS PrivateLink 建立连接,允许访问私有资源,同时避免将其暴露于公共互联网。

无需更改现有工作流。Alteryx 引擎连接数据源时,所使用的主机名和端口与在网络内部运行时完全一致。

数据桥旨在配合 Alteryx 数据平面上的 Workspace Execution 使用。这是将此类工作流安全连接至客户数据源且无需公共互联网访问的唯一受支持方法。

计费与权益

  • Alteryx One PlatformEnterprise 2025 层级提供数据桥功能。早期版本不包括此功能。

  • 您使用数据桥的权利(“权益”)与您的计费账户相关联。每个计费账户均可创建一个或多个 Bridge Client 资源。

  • 要在管理控制台 > 数据桥中设置数据桥,您必须是与您的 Alteryx One 订阅关联的计费账户的管理员。

术语

  • Bridge Client:部署在客户 AWS Virtual Private Cloud (VPC) 中的轻量级 AMD64 Amazon Linux 2023 二进制文件。它与 AWS PrivateLink 配合使用,可在 Alteryx 和客户数据源之间提供经过身份验证的专用连接,而无需使用公共互联网。

  • AWS PrivateLink:一种 AWS 服务,支持使用专用 IP 地址在 VPC 与 AWS 或第三方服务(如 Bridge Client)之间建立专用连接。流量不会经过公共互联网。

  • 数据源:可通过 TCP 访问的任何客户管理的数据库或服务。

  • Workspace Execution:允许用户在 Designer Desktop 中构建工作流,随后即可在 Alteryx One 中使用基于云的计算和存储(而非本地计算机)进行保存、计划和运行。

  • Alteryx 数据平面:Alteryx 的多租户云执行环境,其中云资源在多个客户之间安全共享。

系统架构概览

本图展示了 Alteryx 数据桥如何将 Workspace Execution 工作流安全连接至客户管理的数据源,同时确保所有客户数据保留在私有网络中。

Data_Bridge_Diagram_architecture.png

数据流(蓝色箭头)

  1. 在 Alteryx 数据平面的 Workspace Execution 中运行的工作流会使用标准主机名和端口发起数据源连接。

  2. 流量通过 AWS PrivateLink 以私有方式进入客户的 AWS VPC。

  3. 在客户网络内部运行的 Bridge Client 会将流量转发至目标数据源(例如数据库)。

  4. 数据将沿同一私有路径返回至正在执行的工作流。

元数据和控制流(橙色箭头)

元数据和控制流负责管理配置、置备及生命周期管理,且从不传输客户数据:

  1. 客户通过 Alteryx One Platform 用户界面配置数据桥和网络映射。

  2. 配置将通过 AWS Private Link 传输至 Alteryx 数据平面,并最终传输至 Bridge Client。

这种分离确保了控制与编排流量同客户数据流量相互隔离,从而提升了安全性和可靠性。

数据桥和工作区配置选项

每个数据桥都可以与一个或多个工作区关联。每个工作区也可以与零个、一个或多个数据桥关联。

若需要工作区之间的高度隔离,建议在数据桥与工作区之间建立一对一映射。针对大多数常见场景,建议使用连接到多个工作区的单个数据桥,以便于管理。

管理员可在设置过程中控制哪些连接可以使用数据桥。这可确保仅与管理员批准的数据源建立连接。

摘要

  • 客户数据仅在运行时流经工作流与客户基础设施之间的专用网络路径。

  • 元数据、置备和运营流量由 Alteryx 服务分别进行处理。

  • 无需更改工作流,且客户数据源无需公开访问。

  • 该架构允许客户在云中运行由 Desktop 创建的工作流,同时保持与在其自有网络内部运行时相同的安全态势。

客户工作流

先决条件

Alteryx One 先决条件

  • 您的组织目前处于 Alteryx One PlatformEnterprise 2025 层级。早期版本不包含数据桥。

  • 您可以访问与您的 Alteryx One 订阅关联的计费账户

  • 为了创建和管理 Bridge Client 资源,您必须是该计费账户的管理员

  • 针对将使用数据桥的工作区,其工作区执行功能已启用并在 Alteryx 数据平面上运行。

  • 您已获得必要的内部批准并拥有相应凭证,可访问计划通过数据桥连接的专用数据源。

  • 您要访问的数据源未暴露在公共互联网上(例如,它们只能通过私有网络或 VPN 访问)。

AWS 先决条件

  • 您拥有一个将托管 Bridge Client 的 AWS 账户

  • 您要访问的数据源可通过至少一个 AWS VPC 访问。

  • 您在该 AWS 账户中拥有以下权限:

    • 创建和管理 EC2 实例(用于承载 Bridge Client)

    • 配置 AWS PrivateLink 端点(如果适用)

    • 管理网络和安全资源(VPC、安全组等)

  • AWS 环境与将通过数据桥访问的私有数据源之间具有网络连接

推荐的 EC2 实例大小

以下示例仅作为基于一般 AWS 最佳实践的参考起点,而非硬性产品要求。请与您的内部云或基础设施团队核实,并根据您的工作负载需求进行调整。

  • t3.small(2 个 vCPU、2 GiB RAM)开始,适用于开发、测试或非常轻量级的使用场景。

  • 使用 t3.medium(2 个 vCPU、4 GiB RAM)作为大多数生产工作负载的默认配置。

  • 如果 CPU 或内存使用率持续较高,或者您预计会有大量并发工作负载,请向上扩展(例如 t3.large 或 m6i.large)。

设置数据桥

按照以下步骤配置数据桥。完成后,关联工作区中的 Workspace Execution 工作流将有权访问已连接的数据源。

创建数据桥

  1. Alteryx One 中,转至管理控制台 > 数据桥。然后选择创建数据桥。输入:

    • 数据桥名称

    • 区域:该区域必须与您的 VPC 区域匹配,并且应默认为您当前所在的区域。

    • 可用区 ID:可用区 ID 用于标识此端点所在的 AWS 可用区。

    • 端口:该端口用于将数据桥连接到 Alteryx。默认值为 9001。

    选择下一步

  2. 在下一页上,系统会提示您在 VPC 中安装和配置 Bridge Client 二进制文件。

    • 许可门户下载 Bridge Client 二进制文件

    • 使用 AWS 私密访问将 Bridge Client 导入 EC2

      在 AWS 中,使用 Amazon Linux AMI 创建一个 EC2 实例。该实例需能够连接到您的私有数据源,并拥有读取或写入 AWS Secrets Manager 中私密密钥的权限。有关如何创建 EC2 实例的详细信息,请参阅 AWS 文档开始使用 Amazon EC2

      然后,将 Bridge Client 导入到根目录 / 下的 /home/ec2-user 目录中。

      注意

      The file will have a name with a version like bridge-client-v1.0.0 but should be renamed to bridge-client to work with the following scripts.

      Make the binary executable. The Bridge Client binary must have executable permissions before it can be run.

      chmod +x bridge-client

    • 将配置片段保存到文件

      将此代码片段复制并粘贴到 /home/ec2-user 目录下名为 bridge-client-config.json 的配置文件中,该文件将被 Bridge Client 引用。

      示例:

      {
  "logging": {
    "logLevel": "info",
    "logFormat": "json"
  },
  "bootstrap" : {
    "storageType": "secretsManager",
    "secretName": "<Name of the AWS Secrets Manager secret where the Bridge Client will store its private key. The Bridge Client will create and populate this secret automatically.>"
  },
  "libp2pPort": 9001,
  "libp2pBindIP": "<Private IPv4 address of the EC2 Instance>",
  "resourceFile": "/home/ec2-user/resources.json"
}

      注意

      libp2pBindIP 应为部署 Bridge Client 的 EC2 实例的私有 IPv4 地址。请在 AWS 管理控制台中查看该 EC2 实例。

      Data_Bridge_04.png

    • 创建 resources.json 文件

      /home/ec2-user 目录中,创建一个名为 resources.json 的文件。Bridge Client 在运行时启动和管理资源需要此文件。

      该文件必须包含一个空的 JSON 对象 ({}),且不能为空白。

    • 将 Bridge Client 作为进程运行

      • 使用 systemd 将 Bridge Client 作为 systemd 服务或长期运行的进程来运行。

        将以下内容复制到文件中,并在 /etc/systemd/system 目录下将其命名为 bridge-client.service

        [Unit]
Description=Bridge Client

[Service]
# App Running
ExecStart=/home/ec2-user/bridge-client -c /home/ec2-user/bridge-client-config.json
Restart=always
RestartSec=30s

[Install]
WantedBy=multi-user.target

      • 使用以下命令启动 Bridge Client:

        sudo systemctl start bridge-client

      • 使用以下命令配置 Bridge Client 在关机时自动启动:

        sudo systemctl enable bridge-client

      • 运行以下命令以检查 Bridge Client 的运行状况:

        sudo systemctl status bridge-client

      • 确保进程状态为 Active: active (running)。如果不是,则可能存在启动问题,应通过日志进行排查。

        通过运行以下命令可访问 systemd 服务日志,其中 -u 为单元名称,-n 用于指定要显示的最新日志行数。

        journalctl -u bridge-client -n 50

      • 成功启动后,请从 stdout 中记录 Bridge Client 对等 ID

        • 用于检索对等 ID 的快捷脚本:

          sudo journalctl -u bridge-client -n 500 -r --no-pager \
| grep -m1 '"peerID"' \
| sed -E 's/.*"peerID":"([^"]+)".*/\1/'

        • 作为替代方案,手动查找类似以下的日志行:

          {"level":"info","ts":"2025-10-18T01:17:27Z","caller":"bootstrap/bootstrap.go:47","msg":"peerID","name":"bridge_client","peerID":"QmA7kT2Yp8ZLxNwC4H6B5eVJg9sDoUScmRyb3FhXPaMq"}

        • peerID 值根据每个私钥生成,因此每个 Bridge Client 的该值各不相同。请注意,每个 Bridge Client 都应使用或拥有自己的私密密钥。私密密钥不应在 Bridge Client 之间重复使用。

    • 设置 PrivateLink 端点服务

      安装完成后,在 VPC 中设置 PrivateLink 端点服务

      • 创建并附加一个目标组,使其指向 Bridge Client 所在的特定 EC2 实例。应在目标组上针对 8081 端口配置运行状况检查,并指向 Bridge Client 的 /ready 端点。

      • 创建一个网络负载均衡器,用于转发 bridge-client-config.jsonlibp2pPort 所部署端口(默认为 9001)上的所有 TCP 流量。

        注意

        用于端点服务的负载均衡器必须包含两个可用区 (AZ) ID,且其中一个必须与部署 Bridge Client 的可用区相匹配。

      • 为内部服务创建一个类型为“接口”的 PrivateLink 端点服务,该服务与 EC2 实例位于同一 VPC 网络。

        注意

        如果选择创建跨区域 PrivateLink,则端点服务必须在支持的区域字段中,将目标区域以及部署了 Bridge Client EC2 实例的区域均添加为条目。

  3. 返回到 Alteryx One > 管理控制台 > 数据桥,待端点服务就绪后,选择下一步。然后输入:

    • 端点服务名称

    • 在第 2 步中记录的 Bridge Client 对等 ID

  4. 选择创建数据桥

现在,您可以开始添加工作区。

添加工作区

在管理控制台中创建数据桥后,您即可将一个或多个工作区添加至该数据桥。工作区关联过程通常需要 13–15 分钟才能完成。

  1. Alteryx One > 管理控制台 > 数据桥中,选择添加工作区

  2. 系统将打开添加工作区窗口。

    • 从下拉列表中选择一个工作区。仅显示已启用 Workspace Execution 的工作区。然后选择下一步

    • 系统将显示 IAM 角色。将其复制并粘贴到您私有 VPC 的允许的主体列表中。有关配置 AWS IAM Identity Center 的更多信息,请参阅开始使用 IAM Identity Center使用 AWS CLI 配置 IAM Identity Center 身份验证

      完成后,选择下一步

    • PrivateLink 端点已创建。选择确认以测试连接。

      如果测试成功,请继续创建新的网络映射

    • 接受来自 Alteryx 账户的专用端点连接。

创建新的数据源网络映射

创建网络映射,以允许数据桥将流量路由到特定的专用数据源。创建网络映射通常需要 10–20 秒。

  1. Alteryx One > 管理控制台 > 数据桥中,选择新建网络映射

  2. 系统将打开新建网络映射窗口。输入:

    • 名称

    • 描述

    • 主机:这是连接管理器或 Designer 中数据源连接的确切主机名或 IP 地址。

    • 端口:为您的数据源配置的端口号。

  3. 然后选择创建

故障排除和常见问题解答

常见的安装和配置问题

连接或 DNS 错误

若遇到连接失败的情况,请检查常见的 DNS 解析问题。

  • 症状:Bridge Client 无法连接到 Alteryx Cloud 或客户数据源。

  • 可能的原因:VPC 网络配置错误或 DNS 设置不正确。

  • 后续步骤:确认 VPC DNS 设置、PrivateLink 端点配置以及防火墙规则。

连接限制

为提供 DDoS(分布式拒绝服务)保护,Bridge Client 会将每个数据源的传入并发连接数限制为 256 个。如需增加此限制,请联系 Alteryx 支持团队。

指标与支持

如果您需要有关调试 Bridge Client 的帮助,请调用 /metrics.json 端点以检索 JSON 格式的状态报告。请将此输出附加至您的支持请求单或消息,以便支持团队审阅该问题。

Bridge Client 还公开了 Prometheus 风格的 /metrics 端点,您可抓取此端点以创建仪表板或独立分析数据。

升级和兼容性

兼容性

数据桥在以下环境中不受支持:

  • 私有数据处理部署

  • 私有数据存储配置

升级

  • 当发布新功能或安全更新时,通常需要升级 Bridge Client。

  • 公开预览版假定具备向后兼容性。不过,如有需要,我们将提供升级说明。

本节内容如下: