Teil 1 – Grundlegendes zur Unternehmensbereitstellung


In Teil 1 werden die Features und Anforderungen einer branchenüblichen Bereitstellung im Unternehmen ausführlicher beschrieben, für die das Tableau Server-Handbuch für die Bereitstellung im Unternehmen (Enterprise Deployment Guide, EDG) entwickelt wurde.

Das folgende Netzwerkdiagramm zeigt eine allgemeine, in Schichten gegliederte Bereitstellung im Rechenzentrum mit der Tableau Server-Referenzarchitektur.

Industriestandards und Bereitstellungsanforderungen

Im Folgenden finden Sie Funktionen für Bereitstellungen nach Industriestandard. Nachfolgend sind die Anforderungen aufgeführt, für die die Referenzarchitektur ausgelegt wurde:

  • Ein mehrschichtiges Netzwerkdesign: Das Netzwerk ist durch geschützte Subnetze gebunden, um den Zugriff auf jeder Ebene zu beschränken: Webebene, Anwendungsebene und Datenebene. Kommunikation kann grundsätzlich nicht über Subnetze übertragen werden, da die gesamte Kommunikation im nächsten Subnetz beendet wird.
  • Standardmäßig blockierte Ports und Protokolle: Jedes Subnetz oder jede Sicherheitsgruppe blockiert standardmäßig alle eingehenden und ausgehenden Ports und Protokolle. Kommunikation wird durch Öffnen von Ausnahmen in der Portkonfiguration teilweise ermöglicht.
  • Off-Box-Webauthentifizierung: Benutzeranforderungen aus dem Internet werden von einem Authentifizierungsmodul auf dem Reverseproxy in der Webschicht authentifiziert. Daher werden alle Anforderungen an die Anwendungsebene in der Webschicht authentifiziert, bevor sie an die geschützte Anwendungsebene weitergegeben werden.
  • Plattformunabhängig: Die Lösung kann mit On-Premise-Serveranwendungen oder in der Cloud bereitgestellt werden.
  • Technologieunabhängig: Die Lösung kann in einer Umgebung mit virtuellen Maschinen oder in Containern bereitgestellt werden. Eine Bereitstellung unter Windows oder Linux ist ebenfalls möglich. Diese erste Version der Referenzarchitektur und der unterstützenden Dokumentation wurde jedoch für Linux entwickelt, das in AWS ausgeführt wird.
  • Hochverfügbar: Alle Komponenten des Systems werden als Cluster bereitgestellt und sind für eine aktive/aktive oder aktive/passive Bereitstellung ausgelegt.
  • Isolierte Rollen: Jeder Server führt eine diskrete Rolle aus. Durch dieses Design werden alle Server so partitioniert, dass der Zugriff auf dienstspezifische Administratoren beschränkt werden kann. So wird zum Beispiel PostgreSQL für Tableau von Datenbankadministratoren verwaltet, das Authentifizierungsmodul in der Webschicht wird von Identitätsadministratoren verwaltet, und für den Datenverkehr und die Konnektivität sind Netzwerk- und Cloud-Administratoren verantwortlich.
  • Linear skalierbar: Mit diskreten Rollen können Sie jeden Schichtendienst unabhängig gemäß dem Lastprofil skalieren.
  • Client-Unterstützung: Die Referenzarchitektur unterstützt alle Tableau-Clients: Tableau Desktop (Version 2021.2 oder höher), Tableau Mobile und Tableau-Webdokumenterstellung.

Sicherheitsmaßnahmen

Wie bereits erwähnt, ist die Sicherheit ein Hauptmerkmal des branchenüblichen Rechenzentrumsdesigns.

  • Zugriff: Jede Schicht ist von einem Subnetz gebunden, das die Zugriffskontrolle auf Netzwerkebene mittels Portfilterung erzwingt. Der Kommunikationszugriff zwischen Subnetzen kann auch von der Anwendungsebene mit authentifizierten Diensten zwischen Prozessen erzwungen werden.
  • Integration: Die Architektur ist für die Verbindung mit dem Identitätsanbieter (IdP) auf dem Reverseproxy in der Webschicht konzipiert.
  • Datenschutz: Datenverkehr in die Webschicht wird vom Client per SSL verschlüsselt. Der Datenverkehr in die internen Subnetze kann optional auch verschlüsselt werden.

Webproxy-Schicht

Die Webschicht ist ein Subnetz in der DMZ (Demilitarized Zone, entmilitarisierte Zone, wird auch als Umkreiszone bezeichnet), das als Sicherheitspuffer zwischen dem Internet und den internen Subnetzen dient, in denen die Anwendungen bereitgestellt sind. Die Webschicht hostet Reverseproxy-Server, die keine vertraulichen Informationen speichern. Die Reverseproxy-Server sind mit einem AuthN-Plugin so konfiguriert, dass sie Clientsitzungen mit einem vertrauenswürdigen Identitätsanbieter vorab authentifizieren, bevor er die Clientanfrage an Tableau Server umleitet. Weitere Informationen finden Sie unter Vor-Authentifizierung mit einem AuthN-Modul.

Lastenausgleich

Das Bereitstellungsdesign enthält vor den Reverseproxy-Servern eine Lastenausgleichslösung für den Unternehmenseinsatz.

Ein Lastenausgleich bietet wichtige Sicherheits- und Leistungsverbesserungen durch:

  • Virtualisierung der Front-End-URL für die Anwendungsschicht-Dienste
  • Erzwingen der SSL-Verschlüsselung
  • SSL entladen
  • Erzwingen der Komprimierung zwischen dem Client und den Webschichtdiensten
  • Schutz vor DOS-Angriffen
  • Bereitstellung von Hochverfügbarkeit

Hinweis: Tableau Server-Version 2022.1 enthält das Tableau Server Independent Gateway. Independent Gateway ist eine eigenständige Instanz des Tableau Gateway-Prozesses, die als Tableau-fähiger Reverse-Proxy dient. Zum Zeitpunkt der Veröffentlichung wurde das Independent Gateway zwar validiert, aber noch nicht vollständig in der Bereitstellungshandbuch-Referenzarchitektur getestet. Nach Abschluss der Tests wird das Bereitstellungshandbuch mit einer Anleitung für das Tableau Server Independent Gateway aktualisiert.

Anwendungsschicht

Die Anwendungsschicht ist ein Subnetz, in dem die zentrale Geschäftslogik der Serveranwendung ausgeführt wird. Die Anwendungsschicht besteht aus Diensten und Prozessen, die über verteilte Knoten in einem Cluster konfiguriert sind. Der Zugriff auf die Anwendungsschicht ist nur aus der Webschicht möglich. Benutzer können nicht direkt darauf zugreifen.

Leistung und Zuverlässigkeit werden verbessert, indem die Anwendungsprozesse so konfiguriert werden, dass Prozesse mit unterschiedlichen Ressourcennutzungsprofilen (d. h. CPU-intensiv oder speicherintensiv) gemeinsam platziert werden.

Datenschicht

Die Datenschicht ist ein Subnetz, das wertvolle Daten enthält. Sämtlicher Datenverkehr zu dieser Schicht stammt aus der Anwendungsschicht und ist daher bereits authentifiziert. Zusätzlich zu den Zugriffsanforderungen auf der Netzwerkebene mit Portkonfiguration sollte diese Ebene über authentifizierten Zugriff und optional verschlüsselten Datenverkehr mit der Anwendungsschicht verfügen.

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.