La parte 1 describe con más detalle las características y requisitos de la implementación empresarial estándar del sector para la que se ha diseñado la Guía de implementación empresarial de Tableau Server.

El siguiente diagrama de red muestra una implementación por niveles de un centro de datos genérico con la arquitectura de referencia de Tableau Server.

Estándares del sector y requisitos de implementación

Las siguientes son funcionalidades de las implementaciones estándar del sector. Estos son los requisitos para los que se ha diseñado la arquitectura de referencia descrita:

  • Un diseño de red de varios niveles: la red está unida por subredes protegidas para limitar el acceso en cada capa (capa web, capa de aplicación y capa de datos). Ninguna comunicación individual puede pasar a través de subredes, ya que todas las comunicaciones terminan en la siguiente subred.
  • Puertos y protocolos bloqueados de forma predeterminada: cada subred o grupo de seguridad bloquea todos los puertos y protocolos entrantes y salientes de forma predeterminada. La comunicación se habilita, parcialmente, abriendo excepciones en la configuración del puerto o protocolo.
  • Autenticación web fuera de la caja: las solicitudes de usuarios de Internet se autentican mediante un módulo de autenticación situado en el proxy inverso del nivel web. Por lo tanto, todas las solicitudes a la capa de aplicación se autentican en la web antes de pasar a la capa de aplicación protegida.
  • Independiente de la plataforma: la solución se puede implementar con aplicaciones de servidor locales o en la nube.
  • Independiente de la tecnología: la solución se puede implementar en un entorno de máquina virtual o en contenedores. También se puede implementar en Windows o Linux. Sin embargo, esta versión inicial de la arquitectura de referencia y la documentación se ha desarrollado para Linux que se ejecuta en AWS.
  • Amplia disponibilidad: todos los componentes del sistema están implementados como un clúster y diseñados para operar en un despliegue activo/activo o activo/pasivo.
  • Roles en silos: cada servidor desempeña un papel discreto. Este diseño divide todos los servidores de modo que el acceso se minimiza a los administradores específicos del servicio. Por ejemplo, los DBA administran PostgreSQL para Tableau, los administradores de identidad administran el módulo de autenticación en el nivel web, los administradores de red y nube habilitan el tráfico y la conectividad.
  • Linealmente escalable: como roles discretos, puede escalar cada servicio de nivel de forma independiente según el perfil de carga.
  • Compatibilidad con el cliente: la arquitectura de referencia es compatible con todos los clientes de Tableau: Tableau Desktop (versiones 2021.2 o posteriores), Tableau Mobile y Creación web de Tableau.

Medidas de seguridad

Como se ha indicado, una de las funcionalidades principales del diseño de centros de datos estándar del sector es la seguridad.

  • Acceso: cada nivel está limitado por una subred que aplica el control de acceso en la capa de red mediante el filtrado de puertos. La capa de aplicación también puede imponer el acceso a la comunicación entre subredes con servicios autenticados entre procesos.
  • Integración: la arquitectura está diseñada para conectarse con el proveedor de identidad (IdP) en el proxy inverso del nivel web.
  • Privacidad: el tráfico hacia el nivel web se cifra desde el cliente con SSL. Opcionalmente, el tráfico hacia las subredes internas también se puede cifrar.

Nivel proxy web

El nivel web es una subred en la DMZ (a la que también se hace referencia como zona de perímetro) que actúa como un búfer de seguridad entre Internet y las subredes internas donde se implementan las aplicaciones. El nivel web aloja servidores proxy inversos que no almacenan información confidencial. Los servidores proxy inversos están configurados con un complemento AuthN para autenticar previamente las sesiones del cliente con un IdP de confianza, antes de redirigir la solicitud del cliente a Tableau Server. Para obtener más información, consulte Autenticación previa con un módulo de AuthN.

Equilibrador de carga

El diseño de implementación incluye una solución de equilibrio de carga empresarial frente a los servidores proxy inversos.

Los equilibradores de carga proporcionan importantes mejoras de seguridad y rendimiento, al

  • Virtualizar la URL de front-end para los servicios de nivel de aplicación
  • Aplicar el cifrado SSL
  • Descargar SSL
  • Aplicar la compresión entre el cliente y los servicios de nivel web
  • Proteger contra ataques DOS
  • Proporcionar alta disponibilidad

Nota: la versión 2022.1 de Tableau Server incluye la puerta de enlace independiente de Tableau Server. La puerta de enlace independiente es una instancia independiente del proceso de puerta de enlace de Tableau que funciona como un proxy inverso compatible con Tableau. En el momento del lanzamiento, la puerta de enlace independiente se validó, pero no se probó por completo en la arquitectura de referencia de EDG. Una vez completadas las pruebas completas, EDG se actualizará con la guía prescriptiva de la puerta de enlace independiente de Tableau Server.

Nivel de aplicación

El nivel de aplicación está en una subred que ejecuta la lógica empresarial central de la aplicación del servidor. El nivel de aplicación consta de servicios y procesos que se configuran en los nodos distribuidos de un clúster. Solo se puede acceder al nivel de aplicación desde el nivel web y los usuarios no pueden acceder directamente a él.

El rendimiento y la fiabilidad se mejoran mediante la configuración de los procesos de la aplicación de manera que los procesos con diferentes perfiles de uso de recursos (es decir, uso intensivo de CPU frente a uso intensivo de memoria) se ubican conjuntamente.

Nivel de datos

El nivel de datos es una subred que contiene datos valiosos. Todo el tráfico a este nivel se origina en el nivel de aplicación y, por lo tanto, ya está autenticado. Además de los requisitos de acceso en la capa de red con la configuración del puerto, esta capa debe incluir acceso autenticado y, de manera opcional, tráfico cifrado con el nivel de aplicación.

¡Gracias por sus comentarios!