Parte 1 - Informazioni sulla distribuzione per le organizzazioni di grandi dimensioni
La parte 1 descrive, in modo più dettagliato, le caratteristiche e i requisiti della distribuzione standard di settore per cui è stata progettata la Guida alla distribuzione di Tableau Server per le organizzazioni di grandi dimensioni.
Il seguente diagramma di rete mostra una distribuzione generica a più livelli di un data center con l’architettura di riferimento di Tableau Server.
Standard di settore e requisiti di implementazione
Di seguito sono riportate le caratteristiche delle distribuzioni standard di settore. Questi sono i requisiti per cui è stata progettata l’architettura di riferimento:
- Una struttura di rete a più livelli: la rete è vincolata da subnet protette per limitare l’accesso a ogni livello, ovvero livello Web, livello applicazione e livello dati. Nessuna singola comunicazione è in grado di passare attraverso le subnet, poiché tutte le comunicazioni vengono terminate nella subnet successiva.
- Porte e protocolli bloccati per impostazione predefinita: ogni subnet o gruppo di sicurezza bloccherà tutte le porte e i protocolli in ingresso e in uscita per impostazione predefinita. La comunicazione viene abilitata, in parte, aprendo eccezioni nella configurazione di porta o protocollo.
- Autenticazione Web off-box: le richieste degli utenti da Internet vengono autenticate da un modulo di autenticazione sul proxy inverso nel livello Web. Pertanto, tutte le richieste al livello applicazione vengono autenticate nel livello Web prima di passare al livello applicazione protetto.
- Indipendenza dalla piattaforma: la soluzione può essere distribuita con applicazioni server in locale o nel cloud.
- Indipendenza dalla tecnologia: la soluzione può essere distribuita in un ambiente con macchine virtuali o in contenitori. Può anche essere distribuita in Windows o Linux. Tuttavia, questa versione iniziale dell’architettura di riferimento e della documentazione di supporto è stata sviluppata per Linux in esecuzione in AWS.
- Disponibilità elevata: tutti i componenti del sistema sono distribuiti come un cluster e progettati per operare in una distribuzione attiva/attiva o attiva/passiva.
- Ruoli isolati: ogni server esegue un ruolo distinto. Questa struttura partiziona tutti i server in modo da ridurre al minimo l’accesso agli amministratori specifici del servizio. Ad esempio, gli amministratori di database gestiscono PostgreSQL per Tableau, gli amministratori dell’identità gestiscono il modulo di autenticazione nel livello Web, gli amministratori di rete e cloud abilitano il traffico e la connettività.
- Scalabilità lineare: essendo ruoli distinti, puoi ridimensionare il servizio di ogni livello in modo indipendente in base al profilo del carico.
- Supporto client: l’architettura di riferimento supporta tutti i client Tableau: Tableau Desktop (versioni 2021.2 o successive), Tableau Mobile e Tableau Web Authoring.
Misure di sicurezza
Come accennato, una caratteristica principale della progettazione di un data center standard di settore è la sicurezza.
- Accesso: ogni livello è vincolato da una subnet che applica il controllo dell’accesso a livello di rete utilizzando il filtro della porta. L’accesso alla comunicazione tra le subnet può anche essere imposto dal livello applicazione con servizi autenticati tra i processi.
- Integrazione: l’architettura è progettata per integrarsi con il provider di identità (IdP) sul proxy inverso nel livello Web.
- Privacy: il traffico nel livello Web viene crittografato dal client con SSL. Anche il traffico nelle subnet interne può essere facoltativamente crittografato.
Livello proxy Web
Il livello Web è una subnet nella DMZ (anche denominata zona perimetrale) che opera come buffer di sicurezza tra Internet e le subnet interne in cui vengono distribuite le applicazioni. Il livello Web ospita server proxy inversi che non archiviano informazioni sensibili. I server proxy inversi sono configurati con un plug-in AuthN per pre-autenticare le sessioni client con un IdP attendibile, prima di reindirizzare la richiesta client a Tableau Server. Per maggiori informazioni, consulta Pre-autenticazione con un modulo AuthN.
Servizi di bilanciamento del carico
La struttura della distribuzione include una soluzione di bilanciamento del carico aziendale davanti ai server proxy inversi.
I servizi di bilanciamento del carico forniscono importanti miglioramenti in termini di sicurezza e prestazioni grazie a:
- Virtualizzazione dell’URL front-end per i servizi del livello applicazione
- Applicazione della crittografia SSL
- Offload di SSL
- Applicazione della compressione tra il client e i servizi di livello Web
- Protezione dagli attacchi DOS
- Disponibilità elevata
Nota: Tableau Server versione 2022.1 include Gateway indipendente di Tableau Server. Gateway indipendente è un’istanza autonoma del processo Gateway di Tableau che opera come proxy inverso compatibile con Tableau. Al momento del rilascio, Gateway indipendente è stato convalidato, ma non completamente testato nell’architettura di riferimento per la Guida alla distribuzione per le organizzazioni di grandi dimensioni. Al termine del test completo, la Guida alla distribuzione per le organizzazioni di grandi dimensioni verrà aggiornata con le linee guida prescrittive di Gateway indipendente di Tableau Server.
Livello applicazione
Il livello applicazione si trova in una subnet che esegue la logica business principale dell’applicazione server. Il livello applicazione è costituito da servizi e processi configurati tra i nodi distribuiti in un cluster. Il livello applicazione è accessibile solo dal livello Web e non è direttamente accessibile dagli utenti.
Le prestazioni e l’affidabilità vengono migliorate configurando i processi dell’applicazione in modo tale che i processi con diversi profili di utilizzo delle risorse (ad esempio, utilizzo intensivo della CPU rispetto all’utilizzo intensivo della memoria) siano posizionati insieme.
Livello dati
Il livello dati è una subnet che contiene dati importanti. Tutto il traffico verso questo livello proviene dal livello applicazione ed è quindi già autenticato. Oltre ai requisiti di accesso a livello di rete con la configurazione della porta, questo livello dovrebbe includere l’accesso autenticato e facoltativamente il traffico crittografato con il livello applicazione.