パート 1 - 企業環境への導入について

パート 1 では、「企業環境への Tableau Server 導入ガイド」で設計した、企業環境への導入における業界標準の特徴と要件について詳しく説明します。

次のネットワーク図は、Tableau Server 参照アーキテクチャを使用した、一般的なデータセンターにおける階層型の導入を表しています。

業界標準と導入要件

業界標準の導入における特徴は以下のとおりです。これらを要件として参照アーキテクチャは設計されています。

  • 多層ネットワーク設計: ネットワークは保護されたサブネットによって境界を区切り、Web 層、アプリケーション層、データ層の各層においてアクセスを制御します。すべての通信は隣接するサブネットで終端され、いかなる通信も複数のサブネットをまたがって通り抜けることはできません。
  • ポートとプロトコルを既定でブロック: 各サブネットやセキュリティ グループは、すべてのインバウンドおよびアウトバウンドのポートとプロトコルを既定でブロックします。通信を部分的に可能にするためには、その通信のポートまたはプロトコルを例外的に開く設定が必要です。
  • 保護区域の外での Web 認証: インターネットからのユーザー要求は、Web 層にあるリバース プロキシの認証モジュールで認証されます。そのため、アプリケーション層に対するすべての要求は、まず Web 層で認証されてから、保護されたアプリケーション層に渡されます。
  • プラットフォーム非依存: オンプレミス サーバーのアプリケーションかクラウドのアプリケーションかに関わらず導入できるソリューションです。
  • テクノロジー非依存: 仮想マシン環境にもコンテナにも導入できるソリューションです。Windows にも Linux にも導入できます。ただし、この初期バージョンの参照アーキテクチャとサポート ドキュメントは、AWS で実行する Linux を前提に策定されています。
  • 高可用性: システム内のすべてのコンポーネントはクラスタとして展開され、アクティブ/アクティブ、またはアクティブ/パッシブの展開で動作するように設計されています。
  • サイロ化されたロール: 各サーバーは個別のロールを実行します。この設計では、すべてのサーバーを分割することにより、アクセス権限がサービスごとの管理者に限られるようにします。たとえば、DBA は Tableau の Postgre SQL を管理し、ID 管理者は Web 層の認証モジュールを管理し、ネットワークとクラウドの管理者はトラフィックと接続を有効化します。
  • 直線的に拡張可能: 負荷の状況に応じて、各層のサービスを個別のロールとして別々に拡張できます。
  • クライアントのサポート: 参照アーキテクチャは、すべての Tableau クライアント (Tableau Desktop (バージョン 2021.2 以降)、Tableau Mobile、および Tableau Web 作成) をサポートします。

セキュリティ対策

前述のように、業界標準のデータセンター設計における第一の特徴はセキュリティです。

  • アクセス: 各層は、サブネットで境界を区切ります。サブネットでは、ポートをフィルターすることにより、アクセス制御をネットワーク レイヤーで実施します。サブネット間の通信アクセス制御は、プロセス間の認証サービスを使用してアプリケーション レイヤーでも実施する場合があります。
  • 統合: このアーキテクチャの設計では、Web 層のリバース プロキシで ID プロバイダー (IdP) にプラグインします。
  • プライバシー: クライアントから Web 層への通信は、SSL で暗号化します。内部サブネットへの通信も、オプションで暗号化することができます。

Web 層 (プロキシ層)

Web 層は DMZ (ペリメーター ゾーンとも呼ばれます) のサブネットであり、インターネットと、アプリケーションが展開される内部サブネットとの間のセキュリティ緩衝地帯として機能します。Web 層は、機密情報を保存しないリバース プロキシ サーバーをホストします。リバース プロキシ サーバーは、クライアント要求を Tableau Server にリダイレクトする前に、信頼できる IdP を使用してクライアント セッションを事前認証するように AuthN プラグインを使用して構成されます。詳細については、「AuthN モジュールによる事前認証」を参照してください。

ロードバランサー

導入の設計では、リバース プロキシ サーバーの手前に企業の負荷分散ソリューションを含めています。

ロードバランサーは、セキュリティとパフォーマンスを強化する上で、次のような重要な役割を果たします。

  • アプリケーション層サービスのフロント エンド URL を仮想化
  • SSL 暗号化を強制
  • SSL をオフロード
  • クライアントと Web 層サービスの間で圧縮を実施
  • DOS 攻撃から保護
  • 高可用性を提供

: Tableau Server バージョン 2022.1 には、Tableau Server の独立したゲートウェイが含まれています。独立したゲートウェイは、Tableau 対応のリバース プロキシとして機能する Tableau ゲートウェイ プロセスのスタンドアロン インスタンスです。リリースの時点で、独立したゲートウェイは検証されていますが、EDG リファレンス アーキテクチャでは完全にはテストされていません。完全なテストが完了したら、EDG は Tableau Server の独立したゲートウェイの規範的なガイダンスに従って更新されます。

アプリケーション層

アプリケーション層は、サーバー アプリケーションの核となるビジネス ロジックを実行するサブネットです。アプリケーション層には、クラスタ内の分散ノード群で構成されたサービスとプロセスが含まれます。アプリケーション層には Web 層からのみアクセスでき、ユーザーは直接アクセスできません。

パフォーマンスと信頼性を向上するために、使用するリソースの特徴が異なるプロセス (つまり、CPU 集中型プロセスとメモリ集約型プロセス) が同じ場所に配置されるようにアプリケーション プロセスを構成します。

データ層

データ層は、貴重なデータを保持するサブネットです。データ層へのすべてのトラフィックはアプリケーション層から送信されるため、すでに認証されています。データ層では、ポート構成を使用したネットワーク レイヤーでのアクセス要件に加えて、アプリケーション層で認証されたアクセスとオプションで暗号化されたトラフィックを含める必要があります。

フィードバックをありがとうございます。フィードバックは正常に送信されました。ありがとうございます!