Deel 1 – De basisprincipes van implementatie in bedrijven


In deel 1 worden de functies en vereisten van de industriestandaard implementatie in bedrijven nader beschreven. Hiervoor is de Gids voor bedrijfsbrede implementatie van Tableau Server ontworpen.

Het onderstaande netwerkdiagram toont een generieke gelaagde implementatie voor een datacenter met Tableau Server-referentiearchitectuur.

Industriestandaard en implementatievereisten

Hieronder staan de kenmerken van implementaties die voldoen aan de industriestandaard. Dit zijn de vereisten waarvoor de referentiearchitectuur is ontworpen:

  • Een netwerkontwerp met meerdere lagen: het netwerk is verbonden door beveiligde subnetten om de toegang te beperken per laag: web-, toepassings- en datalaag. Enkele communicatie kan niet door meerdere subnetten heen gaan, omdat alle communicatie bij het volgende subnet wordt beëindigd.
  • Standaard geblokkeerde poorten en protocollen: elk subnet en elke beveiligingsgroep blokkeert standaard alle inkomende en uitgaande poorten en protocollen. Communicatie wordt deels mogelijk gemaakt door excepties te openen in de poort- of protocolconfiguratie.
  • 'Off-box' webverificatie: gebruikersverzoeken vanaf internet worden geverifieerd door een verificatiemodule op de reverse-proxy in de weblaag. Daarom worden alle verzoeken aan de toepassingslaag al in de weblaag geverifieerd voordat ze naar de beveiligde toepassingslaag worden doorgestuurd.
  • Platformonafhankelijk: de oplossing kan worden geïmplementeerd met on-premises servertoepassingen of in de cloud.
  • Technologie-agnostisch: de oplossing kan worden geïmplementeerd in een virtuele machine-omgeving of in containers. Kan ook op Windows of Linux worden geïmplementeerd. Deze eerste versie van de referentiearchitectuur en ondersteunende documentatie is echter ontwikkeld voor Linux die draait op AWS.
  • Hoge beschikbaarheid: alle componenten in het systeem worden als cluster geïmplementeerd en zijn ontworpen om te werken in een actieve/actieve- of actieve/passieve-implementatie.
  • Geïsoleerde rollen: elke server vervult een discrete rol. Dit ontwerp verdeelt alle servers zodanig dat de toegang beperkt blijft tot service-specifieke beheerders. DBA's beheren bijvoorbeeld PostgreSQL voor Tableau, identiteitsbeheerders beheren de verificatiemodule op de weblaag, en netwerk- en cloudbeheerders maken verkeer en connectiviteit mogelijk.
  • Lineair schaalbaar: u kunt elke laag onafhankelijk schalen op basis van het belastingprofiel, omdat het discrete rollen zijn.
  • Clientondersteuning: de referentiearchitectuur ondersteunt alle Tableau-clients: Tableau Desktop (versie 2021.2 of later), Tableau Mobile en Tableau Web Authoring.

Veiligheidsmaatregelen

Zoals gezegd is beveiliging een van de belangrijkste kenmerken van de industriestandaard voor ontwerpen voor datacenters.

  • Toegang: elke laag is gebonden aan een subnet dat toegangscontrole op netwerklaag afdwingt met behulp van poortfiltering. Communicatietoegang tussen subnetten kan ook worden afgedwongen door de toepassingslaag met geverifieerde services tussen processen.
  • Integratie: de architectuur is ontworpen om te worden aangesloten op een identiteitsprovider (IdP) op de reverse-proxy in de weblaag.
  • Privacy: verkeer naar de weblaag wordt vanaf de client versleuteld met SSL. Optioneel kan het verkeer naar de interne subnetten ook worden versleuteld.

Webproxy-laag

De weblaag is een subnet in de DMZ (ook wel perimeterzone genoemd) die fungeert als beveiligingsbuffer tussen het internet en de interne subnetten waar toepassingen worden geïmplementeerd. De weblaag host reverse-proxyservers die geen gevoelige informatie opslaan. De reverse-proxyservers zijn geconfigureerd met een AuthN-plug-in om clientsessies vooraf te verifiëren met een vertrouwde IdP, voordat de clientaanvraag wordt omgeleid naar Tableau Server. Zie Pre-verificatie met een AuthN-module voor meer informatie.

Loadbalancers

Het implementatieontwerp omvat een zakelijke loadbalancing-oplossing vóór de reverse-proxyservers.

Loadbalancers bieden belangrijke verbeteringen op het gebied van beveiliging en prestaties, dankzij de volgende functies:

  • Virtualisatie van de front-end URL voor de services van de toepassingslaag
  • Het afdwingen van SSL-versleuteling
  • Het ontlasten van SSL
  • Afgedwongen compressie tussen de client en de weblaagservices
  • Bescherming tegen DOS-aanvallen
  • Het bieden van hoge beschikbaarheid

Opmerking: Tableau Server versie 2022.1 bevat de onafhankelijke gateway van Tableau Server. De onafhankelijke gateway is een zelfstandige instantie van het Tableau Gateway-proces dat fungeert als een Tableau-bewuste reverse-proxy. Bij de release is de onafhankelijke gateway gevalideerd, maar nog niet volledig getest in de EDG-referentiearchitectuur. Nadat de tests volledig zijn voltooid, wordt de EDG bijgewerkt met de aanbevolen richtlijnen voor de onafhankelijke gateway van Tableau Server.

Toepassingslaag

De toepassingslaag bevindt zich in een subnet waarop de belangrijkste bedrijfslogica van de servertoepassing wordt uitgevoerd. De toepassingslaag bestaat uit services en processen die zijn geconfigureerd op gedistribueerde knooppunten in een cluster. De toepassingslaag is alleen toegankelijk via de weblaag en is niet rechtstreeks toegankelijk voor gebruikers.

Prestaties en betrouwbaarheid worden verbeterd door de toepassingsprocessen zo te configureren dat processen die verschillende resources gebruiken (oftewel CPU-intensief versus geheugenintensief profiel) op dezelfde locatie worden uitgevoerd.

Datalaag

De datalaag is een subnet dat waardevolle data bevat. Al het verkeer naar deze laag is afkomstig van de toepassingslaag en is daarom al geverifieerd. Naast de toegangsvereisten op de netwerklaag met poortconfiguratie, moet deze laag ook geverifieerde toegang en optioneel versleuteld verkeer met de toepassingslaag omvatten.

Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.