Parte 1 - Compreensão da implantação corporativa

A Parte 1 descreve, com mais detalhes, os recursos e requisitos da implantação corporativa padrão do setor para a qual o Guia de implantação Corporativa do Tableau Server foi desenvolvido.

O diagrama de rede a seguir mostra uma implantação em camadas de data center genérico com a arquitetura de referência do Tableau Server.

Padrões do setor e requisitos de implantação

A seguir estão os recursos de implantações padrão do setor. Estes são os requisitos para os quais a arquitetura de referência foi projetada:

  • Um projeto de rede multicamadas: a rede é limitada por sub-redes protegidas para limitar o acesso em cada camada: camada Web, camada de aplicativo e camada de dados. Nenhuma comunicação é capaz de passar pelas sub-redes, pois toda a comunicação é encerrada na próxima sub-rede.
  • Portas e protocolos bloqueados por padrão: cada subrede ou grupo de segurança bloqueará todas as portas e protocolos de entrada e saída por padrão. A comunicação é habilitada, em parte, abrindo exceções na configuração da porta ou protocolo.
  • Autenticação da Web fora da caixa: as solicitações do usuário da Internet são autenticadas por um módulo de autenticação no proxy reverso no nível da Web. Portanto, todas as solicitações para a camada de aplicativo são autenticadas no nível da Web antes de passar para a camada de aplicativo protegida.
  • Independente de plataforma: a solução pode ser implantada com aplicativos de servidor local ou na nuvem.
  • Agnóstico de tecnologia: a solução pode ser implantada em um ambiente de máquina virtual ou em contêineres. Também pode ser implantada no Windows ou Linux. No entanto, esta versão inicial da arquitetura de referência e da documentação de suporte foi desenvolvida para Linux em execução na AWS.
  • Altamente disponível: todos os componentes do sistema são implantados como um cluster e projetados para operar em uma implantação ativa/ativa ou ativa/passiva
  • Funções em silos: cada servidor desempenha uma função discreta. Esse design particiona todos os servidores de forma que o acesso possa ser minimizado para administradores específicos de serviço. Por exemplo, os DBAs gerenciam PostgreSQL para Tableau, os administradores de identidade gerenciam o módulo de autenticação na camada da Web, os administradores de rede e nuvem permitem o tráfego e a conectividade.
  • Escalonável linearmente: como funções discretas, você pode escalar cada serviço de nível independentemente de acordo com o perfil de carga.
  • Suporte ao cliente: a arquitetura de referência oferece suporte a todos os clientes do Tableau: Tableau Desktop (versões 2021.2 ou posterior), Tableau Mobile e Criação na Web do Tableau.

Medidas de segurança

Conforme declarado, um recurso principal do design de data center padrão da indústria é a segurança.

  • Acesso: cada camada é limitada por uma sub-rede que impõe o controle de acesso na camada de rede usando a filtragem da porta. O acesso à comunicação entre sub-redes também pode ser imposto pela camada de aplicativo com serviços autenticados entre os processos.
  • Integração: a arquitetura é projetada para se conectar ao provedor de identidade (IdP) no proxy reverso no nível da Web.
  • Privacidade: o tráfego no nível da Web é criptografado do cliente com SSL. O tráfego nas sub-redes internas também pode ser criptografado opcionalmente.

Camada de proxy da Web

A camada da Web é uma sub-rede na DMZ (também conhecida como zona de parâmetro) que atua como um buffer de segurança entre a Internet e as sub-redes internas onde os aplicativos são implantados. O nível da Web hospeda servidores proxy reversos que não armazenam informações confidenciais. Os servidores proxy reverso são configurados com um plugin AuthN para pré-autenticar as sessões do cliente com um IdP confiável, antes de redirecionar a solicitação do cliente para o Tableau Server. Para obter mais informações, consulte Pré-autenticação com um módulo AuthN.

Balanceadores de carga

O design de implantação inclui uma solução de balanceamento de carga corporativa na frente dos servidores proxy da Web.

Os balanceadores de carga fornecem melhorias importantes de segurança e desempenho ao

  • Virtualizar a URL de front-end para os serviços da nível de Aplicativos.
  • Aplicar criptografia SSL
  • Descarregar SSL
  • Aplicar compactação entre o cliente e os serviços de nível da Web
  • Proteger contra ataques DOS
  • Fornecer alta disponibilidade

Observação: o Tableau Server versão 2022.1 inclui o Tableau Server Independent Gateway. O Independent Gateway é uma instância autônoma do processo de Gateway do Tableau que funciona como um proxy reverso compatível com o Tableau. No momento do lançamento, o Independent Gateway foi validado, mas não totalmente testado na arquitetura de referência EDG. Após a conclusão do teste completo, o EDG será atualizado com as orientações prescritivas do Tableau Server Independent Gateway.

Nível de aplicativo

O nível de aplicativo está em uma sub-rede que executa a lógica de negócios principal do aplicativo de servidor. O nível de aplicativo consiste em serviços e processos que são configurados em nós distribuídos em um cluster. O nível de aplicativo só pode ser acessada no nível da Web e não pode ser acessado diretamente pelos usuários.

O desempenho e a confiabilidade são aprimorados com a configuração dos processos do aplicativo de forma que os processos com diferentes perfis de uso de recursos (ou seja, uso intensivo de CPU versus uso intensivo de memória) sejam colocados juntos.

Nível de dados

O nível de dados é uma sub-rede que contém dados valiosos. Todo o tráfego para esse nível se origina do nível de aplicativo e, portanto, já está autenticado. Além dos requisitos de acesso na camada de rede com configuração de porta, essa camada deve incluir acesso autenticado e, opcionalmente, o tráfego criptografado com o nível de aplicativo.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!