Del 3 – förbereda för företagsdriftsättning av Tableau Server

Del 3 beskriver kraven som finns för att förbereda infrastrukturen för att driftsätta Tableau Server-referensarkitekturen. Innan du börjar rekommenderar vi att du läser, Del 2 - Förstå Tableau Server driftsättning i referensarkitektur.

Förutom beskrivningar av kraven erbjuder detta avsnitt ett exempel på implementering av referensarkitekturen i en AWS-miljö. Resten av den här guiden bygger på exemplet med AWS-referensarkitekturen som påbörjades i detta avsnitt.

En grundläggande princip för referensarkitekturen är standardisering med bästa praxis för säkerheten i datacenter. Det är arkitekturen som är specifikt designad för att segregera tjänster i skyddade undernät inom nätverket. Kommunikationen mellan subnät är begränsad till specifika protokoll och trafik vid specifika portar.

Följande diagram visar designen på referensarkitekturens undernät för en lokal driftsättning eller en kundhanterad molnbaserad driftsättning. Du kan hitta ett exempel på molnbaserad driftsättning i avsnittet nedan, Exempel: Konfigurera undernät och säkerhetsgrupper i AWS.

Undernät

Skapa tre undernät: 

  • En webbnivå
  • En applikationsnivå
  • Ett undernät för data.

Gruppregler för brandväggar/säkerhet

Flikarna nedan beskriver reglerna gällande brandväggar för varje nivå i datacentret. För gruppregler gällande AWS-specifik säkerhet kan du läsa avsnittet längre fram i det här ämnet.

Webbnivån är ett offentligt DMZ-undernät som hanterar inkommande HTTPS-förfrågningar och skicka vidare förfrågningarna till applikationsnivån. En sådan design erbjuder ett lager med försvar mot malware som kan riktas mot organisationen. Webbnivån blockerar åtkomst till applikationen/datanivån.

TrafikTypProtokollPortintervallKälla

Inkommande

SSHTCP22Bastion-undernät (för molndriftsättningar)
InkommandeHTTPTCP80Internet (0.0.0.0/0)
InkommandeHTTPSTCP443Internet (0.0.0.0/0)
UtgåendeAll trafikAlltAllt 

Applikationens undernät befinner sig där Tableau Server-driftsättningen finns. Applikationens undernät inkluderar Tableau-programservrarna (nod 1 och nod 2). Tableau-applikationsservrarna bearbetar användarförfrågningar till dataservrarna och kör verksamhetens grundläggande logik.

Applikationens undernät inkluderar även Tableau-dataservrarna (nod 3 och nod 4).

All klienttrafik till applikationsnivån autentiseras på webbnivån. Administrativ åtkomst till applikationens undernät autentiseras och dirigeras genom bastion-värden.

TrafikTypProtokollPortintervallKälla

Inkommande

SSHTCP22Bastion-undernät (för molndriftsättningar)
InkommandeHTTPSTCP443Undernät på webbnivå
UtgåendeAll trafikAlltAllt 

Dataundernätet finns där PostgreSQL-databasservern finns.

TrafikTypProtokollPortintervallKälla

Inkommande

SSHTCP22Bastion-undernät (för molndriftsättningar)
InkommandePostgreSQLTCP5432Undernät på applikationsnivå
UtgåendeAll trafikAlltAllt 

De flesta säkerhetsteamen i företagsklass tillåter inte direkt kommunikation från det lokala administrativa systemet till noderna som är placerade i molnet. Istället fördelas all administrativ SSH-trafik till molnnoderna via en bastion-värd (även kallad en ”hoppserver”). För molnbaserade driftsättningar rekommenderar vi proxyanslutningar via en bastion-värd till alla resurser i referensarkitekturen. Detta är en valfri konfiguration för lokala miljöer.

Bastion-värden autentiserar administrativ åtkomst och tillåter endast trafik över SSH-protokollet.

TrafikTypProtokollPortintervallKällaMål

Inkommande

SSHTCP22IP-adressen till administratörens dator 
UtgåendeSSHTCP22 Undernät på webbnivå
UtgåendeSSHTCP22 Undernät på applikationsnivå

Exempel: Konfigurera undernät och säkerhetsgrupper i AWS

Det här avsnittet beskriver steg för steg-procedurer till att skapa och konfigurera VPC- och nätverksmiljön för driftsättningen av Tableau Server-referensarkitekturen i AWS.

Bilderna nedan visar referensarkitekturen över fyra lager. Allt eftersom du ser över bilderna placeras komponentelementen på topologikartan i lager:

  1. Topologin för VPC-undernät och EC2-instanser: en bastion-värd, två omvända proxyservrar, fyra Tableau-servrar och minst en PostgreSQL-server.
  2. Protokollflöde och internetanslutning. All inkommande trafik hanteras via en AWS-internetgateway. Trafik till internet dirigeras via den NAT som används.
  3. Tillgänglighetszoner Proxy-, Tableau Server- och PostgreSQL-värdarna är jämnt driftsatta över två tillgänglighetszoner.
  4. Säkerhetsgrupper. Fyra säkerhetsgrupper (Offentlig, Privat, Data och Bastion) skyddar varje nivå på protokollnivån.

AWS-tillgänglighetszoner och hög tillgänglighet

Referensarkitekturen som visas i den här guiden använder sig av en driftsättning som erbjuder tillgänglighet via redundans när en enskild värd slutar fungera. I instansen där AWS-referensarkitekturen är driftsatt över två tillgänglighetszoner äventyras tillgängligheten, i det mycket sällsynta fallet, då en tillgänglighetszon slutar fungera.

VPC-konfiguration

Det här avsnittet beskriver hur du:

  • Installera och konfigurera en VPC
  • Konfigurerar internetanslutningen
  • Konfigurerar undernät
  • Skapar och konfigurerar säkerhetsgrupper

Konfigurera VPC

Proceduren i det här avsnittet mappas till användargränssnittet i den ”klassiska” VPC Experience. Du kan växla så att användargränssnittet visar den klassiska vyn genom att stänga av New VPC Experience i det övre vänstra hörnet av AWS VPC Dashboard.

Kör VPC-guiden för att skapa standardiserade privata och offentliga undernät samt standardiserad routing- och nätverks-ACL.

  1. Du måste skapa en elastisk IP-adress innan du kan konfigurera en VPC. Skapa en allokering med alla standardinställningar.
  2. Kör VPC-guiden > ”VPC med offentliga och privata undernät”
  3. Acceptera de flesta standardinställningar. Förutom följande: 
    • Ange ett VPC-namn.
    • Ange den elastisk IP-adressens allokerings-ID.
    •  Ange följande CIDR-masker:
      • Offentliga undernät med IPv4 CIDR: 10.0.1.0/24, byt namn på detta undernät till Public-a.
      • Privata undernät med IPv4 CIDR: 10.0.30.0/24, byt namn på detta undernät till Private-a.
    • Tillgänglighetszon: för båda undernäten ska du välja alternativet a för den region du befinner dig i.

      Obs! I det här exemplet använder vi a och b för att skilja mellan tillgänglighetszoner i ett givet AWS-datacenter. I AWS kanske namnen på tillgänglighetszonerna inte matchar exemplen som visas här. Vissa tillgänglighetszoner inkluderar till exempel c- och d-zoner i ett datacenter.

  4. Klicka på Skapa VPC.
  5. När en VPC har skapats ska du skapa undernäten Public-b, Private-b, Data och Bastion. Klicka på Undernät > Skapa undernät för att skapa ett undernät.
    • Public-b: För tillgänglighetszon ska du välja alternativet b för den region du befinner dig i. CIDR-block: 10.0.2.0/24

    • Private-b: För tillgänglighetszon ska du välja alternativet b för den region du befinner dig i. CIDR-block: 10.0.31.0/24
    • Data: För tillgänglighetszon ska du välja zon a för den region du befinner dig i. CIDR-block: 10.0.50.0/24 Valfritt: Om du planerar att replikera den externa databasen över ett PostgreSQL-kluster ska du skapa ett Data-b-undernät i tillgänglighetszon b med ett CIDR-block om 10.0.51.0/24.
    • Bastion: Välj endera zon för tillgänglighetszonen. CIDR-block: 10.0.0.0/24
  6. När undernäten har skapats kan du redigera dirigeringstabellerna på de offentliga- och Bastion-undernäten för att använda de som är konfigurerad för vår associerade internetgateway (IGW). Samt redigera undernäten Offentlig och Data för att använda dirigeringstabellen som är konfigurerad för nätverkets adressöversättare (NAT).
    • Klicka på Dirigeringstabeller i AWS-kontrollpanelen för att avgöra vilken dirigeringstabell som är konfigurerad med IGW eller NAT. Välj en av de två länkade dirigeringstabellerna för att öppna sidan Egenskaper. Se målvärdet vid Rutter > Destination > 0.0.0.0/0. Målvärdet skiljer på typen av rutt och börjar antingen med strängen igw- eller nat-.
    • För att uppdatera dirigeringstabellerna, VPCUndernät > [subnet_name] > Dirigeringstabell > Redigera dirigeringstabellens association.

Konfigurera säkerhetsgrupper

VPC-guiden skapar en enda säkerhetsgrupp som inte kommer att användas. Skapa följande säkerhetsgrupper (SäkerhetsgrupperSkapa säkerhetsgrupp). EC2-värdarna installeras i dessa grupper över två olika tillgänglighetszoner såsom visas på bilddiagrammet ovan.

  • Skapa en ny säkerhetsgrupp: Privat. Det är här som alla fyra noder i Tableau Server installeras. Senare under installationsprocessen kopplas den privata säkerhetsgruppen till undernäten 10.0.30.0/24 och 10.0.31.0/24.
  • Skapa en ny säkerhetsgrupp: Offentlig. Det är här som proxyservrar installeras. Senare under installationsprocessen kopplas den offentliga säkerhetsgruppen till undernäten 10.0.1.0/24 och 10.0.2.0/24.
  • Skapa en ny säkerhetsgrupp: Data. Det är här som PostgreSQL med en extern Tableau-lagringsplats installeras. Senare under installationsprocessen kopplas den data-säkerhetsgruppen till undernätet 10.0.50.0/24 (och alternativt 10.0.51.0/24).
  • Skapa en ny säkerhetsgrupp: Bastion. Det är här som bastion-värden ska installeras. Senare under installationsprocessen kopplas bastion-säkerhetsgruppen till undernätet 10.0.0.0/24.

Ange regler för inkommande och utgående trafik

I AWS är säkerhetsgrupper analoga med brandväggar i en lokal miljö. Du måste ange typen av trafik (såsom https, https, osv.), protokoll (TCP eller UDP) och portar eller portintervall (t.ex. 80, 443, osv.) som får komma in och/eller ut ur säkerhetsgruppen. För varje protokoll måste du även ange destinationen eller källtrafiken.

Gruppregler för offentlig säkerhet

Regler för inkommande trafik
TypProtokollPortintervallKälla
HTTPTCP800.0.0.0/0
HTTPSTCP4430.0.0.0/0
SSHTCP22Bastion-säkerhetsgrupp

 

Regler för utgående trafik
TypProtokollPortintervallMål
All trafikAlltAllt0.0.0.0/0

Gruppregler för privat säkerhet

Den privata säkerhetsgruppen inkluderar en regel för inkommande trafik för att tillåta HTTP-trafik från den offentliga säkerhetsgruppen. Tillåt HTTP-trafik endast under driftsättningen för att verifiera anslutningen. Vi rekommenderar att HTTP-regeln tas bort för inkommande trafik efter att den omvända proxyn har installerats och SSL har konfigurerats till Tableau.

Regler för inkommande trafik
TypProtokollPortintervallKälla
HTTPTCP80Offentlig säkerhetsgrupp
HTTPSTCP443Offentlig säkerhetsgrupp
PostgreSQLTCP5432Datasäkerhetsgrupp
SSHTCP22Bastion-säkerhetsgrupp
All trafikAlltAlltPrivat säkerhetsgrupp

 

Regler för utgående trafik
TypProtokollPortintervallMål
All trafikAlltAllt0.0.0.0/0
PostgreSQLTCP5432Datasäkerhetsgrupp
SSHTCP22Bastion-säkerhetsgrupp

Gruppregler för data-säkerhet

Regler för inkommande trafik
TypProtokollPortintervallKälla
PostgreSQLTCP5432Privat säkerhetsgrupp
SSHTCP22Bastion-säkerhetsgrupp

 

Regler för utgående trafik
TypProtokollPortintervallMål
All trafikAlltAllt0.0.0.0/0
PostgreSQLTCP5432Privat säkerhetsgrupp
SSHTCP22Bastion-säkerhetsgrupp

Gruppregler för bastion-värd-säkerhet

Regler för inkommande trafik
TypProtokollPortintervallKälla
SSHTCP22IP-adressen och nätmasken för den dator som du ska använda för att logga in på AWS (administratörsdatorn).
SSHTCP22Privat säkerhetsgrupp
SSHTCP22Offentlig säkerhetsgrupp

 

Regler för utgående trafik
TypProtokollPortintervallMål
SSHTCP22IP-adressen och nätmasken för den dator som du ska använda för att logga in på AWS (administratörsdatorn).
SSHTCP22Privat säkerhetsgrupp
SSHTCP22Offentlig säkerhetsgrupp
SSHTCP22Datasäkerhetsgrupp
HTTPSTCP4430.0.0.0/0 (Valfritt: skapa den här regeln om du behöver ha åtkomst till internet för att ladda ner programvara som har stöd för bastion-värden)

Aktivera automatisk tilldelning av offentlig IP-adress

Detta skapar en IP-adress som låter dig ansluta till proxyservrarna och bastion-värden.

För offentliga- och bastion-undernät:

  1. Välj undernätet
  2. Under menyn Åtgärder ska du välja ”Ändra inställningar för automatisk tilldelning av IP-adress”.
  3. Klicka på ”Aktivera automatisk tilldelning av offentliga IPv4-adresser”.
  4. Klicka på Spara.

Belastningsutjämnare

Obs! Om du installerar i AWS och följer exemplet med driftsättningen, i den här guiden, bör du installera och konfigurera AWS-belastningsutjämnaren senare under driftsättningen. Detta sker enligt beskrivningen i Del 5 – Konfigurera webbnivån.

För lokala driftsättningar bör du kontakta nätverksadministratörerna för att driftsätta belastningsutjämnare som stödjer webbnivån för referensarkitekturen:

  • En belastningsutjämnare för webborienterade program som accepterar HTTPS-begäranden från Tableau-klienter och som kommunicerar med de omvända proxyservrarna.
  • Omvänd proxy: 
    • Vi rekommenderar minst två proxyservrar för redundans och för att hantera klientbelastningen.
    • Tar emot HTTPS-trafik från belastningsutjämnaren.
    • Stöder ihållande sessioner mot Tableau-värden.
    • Konfigurera proxy för belastningsutjämning med resursallokering (round robin) för varje Tableau Server som kör gatewayprocessen.
    • Hanterar autentiseringsbegäranden från en extern identitetsprovider (IdP).
  • Proxy för vidarebefordran: Tableau Server kräver åtkomst till internet för licensierings- och kartfunktioner. Beroende på miljön där din proxy för vidarebefordran är konfigurerad kan du behöva konfigurera dess godkännandelistor för Tableau Service-URL:er. Läs mer i Kommunicera med Internet (Linux(Länken öppnas i ett nytt fönster)).

Konfigurera värddatorer

Minsta rekommenderade hårdvara

Följande rekommendationer baseras på våra tester av verkliga data i referensarkitekturen.

Programservrar:

  • CPU: 8 fysiska kärnor (16 virtuella processorer)
  • RAM: 128 GB (16 GB/fysisk kärna)
  • Diskutrymme: 100 GB

Dataservrar

  • CPU: 8 fysiska kärnor (16 virtuella processorer)
  • RAM: 128 GB (16 GB/fysisk kärna)
  • Diskutrymme: 1 TB. Om driftsättningen ska använda extern lagring för fillagring i Tableau måste du beräkna det lämpliga diskutrymmet. Läs mer i Installera Tableau Server med extern fillagring (Linux(Länken öppnas i ett nytt fönster)).

Proxyservrar

  • CPU: 2 fysiska kärnor (4 virtuella processorer)
  • RAM: 8 GB (4 GB/fysisk kärna)
  • Diskutrymme: 100 GB

Externa lagringsplatser för databasen

  • CPU: 8 fysiska kärnor (16 virtuella processorer)
  • RAM: 128 GB (16 GB/fysisk kärna)
  • Kravet på diskutrymme beror på databelastningen och hur den påverkar säkerhetskopieringen. Läs mer i Säkerhetskopierings- och återställningsprocesser i avsnittet Diskutrymmeskrav (Linux(Länken öppnas i ett nytt fönster)).

Katalogstruktur

Referensarkitekturen rekommenderar Tableau Server-paketet och data installeras på icke-standardplatser:

  • Installera paketet på: /app/tableau_server: Skapa den här katalogsökvägen innan Tableau Server-paketet installeras och ange den sedan under installationen.
  • Installera Tableau-data till: /data/tableau_data. Skapa inte den här katalogen innan du installerar Tableau Server. Du måste istället ange sökvägen under installationen. Tableau-installationen skapar och ger sedan behörigheter till sökvägen på ett lämpligt sätt.

Se Kör installationspaketet och initiera TSM för information om implementeringen

Exempel: Installera och förbereda värddatorer i AWS

Det här avsnittet förklarar hur du installerar EC2-värdar för varje servertyp i Tableau Server-referensarkitekturen.

Referensarkitekturen kräver åtta värdar:

  • Fyra instanser för Tableau Server.
  • Två instanser för proxyservrar (Apache).
  • Ett exempel för bastion-värden.
  • En eller två EC2 PostgreSQL-databasinstanser

Information om värd-instanserna

Installera värddatorer enligt informationen nedan.

Tableau Server

  • Amazon Linux 2
  • Instanstyp: m5a.8xlarge
  • Säkerhetsgrupp-ID: Privat
  • Lagring: EBS, 150 GiB, gp2-volymtyp. Om driftsättningen ska använda extern lagring för fillagring i Tableau måste du beräkna det lämpliga diskutrymmet. Läs mer i Installera Tableau Server med extern fillagring (Linux(Länken öppnas i ett nytt fönster)).
  • Nätverk: installera två EC2-värdar i varje privata undernät (10.0.30.0/24 och 10.0.31.0/24).
  • Kopiera den senaste underhållsversionen av Tableau Server 2021.2 (eller senare) med rpm-paketet, från nedladdningssidan för Tableau(Länken öppnas i ett nytt fönster), till varje Tableau-värd.

Bastion-värd

  • Amazon Linux 2
  • Instanstyp: t3.micro
  • Säkerhetsgrupp-ID: Bastion
  • Lagring: EBS, 50 GiB, gp2-volymtyp
  • Nätverk: Bastion-undernät 10.0.0.0/24

Oberoende gateway för Tableau Server

  • Amazon Linux 2
  • Instanstyp: t3.xlarge
  • Säkerhetsgrupp-ID: Offentligt
  • Lagring: EBS, 100 GiB, gp2-volymtyp
  • Nätverk: Installera en EC2-instans i varje offentligt undernät (10.0.1.0/24 och 10.0.2.0/24)

PostgreSQL EC2-värd

  • Amazon Linux 2
  • Instanstyp: r5.4xlarge
  • Säkerhetsgrupp-ID: Data
  • Lagring: Kravet på diskutrymme beror på databelastningen och hur den påverkar säkerhetskopieringen. Läs mer i Säkerhetskopierings- och återställningsprocesser i avsnittet Diskutrymmeskrav (Linux(Länken öppnas i ett nytt fönster)).
  • Nätverk: data-undernät 10.0.50.0/24. (Om du replikerar PostgreSQL i ett HA-kluster ska du sedan installera den andra värden i undernätet 10.0.51.0/24)

Verifiering: VPC-anslutning

Verifiera nätverkskonfigurationen efter att du har installerat värddatorerna. Verifiera anslutningen mellan värdarna genom att ansluta med SSH från värden i Bastion-säkerhetsgruppen till värdarna i varje undernät.

Exempel: Anslut till en bastion-värd i AWS

  1. Konfigurera administratörsdatorn för en ssh-agent. Detta låter dig ansluta till värdar i AWS utan att placera din privata nyckelfil på EC2-instanserna.

    Kör följande kommando för att konfigurera en ssh-agent på en Mac:

    ssh-add -K myPrivateKey.pem eller för det senaste operativsystemet på Mac, ssh-add --apple-use-keychain myPrivateKey.pem

    Se avsnittet Anslut säkert till Linux-instanser som körs i en privat Amazon-VPC(Länken öppnas i ett nytt fönster) för Windows.


  2. Kör följande kommando för att ansluta till bastion-värden:

    ssh -A ec2-user@<public-IP>

  3. Du kan sedan ansluta till andra värdar i VPC:n från bastion-värden, med den privata IP-adressen, såsom:

    ssh -A ec2-user@10.0.1.93

Tack för din feedback!Din feedback har skickats in. Tack!