Del 3 – förbereda för företagsdriftsättning av Tableau Server
Del 3 beskriver kraven som finns för att förbereda infrastrukturen för att driftsätta Tableau Server-referensarkitekturen. Innan du börjar rekommenderar vi att du läser, Del 2 - Förstå Tableau Server driftsättning i referensarkitektur.
Förutom beskrivningar av kraven erbjuder detta avsnitt ett exempel på implementering av referensarkitekturen i en AWS-miljö. Resten av den här guiden bygger på exemplet med AWS-referensarkitekturen som påbörjades i detta avsnitt.
En grundläggande princip för referensarkitekturen är standardisering med bästa praxis för säkerheten i datacenter. Det är arkitekturen som är specifikt designad för att segregera tjänster i skyddade undernät inom nätverket. Kommunikationen mellan subnät är begränsad till specifika protokoll och trafik vid specifika portar.
Följande diagram visar designen på referensarkitekturens undernät för en lokal driftsättning eller en kundhanterad molnbaserad driftsättning. Du kan hitta ett exempel på molnbaserad driftsättning i avsnittet nedan, Exempel: Konfigurera undernät och säkerhetsgrupper i AWS.
Undernät
Skapa tre undernät:
- En webbnivå
- En applikationsnivå
- Ett undernät för data.
Gruppregler för brandväggar/säkerhet
Flikarna nedan beskriver reglerna gällande brandväggar för varje nivå i datacentret. För gruppregler gällande AWS-specifik säkerhet kan du läsa avsnittet längre fram i det här ämnet.
Webbnivån är ett offentligt DMZ-undernät som hanterar inkommande HTTPS-förfrågningar och skicka vidare förfrågningarna till applikationsnivån. En sådan design erbjuder ett lager med försvar mot malware som kan riktas mot organisationen. Webbnivån blockerar åtkomst till applikationen/datanivån.
Trafik | Typ | Protokoll | Portintervall | Källa |
---|---|---|---|---|
Inkommande | SSH | TCP | 22 | Bastion-undernät (för molndriftsättningar) |
Inkommande | HTTP | TCP | 80 | Internet (0.0.0.0/0) |
Inkommande | HTTPS | TCP | 443 | Internet (0.0.0.0/0) |
Utgående | All trafik | Allt | Allt |
Applikationens undernät befinner sig där Tableau Server-driftsättningen finns. Applikationens undernät inkluderar Tableau-programservrarna (nod 1 och nod 2). Tableau-applikationsservrarna bearbetar användarförfrågningar till dataservrarna och kör verksamhetens grundläggande logik.
Applikationens undernät inkluderar även Tableau-dataservrarna (nod 3 och nod 4).
All klienttrafik till applikationsnivån autentiseras på webbnivån. Administrativ åtkomst till applikationens undernät autentiseras och dirigeras genom bastion-värden.
Trafik | Typ | Protokoll | Portintervall | Källa |
---|---|---|---|---|
Inkommande | SSH | TCP | 22 | Bastion-undernät (för molndriftsättningar) |
Inkommande | HTTPS | TCP | 443 | Undernät på webbnivå |
Utgående | All trafik | Allt | Allt |
Dataundernätet finns där PostgreSQL-databasservern finns.
Trafik | Typ | Protokoll | Portintervall | Källa |
---|---|---|---|---|
Inkommande | SSH | TCP | 22 | Bastion-undernät (för molndriftsättningar) |
Inkommande | PostgreSQL | TCP | 5432 | Undernät på applikationsnivå |
Utgående | All trafik | Allt | Allt |
De flesta säkerhetsteamen i företagsklass tillåter inte direkt kommunikation från det lokala administrativa systemet till noderna som är placerade i molnet. Istället fördelas all administrativ SSH-trafik till molnnoderna via en bastion-värd (även kallad en ”hoppserver”). För molnbaserade driftsättningar rekommenderar vi proxyanslutningar via en bastion-värd till alla resurser i referensarkitekturen. Detta är en valfri konfiguration för lokala miljöer.
Bastion-värden autentiserar administrativ åtkomst och tillåter endast trafik över SSH-protokollet.
Trafik | Typ | Protokoll | Portintervall | Källa | Mål |
---|---|---|---|---|---|
Inkommande | SSH | TCP | 22 | IP-adressen till administratörens dator | |
Utgående | SSH | TCP | 22 | Undernät på webbnivå | |
Utgående | SSH | TCP | 22 | Undernät på applikationsnivå |
Exempel: Konfigurera undernät och säkerhetsgrupper i AWS
Det här avsnittet beskriver steg för steg-procedurer till att skapa och konfigurera VPC- och nätverksmiljön för driftsättningen av Tableau Server-referensarkitekturen i AWS.
Bilderna nedan visar referensarkitekturen över fyra lager. Allt eftersom du ser över bilderna placeras komponentelementen på topologikartan i lager:
- Topologin för VPC-undernät och EC2-instanser: en bastion-värd, två omvända proxyservrar, fyra Tableau-servrar och minst en PostgreSQL-server.
- Protokollflöde och internetanslutning. All inkommande trafik hanteras via en AWS-internetgateway. Trafik till internet dirigeras via den NAT som används.
- Tillgänglighetszoner Proxy-, Tableau Server- och PostgreSQL-värdarna är jämnt driftsatta över två tillgänglighetszoner.
- Säkerhetsgrupper. Fyra säkerhetsgrupper (Offentlig, Privat, Data och Bastion) skyddar varje nivå på protokollnivån.
AWS-tillgänglighetszoner och hög tillgänglighet
Referensarkitekturen som visas i den här guiden använder sig av en driftsättning som erbjuder tillgänglighet via redundans när en enskild värd slutar fungera. I instansen där AWS-referensarkitekturen är driftsatt över två tillgänglighetszoner äventyras tillgängligheten, i det mycket sällsynta fallet, då en tillgänglighetszon slutar fungera.
VPC-konfiguration
Det här avsnittet beskriver hur du:
- Installera och konfigurera en VPC
- Konfigurerar internetanslutningen
- Konfigurerar undernät
- Skapar och konfigurerar säkerhetsgrupper
Konfigurera VPC
Proceduren i det här avsnittet mappas till användargränssnittet i den ”klassiska” VPC Experience. Du kan växla så att användargränssnittet visar den klassiska vyn genom att stänga av New VPC Experience i det övre vänstra hörnet av AWS VPC Dashboard.
Kör VPC-guiden för att skapa standardiserade privata och offentliga undernät samt standardiserad routing- och nätverks-ACL.
- Du måste skapa en elastisk IP-adress innan du kan konfigurera en VPC. Skapa en allokering med alla standardinställningar.
- Kör VPC-guiden > ”VPC med offentliga och privata undernät”
- Acceptera de flesta standardinställningar. Förutom följande:
- Ange ett VPC-namn.
- Ange den elastisk IP-adressens allokerings-ID.
- Ange följande CIDR-masker:
- Offentliga undernät med IPv4 CIDR: 10.0.1.0/24, byt namn på detta undernät till
Public-a
. - Privata undernät med IPv4 CIDR: 10.0.30.0/24, byt namn på detta undernät till
Private-a
.
- Offentliga undernät med IPv4 CIDR: 10.0.1.0/24, byt namn på detta undernät till
- Tillgänglighetszon: för båda undernäten ska du välja alternativet a för den region du befinner dig i.
Obs! I det här exemplet använder vi a och b för att skilja mellan tillgänglighetszoner i ett givet AWS-datacenter. I AWS kanske namnen på tillgänglighetszonerna inte matchar exemplen som visas här. Vissa tillgänglighetszoner inkluderar till exempel c- och d-zoner i ett datacenter.
- Klicka på Skapa VPC.
- När en VPC har skapats ska du skapa undernäten
Public-b
,Private-b
,Data
ochBastion
. Klicka på Undernät > Skapa undernät för att skapa ett undernät.Public-b
: För tillgänglighetszon ska du välja alternativet b för den region du befinner dig i. CIDR-block: 10.0.2.0/24Private-b
: För tillgänglighetszon ska du välja alternativet b för den region du befinner dig i. CIDR-block: 10.0.31.0/24Data
: För tillgänglighetszon ska du välja zon a för den region du befinner dig i. CIDR-block: 10.0.50.0/24 Valfritt: Om du planerar att replikera den externa databasen över ett PostgreSQL-kluster ska du skapa ett Data-b-undernät i tillgänglighetszon b med ett CIDR-block om 10.0.51.0/24.Bastion
: Välj endera zon för tillgänglighetszonen. CIDR-block: 10.0.0.0/24
- När undernäten har skapats kan du redigera dirigeringstabellerna på de offentliga- och Bastion-undernäten för att använda de som är konfigurerad för vår associerade internetgateway (IGW). Samt redigera undernäten Offentlig och Data för att använda dirigeringstabellen som är konfigurerad för nätverkets adressöversättare (NAT).
- Klicka på Dirigeringstabeller i AWS-kontrollpanelen för att avgöra vilken dirigeringstabell som är konfigurerad med IGW eller NAT. Välj en av de två länkade dirigeringstabellerna för att öppna sidan Egenskaper. Se målvärdet vid Rutter > Destination > 0.0.0.0/0. Målvärdet skiljer på typen av rutt och börjar antingen med strängen
igw-
ellernat-
. - För att uppdatera dirigeringstabellerna, VPC > Undernät > [subnet_name] > Dirigeringstabell > Redigera dirigeringstabellens association.
- Klicka på Dirigeringstabeller i AWS-kontrollpanelen för att avgöra vilken dirigeringstabell som är konfigurerad med IGW eller NAT. Välj en av de två länkade dirigeringstabellerna för att öppna sidan Egenskaper. Se målvärdet vid Rutter > Destination > 0.0.0.0/0. Målvärdet skiljer på typen av rutt och börjar antingen med strängen
Konfigurera säkerhetsgrupper
VPC-guiden skapar en enda säkerhetsgrupp som inte kommer att användas. Skapa följande säkerhetsgrupper (Säkerhetsgrupper > Skapa säkerhetsgrupp). EC2-värdarna installeras i dessa grupper över två olika tillgänglighetszoner såsom visas på bilddiagrammet ovan.
- Skapa en ny säkerhetsgrupp: Privat. Det är här som alla fyra noder i Tableau Server installeras. Senare under installationsprocessen kopplas den privata säkerhetsgruppen till undernäten 10.0.30.0/24 och 10.0.31.0/24.
- Skapa en ny säkerhetsgrupp: Offentlig. Det är här som proxyservrar installeras. Senare under installationsprocessen kopplas den offentliga säkerhetsgruppen till undernäten 10.0.1.0/24 och 10.0.2.0/24.
- Skapa en ny säkerhetsgrupp: Data. Det är här som PostgreSQL med en extern Tableau-lagringsplats installeras. Senare under installationsprocessen kopplas den data-säkerhetsgruppen till undernätet 10.0.50.0/24 (och alternativt 10.0.51.0/24).
- Skapa en ny säkerhetsgrupp: Bastion. Det är här som bastion-värden ska installeras. Senare under installationsprocessen kopplas bastion-säkerhetsgruppen till undernätet 10.0.0.0/24.
Ange regler för inkommande och utgående trafik
I AWS är säkerhetsgrupper analoga med brandväggar i en lokal miljö. Du måste ange typen av trafik (såsom https, https, osv.), protokoll (TCP eller UDP) och portar eller portintervall (t.ex. 80, 443, osv.) som får komma in och/eller ut ur säkerhetsgruppen. För varje protokoll måste du även ange destinationen eller källtrafiken.
Gruppregler för offentlig säkerhet
Regler för inkommande trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Källa |
HTTP | TCP | 80 | 0.0.0.0/0 |
HTTPS | TCP | 443 | 0.0.0.0/0 |
SSH | TCP | 22 | Bastion-säkerhetsgrupp |
Regler för utgående trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Mål |
All trafik | Allt | Allt | 0.0.0.0/0 |
Gruppregler för privat säkerhet
Den privata säkerhetsgruppen inkluderar en regel för inkommande trafik för att tillåta HTTP-trafik från den offentliga säkerhetsgruppen. Tillåt HTTP-trafik endast under driftsättningen för att verifiera anslutningen. Vi rekommenderar att HTTP-regeln tas bort för inkommande trafik efter att den omvända proxyn har installerats och SSL har konfigurerats till Tableau.
Regler för inkommande trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Källa |
HTTP | TCP | 80 | Offentlig säkerhetsgrupp |
HTTPS | TCP | 443 | Offentlig säkerhetsgrupp |
PostgreSQL | TCP | 5432 | Datasäkerhetsgrupp |
SSH | TCP | 22 | Bastion-säkerhetsgrupp |
All trafik | Allt | Allt | Privat säkerhetsgrupp |
Regler för utgående trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Mål |
All trafik | Allt | Allt | 0.0.0.0/0 |
PostgreSQL | TCP | 5432 | Datasäkerhetsgrupp |
SSH | TCP | 22 | Bastion-säkerhetsgrupp |
Gruppregler för data-säkerhet
Regler för inkommande trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Källa |
PostgreSQL | TCP | 5432 | Privat säkerhetsgrupp |
SSH | TCP | 22 | Bastion-säkerhetsgrupp |
Regler för utgående trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Mål |
All trafik | Allt | Allt | 0.0.0.0/0 |
PostgreSQL | TCP | 5432 | Privat säkerhetsgrupp |
SSH | TCP | 22 | Bastion-säkerhetsgrupp |
Gruppregler för bastion-värd-säkerhet
Regler för inkommande trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Källa |
SSH | TCP | 22 | IP-adressen och nätmasken för den dator som du ska använda för att logga in på AWS (administratörsdatorn). |
SSH | TCP | 22 | Privat säkerhetsgrupp |
SSH | TCP | 22 | Offentlig säkerhetsgrupp |
Regler för utgående trafik | |||
---|---|---|---|
Typ | Protokoll | Portintervall | Mål |
SSH | TCP | 22 | IP-adressen och nätmasken för den dator som du ska använda för att logga in på AWS (administratörsdatorn). |
SSH | TCP | 22 | Privat säkerhetsgrupp |
SSH | TCP | 22 | Offentlig säkerhetsgrupp |
SSH | TCP | 22 | Datasäkerhetsgrupp |
HTTPS | TCP | 443 | 0.0.0.0/0 (Valfritt: skapa den här regeln om du behöver ha åtkomst till internet för att ladda ner programvara som har stöd för bastion-värden) |
Aktivera automatisk tilldelning av offentlig IP-adress
Detta skapar en IP-adress som låter dig ansluta till proxyservrarna och bastion-värden.
För offentliga- och bastion-undernät:
- Välj undernätet
- Under menyn Åtgärder ska du välja ”Ändra inställningar för automatisk tilldelning av IP-adress”.
- Klicka på ”Aktivera automatisk tilldelning av offentliga IPv4-adresser”.
- Klicka på Spara.
Belastningsutjämnare
Obs! Om du installerar i AWS och följer exemplet med driftsättningen, i den här guiden, bör du installera och konfigurera AWS-belastningsutjämnaren senare under driftsättningen. Detta sker enligt beskrivningen i Del 5 – Konfigurera webbnivån.
För lokala driftsättningar bör du kontakta nätverksadministratörerna för att driftsätta belastningsutjämnare som stödjer webbnivån för referensarkitekturen:
- En belastningsutjämnare för webborienterade program som accepterar HTTPS-begäranden från Tableau-klienter och som kommunicerar med de omvända proxyservrarna.
- Omvänd proxy:
- Vi rekommenderar minst två proxyservrar för redundans och för att hantera klientbelastningen.
- Tar emot HTTPS-trafik från belastningsutjämnaren.
- Stöder ihållande sessioner mot Tableau-värden.
- Konfigurera proxy för belastningsutjämning med resursallokering (round robin) för varje Tableau Server som kör gatewayprocessen.
- Hanterar autentiseringsbegäranden från en extern identitetsprovider (IdP).
- Proxy för vidarebefordran: Tableau Server kräver åtkomst till internet för licensierings- och kartfunktioner. Beroende på miljön där din proxy för vidarebefordran är konfigurerad kan du behöva konfigurera dess godkännandelistor för Tableau Service-URL:er. Läs mer i Kommunicera med Internet (Linux(Länken öppnas i ett nytt fönster)).
Konfigurera värddatorer
Minsta rekommenderade hårdvara
Följande rekommendationer baseras på våra tester av verkliga data i referensarkitekturen.
Programservrar:
- CPU: 8 fysiska kärnor (16 virtuella processorer)
- RAM: 128 GB (16 GB/fysisk kärna)
- Diskutrymme: 100 GB
Dataservrar
- CPU: 8 fysiska kärnor (16 virtuella processorer)
- RAM: 128 GB (16 GB/fysisk kärna)
- Diskutrymme: 1 TB. Om driftsättningen ska använda extern lagring för fillagring i Tableau måste du beräkna det lämpliga diskutrymmet. Läs mer i Installera Tableau Server med extern fillagring (Linux(Länken öppnas i ett nytt fönster)).
Proxyservrar
- CPU: 2 fysiska kärnor (4 virtuella processorer)
- RAM: 8 GB (4 GB/fysisk kärna)
- Diskutrymme: 100 GB
Externa lagringsplatser för databasen
- CPU: 8 fysiska kärnor (16 virtuella processorer)
- RAM: 128 GB (16 GB/fysisk kärna)
- Kravet på diskutrymme beror på databelastningen och hur den påverkar säkerhetskopieringen. Läs mer i Säkerhetskopierings- och återställningsprocesser i avsnittet Diskutrymmeskrav (Linux(Länken öppnas i ett nytt fönster)).
Katalogstruktur
Referensarkitekturen rekommenderar Tableau Server-paketet och data installeras på icke-standardplatser:
- Installera paketet på:
/app/tableau_server
: Skapa den här katalogsökvägen innan Tableau Server-paketet installeras och ange den sedan under installationen. - Installera Tableau-data till:
/data/tableau_data
. Skapa inte den här katalogen innan du installerar Tableau Server. Du måste istället ange sökvägen under installationen. Tableau-installationen skapar och ger sedan behörigheter till sökvägen på ett lämpligt sätt.
Se Kör installationspaketet och initiera TSM för information om implementeringen
Exempel: Installera och förbereda värddatorer i AWS
Det här avsnittet förklarar hur du installerar EC2-värdar för varje servertyp i Tableau Server-referensarkitekturen.
Referensarkitekturen kräver åtta värdar:
- Fyra instanser för Tableau Server.
- Två instanser för proxyservrar (Apache).
- Ett exempel för bastion-värden.
- En eller två EC2 PostgreSQL-databasinstanser
Information om värd-instanserna
Installera värddatorer enligt informationen nedan.
Tableau Server
- Amazon Linux 2
- Instanstyp: m5a.8xlarge
- Säkerhetsgrupp-ID: Privat
- Lagring: EBS, 150 GiB, gp2-volymtyp. Om driftsättningen ska använda extern lagring för fillagring i Tableau måste du beräkna det lämpliga diskutrymmet. Läs mer i Installera Tableau Server med extern fillagring (Linux(Länken öppnas i ett nytt fönster)).
- Nätverk: installera två EC2-värdar i varje privata undernät (10.0.30.0/24 och 10.0.31.0/24).
- Kopiera den senaste underhållsversionen av Tableau Server 2021.2 (eller senare) med rpm-paketet, från nedladdningssidan för Tableau(Länken öppnas i ett nytt fönster), till varje Tableau-värd.
Bastion-värd
- Amazon Linux 2
- Instanstyp: t3.micro
- Säkerhetsgrupp-ID: Bastion
- Lagring: EBS, 50 GiB, gp2-volymtyp
- Nätverk: Bastion-undernät 10.0.0.0/24
Oberoende gateway för Tableau Server
- Amazon Linux 2
- Instanstyp: t3.xlarge
- Säkerhetsgrupp-ID: Offentligt
- Lagring: EBS, 100 GiB, gp2-volymtyp
- Nätverk: Installera en EC2-instans i varje offentligt undernät (10.0.1.0/24 och 10.0.2.0/24)
PostgreSQL EC2-värd
- Amazon Linux 2
- Instanstyp: r5.4xlarge
- Säkerhetsgrupp-ID: Data
- Lagring: Kravet på diskutrymme beror på databelastningen och hur den påverkar säkerhetskopieringen. Läs mer i Säkerhetskopierings- och återställningsprocesser i avsnittet Diskutrymmeskrav (Linux(Länken öppnas i ett nytt fönster)).
- Nätverk: data-undernät 10.0.50.0/24. (Om du replikerar PostgreSQL i ett HA-kluster ska du sedan installera den andra värden i undernätet 10.0.51.0/24)
Verifiering: VPC-anslutning
Verifiera nätverkskonfigurationen efter att du har installerat värddatorerna. Verifiera anslutningen mellan värdarna genom att ansluta med SSH från värden i Bastion-säkerhetsgruppen till värdarna i varje undernät.
Exempel: Anslut till en bastion-värd i AWS
Konfigurera administratörsdatorn för en ssh-agent. Detta låter dig ansluta till värdar i AWS utan att placera din privata nyckelfil på EC2-instanserna.
Kör följande kommando för att konfigurera en ssh-agent på en Mac:
ssh-add -K myPrivateKey.pem
eller för det senaste operativsystemet på Mac,ssh-add --apple-use-keychain myPrivateKey.pem
Se avsnittet Anslut säkert till Linux-instanser som körs i en privat Amazon-VPC(Länken öppnas i ett nytt fönster) för Windows.
Kör följande kommando för att ansluta till bastion-värden:
ssh -A ec2-user@<public-IP>
Du kan sedan ansluta till andra värdar i VPC:n från bastion-värden, med den privata IP-adressen, såsom:
ssh -A ec2-user@10.0.1.93