ส่วนที่ 1 - การทำความเข้าใจเกี่ยวกับการปรับใช้ทั่วทั้งองค์กร
ส่วนที่ 1 จะอธิบายรายละเอียดเพิ่มเติมเกี่ยวกับฟีเจอร์และข้อกำหนดในการปรับใช้ทั่วทั้งองค์กรที่เป็นมาตรฐานอุตสาหกรรม ซึ่งสร้างคู่มือการนำ Tableau Server ไปใช้งานในองค์กร
แผนภาพเครือข่ายต่อไปนี้แสดงการปรับใช้ศูนย์ข้อมูลทั่วไปแบบแบ่งระดับด้วยสถาปัตยกรรมอ้างอิงของ Tableau Server
มาตรฐานอุตสาหกรรมและข้อกำหนดในการปรับใช้
ต่อไปนี้คือฟีเจอร์ของการปรับใช้มาตรฐานอุตสาหกรรม นี่คือข้อกำหนดที่สร้างไว้สำหรับสถาปัตยกรรมอ้างอิง
- การออกแบบเครือข่ายแบบหลายเลเยอร์ เครือข่ายจะเชื่อมโยงไว้กับซับเน็ตที่ได้รับการป้องกันเพื่อจำกัดการเข้าถึงในแต่ละเลเยอร์: เลเยอร์เว็บ เลเยอร์แอปพลิเคชัน และเลเยอร์ข้อมูล ไม่มีการสื่อสารใดสามารถส่งผ่านซับเน็ตได้เนื่องจากการสื่อสารทั้งหมดจะสิ้นสุดลงที่ซับเน็ตถัดไป
- บล็อกพอร์ตและโปรโตคอลตามค่าเริ่มต้น: แต่ละซับเน็ตหรือกลุ่มความปลอดภัยจะบล็อกพอร์ตและโปรโตคอลขาเข้าและขาออกทั้งหมดตามค่าเริ่มต้น การสื่อสารจะเปิดใช้งานบางส่วนโดยการเปิดข้อยกเว้นในการกำหนดค่าพอร์ตหรือโปรโตคอล
- การตรวจสอบสิทธิของเว็บที่พร้อมใช้งานทันที: คำขอของผู้ใช้จากอินเทอร์เน็ตจะได้รับการตรวจสอบสิทธิโดยโมดูลการตรวจสอบสิทธิบนพร็อกซีแบบย้อนกลับในระดับเว็บ ดังนั้น คำขอทั้งหมดที่ส่งไปยังชั้นแอปพลิเคชันจะได้รับการตรวจสอบสิทธิที่ระดับเว็บก่อนที่จะส่งผ่านไปยังเลเยอร์แอปพลิเคชันที่ได้รับการป้องกัน
- เป็นอิสระจากแพลตฟอร์ม: โซลูชันสามารถปรับใช้ได้กับแอปพลิเคชันเซิร์ฟเวอร์ภายในองค์กรหรือในระบบคลาวด์ได้
- ไม่ขึ้นอยู่กับเทคโนโลยี: โซลูชันสามารถปรับใช้ได้ในสภาพแวดล้อมเครื่องเสมือนหรือในคอนเทนเนอร์ และอาจนำไปปรับใช้บน Windows หรือ Linux ได้ด้วยเช่นกัน อย่างไรก็ตาม สถาปัตยกรรมอ้างอิงเวอร์ชันเริ่มต้นและเอกสารสนับสนุนนี้ได้รับการพัฒนาสำหรับ Linux ที่ทำงานใน AWS
- พร้อมใช้งานสูง: ส่วนประกอบทั้งหมดในระบบจะมีการปรับใช้เป็นคลัสเตอร์และออกแบบมาเพื่อทำงานในการปรับใช้แบบแอคทีฟ/แอคทีฟหรือแบบแอคทีฟ/พาสซีฟ
- บทบาทแบบกระจาย: แต่ละเซิร์ฟเวอร์จะมีบทบาทแบบแยกกัน การออกแบบนี้จะแบ่งเซิร์ฟเวอร์ทั้งหมด โดยที่อาจลดการเข้าถึงสำหรับผู้ดูแลระบบเฉพาะบริการให้น้อยที่สุด ตัวอย่างเช่น DBA จัดการ PostgreSQL สำหรับ Tableau, ผู้ดูแลระบบข้อมูลประจำตัวจัดการโมดูลการตรวจสอบสิทธิในระดับเว็บ, ผู้ดูแลระบบเครือข่ายและระบบคลาวด์เปิดใช้งานการรับส่งข้อมูลและการเชื่อมต่อ
- ปรับขนาดแบบเชิงเส้น: คุณสามารถปรับขนาดบริการแต่ละระดับได้อย่างอิสระตามโปรไฟล์จำนวนงานเป็นบทบาทแบบแยกกัน
- การสนับสนุนไคลเอ็นต์: สถาปัตยกรรมอ้างอิงรองรับไคลเอ็นต์ Tableau ทั้งหมด Tableau Desktop (เวอร์ชัน 2021.2 ขึ้นไป), Tableau Mobile และ Tableau Web Authoring
มาตรการรักษาความปลอดภัย
ตามที่ระบุไว้ ฟีเจอร์หลักของการออกแบบศูนย์ข้อมูลมาตรฐานอุตสาหกรรมคือการรักษาความปลอดภัย
- การเข้าถึง: แต่ละระดับจะเชื่อมโยงกับเครือซับเน็ตที่ใช้การกรองพอร์ตเพื่อกำหนดการควบคุมการเข้าถึงที่เลเยอร์เครือข่าย เลเยอร์แอปพลิเคชันยังอาจบังคับใช้การเข้าถึงการสื่อสารระหว่างซับเน็ตผ่านบริการที่ได้รับการตรวจสอบสิทธิระหว่างกระบวนการ
- การผสานการทำงาน: สถาปัตยกรรมออกแบบมาเพื่อทำงานร่วมกับผู้ให้บริการข้อมูลประจำตัว (IdP) บนพร็อกซีแบบย้อนกลับในระดับเว็บ
- ความเป็นส่วนตัว: การรับส่งข้อมูลในระดับเว็บจะได้รับการเข้ารหัสจากไคลเอนต์ด้วย SSL การรับส่งข้อมูลในซับเน็ตภายในอาจมีการเข้ารหัสด้วยเช่นกัน
ระดับเว็บพร็อกซี
ระดับเว็บคือซับเน็ตใน DMZ (เรียกอีกอย่างว่า Perimeter Zone) ที่ทำหน้าที่เป็นบัฟเฟอร์ความปลอดภัยระหว่างอินเทอร์เน็ตกับซับเน็ตภายในที่มีการปรับใช้แอปพลิเคชัน ระดับเว็บจะโฮสต์เซิร์ฟเวอร์พร็อกซีแบบย้อนกลับที่ไม่ได้จัดเก็บข้อมูลที่ละเอียดอ่อนใดๆ เซิร์ฟเวอร์พร็อกซีแบบย้อนกลับจะได้รับการกำหนดค่าด้วยปลั๊กอิน AuthN เพื่อตรวจสอบสิทธิล่วงหน้าสำหรับเซสชันของไคลเอ็นต์ด้วย IdP ที่เชื่อถือได้ ก่อนที่จะเปลี่ยนเส้นทางคำขอของไคลเอ็นต์ไปยัง Tableau Server หากต้องการข้อมูลเพิ่มเติม โปรดดูการตรวจสอบสิทธิ์ล่วงหน้าด้วยโมดูล AuthN
ตัวจัดสรรภาระงาน
การออกแบบการปรับใช้จะมีโซลูชันการจัดสรรภาระงานขององค์กรที่ด้านหน้าของเซิร์ฟเวอร์พร็อกซีแบบย้อนกลับ
ตัวจัดสรรภาระงานจะให้การรักษาความปลอดภัยและการปรับปรุงประสิทธิภาพที่สำคัญ โดย
- การจำลอง URL ส่วนหน้าสำหรับบริการระดับแอปพลิเคชัน
- การบังคับใช้การเข้ารหัส SSL
- การออฟโหลด SSL
- การบังคับใช้การบีบอัดระหว่างไคลเอนต์กับบริการระดับเว็บ
- การป้องกันการโจมตีแบบ DOS
- ให้ความพร้อมใช้งานสูง
หมายเหตุ: Tableau Server เวอร์ชัน 2022.1 มีเกตเวย์อิสระของ Tableau Server เกตเวย์อิสระคืออินสแตนซ์แบบสแตนด์อโลนของกระบวนการเกตเวย์ของ Tableau ที่ทำหน้าที่เป็นพร็อกซีแบบย้อนกลับแบบคำนึงถึง Tableau เกตเวย์อิสระได้รับการตรวจสอบแล้ว ณ เวลาที่เผยแพร่ แต่ยังไม่ได้รับการทดสอบอย่างสมบูรณ์ในสถาปัตยกรรมอ้างอิง EDG เมื่อทดสอบเต็มรูปแบบเสร็จสิ้นแล้ว EDG จะได้รับการอัปเดตด้วยคำแนะนำที่กำหนดไว้สำหรับเกตเวย์อิสระของ Tableau Server
ระดับแอปพลิเคชัน
ระดับแอปพลิเคชันอยู่ในซับเน็ตที่เรียกใช้ตรรกะทางธุรกิจหลักของแอปพลิเคชันเซิร์ฟเวอร์ ระดับแอปพลิเคชันประกอบด้วยบริการและกระบวนการที่มีการกำหนดค่าข้ามโหนดแบบกระจายในคลัสเตอร์ ระดับแอปพลิเคชันสามารถเข้าถึงได้จากระดับเว็บเท่านั้นและผู้ใช้ไม่สามารถเข้าถึงได้โดยตรง
ประสิทธิภาพและความน่าเชื่อถือสามารถเพิ่มมากขึ้นได้โดยการกำหนดค่ากระบวนการของแอปพลิเคชันเพื่อให้กระบวนการที่มีโปรไฟล์การใช้ทรัพยากรที่ต่างกัน (เช่น แบบใช้ CPU กับแบบใช้หน่วยความจำ) ใช้ร่วมกันได้
ระดับข้อมูล
ระดับข้อมูลเป็นซับเน็ตที่เก็บข้อมูลที่มีค่า เนื่องจากการรับส่งข้อมูลทั้งหมดไปยังระดับนี้เริ่มต้นจากระดับแอปพลิเคชัน จึงเท่ากับว่าได้รับการตรวจสอบสิทธิแล้ว นอกเหนือจากข้อกำหนดการเข้าถึงที่เลเยอร์เครือข่ายที่มีการกำหนดค่าพอร์ตแล้ว เลเยอร์นี้ควรรวมถึงการเข้าถึงที่ได้รับการตรวจสอบสิทธิและการรับส่งข้อมูลที่เข้ารหัสด้วยตัวเลือกระดับแอปพลิเคชัน