ส่วนที่ 3 - การเตรียมการปรับใช้ทั่วทั้งองค์กร Tableau Server

ส่วนที่ 3 นี้อธิบายถึงข้อกำหนดเกี่ยวกับการเตรียมการปรับใช้สถาปัตยกรรมอ้างอิง Tableau Server ก่อนที่คุณจะเริ่มต้น เราแนะนำให้คุณดูส่วนที่ 2 - ทำความเข้าใจสถาปัตยกรรมอ้างอิงการปรับใช้ Tableau Server

นอกจากอธิบายเกี่ยวกับข้อกำหนดแล้ว หัวข้อนี้จะยกตัวอย่างการนำสถาปัตยกรรมอ้างอิงไปปรับใช้ในสภาพแวดล้อม AWS อีกด้วย โดยส่วนที่เหลือของคู่มือนี้จะอิงถึงตัวอย่างสถาปัตยกรรมอ้างอิง AWS ที่เริ่มต้นหยิบยกในหัวข้อนี้

หลักการสำคัญของสถาปัตยกรรมอ้างอิงนี้คือการจัดมาตรฐานด้วยแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของศูนย์ข้อมูล โดยเฉพาะอย่างยิ่งสถาปัตยกรรมที่ออกแบบมาเพื่อแยกบริการออกเป็นส่วนๆ ไปยังซับเน็ตเครือข่ายที่มีการป้องกัน การสื่อสารข้ามซับเน็ตจะถูกจำกัดให้ใช้ได้เฉพาะกับบางโปรโตคอลและทราฟฟิกพอร์ตเท่านั้น

แผนภาพต่อไปนี้จะแสดงซับเน็ตสถาปัตยกรรมอ้างอิงที่ออกแบบมาเพื่อการปรับใช้ในองค์กรหรือการปรับใช้ระบบคลาวด์ที่จัดการโดยลูกค้า หากต้องการดูตัวอย่างการปรับใช้ระบบคลาวด์ โปรดไปที่ส่วนตัวอย่าง: การกำหนดค่าซับเน็ตและกลุ่มความปลอดภัยใน AWS ด้านล่าง

ซับเน็ต

สร้างสามซับเน็ต: 

  • ระดับเว็บ
  • ระดับแอปพลิเคชัน
  • ซับเน็ตข้อมูล

กฎของกลุ่มไฟร์วอลล์/ความปลอดภัย

แท็บด้านล่างนี้จะอธิบายถึงกฎไฟร์วอลล์ของแต่ละระดับในศูนย์ข้อมูล ทั้งนี้ กฎของกลุ่มความปลอดภัยสำหรับ AWS โดยเฉพาะจะอธิบายอยู่ในส่วนต่อๆ ไปของหัวข้อนี้

ระดับเว็บเป็นซับเน็ต DMZ สาธารณะที่จะรับมือกับคำขอ HTTPS ขาเข้าและทำพร็อกซีคำขอไปยังระดับแอปพลิเคชัน การออกแบบนี้จะมอบเลเยอร์การป้องกันจากมัลแวร์ที่อาจวางเป้าจู่โจมองค์กรของคุณ ระดับเว็บจะบล็อกการเข้าถึงไปยังระดับแอปพลิเคชัน/ข้อมูล

การเข้าชมประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มา

ขาเข้า

SSHTCP22ซับเน็ต Bastion (สำหรับการปรับใช้ระบบคลาวด์)
ขาเข้าHTTPTCP80อินเทอร์เน็ต (0.0.0.0/0)
ขาเข้าHTTPSTCP443อินเทอร์เน็ต (0.0.0.0/0)
ขาออกการเข้าชมทั้งหมดทั้งหมดทั้งหมด 

ซับเน็ตแอปพลิเคชันคือจุดที่การปรับใช้ Tableau Server ตั้งอยู่ ซับเน็ตแอปพลิเคชันประกอบด้วยเซิร์ฟเวอร์แอปพลิเคชัน Tableau (โหนด 1 และโหนด 2) เซิร์ฟเวอร์แอปพลิเคชัน Tableau ประมวลผลคำขอของผู้ใช้ไปยังเซิร์ฟเวอร์ข้อมูลและเรียกใช้ตรรกะธุรกิจหลัก

นอกจากนี้ซับเน็ตแอปพลิเคชันยังประกอบด้วยเซิร์ฟเวอร์ข้อมูล Tableau (โหนด 3 และโหนด 4)

ทราฟฟิกไคลเอ็นต์ทั้งหมดที่ไปยังระดับแอปพลิเคชันจะถูกตรวจสอบสิทธิ์ที่ระดับเว็บ การเข้าถึงสำหรับดูแลระบบไปยังซับเน็ตแอปพลิเคชันจะถูกตรวจสอบสิทธิ์และเดินเส้นทางผ่านโฮสต์ Bastion

การเข้าชมประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มา

ขาเข้า

SSHTCP22ซับเน็ต Bastion (สำหรับการปรับใช้ระบบคลาวด์)
ขาเข้าHTTPSTCP443ซับเน็ตระดับเว็บ
ขาออกการเข้าชมทั้งหมดทั้งหมดทั้งหมด 

ซับเน็ตข้อมูลคือจุดที่เซิร์ฟเวอร์ฐานข้อมูล PostgreSQL ภายนอกตั้งอยู่

การเข้าชมประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มา

ขาเข้า

SSHTCP22ซับเน็ต Bastion (สำหรับการปรับใช้ระบบคลาวด์)
ขาเข้าPostgreSQLTCP5432ซับเน็ตระดับแอปพลิเคชัน
ขาออกการเข้าชมทั้งหมดทั้งหมดทั้งหมด 

ทีมรักษาความปลอดภัยขององค์กรส่วนใหญ่ไม่อนุญาตให้สื่อสารโดยตรงจากระบบการดูแลในองค์กรไปยังโหนดที่ปรับใช้ในระบบคลาวด์ แต่ SSH สำหรับดูแลระบบทั้งหมดที่มีทราฟฟิกไปยังโหนดระบบคลาวด์จะถูกทำพร็อกซีผ่านโฮสต์ Bastion (หรือเรียกอีกอย่างว่า "จัมป์เซิร์ฟเวอร์") แทน สำหรับการปรับใช้ระบบคลาวด์ เราแนะนำการเชื่อมต่อพร็อกซีโฮสต์ Bastion ไปยังทรัพยากรทั้งหมดในสถาปัตยกรรมอ้างอิง นี่เป็นการกำหนดค่าที่ไม่บังคับสำหรับสภาพแวดล้อมในองค์กร

โฮสต์ Bastion จะตรวจสอบสิทธิ์การเข้าถึงสำหรับดูแลระบบและอนุญาตทราฟฟิกผ่านโปรโตคอล SSH เท่านั้น

การเข้าชมประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มาปลายทาง

ขาเข้า

SSHTCP22ที่อยู่ IP คอมพิวเตอร์ผู้ดูแลระบบ 
ขาออกSSHTCP22 ซับเน็ตระดับเว็บ
ขาออกSSHTCP22 ซับเน็ตระดับแอปพลิเคชัน

ตัวอย่าง: การกำหนดค่าซับเน็ตและกลุ่มความปลอดภัยใน AWS

ส่วนนี้จะอธิบายกระบวนการแบบทีละขั้นตอนในการสร้างและกำหนดค่า VPC และสภาพแวดล้อมเครือข่ายสำหรับการปรับใช้สถาปัตยกรรมอ้างอิง Tableau Server ใน AWS

สไลด์ต่างๆ ด้านล่างนี้จะแสดงสถาปัตยกรรมอ้างอิงในเลเยอร์ต่างๆ ทั้งหมดสี่เลเยอร์ เมื่อคุณไล่ดูสไลด์ไปเรื่อยๆ องค์ประกอบส่วนต่างๆ จะซ้อนกันเป็นแผนที่โทโพโลยี:

  1. โทโพโลยีซับเน็ต VPC และอินสแตนซ์ EC2: หนึ่งโฮสต์ Bastion, สองเซิร์ฟเวอร์พร็อกซีแบบย้อนกลับ, สี่เซิร์ฟเวอร์ Tableau และอย่างน้อยหนึ่งเซิร์ฟเวอร์ PostgreSQL
  2. โฟลว์โปรโตคอลและการเชื่อมต่ออินเทอร์เน็ต ทราฟฟิกขาเข้าทั้งหมดจะถูกจัดการผ่านเกตเวย์อินเทอร์เน็ต AWS ทราฟฟิกไปยังอินเทอร์เน็ตจะถูกเดินเส้นทางผ่าน NAT
  3. โซนความพร้อมใช้งาน โฮสต์พร็อกซี, Tableau Server และ PostgreSQL จะถูกปรับใช้อย่างเท่าๆ กันในทั่วทั้งโซนความพร้อมใช้งาน
  4. กลุ่มความปลอดภัย สี่กลุ่มความปลอดภัย (สาธารณะ ส่วนตัว ข้อมูล และ Bastion) จะปกป้องแต่ละระดับที่ชั้นโปรโตคอล

โซนความพร้อมใช้งานของ AWS และความพร้อมใช้งานสูง

สถาปัตยกรรมอ้างอิงที่แสดงในคู่มือนี้เป็นแบบเจาะจงสำหรับการปรับใช้ที่มอบความพร้อมใช้งานผ่านการทำซ้ำซ้อนเมื่อมีโฮสต์ใดโฮสต์หนึ่งล้มเหลว อย่างไรก็ตาม ในกรณีของ AWS ซึ่งปรับใช้สถาปัตยกรรมอ้างอิงแบบทั่วโซนความพร้อมใช้งานทั้งสอง ความพร้อมใช้งานจะถูกลดทอนเมื่อโซนความพร้อมใช้งานล้มเหลว ซึ่งเกิดขึ้นได้ยากมาก

การกำหนดค่า VPC

ส่วนนี้อธิบายวิธี:

  • การติดตั้งและกำหนดค่า VPC
  • กำหนดค่าการเชื่อมต่ออินเทอร์เน็ต
  • กำหนดค่าซับเน็ต
  • สร้างและกำหนดค่ากลุ่มความปลอดภัย

กำหนดค่า VPC

กระบวนการในส่วนนี้จะแมปกับ UI ในประสบการณ์ VPC แบบ “คลาสสิก” คุณสามารถสลับเปิดปิด UI เพื่อให้แสดงมุมมองคลาสสิกได้ด้วยการปิดประสบการณ์ VPC ใหม่ที่มุมซ้ายบนของ AWS VPC Dashboard

เรียกใช้ตัวช่วย VPC เพื่อสร้างค่าเริ่มต้นสำหรับซับเน็ตส่วนตัวและสาธารณะ และค่าเริ่มต้นสำหรับการเดินเส้นทางและวางเครือข่าย ACL

  1. ก่อนจะกำหนดค่า VPC คุณต้องสร้าง Elastic IP เสียก่อน สร้างการจัดสรรโดยใช้ค่าเริ่มต้นทั้งหมด
  2. เรียกใช้ตัวช่วย VPC > "VPC พร้อมซับเน็ตสาธารณะและส่วนตัว"
  3. ยอมรับค่าเริ่มต้นเกือบทั้งหมด ยกเว้นรายการต่อไปนี้: 
    • ป้อนชื่อ VPC
    • ระบุ ID การจัดสรร Elastic IP
    •  ระบุมาสก์ CIDR ต่อไปนี้:
      • เผยแพร่ IPv4 CIDR: 10.0.1.0/24 ของซับเน็ต โดยเปลี่ยนชื่อซับเน็ตนี้เป็น Public-a
      • ทำให้ IPv4 CIDR: 10.0.30.0/24 ของซับเน็ตเป็นส่วนตัว โดยเปลี่ยนชื่อซับเน็ตนี้เป็น Private-a
    • โซนความพร้อมใช้งาน: สำหรับทั้งสองซับเน็ต เลือกตัวเลือก a สำหรับภูมิภาคที่คุณพำนักอยู่ในเวลานี้

      หมายเหตุ: เพื่อวัตถุประสงค์ในการยกตัวอย่างนี้ เราจะใช้ a และ b เพื่อแยกความแตกต่างระหว่างโซนความพร้อมใช้งานทั้งสองในศูนย์ข้อมูล AWS ที่กำหนด ใน AWS ชื่อโซนความพร้อมใช้งานอาจไม่ตรงกับตัวอย่างที่แสดงในที่นี้ ตัวอย่างเช่น โซนความพร้อมใช้งานบางโซนอาจประกอบด้วยโซน c และ d ภายในศูนย์ข้อมูล

  4. คลิกสร้าง VPC
  5. หลังจากที่สร้าง VPC แล้ว ให้สร้างซับเน็ต Public-b, Private-b, Data และ Bastion หากตองการสร้างซับเน็ต ให้คลิก ซับเน็ต > สร้างซับเน็ต
    • Public-b: สำหรับโซนความพร้อมใช้งาน ให้เลือกตัวเลือก b สำหรับภูมิภาคที่คุณพำนักอยู่ บล็อก CIDR: 10.0.2.0/24

    • Private-b: สำหรับโซนความพร้อมใช้งาน ให้เลือกตัวเลือก b สำหรับภูมิภาคที่คุณพำนักอยู่ บล็อก CIDR: 10.0.31.0/24
    • Data: สำหรับโซนความพร้อมใช้งาน ให้เลือกโซน a สำหรับภูมิภาคที่คุณพำนักอยู่ บล็อก CIDR: 10.0.50.0/24 ไม่บังคับ: หากคุณวางแผนที่จะทำซ้ำฐานข้อมูลภายนอกทั่วทั้งคลัสเตอร์ PostgreSQL หนึ่ง ให้สร้างซับเน็ตข้อมูล b ในโซนความพร้อมใช้งาน b โดยที่บล็อก CIDR เป็น 10.0.51.0/24
    • Bastion: สำหรับโซนความพร้อมใช้งาน ให้เลือกโซนใดโซนหนึ่ง บล็อก CIDR: 10.0.0.0/24
  6. หลังจากที่สร้างซับเน็ตแล้ว ให้แก้ไขตารางเส้นทางบนซับเน็ตสาธารณะและ Bastion เพื่อใช้ตารางเส้นทางที่กำหนดค่ามาเพื่อเกตเวย์อินเทอร์เน็ตที่เชื่อมโยง (IGW) จากนั้นแก้ไขซับเน็ตส่วนตัวและข้อมูลเพื่อให้ใช้ตารางเส้นทางที่กำหนดค่ามาเพื่อตัวแปลการเข้าถึงเครือข่าย (NAT)
    • เพื่อพิจารณาว่าตารางเส้นทางใดที่ผ่านการกำหนดค่ามาสำหรับ IGW หรือ NAT ให้คลิกตารางเส้นทางในแดชบอร์ด AWS เลือกหนึ่งในสองลิงก์ตารางเส้นทางเพื่อเปิดหน้าพร็อพเพอร์ตี้ ดูค่าเป้าหมายที่ เส้นทาง> ปลายทาง> 0.0.0.0/0 ค่าเป้าหมายจะช่วยให้แยกความแตกต่างระหว่างประเภทของเส้นทางได้ และจะขึ้นต้นด้วยสตริง igw- หรือ nat-
    • หากต้องการอัปเดตตารางเส้นทาง ให้ไปที่ VPCซับเน็ต > [subnet_name] > ตารางเส้นทาง > แก้ไขการเชื่อมโยงตารางเส้นทาง

กำหนดค่ากลุ่มความปลอดภัย

ตัวช่วย VPC จะสร้างกลุ่มความปลอดภัยหนึ่งขึ้นมาซึ่งเป็นกลุ่มที่คุณจะไม่ได้ใช้ สร้างกลุ่มความปลอดภัยต่อไปนี้ (กลุ่มความปลอดภัยสร้างกลุ่มความปลอดภัย) โฮสต์ EC2 จะถูกติดตั้งลงในกลุ่มเหล่านี้ทั่วโซนความพร้อมใช้งานทั้งสอง ดังที่แสดงในแผนภาพสไลด์ด้านบน

  • สร้างกลุ่มความปลอดภัยใหม่: ส่วนตัว นี่คือจุดที่จะติดตั้งโหนดทั้ง 4 โหนดของ Tableau Server ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัยแบบส่วนตัวจะถูกเชื่อมโยงกับซับเน็ต 10.0.30.0/24 และ 10.0.31.0/24
  • สร้างกลุ่มความปลอดภัยใหม่: สาธารณะ นี่คือจุดที่จะติดตั้งเซิร์ฟเวอร์พร็อกซี ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัยแบบสาธารณะจะถูกเชื่อมโยงกับซับเน็ต 10.0.1.0/24 และ 10.0.2.0/24
  • สร้างกลุ่มความปลอดภัยใหม่: ข้อมูล นี่คือจุดที่จะติดตั้งที่เก็บภายนอกของ Tableau สำหรับ PostgreSQL ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัยแบบข้อมูลจะถูกเชื่อมโยงกับซับเน็ต 10.0.50.0/24 (และเชื่อมโยงกับ 10.0.51.0/24 ได้เช่นกัน ซึ่งไม่บังคับ)
  • สร้างกลุ่มความปลอดภัยใหม่: Bastion นี่คือจุดที่คุณจะติดตั้งโฮสต์ Bastion ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัย Bastion จะถูกเชื่อมโยงกับซับเน็ต 10.0.0.0/24

ระบุกฎขาเข้าและขาออก

ใน AWS กลุ่มความปลอดภัยจะคล้ายคลึงกับไฟร์วอลล์ในสภาพแวดล้อมในองค์กร คุณจะต้องระบุประเภททราฟฟิก (เช่น https, https ฯลฯ), โปรโตคอล (TCP หรือ UDP) และพอร์ตหรือช่วงพอร์ต (เช่น 80, 443 ฯลฯ) ที่คุณอนุญาตให้ผ่านเข้าและ/หรือออกจากกลุ่มความปลอดภัยได้ สำหรับแต่ละโปรโตคอล คุณจะต้องระบุปลายทางหรือต้นทางของทราฟฟิกด้วยเช่นกัน

กฎของกลุ่มความปลอดภัยแบบสาธารณะ

กฎขาเข้า
ประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มา
HTTPTCP800.0.0.0/0
HTTPSTCP4430.0.0.0/0
SSHTCP22กลุ่มความปลอดภัย Bastion

 

กฎขาออก
ประเภทโปรโตคอลช่วงพอร์ตปลายทาง
การเข้าชมทั้งหมดทั้งหมดทั้งหมด0.0.0.0/0

กฎของกลุ่มความปลอดภัยแบบส่วนตัว

กลุ่มความปลอดภัยแบบส่วนตัวมาพร้อมกฎขาเข้าที่อนุญาตทราฟฟิก HTTP จากกลุ่มความปลอดภัยแบบสาธารณะ การอนุญาตทราฟฟิก HTTP จะเกิดขึ้นเฉพาะในเวลาที่ดำเนินการปรับใช้เพื่อยืนยันการเชื่อมต่อเท่านั้น เราขอแนะนำให้ลบกฎขาเข้า HTTP ออกหลังจากที่คุณปรับใช้พร็อกซีแบบย้อนกลับและกำหนดค่า SSL ไปยัง Tableau เสร็จแล้ว

กฎขาเข้า
ประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มา
HTTPTCP80กลุ่มความปลอดภัยแบบสาธารณะ
HTTPSTCP443กลุ่มความปลอดภัยแบบสาธารณะ
PostgreSQLTCP5432กลุ่มความปลอดภัยแบบข้อมูล
SSHTCP22กลุ่มความปลอดภัย Bastion
การเข้าชมทั้งหมดทั้งหมดทั้งหมดกลุ่มความปลอดภัยแบบส่วนตัว

 

กฎขาออก
ประเภทโปรโตคอลช่วงพอร์ตปลายทาง
การเข้าชมทั้งหมดทั้งหมดทั้งหมด0.0.0.0/0
PostgreSQLTCP5432กลุ่มความปลอดภัยแบบข้อมูล
SSHTCP22กลุ่มความปลอดภัย Bastion

กฎของกลุ่มความปลอดภัยแบบข้อมูล

กฎขาเข้า
ประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มา
PostgreSQLTCP5432กลุ่มความปลอดภัยแบบส่วนตัว
SSHTCP22กลุ่มความปลอดภัย Bastion

 

กฎขาออก
ประเภทโปรโตคอลช่วงพอร์ตปลายทาง
การเข้าชมทั้งหมดทั้งหมดทั้งหมด0.0.0.0/0
PostgreSQLTCP5432กลุ่มความปลอดภัยแบบส่วนตัว
SSHTCP22กลุ่มความปลอดภัย Bastion

กฎของกลุ่มความปลอดภัยแบบโฮสต์ Bastion

กฎขาเข้า
ประเภทโปรโตคอลช่วงพอร์ตแหล่งที่มา
SSHTCP22ที่อยู่ IP และเน็ตมาสก์ของคอมพิวเตอร์ที่จะใช้เข้าสู่ระบบ AWS (คอมพิวเตอร์ผู้ดูแลระบบ)
SSHTCP22กลุ่มความปลอดภัยแบบส่วนตัว
SSHTCP22กลุ่มความปลอดภัยแบบสาธารณะ

 

กฎขาออก
ประเภทโปรโตคอลช่วงพอร์ตปลายทาง
SSHTCP22ที่อยู่ IP และเน็ตมาสก์ของคอมพิวเตอร์ที่จะใช้เข้าสู่ระบบ AWS (คอมพิวเตอร์ผู้ดูแลระบบ)
SSHTCP22กลุ่มความปลอดภัยแบบส่วนตัว
SSHTCP22กลุ่มความปลอดภัยแบบสาธารณะ
SSHTCP22กลุ่มความปลอดภัยแบบข้อมูล
HTTPSTCP4430.0.0.0/0 (ไม่บังคับ: สร้างกฎนี้หากคุณจำเป็นต้องเข้าถึงอินเทอร์เน็ตเพื่อดาวน์โหลดซอฟต์แวร์ช่วยเหลือบนโฮสต์ Bastion)

เปิดใช้งานการกำหนด IP สาธารณะแบบอัตโนมัติ

การทำเช่นนี้จะช่วยให้คุณได้รับที่อยู่ IP สำหรับเชื่อมต่อไปยังเซิร์ฟเวอร์พร็อกซีและโฮสต์ Bastion

สำหรับซับเน็ตสาธารณะและ Bastion:

  1. เลือกซับเน็ต
  2. ใต้เมนูการดำเนินการ ให้เลือก "ปรับแต่งการตั้งค่าการกำหนด IP อัตโนมัติ"
  3. คลิก “เปิดใช้งานการกำหนดที่อยู่ IPv4 สาธารณะแบบอัตโนมัติ”
  4. คลิกบันทึก

ตัวจัดสรรภาระงาน

หมายเหตุ: หากคุณกำลังติดตั้งลงใน AWS และทำตามตัวอย่างการปรับใช้ในคู่มือนี้ คุณควรจะต้องติดตั้งและกำหนดค่าตัวจัดสรรภาระงาน AWS ในขั้นตอนต่อๆ ไปของกระบวนการติดตั้ง ดังที่อธิบายในส่วนที่ 5 - การกำหนดค่าระดับของเว็บ

สำหรับการปรับใช้ในองค์กร ให้ประสานงานกับผู้ดูแลระบบเครือข่ายของคุณเพื่อปรับใช้ตัวจัดสรรภาระงานสำหรับรองรับระดับเว็บของสถาปัตยกรรมอ้างอิง:

  • ตัวจัดสรรภาระงานแอปพลิเคชันที่เชื่อมต่อกับเว็บซึ่งยอมรับคำขอ HTTPS จากไคลเอ็นต์ Tableau และสื่อสารกับเซิร์ฟเวอร์พร็อกซีแบบย้อนกลับ
  • พร็อกซีแบบย้อนกลับ 
    • เราขอแนะนำให้ใช้เซิร์ฟเวอร์พร็อกซีอย่างต่ำ 2 เครื่องเพื่อให้เกิดการทำซ้ำและจัดการกับภาระงานของไคลเอ็นต์
    • รับการเข้าชม HTTPS จากตัวจัดสรรภาระงาน
    • รองรับเซสชันความต่อเนื่องสำหรับโฮสต์ Tableau
    • กำหนดค่าพร็อกซีสำหรับการจัดสรรภาระงานแบบสลับกันทำงานไปยัง Tableau Server แต่ละรายการที่ใช้กระบวนการเกตเวย์
    • จัดการคำขอการตรวจสอบสิทธิ์จาก IdP ภายนอก
  • พร็อกซีแบบส่งต่อ: Tableau Server ต้องมีสิทธิ์เข้าถึงอินเทอร์เน็ตเพื่อการให้สิทธิ์อนุญาตและฟังก์ชันการจับคู่ คุณอาจต้องกำหนดค่ารายการที่อนุญาตพร็อกซีแบบส่งต่อสำหรับ URL ต่างๆ ของ Tableau Service ทั้งนี้ขึ้นอยู่กับสภาพแวดล้อมพร็อกซีแบบส่งต่อของคุณ ดูหัวข้อการสื่อสารกับอินเทอร์เน็ต (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))

กำหนดค่าคอมพิวเตอร์โฮสต์

ฮาร์ดแวร์ขั้นต่ำที่กำหนด

คำแนะนำต่อไปนี้อ้างอิงจากผลที่เราได้จากการทดสอบข้อมูลจริงในสถาปัตยกรรมอ้างอิง

เซิร์ฟเวอร์แอปพลิเคชัน:

  • CPU: แกนประมวลผล 8 คอร์ (16 vCPU)
  • RAM: 128 GB (16 GB/แกนประมวลผล)
  • พื้นที่ดิสก์: 100 GB

เซิร์ฟเวอร์ข้อมูล

  • CPU: แกนประมวลผล 8 คอร์ (16 vCPU)
  • RAM: 128 GB (16 GB/แกนประมวลผล)
  • พื้นที่ดิสก์: 1 TB หากการปรับใช้จะใช้ประโยชน์จากพื้นที่เก็บข้อมูลภายนอกสำหรับที่เก็บไฟล์ของ Tableau คุณจะต้องคำนวณพื้นที่ดิสก์ให้เหมาะสม ดูหัวข้อติดตั้ง Tableau Server ด้วยที่เก็บภายนอก (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))

เซิร์ฟเวอร์พร็อกซี

  • CPU: แกนประมวลผล 2 คอร์ (4vCPUs)
  • RAM: 8 GB (4 GB/แกนประมวลผล)
  • พื้นที่ดิสก์: 100 GB

ฐานข้อมูลที่เก็บภายนอก

  • CPU: แกนประมวลผล 8 คอร์ (16 vCPU)
  • RAM: 128 GB (16 GB/แกนประมวลผล)
  • ข้อกำหนดเกี่ยวกับพื้นที่ดิสก์จะขึ้นอยู่กับภาระงานข้อมูลของคุณและขึ้นอยู่กับว่าจะส่งผลอย่างไรต่อการสำรองข้อมูล ดูส่วนกระบวนการสำรองข้อมูลและคืนค่าในหัวข้อข้อกำหนดของพื้นที่ดิสก์ (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))

โครงสร้างไดเรกทอรี

สถาปัตยกรรมอ้างอิงแนะนำให้ติดตั้งแพ็คเกจ Tableau Server และข้อมูลไปยังตำแหน่งที่ไม่ใช่ค่าเริ่มต้น:

  • ติดตั้งแพ็คเกจไปยัง : /app/tableau_server: สร้างเส้นทางไดเรกทอรีนี้ก่อนที่คุณจะติดตั้งแพ็คเกจ Tableau Server จากนั้นระบุเส้นทางนี้ในระหว่างการติดตั้ง
  • ติดตั้งข้อมูล Tableau ไปยัง: /data/tableau_data อย่าสร้างไดเรกทอรีนี้ก่อนที่คุณจะติดตั้ง Tableau Server โดยคุณจะต้องระบุเส้นทางในระหว่างการติดตั้ง จากนั้นการตั้งค่า Tableau จะสร้างเส้นทางและให้สิทธิแก่เส้นทางนั้นอย่างเหมาะสม

ดูรายละเอียดเกี่ยวกับการนำไปใช้ได้ในเรียกใช้แพ็คเกจการติดตั้งและเริ่มต้น TSM

ตัวอย่าง: ติดตั้งและเตรียมคอมพิวเตอร์โฮสต์ใน AWS

ส่วนนี้อธิบายวิธีติดตั้งโฮสต์ EC2 สำหรับเซิร์ฟเวอร์แต่ละประเภทในสถาปัตยกรรมอ้างอิง Tableau Server

สถาปัตยกรรมอ้างอิงจำเป็นต้องใช้แปดโฮสต์:

  • สี่อินสแตนซ์สำหรับ Tableau Server
  • สองอินสแตนซ์สำหรับเซิร์ฟเวอร์พร็อกซี (Apache)
  • หนึ่งอินสแตนซ์สำหรับโฮสต์ Bastion
  • หนึ่งหรือสองอินสแตนซ์ฐานข้อมูล PostgreSQL EC2

รายละเอียดอินสแตนซ์โฮสต์

ติดตั้งคอมพิวเตอร์โฮสต์ตามรายละเอียดด้านล่าง

Tableau Server

  • Amazon Linux 2
  • ประเภทอินสแตนซ์: m5a.8xlarge
  • ID กลุ่มความปลอดภัย: ส่วนตัว
  • พื้นที่เก็บข้อมูล: EBS, 150 GiB, ประเภทวอลุ่ม gp2 หากการปรับใช้จะใช้ประโยชน์จากพื้นที่เก็บข้อมูลภายนอกสำหรับที่เก็บไฟล์ของ Tableau คุณจะต้องคำนวณพื้นที่ดิสก์ให้เหมาะสม ดูหัวข้อติดตั้ง Tableau Server ด้วยที่เก็บภายนอก (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))
  • เครือข่าย: ติดตั้งโฮสต์ EC2 สองโฮสต์ในซับเน็ตส่วนตัวแต่ละรายการ (10.0.30.0/24 และ 10.0.31.0/24)
  • คัดลอก การเผยแพร่การบำรุงรักษาล่าสุดของแพ็คเกจ rpm Tableau Server 2021.2 (หรือใหม่กว่า) จากหน้าดาวน์โหลด Tableau(ลิงก์จะเปิดในหน้าต่างใหม่)ไปยังแต่ละโฮสต์ Tableau

โฮสต์ Bastion

  • Amazon Linux 2
  • ประเภทอินสแตนซ์: t3.micro
  • ID กลุ่มความปลอดภัย: Bastion
  • พื้นที่เก็บข้อมูล: EBS, 50 GiB, ประเภทวอลุ่ม gp2
  • เครือข่าย: ซับเน็ต Bastion 10.0.0.0/24

เกตเวย์อิสระของ Tableau Server

  • Amazon Linux 2
  • ประเภทอินสแตนซ์: t3.xlarge
  • ID กลุ่มความปลอดภัย: สาธารณะ
  • พื้นที่เก็บข้อมูล: EBS, 100 GiB, ประเภทวอลุ่ม gp2
  • เครือข่าย: ติดตั้งอินสแตนซ์ EC2 หนึ่งอินสแตนซ์ในซับเน็ตสาธารณะแต่ละรายการ (10.0.1.0/24 และ 10.0.2.0/24)

โฮสต์ PostgreSQL EC2

  • Amazon Linux 2
  • ประเภทอินสแตนซ์: r5.4xlarge
  • ID กลุ่มความปลอดภัย: ข้อมูล
  • พื้นที่เก็บข้อมูล: ข้อกำหนดเกี่ยวกับพื้นที่ดิสก์จะขึ้นอยู่กับภาระงานข้อมูลของคุณและขึ้นอยู่กับว่าจะส่งผลอย่างไรต่อการสำรองข้อมูล ดูส่วนกระบวนการสำรองข้อมูลและคืนค่าในหัวข้อข้อกำหนดของพื้นที่ดิสก์ (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))
  • เครือข่าย: ซับเน็ตข้อมูล 10.0.50.0/24 (หากคุณกำลังทำซ้ำ PostgreSQL ในคลัสเตอร์ HA ให้คุณติดตั้งโฮสต์ที่สองในซับเน็ต 10.0.51.0/24)

การตรวจสอบยืนยัน: การเชื่อมต่อ VPC

หลังจากที่คุณติดตั้งคอมพิวเตอร์โฮสต์แล้ว ให้ตรวจสอบยืนยันการกำหนดค่าเครือข่าย ตรวจสอบยืนยันการเชื่อมต่อระหว่างโฮสต์ต่างๆ ด้วยการเชื่อมต่อกับ SSH จากโฮสต์ในกลุ่มความปลอดภัย Bastion ไปยังโฮสต์ในแต่ละซับเน็ต

ตัวอย่าง: เชื่อมต่อกับโฮสต์ Bastion ใน AWS

  1. ตั้งค่าคอมพิวเตอร์ผู้ดูแลระบบของคุณสำหรับเอเจนต์ SSH การทำเช่นนี้จะช่วยให้คุณสามารถเชื่อมต่อกับโฮสต์ต่างๆ ใน AWS ได้โดยไม่ต้องใส่ไฟล์สำคัญส่วนตัวของคุณลงบนอินสแตนซ์ EC2 ใดๆ

    หากต้องการกำหนดค่าเอเจนต์ SSH ใน Mac ให้เรียกใช้คำสั่งต่อไปนี้:

    ssh-add -K myPrivateKey.pem หรือสำหรับ Mac OS รุ่นใหม่ล่าสุด ให้ใช้ ssh-add --apple-use-keychain myPrivateKey.pem

    สำหรับ Windows โปรดดูหัวข้อเชื่อมต่ออย่างปลอดภัยกับอินสแตนซ์ Linux ที่ทำงานใน Amazon VPC ส่วนตัว(ลิงก์จะเปิดในหน้าต่างใหม่)


  2. เชื่อมต่อกับโฮสต์ Bastion ด้วยการเรียกใช้คำสั่งต่อไปนี้:

    ssh -A ec2-user@<public-IP>

  3. คุณสามารถเชื่อมต่อกับโฮสต์อื่นๆ ใน VPC จากโฮสต์ Bastion ได้โดยใช้ที่อยู่ IP ส่วนตัว เช่น

    ssh -A ec2-user@10.0.1.93

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ