ส่วนที่ 3 - การเตรียมการปรับใช้ทั่วทั้งองค์กร Tableau Server
ส่วนที่ 3 นี้อธิบายถึงข้อกำหนดเกี่ยวกับการเตรียมการปรับใช้สถาปัตยกรรมอ้างอิง Tableau Server ก่อนที่คุณจะเริ่มต้น เราแนะนำให้คุณดูส่วนที่ 2 - ทำความเข้าใจสถาปัตยกรรมอ้างอิงการปรับใช้ Tableau Server
นอกจากอธิบายเกี่ยวกับข้อกำหนดแล้ว หัวข้อนี้จะยกตัวอย่างการนำสถาปัตยกรรมอ้างอิงไปปรับใช้ในสภาพแวดล้อม AWS อีกด้วย โดยส่วนที่เหลือของคู่มือนี้จะอิงถึงตัวอย่างสถาปัตยกรรมอ้างอิง AWS ที่เริ่มต้นหยิบยกในหัวข้อนี้
หลักการสำคัญของสถาปัตยกรรมอ้างอิงนี้คือการจัดมาตรฐานด้วยแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของศูนย์ข้อมูล โดยเฉพาะอย่างยิ่งสถาปัตยกรรมที่ออกแบบมาเพื่อแยกบริการออกเป็นส่วนๆ ไปยังซับเน็ตเครือข่ายที่มีการป้องกัน การสื่อสารข้ามซับเน็ตจะถูกจำกัดให้ใช้ได้เฉพาะกับบางโปรโตคอลและทราฟฟิกพอร์ตเท่านั้น
แผนภาพต่อไปนี้จะแสดงซับเน็ตสถาปัตยกรรมอ้างอิงที่ออกแบบมาเพื่อการปรับใช้ในองค์กรหรือการปรับใช้ระบบคลาวด์ที่จัดการโดยลูกค้า หากต้องการดูตัวอย่างการปรับใช้ระบบคลาวด์ โปรดไปที่ส่วนตัวอย่าง: การกำหนดค่าซับเน็ตและกลุ่มความปลอดภัยใน AWS ด้านล่าง
ซับเน็ต
สร้างสามซับเน็ต:
- ระดับเว็บ
- ระดับแอปพลิเคชัน
- ซับเน็ตข้อมูล
กฎของกลุ่มไฟร์วอลล์/ความปลอดภัย
แท็บด้านล่างนี้จะอธิบายถึงกฎไฟร์วอลล์ของแต่ละระดับในศูนย์ข้อมูล ทั้งนี้ กฎของกลุ่มความปลอดภัยสำหรับ AWS โดยเฉพาะจะอธิบายอยู่ในส่วนต่อๆ ไปของหัวข้อนี้
ระดับเว็บเป็นซับเน็ต DMZ สาธารณะที่จะรับมือกับคำขอ HTTPS ขาเข้าและทำพร็อกซีคำขอไปยังระดับแอปพลิเคชัน การออกแบบนี้จะมอบเลเยอร์การป้องกันจากมัลแวร์ที่อาจวางเป้าจู่โจมองค์กรของคุณ ระดับเว็บจะบล็อกการเข้าถึงไปยังระดับแอปพลิเคชัน/ข้อมูล
| การเข้าชม | ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา |
|---|---|---|---|---|
ขาเข้า | SSH | TCP | 22 | ซับเน็ต Bastion (สำหรับการปรับใช้ระบบคลาวด์) |
| ขาเข้า | HTTP | TCP | 80 | อินเทอร์เน็ต (0.0.0.0/0) |
| ขาเข้า | HTTPS | TCP | 443 | อินเทอร์เน็ต (0.0.0.0/0) |
| ขาออก | การเข้าชมทั้งหมด | ทั้งหมด | ทั้งหมด |
ซับเน็ตแอปพลิเคชันคือจุดที่การปรับใช้ Tableau Server ตั้งอยู่ ซับเน็ตแอปพลิเคชันประกอบด้วยเซิร์ฟเวอร์แอปพลิเคชัน Tableau (โหนด 1 และโหนด 2) เซิร์ฟเวอร์แอปพลิเคชัน Tableau ประมวลผลคำขอของผู้ใช้ไปยังเซิร์ฟเวอร์ข้อมูลและเรียกใช้ตรรกะธุรกิจหลัก
นอกจากนี้ซับเน็ตแอปพลิเคชันยังประกอบด้วยเซิร์ฟเวอร์ข้อมูล Tableau (โหนด 3 และโหนด 4)
ทราฟฟิกไคลเอ็นต์ทั้งหมดที่ไปยังระดับแอปพลิเคชันจะถูกตรวจสอบสิทธิ์ที่ระดับเว็บ การเข้าถึงสำหรับดูแลระบบไปยังซับเน็ตแอปพลิเคชันจะถูกตรวจสอบสิทธิ์และเดินเส้นทางผ่านโฮสต์ Bastion
| การเข้าชม | ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา |
|---|---|---|---|---|
ขาเข้า | SSH | TCP | 22 | ซับเน็ต Bastion (สำหรับการปรับใช้ระบบคลาวด์) |
| ขาเข้า | HTTPS | TCP | 443 | ซับเน็ตระดับเว็บ |
| ขาออก | การเข้าชมทั้งหมด | ทั้งหมด | ทั้งหมด |
ซับเน็ตข้อมูลคือจุดที่เซิร์ฟเวอร์ฐานข้อมูล PostgreSQL ภายนอกตั้งอยู่
| การเข้าชม | ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา |
|---|---|---|---|---|
ขาเข้า | SSH | TCP | 22 | ซับเน็ต Bastion (สำหรับการปรับใช้ระบบคลาวด์) |
| ขาเข้า | PostgreSQL | TCP | 5432 | ซับเน็ตระดับแอปพลิเคชัน |
| ขาออก | การเข้าชมทั้งหมด | ทั้งหมด | ทั้งหมด |
ทีมรักษาความปลอดภัยขององค์กรส่วนใหญ่ไม่อนุญาตให้สื่อสารโดยตรงจากระบบการดูแลในองค์กรไปยังโหนดที่ปรับใช้ในระบบคลาวด์ แต่ SSH สำหรับดูแลระบบทั้งหมดที่มีทราฟฟิกไปยังโหนดระบบคลาวด์จะถูกทำพร็อกซีผ่านโฮสต์ Bastion (หรือเรียกอีกอย่างว่า "จัมป์เซิร์ฟเวอร์") แทน สำหรับการปรับใช้ระบบคลาวด์ เราแนะนำการเชื่อมต่อพร็อกซีโฮสต์ Bastion ไปยังทรัพยากรทั้งหมดในสถาปัตยกรรมอ้างอิง นี่เป็นการกำหนดค่าที่ไม่บังคับสำหรับสภาพแวดล้อมในองค์กร
โฮสต์ Bastion จะตรวจสอบสิทธิ์การเข้าถึงสำหรับดูแลระบบและอนุญาตทราฟฟิกผ่านโปรโตคอล SSH เท่านั้น
| การเข้าชม | ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา | ปลายทาง |
|---|---|---|---|---|---|
ขาเข้า | SSH | TCP | 22 | ที่อยู่ IP คอมพิวเตอร์ผู้ดูแลระบบ | |
| ขาออก | SSH | TCP | 22 | ซับเน็ตระดับเว็บ | |
| ขาออก | SSH | TCP | 22 | ซับเน็ตระดับแอปพลิเคชัน |
ตัวอย่าง: การกำหนดค่าซับเน็ตและกลุ่มความปลอดภัยใน AWS
ส่วนนี้จะอธิบายกระบวนการแบบทีละขั้นตอนในการสร้างและกำหนดค่า VPC และสภาพแวดล้อมเครือข่ายสำหรับการปรับใช้สถาปัตยกรรมอ้างอิง Tableau Server ใน AWS
สไลด์ต่างๆ ด้านล่างนี้จะแสดงสถาปัตยกรรมอ้างอิงในเลเยอร์ต่างๆ ทั้งหมดสี่เลเยอร์ เมื่อคุณไล่ดูสไลด์ไปเรื่อยๆ องค์ประกอบส่วนต่างๆ จะซ้อนกันเป็นแผนที่โทโพโลยี:
- โทโพโลยีซับเน็ต VPC และอินสแตนซ์ EC2: หนึ่งโฮสต์ Bastion, สองเซิร์ฟเวอร์พร็อกซีแบบย้อนกลับ, สี่เซิร์ฟเวอร์ Tableau และอย่างน้อยหนึ่งเซิร์ฟเวอร์ PostgreSQL
- โฟลว์โปรโตคอลและการเชื่อมต่ออินเทอร์เน็ต ทราฟฟิกขาเข้าทั้งหมดจะถูกจัดการผ่านเกตเวย์อินเทอร์เน็ต AWS ทราฟฟิกไปยังอินเทอร์เน็ตจะถูกเดินเส้นทางผ่าน NAT
- โซนความพร้อมใช้งาน โฮสต์พร็อกซี, Tableau Server และ PostgreSQL จะถูกปรับใช้อย่างเท่าๆ กันในทั่วทั้งโซนความพร้อมใช้งาน
- กลุ่มความปลอดภัย สี่กลุ่มความปลอดภัย (สาธารณะ ส่วนตัว ข้อมูล และ Bastion) จะปกป้องแต่ละระดับที่ชั้นโปรโตคอล
โซนความพร้อมใช้งานของ AWS และความพร้อมใช้งานสูง
สถาปัตยกรรมอ้างอิงที่แสดงในคู่มือนี้เป็นแบบเจาะจงสำหรับการปรับใช้ที่มอบความพร้อมใช้งานผ่านการทำซ้ำซ้อนเมื่อมีโฮสต์ใดโฮสต์หนึ่งล้มเหลว อย่างไรก็ตาม ในกรณีของ AWS ซึ่งปรับใช้สถาปัตยกรรมอ้างอิงแบบทั่วโซนความพร้อมใช้งานทั้งสอง ความพร้อมใช้งานจะถูกลดทอนเมื่อโซนความพร้อมใช้งานล้มเหลว ซึ่งเกิดขึ้นได้ยากมาก
การกำหนดค่า VPC
ส่วนนี้อธิบายวิธี:
- การติดตั้งและกำหนดค่า VPC
- กำหนดค่าการเชื่อมต่ออินเทอร์เน็ต
- กำหนดค่าซับเน็ต
- สร้างและกำหนดค่ากลุ่มความปลอดภัย
กำหนดค่า VPC
กระบวนการในส่วนนี้จะแมปกับ UI ในประสบการณ์ VPC แบบ “คลาสสิก” คุณสามารถสลับเปิดปิด UI เพื่อให้แสดงมุมมองคลาสสิกได้ด้วยการปิดประสบการณ์ VPC ใหม่ที่มุมซ้ายบนของ AWS VPC Dashboard
เรียกใช้ตัวช่วย VPC เพื่อสร้างค่าเริ่มต้นสำหรับซับเน็ตส่วนตัวและสาธารณะ และค่าเริ่มต้นสำหรับการเดินเส้นทางและวางเครือข่าย ACL
- ก่อนจะกำหนดค่า VPC คุณต้องสร้าง Elastic IP เสียก่อน สร้างการจัดสรรโดยใช้ค่าเริ่มต้นทั้งหมด
- เรียกใช้ตัวช่วย VPC > "VPC พร้อมซับเน็ตสาธารณะและส่วนตัว"
- ยอมรับค่าเริ่มต้นเกือบทั้งหมด ยกเว้นรายการต่อไปนี้:
- ป้อนชื่อ VPC
- ระบุ ID การจัดสรร Elastic IP
- ระบุมาสก์ CIDR ต่อไปนี้:
- เผยแพร่ IPv4 CIDR: 10.0.1.0/24 ของซับเน็ต โดยเปลี่ยนชื่อซับเน็ตนี้เป็น
Public-a - ทำให้ IPv4 CIDR: 10.0.30.0/24 ของซับเน็ตเป็นส่วนตัว โดยเปลี่ยนชื่อซับเน็ตนี้เป็น
Private-a
- เผยแพร่ IPv4 CIDR: 10.0.1.0/24 ของซับเน็ต โดยเปลี่ยนชื่อซับเน็ตนี้เป็น
- โซนความพร้อมใช้งาน: สำหรับทั้งสองซับเน็ต เลือกตัวเลือก a สำหรับภูมิภาคที่คุณพำนักอยู่ในเวลานี้
หมายเหตุ: เพื่อวัตถุประสงค์ในการยกตัวอย่างนี้ เราจะใช้ a และ b เพื่อแยกความแตกต่างระหว่างโซนความพร้อมใช้งานทั้งสองในศูนย์ข้อมูล AWS ที่กำหนด ใน AWS ชื่อโซนความพร้อมใช้งานอาจไม่ตรงกับตัวอย่างที่แสดงในที่นี้ ตัวอย่างเช่น โซนความพร้อมใช้งานบางโซนอาจประกอบด้วยโซน c และ d ภายในศูนย์ข้อมูล
- คลิกสร้าง VPC
- หลังจากที่สร้าง VPC แล้ว ให้สร้างซับเน็ต
Public-b,Private-b,DataและBastionหากตองการสร้างซับเน็ต ให้คลิก ซับเน็ต > สร้างซับเน็ตPublic-b: สำหรับโซนความพร้อมใช้งาน ให้เลือกตัวเลือก b สำหรับภูมิภาคที่คุณพำนักอยู่ บล็อก CIDR: 10.0.2.0/24Private-b: สำหรับโซนความพร้อมใช้งาน ให้เลือกตัวเลือก b สำหรับภูมิภาคที่คุณพำนักอยู่ บล็อก CIDR: 10.0.31.0/24Data: สำหรับโซนความพร้อมใช้งาน ให้เลือกโซน a สำหรับภูมิภาคที่คุณพำนักอยู่ บล็อก CIDR: 10.0.50.0/24 ไม่บังคับ: หากคุณวางแผนที่จะทำซ้ำฐานข้อมูลภายนอกทั่วทั้งคลัสเตอร์ PostgreSQL หนึ่ง ให้สร้างซับเน็ตข้อมูล b ในโซนความพร้อมใช้งาน b โดยที่บล็อก CIDR เป็น 10.0.51.0/24Bastion: สำหรับโซนความพร้อมใช้งาน ให้เลือกโซนใดโซนหนึ่ง บล็อก CIDR: 10.0.0.0/24
- หลังจากที่สร้างซับเน็ตแล้ว ให้แก้ไขตารางเส้นทางบนซับเน็ตสาธารณะและ Bastion เพื่อใช้ตารางเส้นทางที่กำหนดค่ามาเพื่อเกตเวย์อินเทอร์เน็ตที่เชื่อมโยง (IGW) จากนั้นแก้ไขซับเน็ตส่วนตัวและข้อมูลเพื่อให้ใช้ตารางเส้นทางที่กำหนดค่ามาเพื่อตัวแปลการเข้าถึงเครือข่าย (NAT)
- เพื่อพิจารณาว่าตารางเส้นทางใดที่ผ่านการกำหนดค่ามาสำหรับ IGW หรือ NAT ให้คลิกตารางเส้นทางในแดชบอร์ด AWS เลือกหนึ่งในสองลิงก์ตารางเส้นทางเพื่อเปิดหน้าพร็อพเพอร์ตี้ ดูค่าเป้าหมายที่ เส้นทาง> ปลายทาง> 0.0.0.0/0 ค่าเป้าหมายจะช่วยให้แยกความแตกต่างระหว่างประเภทของเส้นทางได้ และจะขึ้นต้นด้วยสตริง
igw-หรือnat- - หากต้องการอัปเดตตารางเส้นทาง ให้ไปที่ VPC > ซับเน็ต > [subnet_name] > ตารางเส้นทาง > แก้ไขการเชื่อมโยงตารางเส้นทาง
- เพื่อพิจารณาว่าตารางเส้นทางใดที่ผ่านการกำหนดค่ามาสำหรับ IGW หรือ NAT ให้คลิกตารางเส้นทางในแดชบอร์ด AWS เลือกหนึ่งในสองลิงก์ตารางเส้นทางเพื่อเปิดหน้าพร็อพเพอร์ตี้ ดูค่าเป้าหมายที่ เส้นทาง> ปลายทาง> 0.0.0.0/0 ค่าเป้าหมายจะช่วยให้แยกความแตกต่างระหว่างประเภทของเส้นทางได้ และจะขึ้นต้นด้วยสตริง
กำหนดค่ากลุ่มความปลอดภัย
ตัวช่วย VPC จะสร้างกลุ่มความปลอดภัยหนึ่งขึ้นมาซึ่งเป็นกลุ่มที่คุณจะไม่ได้ใช้ สร้างกลุ่มความปลอดภัยต่อไปนี้ (กลุ่มความปลอดภัย > สร้างกลุ่มความปลอดภัย) โฮสต์ EC2 จะถูกติดตั้งลงในกลุ่มเหล่านี้ทั่วโซนความพร้อมใช้งานทั้งสอง ดังที่แสดงในแผนภาพสไลด์ด้านบน
- สร้างกลุ่มความปลอดภัยใหม่: ส่วนตัว นี่คือจุดที่จะติดตั้งโหนดทั้ง 4 โหนดของ Tableau Server ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัยแบบส่วนตัวจะถูกเชื่อมโยงกับซับเน็ต 10.0.30.0/24 และ 10.0.31.0/24
- สร้างกลุ่มความปลอดภัยใหม่: สาธารณะ นี่คือจุดที่จะติดตั้งเซิร์ฟเวอร์พร็อกซี ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัยแบบสาธารณะจะถูกเชื่อมโยงกับซับเน็ต 10.0.1.0/24 และ 10.0.2.0/24
- สร้างกลุ่มความปลอดภัยใหม่: ข้อมูล นี่คือจุดที่จะติดตั้งที่เก็บภายนอกของ Tableau สำหรับ PostgreSQL ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัยแบบข้อมูลจะถูกเชื่อมโยงกับซับเน็ต 10.0.50.0/24 (และเชื่อมโยงกับ 10.0.51.0/24 ได้เช่นกัน ซึ่งไม่บังคับ)
- สร้างกลุ่มความปลอดภัยใหม่: Bastion นี่คือจุดที่คุณจะติดตั้งโฮสต์ Bastion ต่อไปในกระบวนการติดตั้ง กลุ่มความปลอดภัย Bastion จะถูกเชื่อมโยงกับซับเน็ต 10.0.0.0/24
ระบุกฎขาเข้าและขาออก
ใน AWS กลุ่มความปลอดภัยจะคล้ายคลึงกับไฟร์วอลล์ในสภาพแวดล้อมในองค์กร คุณจะต้องระบุประเภททราฟฟิก (เช่น https, https ฯลฯ), โปรโตคอล (TCP หรือ UDP) และพอร์ตหรือช่วงพอร์ต (เช่น 80, 443 ฯลฯ) ที่คุณอนุญาตให้ผ่านเข้าและ/หรือออกจากกลุ่มความปลอดภัยได้ สำหรับแต่ละโปรโตคอล คุณจะต้องระบุปลายทางหรือต้นทางของทราฟฟิกด้วยเช่นกัน
กฎของกลุ่มความปลอดภัยแบบสาธารณะ
| กฎขาเข้า | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา |
| HTTP | TCP | 80 | 0.0.0.0/0 |
| HTTPS | TCP | 443 | 0.0.0.0/0 |
| SSH | TCP | 22 | กลุ่มความปลอดภัย Bastion |
| กฎขาออก | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | ปลายทาง |
| การเข้าชมทั้งหมด | ทั้งหมด | ทั้งหมด | 0.0.0.0/0 |
กฎของกลุ่มความปลอดภัยแบบส่วนตัว
กลุ่มความปลอดภัยแบบส่วนตัวมาพร้อมกฎขาเข้าที่อนุญาตทราฟฟิก HTTP จากกลุ่มความปลอดภัยแบบสาธารณะ การอนุญาตทราฟฟิก HTTP จะเกิดขึ้นเฉพาะในเวลาที่ดำเนินการปรับใช้เพื่อยืนยันการเชื่อมต่อเท่านั้น เราขอแนะนำให้ลบกฎขาเข้า HTTP ออกหลังจากที่คุณปรับใช้พร็อกซีแบบย้อนกลับและกำหนดค่า SSL ไปยัง Tableau เสร็จแล้ว
| กฎขาเข้า | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา |
| HTTP | TCP | 80 | กลุ่มความปลอดภัยแบบสาธารณะ |
| HTTPS | TCP | 443 | กลุ่มความปลอดภัยแบบสาธารณะ |
| PostgreSQL | TCP | 5432 | กลุ่มความปลอดภัยแบบข้อมูล |
| SSH | TCP | 22 | กลุ่มความปลอดภัย Bastion |
| การเข้าชมทั้งหมด | ทั้งหมด | ทั้งหมด | กลุ่มความปลอดภัยแบบส่วนตัว |
| กฎขาออก | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | ปลายทาง |
| การเข้าชมทั้งหมด | ทั้งหมด | ทั้งหมด | 0.0.0.0/0 |
| PostgreSQL | TCP | 5432 | กลุ่มความปลอดภัยแบบข้อมูล |
| SSH | TCP | 22 | กลุ่มความปลอดภัย Bastion |
กฎของกลุ่มความปลอดภัยแบบข้อมูล
| กฎขาเข้า | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา |
| PostgreSQL | TCP | 5432 | กลุ่มความปลอดภัยแบบส่วนตัว |
| SSH | TCP | 22 | กลุ่มความปลอดภัย Bastion |
| กฎขาออก | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | ปลายทาง |
| การเข้าชมทั้งหมด | ทั้งหมด | ทั้งหมด | 0.0.0.0/0 |
| PostgreSQL | TCP | 5432 | กลุ่มความปลอดภัยแบบส่วนตัว |
| SSH | TCP | 22 | กลุ่มความปลอดภัย Bastion |
กฎของกลุ่มความปลอดภัยแบบโฮสต์ Bastion
| กฎขาเข้า | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | แหล่งที่มา |
| SSH | TCP | 22 | ที่อยู่ IP และเน็ตมาสก์ของคอมพิวเตอร์ที่จะใช้เข้าสู่ระบบ AWS (คอมพิวเตอร์ผู้ดูแลระบบ) |
| SSH | TCP | 22 | กลุ่มความปลอดภัยแบบส่วนตัว |
| SSH | TCP | 22 | กลุ่มความปลอดภัยแบบสาธารณะ |
| กฎขาออก | |||
|---|---|---|---|
| ประเภท | โปรโตคอล | ช่วงพอร์ต | ปลายทาง |
| SSH | TCP | 22 | ที่อยู่ IP และเน็ตมาสก์ของคอมพิวเตอร์ที่จะใช้เข้าสู่ระบบ AWS (คอมพิวเตอร์ผู้ดูแลระบบ) |
| SSH | TCP | 22 | กลุ่มความปลอดภัยแบบส่วนตัว |
| SSH | TCP | 22 | กลุ่มความปลอดภัยแบบสาธารณะ |
| SSH | TCP | 22 | กลุ่มความปลอดภัยแบบข้อมูล |
| HTTPS | TCP | 443 | 0.0.0.0/0 (ไม่บังคับ: สร้างกฎนี้หากคุณจำเป็นต้องเข้าถึงอินเทอร์เน็ตเพื่อดาวน์โหลดซอฟต์แวร์ช่วยเหลือบนโฮสต์ Bastion) |
เปิดใช้งานการกำหนด IP สาธารณะแบบอัตโนมัติ
การทำเช่นนี้จะช่วยให้คุณได้รับที่อยู่ IP สำหรับเชื่อมต่อไปยังเซิร์ฟเวอร์พร็อกซีและโฮสต์ Bastion
สำหรับซับเน็ตสาธารณะและ Bastion:
- เลือกซับเน็ต
- ใต้เมนูการดำเนินการ ให้เลือก "ปรับแต่งการตั้งค่าการกำหนด IP อัตโนมัติ"
- คลิก “เปิดใช้งานการกำหนดที่อยู่ IPv4 สาธารณะแบบอัตโนมัติ”
- คลิกบันทึก
ตัวจัดสรรภาระงาน
หมายเหตุ: หากคุณกำลังติดตั้งลงใน AWS และทำตามตัวอย่างการปรับใช้ในคู่มือนี้ คุณควรจะต้องติดตั้งและกำหนดค่าตัวจัดสรรภาระงาน AWS ในขั้นตอนต่อๆ ไปของกระบวนการติดตั้ง ดังที่อธิบายในส่วนที่ 5 - การกำหนดค่าระดับของเว็บ
สำหรับการปรับใช้ในองค์กร ให้ประสานงานกับผู้ดูแลระบบเครือข่ายของคุณเพื่อปรับใช้ตัวจัดสรรภาระงานสำหรับรองรับระดับเว็บของสถาปัตยกรรมอ้างอิง:
- ตัวจัดสรรภาระงานแอปพลิเคชันที่เชื่อมต่อกับเว็บซึ่งยอมรับคำขอ HTTPS จากไคลเอ็นต์ Tableau และสื่อสารกับเซิร์ฟเวอร์พร็อกซีแบบย้อนกลับ
- พร็อกซีแบบย้อนกลับ
- เราขอแนะนำให้ใช้เซิร์ฟเวอร์พร็อกซีอย่างต่ำ 2 เครื่องเพื่อให้เกิดการทำซ้ำและจัดการกับภาระงานของไคลเอ็นต์
- รับการเข้าชม HTTPS จากตัวจัดสรรภาระงาน
- รองรับเซสชันความต่อเนื่องสำหรับโฮสต์ Tableau
- กำหนดค่าพร็อกซีสำหรับการจัดสรรภาระงานแบบสลับกันทำงานไปยัง Tableau Server แต่ละรายการที่ใช้กระบวนการเกตเวย์
- จัดการคำขอการตรวจสอบสิทธิ์จาก IdP ภายนอก
- พร็อกซีแบบส่งต่อ: Tableau Server ต้องมีสิทธิ์เข้าถึงอินเทอร์เน็ตเพื่อการให้สิทธิ์อนุญาตและฟังก์ชันการจับคู่ คุณอาจต้องกำหนดค่ารายการที่อนุญาตพร็อกซีแบบส่งต่อสำหรับ URL ต่างๆ ของ Tableau Service ทั้งนี้ขึ้นอยู่กับสภาพแวดล้อมพร็อกซีแบบส่งต่อของคุณ ดูหัวข้อการสื่อสารกับอินเทอร์เน็ต (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))
กำหนดค่าคอมพิวเตอร์โฮสต์
ฮาร์ดแวร์ขั้นต่ำที่กำหนด
คำแนะนำต่อไปนี้อ้างอิงจากผลที่เราได้จากการทดสอบข้อมูลจริงในสถาปัตยกรรมอ้างอิง
เซิร์ฟเวอร์แอปพลิเคชัน:
- CPU: แกนประมวลผล 8 คอร์ (16 vCPU)
- RAM: 128 GB (16 GB/แกนประมวลผล)
- พื้นที่ดิสก์: 100 GB
เซิร์ฟเวอร์ข้อมูล
- CPU: แกนประมวลผล 8 คอร์ (16 vCPU)
- RAM: 128 GB (16 GB/แกนประมวลผล)
- พื้นที่ดิสก์: 1 TB หากการปรับใช้จะใช้ประโยชน์จากพื้นที่เก็บข้อมูลภายนอกสำหรับที่เก็บไฟล์ของ Tableau คุณจะต้องคำนวณพื้นที่ดิสก์ให้เหมาะสม ดูหัวข้อติดตั้ง Tableau Server ด้วยที่เก็บภายนอก (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))
เซิร์ฟเวอร์พร็อกซี
- CPU: แกนประมวลผล 2 คอร์ (4vCPUs)
- RAM: 8 GB (4 GB/แกนประมวลผล)
- พื้นที่ดิสก์: 100 GB
ฐานข้อมูลที่เก็บภายนอก
- CPU: แกนประมวลผล 8 คอร์ (16 vCPU)
- RAM: 128 GB (16 GB/แกนประมวลผล)
- ข้อกำหนดเกี่ยวกับพื้นที่ดิสก์จะขึ้นอยู่กับภาระงานข้อมูลของคุณและขึ้นอยู่กับว่าจะส่งผลอย่างไรต่อการสำรองข้อมูล ดูส่วนกระบวนการสำรองข้อมูลและคืนค่าในหัวข้อข้อกำหนดของพื้นที่ดิสก์ (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))
โครงสร้างไดเรกทอรี
สถาปัตยกรรมอ้างอิงแนะนำให้ติดตั้งแพ็คเกจ Tableau Server และข้อมูลไปยังตำแหน่งที่ไม่ใช่ค่าเริ่มต้น:
- ติดตั้งแพ็คเกจไปยัง :
/app/tableau_server: สร้างเส้นทางไดเรกทอรีนี้ก่อนที่คุณจะติดตั้งแพ็คเกจ Tableau Server จากนั้นระบุเส้นทางนี้ในระหว่างการติดตั้ง - ติดตั้งข้อมูล Tableau ไปยัง:
/data/tableau_dataอย่าสร้างไดเรกทอรีนี้ก่อนที่คุณจะติดตั้ง Tableau Server โดยคุณจะต้องระบุเส้นทางในระหว่างการติดตั้ง จากนั้นการตั้งค่า Tableau จะสร้างเส้นทางและให้สิทธิแก่เส้นทางนั้นอย่างเหมาะสม
ดูรายละเอียดเกี่ยวกับการนำไปใช้ได้ในเรียกใช้แพ็คเกจการติดตั้งและเริ่มต้น TSM
ตัวอย่าง: ติดตั้งและเตรียมคอมพิวเตอร์โฮสต์ใน AWS
ส่วนนี้อธิบายวิธีติดตั้งโฮสต์ EC2 สำหรับเซิร์ฟเวอร์แต่ละประเภทในสถาปัตยกรรมอ้างอิง Tableau Server
สถาปัตยกรรมอ้างอิงจำเป็นต้องใช้แปดโฮสต์:
- สี่อินสแตนซ์สำหรับ Tableau Server
- สองอินสแตนซ์สำหรับเซิร์ฟเวอร์พร็อกซี (Apache)
- หนึ่งอินสแตนซ์สำหรับโฮสต์ Bastion
- หนึ่งหรือสองอินสแตนซ์ฐานข้อมูล PostgreSQL EC2
รายละเอียดอินสแตนซ์โฮสต์
ติดตั้งคอมพิวเตอร์โฮสต์ตามรายละเอียดด้านล่าง
Tableau Server
- Amazon Linux 2
- ประเภทอินสแตนซ์: m5a.8xlarge
- ID กลุ่มความปลอดภัย: ส่วนตัว
- พื้นที่เก็บข้อมูล: EBS, 150 GiB, ประเภทวอลุ่ม gp2 หากการปรับใช้จะใช้ประโยชน์จากพื้นที่เก็บข้อมูลภายนอกสำหรับที่เก็บไฟล์ของ Tableau คุณจะต้องคำนวณพื้นที่ดิสก์ให้เหมาะสม ดูหัวข้อติดตั้ง Tableau Server ด้วยที่เก็บภายนอก (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))
- เครือข่าย: ติดตั้งโฮสต์ EC2 สองโฮสต์ในซับเน็ตส่วนตัวแต่ละรายการ (10.0.30.0/24 และ 10.0.31.0/24)
- คัดลอก การเผยแพร่การบำรุงรักษาล่าสุดของแพ็คเกจ rpm Tableau Server 2021.2 (หรือใหม่กว่า) จากหน้าดาวน์โหลด Tableau(ลิงก์จะเปิดในหน้าต่างใหม่)ไปยังแต่ละโฮสต์ Tableau
โฮสต์ Bastion
- Amazon Linux 2
- ประเภทอินสแตนซ์: t3.micro
- ID กลุ่มความปลอดภัย: Bastion
- พื้นที่เก็บข้อมูล: EBS, 50 GiB, ประเภทวอลุ่ม gp2
- เครือข่าย: ซับเน็ต Bastion 10.0.0.0/24
เกตเวย์อิสระของ Tableau Server
- Amazon Linux 2
- ประเภทอินสแตนซ์: t3.xlarge
- ID กลุ่มความปลอดภัย: สาธารณะ
- พื้นที่เก็บข้อมูล: EBS, 100 GiB, ประเภทวอลุ่ม gp2
- เครือข่าย: ติดตั้งอินสแตนซ์ EC2 หนึ่งอินสแตนซ์ในซับเน็ตสาธารณะแต่ละรายการ (10.0.1.0/24 และ 10.0.2.0/24)
โฮสต์ PostgreSQL EC2
- Amazon Linux 2
- ประเภทอินสแตนซ์: r5.4xlarge
- ID กลุ่มความปลอดภัย: ข้อมูล
- พื้นที่เก็บข้อมูล: ข้อกำหนดเกี่ยวกับพื้นที่ดิสก์จะขึ้นอยู่กับภาระงานข้อมูลของคุณและขึ้นอยู่กับว่าจะส่งผลอย่างไรต่อการสำรองข้อมูล ดูส่วนกระบวนการสำรองข้อมูลและคืนค่าในหัวข้อข้อกำหนดของพื้นที่ดิสก์ (Linux(ลิงก์จะเปิดในหน้าต่างใหม่))
- เครือข่าย: ซับเน็ตข้อมูล 10.0.50.0/24 (หากคุณกำลังทำซ้ำ PostgreSQL ในคลัสเตอร์ HA ให้คุณติดตั้งโฮสต์ที่สองในซับเน็ต 10.0.51.0/24)
การตรวจสอบยืนยัน: การเชื่อมต่อ VPC
หลังจากที่คุณติดตั้งคอมพิวเตอร์โฮสต์แล้ว ให้ตรวจสอบยืนยันการกำหนดค่าเครือข่าย ตรวจสอบยืนยันการเชื่อมต่อระหว่างโฮสต์ต่างๆ ด้วยการเชื่อมต่อกับ SSH จากโฮสต์ในกลุ่มความปลอดภัย Bastion ไปยังโฮสต์ในแต่ละซับเน็ต
ตัวอย่าง: เชื่อมต่อกับโฮสต์ Bastion ใน AWS
ตั้งค่าคอมพิวเตอร์ผู้ดูแลระบบของคุณสำหรับเอเจนต์ SSH การทำเช่นนี้จะช่วยให้คุณสามารถเชื่อมต่อกับโฮสต์ต่างๆ ใน AWS ได้โดยไม่ต้องใส่ไฟล์สำคัญส่วนตัวของคุณลงบนอินสแตนซ์ EC2 ใดๆ
หากต้องการกำหนดค่าเอเจนต์ SSH ใน Mac ให้เรียกใช้คำสั่งต่อไปนี้:
ssh-add -K myPrivateKey.pemหรือสำหรับ Mac OS รุ่นใหม่ล่าสุด ให้ใช้ssh-add --apple-use-keychain myPrivateKey.pemสำหรับ Windows โปรดดูหัวข้อเชื่อมต่ออย่างปลอดภัยกับอินสแตนซ์ Linux ที่ทำงานใน Amazon VPC ส่วนตัว(ลิงก์จะเปิดในหน้าต่างใหม่)
เชื่อมต่อกับโฮสต์ Bastion ด้วยการเรียกใช้คำสั่งต่อไปนี้:
ssh -A ec2-user@<public-IP>คุณสามารถเชื่อมต่อกับโฮสต์อื่นๆ ใน VPC จากโฮสต์ Bastion ได้โดยใช้ที่อยู่ IP ส่วนตัว เช่น
ssh -A ec2-user@10.0.1.93