Tableau Server 企业部署指南

第 1 部分更详细地描述了行业标准企业部署的功能和要求，Tableau Server 企业部署指南就是针对这些特性和要求而设计的。

以下网络图显示了带有 Tableau Server 参考架构的通用数据中心分层部署。

行业标准和部署要求

以下是行业标准部署的功能。以下是参考体系结构的设计要求：

• 多层网络设计：网络受所保护子网的限制，以限制每一层的访问：Web 层，应用程序层和数据层。由于所有通信都在下一个子网处终止，因此无法跨子网进行任何通信。
• 默认情况下阻止的端口和协议：默认情况下，每个子网或安全组将阻止所有入站和出站端口及协议。通过在端口或协议配置中打开例外来部分启用通信。
• 现成的 Web 身份验证：来自 Internet 的用户请求通过 Web 层中反向代理上的身份验证模块进行身份验证。因此，在传入受保护的应用程序层之前，将在 Web 层上验证对应用程序层的所有请求。
• 与平台无关：解决方案可以与本地服务器应用程序一起部署，也可以在云中部署。
• 与技术无关：解决方案可以部署在虚拟机环境或容器中。也可以部署在 Windows 或 Linux 上。但是，参考架构和支持文档的初始版本是为在 AWS 中运行的 Linux 开发的。
• 高度可用：系统中的所有组件均以群集方式部署，并设计为在主动/主动或主动/被动部署中运行
• 孤立角色：每个服务器都扮演不同的角色。这种设计对所有服务器进行了分区，以便可将特定于服务的管理员的访问降至最低。例如，DBA 管理 PostgreSQL for Tableau，身份管理员管理 Web 层中的身份验证模块，网络和云管理员启用流量和连接。
• 线性可扩展：作为不同的角色，您可以根据负载配置文件独立扩展每个层服务。
• 客户端支持：参考架构支持所有 Tableau 客户端：Tableau Desktop（版本 2021.2 或更高版本）、Tableau Mobile 和 Tableau Web Authoring。

安全措施

如上所述，行业标准数据中心设计的主要功能是安全性。

• 访问：每个层受一个子网约束，该子网使用端口筛选在网络层实施访问控制。子网之间的通信访问也可以由应用程序层通过进程之间经过身份验证的服务来实施。
• 集成：体系结构设计为在 Web 层中的反向代理上插入身份验证提供程序 (IdP)。
• 隐私：客户端使用 SSL 对进入 Web 层的流量进行加密。进入内部子网的流量也可以根据需要进行加密。

Web 代理层

Web 层是 DMZ（也称为外围区域）中的一个子网，充当 Internet 与部署应用程序的内部子网之间的安全缓冲区。Web 层托管不存储任何敏感信息的反向代理服务器。反向代理服务器配置有一个 AuthN 插件，用于在将客户端请求重定向到 Tableau Server 之前，使用受信任的 IdP 对客户端会话进行预身份验证。有关详细信息，请参见使用 AuthN 模块进行预身份验证。

负载平衡器

部署设计包括在反向代理服务器之前部署企业负载平衡解决方案。

负载平衡器通过以下方式提供了重要的安全性和性能增强：

• 虚拟化应用程序层服务的前端 URL
• 实施 SSL 加密
• 卸载 SSL
• 在客户端和 Web 层服务之间实施压缩
• 抵御 DOS 攻击
• 提供高可用性

注意：Tableau Server 版本 2022.1 包括 Tableau Server 独立网关。独立网关是 Tableau 网关进程的独立实例，用作 Tableau 感知反向代理。在发布时，独立网关已经过验证，但尚未在 EDG 参考架构中进行全面测试。完整测试完成后，EDG 将使用 Tableau Server 独立网关说明性指南进行更新。

应用程序层

应用程序层位于运行服务器应用程序核心业务逻辑的子网中。应用程序层由跨群集中的分布式节点配置的服务和流程组成。仅可从 Web 层访问应用程序层，用户不能直接访问。

通过配置应用程序进程，使具有不同资源使用配置文件（即，CPU 密集型与内存密集型）的进程位于同一位置，可以提高性能和可靠性。

数据层

数据层是一个保存有价值数据的子网。进入此层的所有流量都来自应用程序层，因此已经过身份验证。除了具有端口配置的网络层上的访问要求外，该层还应包括经过身份验证的访问，以及可选的应用程序层加密流量。