第 6 部分 - 安装后配置
配置从负载平衡器到 Tableau Server 的 SSL/TLS
一些组织需要从客户端到后端服务的端到端加密通道。到目前为止所描述的默认参考架构指定了从客户端到在您组织的 Web 层中运行的负载均衡器的 SSL。
本部分介绍如何在示例 AWS 参考架构中为 Tableau Server 和独立网关配置 SSL/TLS。有关描述如何在 AWS 参考架构中在 Apache 上配置 SSL/TLS 的配置示例,请参见示例:在 AWS 参考架构中配置 SSL/TLS。
目前,在 8000-9000 范围内运行的后端 Tableau Server 进程不支持 TLS。若要启用 TLS,您必须为独立网关配置与 Tableau Server 的中继连接。
此过程介绍如何针对独立网关到 Tableau Server 以及 Tableau Server 到独立网关的连接启用和配置 TLS。该过程加密通过 HTTPS/443 的中继流量和通过 HTTPS/21319 的整理流量。
此示例中的 Linux 程序显示了类似 RHEL 的发行版的命令。具体来说,这里的命令是使用 Amazon Linux 2 发行版开发的。如果您运行的是 Ubuntu 发行版,请相应地编辑命令。
此处的指南是对本指南中介绍的特定 AWS 示例参考架构的规定。因此,不包括可选配置。有关完整的参考文档,请参见在独立网关上配置 TLS(Linux(链接在新窗口中打开))。
配置 TLS 之前
在工作时间之外执行 TLS 配置。配置至少需要重新启动一次 Tableau Server。如果您正在运行完整的四节点参考架构部署,则重新启动可能需要一段时间。
- 验证客户端是否可以通过 HTTP 连接到 Tableau Server。使用独立网关配置 TLS 是一个多步骤过程,可能需要进行故障排除。因此,我们建议在配置 TLS 之前从完全可操作的 Tableau Server 部署开始。
收集 TLS/SSL 证书、密钥和相关资产。您将需要适用于独立网关和 Tableau Server 的 SSL 证书。为了简化证书管理和部署,以及作为安全最佳实践,我们建议使用由主要受信任的第三方证书颁发机构 (CA) 生成的证书。或者,您可以为 TLS 生成自签名证书或使用 PKI 中的证书。
本主题中的示例配置使用以下资产名称作为说明:
tsig-ssl.crt:独立网关的 TLS/SSL 证书。tsig-ssl.key:独立网关上tsig-ssl.crt的私钥。ts-ssl.crt:Tableau Server 的 TLS/SSL 证书。ts-ssl.key:Tableau Server 上tsig-ssl.crt的私钥。tableau-server-CA.pem:为 Tableau Server 计算机生成证书的 CA 的根证书。如果您使用来自主要可信第三方的证书,通常不需要此证书。rootTSIG-CACert.pem:为独立网关计算机生成证书的 CA 的根证书。如果您使用来自主要可信第三方的证书,通常不需要此证书。- 本指南的第 5 部分详细介绍了 SAML 所需的其他证书和密钥文件资产。
- 如果您的实施需要使用证书链文件,请参见知识库文章使用具有证书链的证书时在独立网关上配置 TLS(链接在新窗口中打开)。
- 验证您是否有权访问 IdP。如果您使用 IdP 进行身份验证,您可能需要在配置 SSL/TLS 后更改 IdP 上的收件人和目标 URL。
为 TLS 配置独立网关计算机
配置 TLS 可能是一个容易出错的过程。由于跨独立网关的两个实例进行故障排除可能非常耗时,我们建议仅使用一个独立网关在 EDG 部署上启用和配置 TLS。在您验证 TLS 可在整个部署中工作后,然后配置第二台独立网关计算机。
步骤 1:将证书和密钥分发到独立网关计算机
只要 tsig-httpd 用户具有对文件的读取访问权限,您就可以将资产分发到任意目录。其他过程中引用了这些文件的路径。我们在整个主题中将使用 /etc/ssl 下的示例路径,如下所示。
为私钥创建目录:
sudo mkdir -p /etc/ssl/private
将证书和密钥文件复制到
/etc/ssl路径。例如,sudo cp tsig-ssl.crt /etc/ssl/certs/
sudo cp tsig-ssl.key /etc/ssl/private/
(可选)如果您在 Tableau Server 上为 SSL/TLS 使用自签名或 PKI 证书,则您还必须将 CA 根证书文件复制到独立网关计算机。例如,
sudo cp tableau-server-CA.pem /etc/ssl/certs/
步骤 2:更新 TLS 的环境变量
您必须更新独立网关配置的端口和协议环境变量。
通过更新文件 /etc/opt/tableau/tableau_tsig/environment.bash 来更改这些值,如下所示:
TSIG_HK_PROTOCOL="https" TSIG_PORT="443" TSIG_PROTOCOL="https"
步骤 3:更新 HK 协议的存根配置文件
手动编辑存根配置文件 (/var/opt/tableau/tableau_tsig/config/httpd.conf.stub),为整理 (HK) 协议设置与 TLS 相关的 Apache httpd 指令。
存根配置文件包含一个与 TLS 相关的指令块,这些指令已使用 #TLS# 标记注释掉。从指令中移除标记,如下例所示。请注意,该示例显示借助 SSLCACertificateFile 选项,为 Tableau Server 上使用的 SSL 证书使用根 CA 证书的情况。
#TLS# SSLPassPhraseDialog exec:/path/to/file
<VirtualHost *:${TSIG_HK_PORT}>
SSLEngine on
#TLS# SSLHonorCipherOrder on
#TLS# SSLCompression off
SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
SSLCACertificateFile /etc/ssl/certs/tableau-server-CA.pem
#TLS# SSLCARevocationFile /path/to/file
</VirtualHost>如果您重新安装独立网关,这些更改将丢失。我们建议制作备份副本。
步骤 4:复制存根文件并重新启动服务
复制您在上一步中更新的文件,以使用更改更新 httpd.conf:
cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf
重新启动独立网关服务:
sudo su - tableau-tsig systemctl --user restart tsig-httpd exit
重新启动后,独立网关将无法运行,直到您在 Tableau Server 上运行下一组步骤。在 Tableau Server 上完成这些步骤后,独立网关将获取更改并联机。
为 TLS 配置 Tableau Server 节点 1
在 Tableau Server 部署中的节点 1 上运行这些步骤:
步骤 1:复制证书和密钥并停止 TSM
确认您已将 Tableau Server“外部 SSL”证书和密钥复制到节点 1。
为了最大限度地减少停机时间,我们建议停止 TSM,运行以下步骤,然后在应用更改后启动 TSM:
tsm stop
步骤 2:设置证书资产并启用独立网关配置
指定独立网关的证书和密钥文件的位置。这些路径引用独立网关计算机上的位置。请注意,此示例假定使用相同的证书和密钥对来保护 HTTPS 和整理流量:
tsm configuration set -k gateway.tsig.ssl.cert.file_name -v /etc/ssl/certs/tsig-ssl.crt --force-keys tsm configuration set -k gateway.tsig.ssl.key.file_name -v /etc/ssl/private/tsig-ssl.key --force-keys
为独立网关的 HTTPS 和 HK 协议启用 TLS:
tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
(可选)如果您在独立网关上为 SSL/TLS 使用自签名或 PKI 证书,则必须上载 CA 根证书文件。CA 根证书文件是用于为独立网关计算机生成证书的根证书。例如,
tsm security custom-cert add -c rootTSIG-CACert.pem
(可选)如果您在 Tableau Server 上为 SSL/TLS 使用自签名或 PKI 证书,则您还必须将 CA 根证书文件复制到独立网关
/etc/ssl/certs目录。CA 根证书文件是用于为 Tableau Server 计算机生成证书的根证书。将证书复制到独立网关后,必须使用以下 tsm 命令指定证书在节点 1 上的位置。例如,tsm configuration set -k gateway.tsig.ssl.proxy.gateway_relay_cluster.cacertificatefile -v /etc/ssl/certs/tableau-server-CA.pem --force-keys
(可选:仅用于测试目的)如果您在计算机之间使用共享自签名或 PKI 证书,因此证书上的使用者名称与计算机名称不匹配,那么您必须禁用证书验证。
tsm configuration set -k gateway.tsig.ssl.proxy.verify -v optional_no_ca --force-keys
步骤 3:为 Tableau Server 启用“外部 SSL”并应用更改
在 Tableau Server 上启用和配置“外部 SSL”:
tsm security external-ssl enable --cert-file ts-ssl.crt --key-file ts-ssl.key
应用更改。
tsm pending-changes apply
步骤 4:更新网关配置 JSON 文件并启动 tsm
在 Tableau Server 端更新独立网关配置文件(例如,
tsig.json),为独立网关对象指定https协议:"protocol" : "https",
移除(或注释掉)独立网关第二个实例的连接信息。在保存之前,请务必在外部编辑器中验证 JSON。
为独立网关的单个实例配置和验证 TLS 后,您将使用独立网关的第二个实例的连接信息更新此 JSON 文件。
运行以下命令以更新独立网关配置:
tsm topology external-services gateway update -c tsig.json
启动 TSM。
tsm start
在 TSM 启动时,登录到独立网关实例并重新启动
tsig-httpd服务:sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit
将 IdP 身份验证模块 URL 更新为 HTTPS
如果您为 Tableau 配置了外部身份提供程序,则您可能需要更新 IdP 管理仪表板中的返回 URL。
举例来说,如果您使用 Okta 预身份验证应用程序,您将需要更新应用程序以对收件人 URL 和目标 URL 使用 HTTPS 协议。
为 HTTPS 配置 AWS 负载平衡器
如果您按照本指南中的说明使用 AWS 负载平衡器进行部署,那么您可以重新配置 AWS 负载平衡器以将 HTTPS 流量发送到运行独立网关的计算机:
删除现有 HTTP 目标组:
在“目标组”中,选择已为负载平衡器配置的 HTTP 目标组,单击“操作”,然后单击“删除”。
创建 HTTPS 目标组
“目标组”>“创建目标组”
- 选择“实例”
- 输入目标组名称,例如
TG-internal-HTTPS - 选择您的 VPC
- 协议:HTTPS 443
- 在“运行状况检查”>“高级运行状况检查设置”>“成功代码”下,将代码列表追加为:
200,303。 - 单击“创建”。
选择刚刚创建的目标组,然后单击“目标”选项卡:
- 单击“编辑”
- 选择正在运行已配置的 Tableau Server 独立网关的 EC2 实例,然后单击“添加到已注册”。
- 单击“保存”。
创建目标组后,您必须启用粘性:
- 打开 AWS 目标组页面(“EC2”>“负载平衡”>“目标组”),选择您刚刚设置的目标组实例。在“操作”菜单上,选择“编辑属性”。
- 在“编辑属性”页面上,选择“粘性” ,指定持续时间
1 day,然后保存更改。
在负载平衡器上,更新侦听器规则。选择您为此部署配置的负载平衡器,然后单击“侦听器”选项卡。
- 对于“HTTP:80”,单击“查看/编辑规则”。在生成的“规则”页面上,单击编辑图标(一次位于页面顶部,然后再次位于规则旁边)以编辑规则。删除现有 THEN 规则,并通过单击“添加操作”>“重定向至...”替换该规则。在生成的 THEN 配置中,指定
HTTPS和端口443,并将其他选项保留为默认设置。保存设置,然后单击“更新”。 - 对于“HTTPS:443”,单击“查看/编辑规则”。在生成的“规则”页面上,单击编辑图标(一次位于页面顶部,然后再次位于规则旁边)以编辑规则。删除现有 THEN 规则,并通过单击“添加操作”>“转发至...”替换该规则。将目标组指定为您刚刚创建的 HTTPS 组。在“组级粘性”下,启用粘性并将持续时间设置为 1 天。保存设置,然后单击“更新”。
- 对于“HTTP:80”,单击“查看/编辑规则”。在生成的“规则”页面上,单击编辑图标(一次位于页面顶部,然后再次位于规则旁边)以编辑规则。删除现有 THEN 规则,并通过单击“添加操作”>“重定向至...”替换该规则。在生成的 THEN 配置中,指定
在负载平衡器上,将空闲超时更新为 400 秒。选择您为此部署配置的负载平衡器,然后单击“操作”>“编辑属性”。将“空闲超时”设置为
400秒,然后单击“保存”。
验证 TLS
若要验证 TLS 功能,请使用您在此过程开始时创建的 Tableau 管理员帐户通过公共 URL(例如 https://tableau.example.com)登录到 Tableau Server。
如果 TSM 没有启动或出现其他错误,请参见Tableau Server 独立网关故障排除。
为 SSL 配置独立网关的第二个实例
成功配置独立网关的第一个实例后,部署第二个实例。
部署第二个独立网关的过程需要以下步骤:
在已配置的(第一个)独立网关实例上;将以下文件复制到第二个独立网关实例上的相应位置:
/etc/ssl/certs/tsig-ssl.crt/etc/ssl/private/tsig-ssl.key(您需要在第二个实例上创建private目录)。/var/opt/tableau/tableau_tsig/config/httpd.conf.stub/etc/opt/tableau/tableau_tsig/environment.bash
在 Tableau Server 部署的节点 1 上:使用来自第二个独立网关的连接信息更新连接文件 (
tsig.json)。此处显示了一个示例连接文件 (
tsig.json):{ "independentGateways": [ { "id": "ip-10-0-1-169.ec2.internal", "host": "ip-10-0-1-169.ec2.internal", "port": "21319", "protocol" : "https", "authsecret": "13660-27118-29070-25482-9518-22453" }, { "id": "ip-10-0-2-230.ec2.internal", "host": "ip-10-0-2-230.ec2.internal", "port": "21319", "protocol" : "https", "authsecret": "9055-27834-16487-27455-30409-7292" }] }在 Tableau Server 部署的节点 1 上:运行以下命令以更新配置:
tsm stop
tsm topology external-services gateway update -c tsig.json
tsm start
在独立网关的两个实例上:在 Tableau Server 启动时,在独立网关的两个实例上重新启动
tsig-httpd进程:sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit
在 AWS 的“EC2”>“目标组”中:更新目标组以包含运行第二个独立网关实例的 EC2 实例。
选择刚刚创建的目标组,然后单击“目标”选项卡:
- 单击“编辑”。
- 选择第二台独立网关计算机的 EC2 实例,然后单击“添加到已注册”。单击“保存”。
针对 Postgres 配置 SSL
您可以选择为 Tableau Server 上外部存储库连接的 Postgres 连接配置 SSL (TLS)。
为了简化证书管理和部署,以及作为安全最佳实践,我们建议使用由主要受信任的第三方证书颁发机构 (CA) 生成的证书。或者,您可以为 TLS 生成自签名证书或使用 PKI 中的证书。
此过程描述了如何使用 OpenSSL,在示例 AWS 参考架构中类似于 RHEL 的 Linux 发行版上的 Postgres 主机上生成自签名证书。
生成并签署 SSL 证书后,您必须将 CA 证书复制到 Tableau 主机。
在运行 Postgress 的主机上:
生成签名根证书颁发机构 (CA) 密钥:
openssl genrsa -out pgsql-rootCAKey.pem 2048
创建根 CA 证书:
openssl req -x509 -sha256 -new -nodes -key pgsql-rootCAKey.pem -days 3650 -out pgsql-rootCACert.pem
系统将提示您输入证书字段的值。例如:
Country Name (2 letter code) [XX]:US State or Province Name (full name) []:Washington Locality Name (eg, city) [Default City]:Seattle Organization Name (eg, company) [Default Company Ltd]:Tableau Organizational Unit Name (eg, section) []:Operations Common Name (eg, Postgres server's hostname) []:ip-10-0-1-189.us-west-1.compute.internal Email Address []:example@tableau.com
为 Postgres 计算机创建证书和相关密钥(在下面的示例中为
server.csr和server.key)。证书的使用者名称必须与 Postgres 主机的 EC2 私有 DNS 名称匹配。使用者名称是使用-subj选项以"/CN=<private DNS name>"格式设置的,例如:openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=ip-10-0-1-189.us-west-1.compute.internal"
使用您在步骤 2 中创建的 CA 证书签署新证书。以下命令还将以
crt格式输出证书:openssl x509 -req -in server.csr -days 3650 -CA pgsql-rootCACert.pem -CAkey pgsql-rootCAKey.pem -CAcreateserial -out server.crt
将 crt 和 key 文件复制到 Postgres
/var/lib/pgsql/13/data/路径:sudo cp server.crt /var/lib/pgsql/13/data/
sudo cp server.key /var/lib/pgsql/13/data/
切换到根用户:
sudo su
设置证书和密钥文件的权限。运行以下命令:
cd /var/lib/pgsql/13/data chown postgres.postgres server.crt chown postgres.postgres server.key chmod 0600 server.crt chmod 0600 server.key
更新 pg_haba 配置文件
/var/lib/pgsql/13/data/pg_hba.conf以指定 md5 信任:将现有的连接语句从
host all all 10.0.30.0/24 password, 和host all all 10.0.31.0/24 password更改为
host all all 10.0.30.0/24 md5, 和host all all 10.0.31.0/24 md5。通过以下这一行来更新 postgresql 文件
/var/lib/pgsql/13/data/postgresql.conf:ssl = on
退出根用户模式:
exit
重新启动 Postgres:
sudo systemctl restart postgresql-13
可选:在 Tableau Server 上针对 Postgres SSL 启用证书信任验证
如果您遵循了第 4 部分 - 安装并配置 Tableau Server中的安装过程,那么 Tableau Server 将为 Postgres 连接配置可选的 SSL。这意味着在 Postgres 上配置 SSL(如上所述)将导致加密连接。
如果希望对连接进行证书信任验证,则必须在 Tableau Server 上运行以下命令来重新配置 Postgres 主机连接:
tsm topology external-services repository replace-host -f <filename>.json -c CACert.pem
其中 <filename>.json 是配置外部 Postgres中描述的连接文件。 CACert.pem 是 Postgres 使用的 SSL/TLS 证书的 CA 证书文件。
若要验证 SSL 连接,您必须:
- 在 Tableau Server 节点 1 上安装 Postgres 客户端。
- 将您在前面的过程中创建的根证书复制到 Tableau 主机。
- 从节点 1 连接到 Postgres 服务器
在节点 1 上安装 Postgres 客户端
此示例演示如何安装版本 Postgres 13.4。安装与您为外部存储库运行的版本相同的版本。
在节点 1 上,在
/etc/yum.repos.d路径中创建和编辑 pgdg.repo 文件,使用以下配置信息填充该文件。[pgdg13] name=PostgreSQL 13 for RHEL/CentOS 7 - x86_64 baseurl=https://download.postgresql.org/pub/repos/yum/13/redhat/rhel-7-x86_64 enabled=1 gpgcheck=0
安装 Postgres 客户端:
sudo yum install postgresql13-13.4-1PGDG.rhel7.x86_64
将根证书复制到节点 1
将 CA 证书 (pgsql-rootCACert.pem) 复制到 Tableau 主机:
scp ec2-user@<private-DNS-name-of-Postgress-host>:/home/ec2-user/pgsql-rootCACert.pem /home/ec2-user
通过 SSL 从节点 1 连接到 Postgres 主机:
从节点 1 运行以下命令,指定 Postgres 服务器主机 IP 地址和根 CA 证书:
psql "postgresql://postgres@<IP-address>:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"
例如:
psql "postgresql://postgres@10.0.1.189:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"
Postgres 将提示您输入密码。登录成功后,shell 会返回:
psql (13.4) SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off) Type "help" for help. postgres=#
配置 SMTP 和事件通知
Tableau Server 向管理员和用户发送电子邮件通知。为了实现这一点,您必须配置 Tableau Server 以将邮件发送到您的电子邮件服务器。您还必须指定要发送的事件类型、阈值和订阅信息。
对于 SMTP 和通知的初始配置,我们建议您使用下面的配置文件模板创建一个 json 文件。您还可以使用“tsm configuration set”(Linux(链接在新窗口中打开)) 中描述的语法设置下面列出的任何单一配置键。
在 Tableau Server 部署中的节点 1 上运行此过程:
将以下 json 模板复制到文件。使用您的 SMTP 配置选项以及组织的订阅和警报通知自定义文件。
- 若要查看所有 SMTP 选项的列表和描述,请参见“SMTP CLI 配置参考”(Linux(链接在新窗口中打开))。
- 若要查看所有通知事件选项的列表和描述,请参见“配置服务器事件通知”(Linux(链接在新窗口中打开)) 的“CLI”部分。
{ "configKeys": { "svcmonitor.notification.smtp.server": "SMTP server host name", "svcmonitor.notification.smtp.send_account": "SMTP user name", "svcmonitor.notification.smtp.port": 443, "svcmonitor.notification.smtp.password": "SMTP user account password", "svcmonitor.notification.smtp.ssl_enabled": true, "svcmonitor.notification.smtp.from_address": "From email address", "svcmonitor.notification.smtp.target_addresses": "To email address1,address2", "svcmonitor.notification.smtp.canonical_url": "Tableau Server URL", "backgrounder.notifications_enabled": true, "subscriptions.enabled": true, "subscriptions.attachments_enabled": true, "subscriptions.max_attachment_size_megabytes": 150, "svcmonitor.notification.smtp.enabled": true, "features.DesktopReporting": true, "storage.monitoring.email_enabled": true, "storage.monitoring.warning_percent": 20, "storage.monitoring.critical_percent": 15, "storage.monitoring.email_interval_min": 25, "storage.monitoring.record_history_enabled": true } }运行
tsm settings import -f file.json以将 json 文件传递至 Tableau 服务管理器。运行
tsm pending-changes apply命令以应用更改。运行
tsm email test-smtp-connection以查看和验证连接配置。
安装 PostgreSQL 驱动程序
若要在 Tableau Server 上查看管理员视图,必须在 Tableau Server 部署的节点 1 上安装 PostgreSQL 驱动程序。
转到 Tableau 驱动程序下载(链接在新窗口中打开)页面,并复制 PostgreSQL jar 文件的 URL。
在 Tableau 部署的每个节点上运行以下过程:
创建以下文件路径:
sudo mkdir -p /opt/tableau/tableau_driver/jdbc从新路径中,下载最新版本的 PostgreSQL jar 文件:例如:
sudo wget https://downloads.tableau.com/drivers/linux/postgresql/postgresql-42.2.22.jar在初始节点上,重新启动 Tableau Server:
tsm restart
配置强密码策略
如果您不使用 IdP 身份验证解决方案部署 Tableau Server,我们建议对默认 Tableau 密码策略进行安全强化。
如果您使用 IdP 部署 Tableau Server,则必须使用 IdP 管理密码策略。
以下过程包括用于在 Tableau Server 上设置密码策略的 json 配置。有关以下选项的详细信息,请参见“本地身份验证 (Linux(链接在新窗口中打开))”。
将以下 json 模板复制到文件。使用您的密码策略配置填入键值。
{ "configKeys": { "wgserver.localauth.policies.mustcontainletters.enabled": true, "wgserver.localauth.policies.mustcontainuppercase.enabled": true, "wgserver.localauth.policies.mustcontainnumbers.enabled": true, "wgserver.localauth.policies.mustcontainsymbols.enabled": true, "wgserver.localauth.policies.minimumpasswordlength.enabled": true, "wgserver.localauth.policies.minimumpasswordlength.value": 12, "wgserver.localauth.policies.maximumpasswordlength.enabled": false, "wgserver.localauth.policies.maximumpasswordlength.value": 255, "wgserver.localauth.passwordexpiration.enabled": true, "wgserver.localauth.passwordexpiration.days": 90, "wgserver.localauth.ratelimiting.maxbackoff.minutes": 60, "wgserver.localauth.ratelimiting.maxattempts.enabled": false, "wgserver.localauth.ratelimiting.maxattempts.value": 5, "features.PasswordReset": true } }运行
tsm settings import -f file.json,以将 json 文件传递给 Tableau 服务管理器,从而配置 Tableau Server。运行
tsm pending-changes apply命令以应用更改。