Tableau Server Enterprise 部署指南

第 1 部分更詳細地描述了業界標準企業部署的功能和要求，這也是《 Tableau Server Enterprise 部署指南》的目的。

以下網路圖顯示了具有 Tableau Server 參考架構的通用資料中心分層部署。

業界標準和部署要求

以下是業界標準部署的功能。這些是參考架構的設計要求：

• 多層網路設計：網路受保護子網路的限制，以限制每一層的存取：Web 層、應用程式層以及資料層。由於所有通訊都在下一個子網路終止，因此無法通過子網路進行任何通訊。
• 預設封鎖的連接埠和通訊協定：預設情況下，每個子網路或安全群組都會封鎖所有入站和出站連接埠和通訊協定。透過在連接埠或通訊協定設定中開啟例外，可以部分啟用通訊。
• 開箱即用的 Web 驗證：來自網際網路的使用者請求由 Web 層中反向 Proxy 上的驗證模塊進行驗證。因此，對應用程式層的所有請求在傳遞到受保護的應用程式層之前都已在 Web 層經過驗證。
• 不倚靠平台：解決方案可以與內部部署伺服器應用程式一起部署，也可以在雲端部署。
• 不倚靠技術：解決方案可以部署在虛擬機環境或容器中。也可以部署在 Windows 或 Linux 上。但是，此參考架構和支援文件的初始版本是為在 AWS 中執行的 Linux 而開發的。
• 高度可用：系統中的所有元件均部署為叢集，並設計為在主動/主動或主動/被動部署中執行。
• 獨立角色：每個伺服器器執行的離散角色。這種設計對所有伺服器進行了分區，從而可以最大限度地減少服務特定的管理員的存取。例如，DBA 管理 Tableau 的 PostgreSQL，身分管理員管理 Web 層中的驗證模塊，網路和雲端管理員啟用流量和連線。
• 線性可延展：作為離散的角色，您可以根據負載設定檔獨立地延展每個層的服務。
• 用戶端支援：參考架構支援所有 Tableau 用戶端：Tableau Desktop（版本 2021.2 或更高版本）、Tableau Mobile 和 Tableau Web 製作。

安全措施

如上所述，業界標準資料中心設計的主要功能是安全性。

• 存取：每層受一個子網路限制，該子網路使用連接埠篩選在 Web 層強制執行存取控制。子網路之間的通訊存取也可以由應用程式層，透過程序之間的身份驗證服務來強制實施。
• 整和：架構設計旨為 Web 層中的反向 Proxy 提供身分識別提供者 (IdP) 外掛程式。
• 隱私：用戶端使用 SSL 對進入 Web 層的流量進行加密。進入內部子網路的流量也可以選擇加密。

Web proxy 層

Web 層是 DMZ 中的子網路（也稱為周邊區），充當網際網路與部署應用程式的內部子網路之間的安全緩衝區。Web 層託管不儲存任何敏感資訊的反向 Proxy 伺服器。在將用戶端請求重新導向到 Tableau Server 之前，反向 Proxy 伺服器已設定 AuthN 外掛程式，以使用受信任的 IdP 對用戶端工作階段進行預驗證。有關詳情，請參閱使用 AuthN 模組進行預先驗證。

負載平衡器

部署設計包括反向 Proxy 伺服器前端的企業負載平衡解決方案。

負載均平衡器透過以下方式提供了重要的安全性和效能強化：

• 虛擬化應用程式層服務的前端 URL
• 強制 SSL 加密
• 卸載 SSL
• 用戶端和 Web 層服務之間強制壓縮
• 抵禦 DOS 攻擊
• 提供高可用性

附註：Tableau Server 版本 2022.1 包括 Tableau Server 獨立閘道。獨立閘道是 Tableau 閘道流程的獨立執行個體，用作 Tableau 感知反向 Proxy。在發佈時，獨立閘道已經過驗證，但尚未在 EDG 參考架構中進行全面測試。全面測試完成後，EDG 將更新 Tableau Server 獨立閘道規範指南。

應用程式層

應用程式層位於執行伺服器應用程式核心業務邏輯的子網路中。應用程式層由跨叢集中分佈式節點設定的服務和流程組成。應用程式層只能從 Web 層存取，使用者不能直接存取。

通過設定應用程式程序，使具有不同資源的設定檔（CPU 密集型與記憶體密集型）位於同一位置，可以提高性能和可靠性。

資料層

資料層是一個包含有價值資料的子網路。此層的所有流量都來自應用程式層，因此已經過驗證。除了具有連接埠設定的 Web 層的存取要求外，該層還應包括經過驗證的存取和與應用程式層的可選加密流量。