Tableau Server Enterprise 部署指南

參考架構的 Web 層應包括以下組件：

• 面向 Web 的應用程式負載平衡器，它接受來自 Tableau 用戶端的 HTTPS 請求並與反向 proxy 伺服器進行通訊。
• 反向 proxy： 
  • 建議部署 Tableau Server 獨立閘道。
  • 建議至少使用兩個 proxy 伺服器為冗餘和處理用戶端加載。
  • 從負載平衡器接收 HTTPS 流量。
  • 支援 Tableau 主機的相黏工作階段。
  • 為執行閘道過程的每個 Tableau Server 設定循環負載平衡 proxy。
  • 處理來自外部 IdP 的身份驗證請求。
• 正向 Proxy：Tableau Server 需要存取網際網路獲得授權與對應功能。您必須為 Tableau 服務 URL 設定正向 proxy 允許清單。請參閱《與網際網路通訊》（ Linux(連結在新視窗開啟)）。
• 所有與用戶端相關的流量都可以透過 HTTPS 加密：
  • 用戶端到應用程式負載平衡器
  • 應用程式負載平衡器到反向 proxy 伺服器
  • Proxy 伺服器到 Tableau Server
  • 在反向 proxy 上執行到 IdP 的身份驗證處理程序
  • Tableau Server 到 IdP

Tableau Server 獨立閘道

Tableau Server 版本 2022.1 中引入了 Tableau Server 獨立閘道。獨立閘道是 Tableau 閘道流程的獨立執行個體，用作 Tableau 感知反向 Proxy。

獨立閘道支援到後端 Tableau Server 的簡單循環配置資源負載平衡。但是，獨立閘道並非旨在充當企業應用程式負載平衡器。我們建議在企業級應用程式負載平衡器後面執行獨立閘道。

獨立閘道需要 Advanced Management 授權。

驗證和授權

預設參考架構會指定安裝 Tableau Server 並設定本機驗證。在此模型中，用戶端必須連線到 Tableau Server 才能透過本機 Tableau Server 本機驗證流程進行驗證。不建議在參考架構中使用此驗證方法，因為該情境要求未經驗證的用戶端與應用程式層通訊，這存在安全風險。

相反，我們建議設定企業級外部身分識別提供者和 AuthN 模組，以預先驗證所有到應用程式層的流量。使用外部 IdP 設定時，不使用本機 Tableau Server 本機驗證流程。在 IdP 對使用者進行驗證後，Tableau Server 會授權存取部署中的資源。

使用 AuthN 模組進行預先驗證

在本指南中記錄的範例中，已設定 SAML SSO，但可以使用大多數外部身分識別提供者和 AuthN 模組設定預先驗證流程。

在參考架構中，反向 Proxy 設定為在 Proxy 處理這些對 Tableau Server 的請求之前與 IdP 建立用戶端驗證工作階段。我們將此過程稱為預驗證階段。反向 Proxy 只會將經過驗證的用戶端工作階段重新導向到 Tableau Server。然後，Tableau Server 將建立一個工作階段，使用 IdP 驗證工作階段的身分驗證，然後傳回用戶端請求。

下圖顯示了已設定 AuthN 模組的預先驗證和驗證流程的分步詳細資訊。反向 Proxy 可能為泛型協力廠商解決方案或 Tableau Server 獨立閘道：

設定概觀

以下為設定 Web 層的過程概觀。在每個步驟之後驗證連線：

1. 設定兩個反向 proxy 以提供對 Tableau Server 的 HTTP 存取。
2. 在 proxy 伺服器上使用相黏工作階段設定負載平衡邏輯，以連線到執行閘道處理序的每個 Tableau Server 執行個體。
3. 在 Internet 閘道使用相黏工作階段設定套用應用程式負載平衡，以將請求轉傳到反向 proxy 伺服器。
4. 使用外部 IdP 設定身份驗證。可以在反向 proxy 伺服器上安裝身份驗證處理程式來設定 SSO 或 SAML。AuthN 模組管理外部 IdP 和 Tableau 部署之間的驗證信號交換。Tableau 還將充當 IdP 服務提供者並使用 IdP 對使用者進行身份驗證。
5. 要在此部署中使用 Tableau Desktop 進行身份驗證，用戶端必須執行 Tableau Desktop 2021.2.1 或更高版本。

使用 Tableau Server 獨立閘道設定 Web 層的範例

本主題的其餘部分會介紹一個端到端的過程，該過程會描述如何使用 Tableau Server 獨立閘道在範例 AWS 參考架構中實作 Web 層。有關使用 Apache 作為反向 Proxy 的範例設定，請參閱附錄 - 具有 Apache 示例部署的 Web 層。

範例設定由以下元件組成：

• AWS 應用程式負載平衡器
• Tableau Server 獨立閘道
• Mellon 驗證模組
• Okta IdP
• SAML 驗證

附註：本節中提供的範例 Web 層設定包括部署協力廠商軟體和服務的詳細程序。我們已盡最大努力驗證和記錄啟用 Web 層方案的過程。但是，協力廠商軟體可能會發生變化，或者您的方案可能與此處描述的參考架構不同。權威設定細節和支援請參考協力廠商文件。

整個區段中的 Linux 範例展示了 RHEL-like 發行版的命令。具體來說，這裡的命令是使用 Amazon Linux 2 發行版開發的。若執行的是 Ubuntu 發行版，請編輯相對應的命令。

在此範例中部署 Web 層遵循逐步設定和驗證程序。核心 Web 層設定包含以下步驟，用於在 Tableau 和 Internet 之間啟用 HTTP。獨立閘道執行並設定為在 AWS 應用程式負載均衡器後面進行反向 proxy/負載均衡：

1. 準備環境
2. 安裝獨立閘道
3. 設定獨立閘道伺服器
4. 配置 AWS 應用程式負載均衡器

設定 Web 層並驗證與 Tableau 的連線後，使用外部提供者設定身份驗證。

準備環境

在部署獨立閘道之前完成以下工作。

1. AWS 安全性群組變更。將公共安全群組設定為允許來自私人安全群組的傳入獨立閘道內務管理流量 (TCP 21319)。

2. 如第 4 部分 - 安裝並設定 Tableau Server中所述，在四節點 Tableau Server 叢集上安裝版本 22.1.1（或更高版本）。

3. 如設定主機電腦中所述，在公共安全性群組中設定兩個 Proxy EC2 執行個體。

安裝獨立閘道

Tableau Server 獨立閘道需要 Advanced Management 授權。

部署 Tableau Server 獨立閘道包括安裝和執行 .rpm 套件，然後設定初始狀態。本指南中包含的程序為部署到參考架構中提供了說明性指導。

若您的部署與參考架構不同，請參閱核心 Tableau Server 文件使用獨立閘道安裝 Tableau Server (Linux(連結在新視窗開啟))。

重要提示：設定獨立閘道是可能出錯的程序。跨獨立閘道伺服器的兩個執行個體對設定問題進行疑難排解非常困難。因此建議一次設定一個獨立閘道伺服器。設定第一台伺服器並驗證功能後，應設定第二台獨立閘道伺服器。

儘管您將分別設定每個獨立閘道伺服器，請在安裝到公共安全群組中的兩個 EC2 執行個體中執行此安裝過程： 

1. 執行更新以將最新的修正套用到 Linux OS：

   sudo yum update

2. 如果安裝到 Apache，請將其移除：

    sudo yum remove httpd

3. 將版本 2022.1.1（或更高版本）獨立閘道安裝套件從 Tableau 下載頁面(連結在新視窗開啟)複製到將執行 Tableau Server 的主機電腦。

   例如，在執行 Linux RHEL-like 操作系統的電腦上，執行：

   wget https://downloads.tableau.com/esdalt/2022<version>/tableau-server-tsig-<version>.x86_64.rpm

4. 執行安裝程式：例如，在類似於 Linux RHEL 的作業系統上，執行：

   sudo yum install <tableau-tsig-version>.x86_64.rpm

5. 變更為/opt/tableau/tableau_tsig/packages/scripts.<version_code>/ 目錄，並執行位於該處的 initialize-tsig 指令碼。除了 --accepteula 標幟外，還必須包括執行 Tableau Server 部署的子網路之 IP 範圍。使用 -c 選項指定 IP 範圍。下面的範例顯示了包含指定範例 AWS 子網路的命令：

   sudo ./initialize-tsig --accepteula -c "ip 10.0.30.0/24 10.0.31.0/24"

6. 初始化完成後，開啟 tsighk-auth.conf 檔案，並複製檔案中的驗證密碼。作為後端 Tableau Server 設定的一部分，需要為每個獨立閘道執行個體提交此程式碼：

   sudo less /var/opt/tableau/tableau_tsig/config/tsighk-auth.conf

7. 在獨立閘道的兩個執行個體上執行上述步驟後，準備 tsig.json 設定檔。設定檔由「independentGateways」陣列組成。該陣列包含設定物件，每個物件定義獨立閘道執行個體的連線詳細資訊。

   複製以下 JSON，並根據部署環境對其進行自訂。此處的範例顯示了範例 AWS 參考架構的檔案。

   下面的示例 JSON 檔案僅包含一個獨立閘道連線資訊。在此程序的後續部分，您將包括第二個獨立閘道伺服器連線資訊。

   將檔案儲存為 tsig.json，以用於以下程序。

   {
   "independentGateways": [
    {
    	"id": "ip-10-0-1-169.ec2.internal",
    	"host": "ip-10-0-1-169.ec2.internal",
    	"port": "21319",
    	"protocol" : "http",
    	"authsecret": "13660-27118-29070-25482-9518-22453"
    	}]
    }

   • "id"- 執行獨立閘道的 AWS EC2 執行個體的私人 DNS 名稱。
   • "host" - 與 "id" 相同。
   • "port"- 內務處理連接埠，預設為 "21319"。
   • "protocol"- 用戶端流量的通訊協定。將此保留為 http，用戶端流量的通訊協定。
   • "authsecret"- 在上一步中複製的密碼。

獨立網關：直接與轉送連線

在繼續之前，必須決定在部署中設定哪種連線配置：直接連線或轉送連線。此處簡要描述了每個選項以及相關的決策資料點。

轉送連線：可以將獨立閘道設定為透過單個連接埠將用戶端通訊轉送到 Tableau Server 上的閘道流程。我們將此稱為轉送連線：

• 轉送流程會導致從獨立閘道到後端 Tableau Server 閘道流程的過程中產生額外的躍點。與直接連線設定相比，額外的躍點會降低效能。
• 轉送模式支援 TLS。轉送模式下的所有通訊都僅限於單一通訊協定（HTTP 或 HTTPS），因此可以使用 TLS 進行加密和驗證。

直接連線：獨立閘道可以透過多個連接埠直接與後端 Tableau Server 流程通訊。我們將這種通訊稱為直接連線：

• 由於直接連線到後端 Tableau Server，因此與轉送連線選項相比，用戶端效能顯著提高。
• 需要開啟 16 個以上從公共子網路到私人子網路的連接埠，以便實現從獨立閘道到 Tableau Server 電腦的直接流程通訊。
• 從獨立閘道到 Tableau Server 的流程尚不支援 TLS。

驗證：基本拓撲組態

應該能夠藉由瀏覽至 http://<gateway-public-IP-address>.來存取 Tableau Server 管理員頁面。

如果 Tableau Server 登入頁面未載入，或者 Tableau Server 未啟動，請執行以下疑難排解步驟：

網路 

• 在 Tableau Server 節點 1 執行以下 wget 命令來驗證 Tableau 部署和 Independent Gateway 執行個體之間的連線：wget http://<internal IP address of Independent Gateway> :21319，例如：

   wget http://ip-10-0-1-38:21319

  如果連線遭拒或失敗，則驗證公用安全性群組是否設定為允許來自私有安全性群組的 Independent Gateway 內務處理流量 (TCP 21319)。

  如果安全性群組設定正確，則驗證是否在 Independent Gateway 初始化期間指定正確的 IP 位址或 IP 範圍。您可以檢視並變更位於 /etc/opt/tableau/tableau_tsig/environment.bash 的 environment.bash 檔案設定。如果變更此檔案，則依照如下所述重新啟動 tsig-http 服務。

在 Proxy 1 主機上：

1. 用 Independent Gateway 存虛設常式覆寫 httpd.conf 檔案：

   cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf

2. 重新啟動 tsig-httpd 作為疑難排解的第一步：

   sudo su - tableau-tsig
   systemctl --user restart tsig-httpd
   exit

在 Tableau 節點 1

• 仔細檢查 tsig.json 檔案。若發現錯誤，請進行修復，然後執行 tsm topology external-services gateway update -c tsig.json。
• 若執行直接連線，請驗證 proxy_targets.csv 中列出的 TCP 連接埠是否設定為從公共到私人安全性群組的輸入連接埠。

配置 AWS 應用程式負載均衡器

使用公用 Tableau URL 更新 DNS

使用 AWS 負載均衡器描述中的網域 DNS 區域名稱在 DNS 中建立 CNAME 值。流向您的 URL (tableau.example.com) 的流量應傳送到 AWS 公用 DNS 名稱。

驗證連線

DNS 更新完成後，應該能夠輸入公用 URL 巡覽到 Tableau Server 登入頁面，例如，https://tableau.example.com。

身份驗證組態範例：帶有外部 IdP 的 SAML

以下範例介紹如何為 AWS 參考架構中執行的 Tableau 部署，設定和配置帶有 Okta IdP 跟 Mellon 驗證模組的 SAML。

此範例取自上一區段，並假設您一次設定一個獨立閘道。

該範例會介紹如何透過 HTTP 設定 Tableau Server 和獨立閘道。Okta 將以 HTTPS 向 AWS 負載均衡器傳送請求，但所有內部流量都將以 HTTP 傳輸。在為此案例進行設定時，請在設定 URL 字串時注意 HTTP 與 HTTPS 協定。

此範例使用 Mellon 作為 Independent Gateway 伺服器上的預先身份驗證服務提供者模組。此設定可確保只有經過身份驗證的流量連線到 Tableau Server，Tableau Server 還充當 Okta IdP 的服務提供者。因此，必須設定兩個 IdP 應用程式：一個用於 Mellon 服務提供者，另一個用於 Tableau 服務提供者。

安裝 Mellon 進行預身份驗證

此範例使用流行的開源模組 mod_auth_mellon。一些 Linux 發行版從較舊的存放庫中封裝了過時的 mod_auth_mellon 版本。這些過時的版本可能包含未知的安全性漏洞或功能問題。若選擇使用 mod_auth_mellon，請檢查您使用的是目前版本。

mod_auth_mellon 模組是協力廠商軟體。我們已盡最大努力驗證和記錄啟用此方案的程序。但是，協力廠商軟體可能會發生變更，或者您的方案可能與此處描述的參考架構不同。權威設定細節和支援請參考協力廠商文件。

1. 在執行 Independent Gateway 的使用中 EC2 執行個體上，安裝目前版本的 Mellon 驗證模組。

2. 建立/etc/mellon目錄：

   sudo mkdir /etc/mellon

將 Mellon 設定為預身份驗證模組

在 Independent Gateway 的第一個執行個體上執行此過程。

您必須擁有從 Okta 設定建立的 pre-auth_idp_metadata.xml 檔案複本。

1. 變更目錄：

   cd /etc/mellon

2. 建立服務提供者後設資料。執行 mellon_create_metadata.sh 指令碼。命令中必須包含您組織的實體 ID 和返回 URL。

   在 Okta 中，返回 URL 被稱為單一登入 URL。返回 URL 路徑的最後一個元素是指接在此程序之後，在mellon.conf組態檔中的MellonEndpointPath。在這個範例中，我們指定sso作為路徑終點。

   例如：

   sudo /usr/libexec/mod_auth_mellon/mellon_create_metadata.sh https://tableau.example.com "https://tableau.example.com/sso"

   該指令碼回傳服務提供者憑證、金鑰和後設資料檔。

3. 為了容易閱讀，請重新命名mellon目錄中的服務提供者檔案。我們將使用以下名稱來引用文件中的檔案：

   sudo mv *.key mellon.key
   sudo mv *.cert mellon.cert
   sudo mv *.xml sp_metadata.xml
   

4. 將 pre-auth_idp_metadata.xml 檔案複製到同一目錄中。

5. 變更 /etc/mellon 目錄中所有檔案的擁有權和權限：

   sudo chown tableau-tsig mellon.key
   sudo chown tableau-tsig mellon.cert
   sudo chown tableau-tsig sp_metadata.xml
   sudo chown tableau-tsig pre-auth_idp_metadata.xml 
   sudo chmod +r * mellon.key
   sudo chmod +r * mellon.cert
   sudo chmod +r * sp_metadata.xml
   sudo chmod +r * pre-auth_idp_metadata.xml 

6. 建立/etc/mellon/conf.d目錄：

   sudo mkdir /etc/mellon/conf.d

7. 在 /etc/mellon/conf.d 目錄中建立 global.conf 檔案。

   如下所示複製檔案內容，但使用您的根網域名稱更新 MellonCookieDomain。例如，若 Tableau 的網域名稱是 tableau.example.com， 請輸入 example.com 作為根網域。

   <Location "/">
   AuthType Mellon
   MellonEnable auth
   Require valid-user
   MellonCookieDomain <root domain>
   MellonSPPrivateKeyFile /etc/mellon/mellon.key
   MellonSPCertFile /etc/mellon/mellon.cert
   MellonSPMetadataFile /etc/mellon/sp_metadata.xml
   MellonIdPMetadataFile /etc/mellon/pre-auth_idp_metadata.xml
   MellonEndpointPath /sso
   </Location>
   
   <Location "/tsighk">
   MellonEnable Off
   </Location>

8. 在 /etc/mellon/conf.d 目錄中建立 mellonmod.conf 檔案。

   該檔案包含指定 mod_auth_mellon.so 檔案位置的單一指示詞。此處範例中的位置為檔案的預設位置。請驗證檔案是否在此位置，或變更此指示詞中的路徑以符合 mod_auth_mellon.so 的實際位置：

   LoadModule auth_mellon_module /usr/lib64/httpd/modules/mod_auth_mellon.so

在 Okta 中建立 Tableau Server 應用程式

在 Tableau Server 上設定驗證模組設定

在 Tableau Server 節點 1 上執行以下命令。這些命令指定遠端 Independent Gateway 電腦上 Mellon 設定檔的檔案位置。仔細檢查這些命令中指定的檔案路徑是否對應到遠端 Independent Gateway 電腦上的路徑和檔案位置。

tsm configuration set -k gateway.tsig.authn_module_block -v "/etc/mellon/conf.d/mellonmod.conf" --force-keys
tsm configuration set -k gateway.tsig.authn_global_block -v "/etc/mellon/conf.d/global.conf" --force-keys

為減少停機時間，請在啟用 SAML 之前不要套用變更，如下一節所述。

在 Tableau Server 上為 IdP 啟用 SAML

重新啟動 tsig-httpd 服務

Tableau Server 部署套用變更時，重新登入到 Tableau Server Independent Gateway 電腦，並執行以下命令，以重新啟動 tsig-httpd 服務：

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

驗證 SAML 功能

要驗證端到端 SAML 功能，請使用您在此過程開始時建立的 Tableau 管理員帳戶，透過公用 URL（例如 https://tableau.example.com）登入到 Tableau Server。

如果 TSM 未啟動（「閘道錯誤」），或者在嘗試連線時遭遇瀏覽器錯誤，請參見 解除安裝 Tableau Server 獨立閘道。

設定 Independent Gateway 的第二個執行個體

成功設定獨立閘道的第一個執行個體後，部署第二個執行個體。此處的範例是安裝本主題中描述的 AWS/Mellon/Okta 方案的最終過程。該過程假定您已在第二個執行個體中安裝了獨立閘道，如本主題前面所述（安裝獨立閘道）。

部署第二個獨立閘道的過程需要以下步驟：

1. 在獨立閘道的第二個執行個體中：安裝 Mellon 驗證模組。

   不要按照本主題前面的描述設定 Mellon 驗證模組。相反地，必須按照後續步驟中的說明複製設定。

2. 在已設定的（第一個）獨立閘道執行個體中：

   獲取現有 Mellon 設定的 tar 副本。tar 備份將保留所有目錄層次結構和權限。執行以下命令：

   cd /etc

   sudo tar -cvf mellon.tar mellon

   將 mellon.tar 複製到獨立閘道的第二個執行個體。

3. 在獨立閘道的第二個執行個體：

   擷取（「解壓縮」） tar 檔案到 /etc目錄中的第二個執行個體。執行以下命令：

   cd /etc

   sudo tar -xvf mellon.tar

4. 在 Tableau Server 部署的節點 1 上：使用第二個獨立閘道的連線資訊更新連線檔案 (tsig.json)。需要按照本主題前面（安裝獨立閘道）中的描述檢索身份驗證金鑰。

   此處顯示範例連線檔案 (tsig.json)：

   {
   "independentGateways": [
    {
      "id": "ip-10-0-1-169.ec2.internal",
      "host": "ip-10-0-1-169.ec2.internal",
      "port": "21319",
      "protocol" : "http",
      "authsecret": "13660-27118-29070-25482-9518-22453"
    },
    {
      "id": "ip-10-0-2-230.ec2.internal",
      "host": "ip-10-0-2-230.ec2.internal",
      "port": "21319",
      "protocol" : "http",
      "authsecret": "9055-27834-16487-27455-30409-7292"
    }]
    }

5. 在 Tableau Server 部署的節點 1 中：執行以下命令以更新設定：

   tsm stop

   tsm topology external-services gateway update -c tsig.json
   

   tsm start

6. 在 Independent Gateway 的兩個執行個體中：Tableau Server 啟動後，重新啟動 tsig-httpd 過程：

   sudo su - tableau-tsig

   systemctl --user restart tsig-httpd

   exit

7. 在 AWS EC2>目標群組中：更新目標群組以包含執行第二個獨立閘道執行個體的 EC2 執行個體。

   選取剛剛建立的目標群組，然後按一下「目標」索引標籤： 

   • 按一下 [編輯]。
   • 選取第二台獨立閘道電腦的 EC2 執行個體，然後按一下「新增至已註冊」。按一下「儲存」。