인터넷 통신 구성

이전 장에서 클라이언트(브라우저, 휴대기기 등)와 Tableau Server 간의 트래픽을 보호하기 위해 SSL을 설정하는 방법을 설명했습니다. 항상 SSL을 구성하는 것이 좋지만 공용 인터넷과 같은 외부 네트워크에서 클라이언트가 Tableau Server에 액세스하도록 허용하려는 경우에는 SSL이 필수입니다. 사용자가 외부 네트워크에서 Tableau Server에 액세스하도록 허용할 수 있지만 이전 장을 건너뛰었다면 지금 돌아가 해당 내용을 검토하십시오. SSL을 설정하지 않은 채로 서버 액세스를 허용해서는 안 됩니다.

외부 액세스를 허용하고 싶다면 역방향 프록시 서버도 설정해야 합니다. 이 장에서는 프록시 서버의 개념과 프록시 서버를 사용하는 이유를 설명합니다. 또한 프록시 서버 구성 방법에 대한 몇 가지 지침을 제공합니다.

 

IT 전문가에게 도움 요청

IT 전문가의 도움이 거의 없어도 서버 구성을 완료할 수 있는 Tableau Server: 모든 사용자를 위한 설치 가이드의 다른 장들과 달리 이 장은 IT 전문가를 대상으로 작성되었습니다. 되도록 누구나 이해할 수 있는 방식으로 개념을 설명하려고 노력하고 있지만 프록시 서버 설정에는 인증서 관리, 프록시 및 게이트웨이 설정 구성, 고급 네트워크 구성 등이 포함됩니다. IT 전문가가 아니며 지금까지 혼자서 이 가이드를 진행했다면 이제 전문가에게 도움을 요청할 시간입니다.

Tableau에서 인터넷과 통신하는 방법

다음 시나리오의 경우 Tableau Server에서 인터넷에 연결하려면 아웃바운드 액세스가 필요합니다.

  • 맵 작업. Tableau는 외부에서 호스팅되는 맵 데이터를 사용합니다. Tableau Server는 포트 443을 사용하여 맵 위치에 연결해야 합니다. 이 연결을 수행할 수 없으면 맵이 로드되지 않습니다. 기본적으로 Tableau는 맵 데이터에 OpenStreetMaps를 사용합니다.

    Tableau Server는 맵을 위해 다음과 같은 인터넷 위치에 연결해야 합니다.

    • mapsconfig.tableau.com
    • api.mapbox.com

    버전 2019.1.x 이하의 경우 Tableau Server는 맵을 위해 다음 위치에 연결해야 합니다.

    • maps.tableausoftware.com
  • Tableau send-logs 서버에 연결하는 중입니다.

    지원 팀과 작업할 때 Tableau에 로그 파일을 업로드할 수 있습니다. Tableau에 파일을 업로드하려면 Tableau Server가 포트 443에서 send-logs 서버와 통신할 수 있어야 합니다.

    report-issue.tableau.com

  • 라이선스. Tableau 제품은 인터넷에 연결하여 제품 키를 활성화합니다. 오프라인 활성화 도구를 사용하여 Tableau 소프트웨어를 활성화하지 않는 한 모든 Tableau 제품의 라이선스 유효성을 확인하려면 인터넷에 지속적으로 액세스할 수 있어야 합니다.

    Tableau Server는 라이선스 관리 용도로 다음과 같은 인터넷 위치에 연결해야 합니다.

    • licensing.tableau.com:443

    • atr.licensing.tableau.com:443

    • s.ss2.us

    • ocsp.rootg2.amazontrust.com

    • ocsp.rootca1.amazontrust.com

    • ocsp.sca1b.amazontrust.com

    • crt.sca1b.amazontrust.com

    • crt.rootca1.amazontrust.com

    • ocsp.sca0a.amazontrust.com

    • crt.sca0a.amazontrust.com

    • ocsp.sca1a.amazontrust.com

    • crt.sca1a.amazontrust.com

    • ocsp.sca2a.amazontrust.com

    • crt.sca2a.amazontrust.com

    • ocsp.sca3a.amazontrust.com

    • crt.sca3a.amazontrust.com

    • ocsp.sca4a.amazontrust.com

    • crt.sca4a.amazontrust.com

    • crl.rootca1.amazontrust.com

    • crl.rootg2.amazontrust.com

    • crl.sca1b.amazontrust.com

    위 도메인에 대한 요청은 포트 80 또는 443을 사용할 수 있습니다.

    Tableau Server가 연결할 수 없어 라이선스를 활성화하지 못하는 경우 오프라인으로 활성화하라는 메시지가 표시됩니다.

  • 외부 또는 클라우드 기반 데이터 작업.

Tableau Server는 인터넷 액세스 없이 실행할 수 있지만 대부분의 조직에서 목록의 시나리오를 수행하려면 Tableau가 인터넷에 액세스할 수 있어야 합니다.

Tableau Server와 프록시 서버

Tableau Server는 보호되는 내부 네트워크 안에서 작동하도록 설계되었습니다. 따라서 우선적으로 강력하게 권장하는 사항은 조직의 인터넷 게이트웨이로 작동하는 컴퓨터에서 Tableau Server를 설정하지 말라는 것입니다. 시작할 때 권장한 것처럼, 다른 프로세스가 실행되고 있지 않은, 이 경우에는 인터넷에 직접 노출되지 않는 전용 컴퓨터에 Tableau Server를 배치하십시오.

다른 방법으로, 프록시 서버, 즉 로컬(내부) 네트워크와 인터넷 사이에서 트래픽을 관리하는 컴퓨터를 구성해야 합니다. 정방향 프록시 서버는 네트워크 내부에서 인터넷의 대상으로 전달되는 트래픽을 관리합니다. 역방향 프록시 서버는 인터넷에서 네트워크 내부의 대상으로 들어오는 트래픽을 관리합니다.

대규모 조직에서 작업하는 경우 IT 부서에서 이미 프록시 서버를 설정했을 것입니다. 직접 모든 설정을 하는 경우 앞서 설명한 것처럼 이 부분에서 프록시 서버를 잘 알고 있는 전문가의 도움이 필요할 수 있습니다. 여기에서는 프록시 서버의 개요부터 설명하겠습니다.

중요배포 계획 장에서 설명한 것처럼, IIS가 실행되고 있는 컴퓨터에는 Tableau Server를 설치하지 않는 것이 좋습니다. 또한, 바이러스 백신 소프트웨어를 실행하는 경우 기술 자료(Link opens in a new window)의 권장 사항에 따라 Tableau Server 디렉터리를 제외해야 합니다. 이 장의 절차에서는 새 컴퓨터에 Tableau Server를 설치했다고 가정합니다.

전방향 프록시 서버

전방향 프록시는 네트워크 내부의 컴퓨터와 인터넷 사이에 배치된 서버입니다. 네트워크 컴퓨터의 응용 프로그램에서 인터넷에 액세스해야 하는 경우 인터넷에 직접 요청하는. 대신 전방향 프록시로 요청을 전송하면 전방향 프록시가 요청을 전달합니다. 정방향 프록시를 사용하면 관리자가 부하 분산, 사이트 액세스 차단 등과 같은 작업을 위해 인터넷으로 나가는 트래픽을 관리할 수 있습니다.

많은 조직이 내부 네트워크에서 전방향 프록시를 사용합니다. 이러한 조직에서 네트워크 내부의 컴퓨터는 전방향 프록시로 트래픽을 전송하도록 구성되어야 합니다. 일반적으로 이 구성은 사용자가 직접 인터넷에 액세스하지 않는 경우에도 필요합니다. 예를 들어 사용자가 지도를 포함하는 통합 문서를 생성할 수 있게 하려면 Tableau Desktop과 Tableau Server가 인터넷에서 호스팅되는 Tableau 지도 서버에 액세스해야 합니다. 또한 Tableau 제품의 라이선스 구성 요소는 기본적으로 인터넷에 연결하여 제품을 활성화합니다. 오프라인 활성화 도구(Link opens in a new window)를 사용하여 Tableau 소프트웨어를 활성화하지 않는 한, 모든 Tableau 제품에서 라이선스를 확인하기 위해 인터넷에 액세스해야 합니다.

조직이 전방향 프록시 서버를 실행하는 경우 Tableau Desktop 및 Server가 해당 프록시 서버를 사용하도록 구성되어 있는지 확인해야 합니다. 프록시 서버가 아웃바운드 연결 시 사용자를 인증하는 경우 Tableau Server에서 서비스 계정 사용자 계정을 보안 컨텍스트로 사용하도록 Windows 인터넷 옵션을 구성해야 합니다.

이후의 추가 리소스 섹션에 전방향 프록시 서버를 설정하는 방법에 대해 자세히 설명하는 링크가 포함되어 있습니다.

역방향 프록시 서버

역방향 프록시는 외부(인터넷) 클라이언트에서 요청을 수신하여 Tableau Server로 전달하는 서버입니다. 역방향 프록시를 사용하는 이유는 무엇일까요? 기본적인 대답은 보안입니다. 역방향 프록시가 있으면 Tableau Server의 IP 주소를 인터넷에 노출하지 않고 인터넷에서 해당 서버를 사용할 수 있습니다. 역방향 프록시는 인증 및 통과 기기의 역할도 수행합니다. 즉, 어떠한 데이터도 저장할 필요 없이 회사 외부의 사용자가 DMZ에서 회사 네트워크에 연결할 수 있습니다. PCI, HIPAA, SOX 같은 다양한 개인정보취급방침이 적용되는 조직인 경우 이 요구 사항이 중요할 수 있습니다.

Tableau Server에서 역방향 프록시가 작동하는 방식을 보여 주는 그림

다음 다이어그램에서는 클라이언트가 역방향 프록시 서버를 사용하도록 구성된 Tableau Server에 요청을 수행할 때 따르게 되는 통신 경로를 보여 줍니다.

  1. 외부 클라이언트가 Tableau Server 연결을 초기화합니다. 클라이언트에서는 역방향 프록시 서버가 구성된 공개 URL을 사용합니다(예: https://tableau.example.com). (클라이언트는 역방향 프록시에 액세스한다는 것을 알지 못합니다.)

  2. 역방향 프록시가 Tableau Server로 요청을 전달합니다. Tableau Server에 요청을 전달하기 위한 사전 조건으로 SSL/TLS를 사용하여 클라이언트를 인증하도록 역방향 프록시를 구성할 수 있습니다.

  3. Tableau Server가 요청을 가져와 역방향 프록시로 응답을 보냅니다.

  4. 역방향 프록시가 클라이언트로 콘텐츠를 전달합니다. 클라이언트가 연결되어 있는 동안 Tableau Server와 상호 작용하게 되고 역방향 프록시가 통신을 관리한다는 것을 알 방법이 없습니다.

프록시 서버 및 SSL

보안을 향상시키려면 네트워크 외부의 모든 트래픽에 대해 SSL을 사용하도록 프록시 서버를 구성해야 합니다. 이렇게 하면 개인 정보 보호, 콘텐츠 무결성 및 인증을 보장할 수 있습니다. 인터넷 게이트웨이와 Tableau Server 사이의 트래픽을 보호하기 위해 다른 보안 수단을 배포하지 않는 경우 게이트웨이 프록시와 Tableau Server 사이에 SSL을 구성하는 것이 좋습니다. 이전 장, 클라이언트와 서버 간 트래픽 보호에서 설명한 것처럼 내부 또는 자체 서명 인증서를 사용하여 Tableau Server와 다른 내부 컴퓨터 간의 트래픽을 암호화할 수 있습니다.

실제로, 외부에서 역방향 프록시 서버로 전달되고, 역방향 프록시에서 Tableau Server로 전달되는 각 홉마다 트래픽을 SSL로 보호할 것을 권장합니다. 이 시나리오에서는 SSL을 사용하지 않는, 즉 URL에서https://를 사용하지 않는 연결을 거부하도록 역방향 프록시를 구성해야 합니다.

Kerberos 인증을 사용할 예정이라면 먼저 Tableau Server에서 프록시 서버를 구성한 후 Kerberos를 구성해야 합니다.

자세한 내용은 Kerberos 구성(Link opens in a new window)을 참조하십시오. 또한 SAML, OpenID Connect 또는 신뢰할 수 있는 티켓을 역방향 프록시와 함께 사용할 수 있습니다.

역방향 프록시 서버를 사용하도록 Tableau Server 구성

이제 역방향 프록시 사용에 대해 설명하겠습니다. Tableau Server를 구성하기 전에 프록시 서버 구성과 관련된 다음과 같은 정보를 수집해야 합니다. 직접 역방향 프록시 서버를 설정한 경우가 아니라면 IT 담당자에게 이 정보를 요청해야 합니다.

항목 설명
IP 주소 또는 CNAME

이 옵션에는 IP 주소나 CNAME을 입력할 수 있습니다.

공용 IP 주소 또는 프록시 서버의 주소입니다. IP 주소는 IPv4 형식(예: 203.0.113.0)이어야 하며 정적 IP여야 합니다

정적 IP를 제공할 수 없거나 클라우드 프록시 또는 외부 부하 분산 장치를 사용하는 경우 클라이언트가 Tableau Server에 연결할 때 사용할 CNAME(정규 이름) DNS 값을 지정할 수 있습니다. 이 CNAME 값은 역방향 프록시 솔루션에서 Tableau Server와 통신하도록 구성되어야 합니다.

FQDN Tableau Server에 연결하기 위해 사용하는 정규화된 도메인 이름(예: tableau.example.com). Tableau Server에서는 도메인 이름 이상의 정보(예: example.com/tableau)가 포함된 FQDN을 지원하지 않습니다. (IT 전문가는 Tableau Server가 컨텍스트 전환을 지원하지 않는다는 의미로 이해할 수 있습니다.)
비FQDN 프록시 서버의 모든 하위 도메인 이름입니다. 예를 들어 tableau.example.com에서 하위 도메인 이름은 tableau입니다.
별칭 프록시 서버에 대한 공용 대체 이름입니다. 대부분의 경우 별칭은 CNAME 값을 사용하여 지정됩니다. bigbox.example.comftp.example.comwww.example.com CNAME 항목을 포함하는 프록시 서버를 예로 들 수 있습니다.
포트 클라이언트에서 역방향 프록시 서버로 이동하는 트래픽 및 프록시 서버에서 Tableau Server로 이동하는 트래픽에 대한 포트 번호입니다.

Tableau Server를 구성하려면 TSM(Tableau 서비스 관리자)을 사용합니다. Tableau 서비스 관리자는 Tableau 서비스를 설치, 구성 및 관리하는 데 사용되는 관리 도구 집합입니다.

  1. 다음 명령을 입력하여 클라이언트가 프록시 서버를 통해 Tableau Server에 접속할 때 사용하는 FQDN을 설정합니다. 여기서 name은 FQDN입니다.

    tsm configuration set -k gateway.public.host -v "name"

    예를 들어 브라우저에 https://tableau.example.com을 입력하여 Tableau Server에 연결하는 경우 이 명령을 입력합니다.

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. 다음 명령을 입력하여 프록시 서버의 주소 또는 CNAME을 설정합니다. 여기서 server_address는 IPv4 주소 또는 CNAME 값입니다.

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    여러 개의 프록시 서버를 사용하는 경우 여러 IPv4 주소를 쉼표로 구분하여 입력합니다. IP 범위는 지원되지 않습니다. Tableau Server의 시작 및 초기화를 개선하려면 gateway.trusted의 항목 수를 최소화하십시오.

  3. 다음 명령을 입력하여 정규화된 도메인 이름, 정규화되지 않은 도메인 이름, 별칭 등과 같은 프록시 서버에 대한 대체 이름을 지정합니다. 둘 이상의 이름이 있는 경우 쉼표로 이름을 구분합니다.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    예:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. 프록시 서버가 SSL을 사용하여 인터넷과 통신하는 경우 다음 명령을 실행하여 역방향 프록시 서버에 포트 80이 아닌 포트 443이 사용됨을 Tableau에 알려 줍니다.

    tsm configuration set -k gateway.public.port -v 443

    참고: 프록시 서버가 SSL을 사용하여 Tableau Server와 통신하는 경우 Tableau Server에서 SSL을 구성하고 사용하도록 설정해야 합니다.

  5. 다음 명령을 입력하여 구성 변경을 커밋하고 Tableau Server를 다시 시작합니다.

    tsm pending-changes apply

Tableau Server에서 작동하도록 역방향 프록시 서버 구성

인터넷의 클라이언트가 역방향 프록시를 통해 액세스할 수 있도록 하려면 Tableau Server에 대한 특정 메시지 헤더를 보존(또는 추가)해야 합니다. 다음 그림에서는 이 헤더를 보여 줍니다.

Tableau Server에 필요한 헤더는 다음과 같습니다.

  • REMOTE_ADDRX-FORWARDED-FOR (XFF). Tableau Server가 요청이 발생한 IP 주소를 확인하려면 이러한 헤더가 필요합니다.

  • HOSTX-FORWARDED HOST (XFH). Tableau Server가 클라이언트에 회신할 때 Tableau Server에 대한 절대 링크를 생성하는 데 사용됩니다.

  • X-FORWARDED-PROTO (XFP). 프록시에서만 SSL을 실행하고 Tableau Server에서는 실행하지 않는 경우 이 헤더가 필요합니다. 앞서 설명한 것처럼 각 홉마다 SSL을 실행하는 것이 좋습니다.

역방향 프록시 문제 해결 및 참고 사항

다양한 프록시 솔루션이 존재하기 때문에 종합적인 구성을 설정할 수 있는 단계별 절차를 안내할 수 없습니다. 대신 Tableau Server에서 역방향 프록시를 사용하도록 설정하는 것과 관련된 몇 가지 팁과 기타 정보를 모았습니다.

헤더 구성

  • X-FORWARDED-PROTO 헤더는 메시지 경로의 각 홉에서 HTTP 또는 HTTPS가 유지되지 않는 시나리오에서 중요합니다. 예를 들어 역방향 프록시에서는 외부 요청에 대해 SSL을 요구하지만 역방향 프록시와 Tableau Server 사이의 트래픽은 SSL을 사용하도록 구성되지 않은 경우 X-FORWARDED-PROTO 헤더가 필요합니다. 일부 프록시 솔루션은 자동으로 X-FORWARDED-PROTO 헤더를 추가하지만 그렇지 않은 솔루션도 있습니다. 최종적으로, 프록시 솔루션에 따라 포트 443에서 포트 80으로 요청을 변환하도록 포트 전달을 구성해야 할 수 있습니다.

  • 일부 프록시 서버에는 X-FORWARDED-PROTO 헤더에 추가로 규칙이 필요합니다. 예를 들어 F5 프록시 기기에서는 Tableau Server에 대한 URL 네임스페이스를 호스팅하는 가상 서버에 iRule을 적용해야 합니다.

  • 프록시 서버와 외부 부하 분산 장치를 다양한 형식으로 혼합하고 적층할 수 있습니다. 여러 개의 홉이 있는 경우 Tableau Server에 제공되는 헤더의 순서가 트래픽이 Tableau Server에 도달하기 위해 거치는 홉의 순서와 일치해야 합니다. 또한 신뢰할 수 있는 티켓을 사용할 수 있도록 gateway.trustedtrusted.hosts 설정에 체인의 모든 프록시 서버를 지정해야 합니다.

  • gateway.trusted 설정에 여러 개의 IP가 있는 경우 명령을 실행할 때 쉼표 및 공백을 하나씩 사용하여 값을 구분해야 합니다(예: "203.0.113.0, 10.32.56.78"). 표시된 것처럼, 전체 문자열을 큰따옴표로 묶어야 합니다.

인증

  • Kerberos 인증을 사용할 예정이라면 먼저 Tableau Server에서 프록시 서버를 구성한 후 Kerberos를 구성해야 합니다.

    자세한 내용은 Tableau Server 도움말에서 Kerberos 구성(Link opens in a new window)을 참조하십시오.

  • Tableau Server가 Tableau Server 사용자를 인증하기 위해 SSPI(자동 로그온 사용이 있는 Active Directory)를 사용 중인 경우 Apache 역방향 프록시 서버가 지원되지 않습니다. Tableau Server가 Active Directory(자동 로그온 사용 없음)만 사용하여 서버 사용자를 인증하는 경우에는 Apache 역방향 프록시 서버가 지원됩니다.

  • SSL을 사용하여 인증하도록 프록시를 구성합니다. 사용자에게 인증 메시지를 표시하도록 프록시 서버를 구성하지 마십시오.

계속해서 사용자 만들기를 진행합니다.

추가 리소스

피드백을 제공해 주셔서 감사합니다! 피드백을 제출하는 동안 오류가 발생했습니다. 다시 시도하거나 메시지를 보내주십시오.