Data Connect 安全性

适用于: Tableau Cloud

Data Connect 采用责任共担模式运行。使用此模型,您可以提供物理或虚拟计算资源,Tableau 在这些资源上托管和管理 Data Connect Kubernetes 群集。Tableau 通过远程管理、监控和维护 Kubernetes 群集来减少管理开销。由于能够执行补救措施以实现持续可用性,Tableau 无需监控流量和连接状态。此外,为了减少延迟和降低网络拥塞,Data Connect 允许您确定最符合您的性能要求的数据中心、边缘位置和环境。在这种模型中,Tableau 负责安全地操作数据连接服务,而您负责管理基础设施和网络层。

Data Connect 的组件以及每个组件的管理位置:由 Tableau 或客户管理。

安全性设计

Data Connect 应用以下安全性设计:

  • Data Connect 服务是控制平面服务,无法访问您的数据。Data Connect 服务的底层组件是 Tableau Bridge。

  • 为了促进安全的数据传输,Data Connect 使用 Tableau Bridge,它利用安全的 Web 套接字与 Tableau Cloud 建立持久连接。

  • Data Connect 服务不与数据库凭据或数据库访问交互。数据库凭据安全地存储在 Tableau Cloud 上,并传递给选择执行刷新的 Tableau Bridge 客户端。Tableau Bridge 客户端托管在 Data Connect 代理上。

  • 所有通信都是从防火墙后面发起的,因此不需要任何额外的明确入站防火墙规则来管理异常。

Tableau Bridge 是 Data Connect 代理中的底层组件。除其他操作外,Bridge 还负责访问您的数据并与 Tableau Cloud 建立安全的 Web 套接字连接。请参见Bridge Windows 安全性

架构

  1. Tableau Cloud → 业务流程服务

  2. Kubernetes 群集 → 业务流程服务

  3. Kubernetes 群集 → 容器

  4. Tableau 用户 → Tableau Cloud

  5. Data Connect 代理( 容器)→ Tableau Cloud

  6. Data Connect 代理( 容器)→ 您的数据库

安全 层

Data Connect 解决方案有三个层。安装在您的基础设施中的应用程序、用于部署和管理应用程序的业务流程层,以及支持网络和硬件基础设施

  • 应用程序层:数据库身份验证、将数据发送到 Tableau Cloud 以及网络注意事项,请参见Bridge Windows 安全性

  • 业务流程层:请参见下面的容器编排部分。

  • 基础设施层:在 Data Connect 责任共担模型中,基础设施本身的安全将由您负责。以下部分介绍 Data Connect 业务流程层如何与您的基础设施交互的安全详细信息。

服务配置

在 Data Connect 配置期间,您将负责从您的网络内部配置和启动服务。此过程提供正确的访问级别并指定哪些数据访问节点要与您的 Tableau Cloud 站点集成。有关 Data Connect 服务配置的详细信息,请参见步骤 2:设置群集

在初始化 Data Connect 解决方案时,会发生以下情况:

  • Data Connect 节点运行状况已验证。

  • 通过端口 443 与业务流程提供程序服务建立安全连接。

  • Kubernetes 操作软件已下载并安装到计算机上。此软件允许 Tableau 远程部署和管理 Data Connect。

  • 通过安全连接查询 Data Connect 节点信息以维护服务的运行状况。

您的数据永远不会通过业务流程连接传输。

Tableau Cloud 通信

从您的基础设施到 Tableau Cloud 的所有通信都是从防火墙后面发起的。您不必管理额外的例外情况。

有关 Data Connect 通信和基础设施配置的详细信息,请参见网络规格

Tableau Cloud 身份验证

通过 Data Connect 部署到 Tableau Cloud 的 Tableau Bridge 客户端的身份验证和授权是通过个人访问令牌 (PAT) 实现的。在部署 Data Connect 之前,您需要在 Tableau Cloud 管理控制台中创建 PAT。然后,您将配置 Data Connect 服务以使用这些令牌从 Data Connect 代理向 Tableau Cloud 进行身份验证。

数据库身份验证

您可以在Bridge Windows 安全性中找到有关身份验证的更多详细信息。

在数据库身份验证的背景下,重要的是要了解 Data Connect 仅支持 Bridge 刷新计划,而不支持 Bridge 旧版计划。

容器编排

业务流程层仅是一个控制层,无法访问数据层,因此不会与客户数据交互。Data Connect 与数据层交互的唯一方面是安装在您基础设施上的应用程序。此应用程序是 Data Connect 代理,是运行 Tableau Bridge 客户端的服务。

安全常见问题解答

容器上预置了什么代码?

除了 Kubernetes 操作(kops)所需的软件外,还部署了适用于容器的 Linux 版 Tableau Bridge。创建基础映像时,必须预置数据库驱动程序。

如何管理 Data Connect 部署的软件上检测到的漏洞?

您通过基础映像提供 Data Connect 部署的所有软件。若要更改已部署的软件,您需要提供一个新基础映像。然后,该映像将被部署到该池中的所有 Data Connect 节点。

Data Connect 需要什么级别的计算机访问权限?

Data Connect 需要对您的基础设施进行管理级别的访问。此访问权限允许 Tableau 更新和维护服务。

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!