Data Connect 安全性

适用于: Tableau Cloud

Data Connect 采用责任共担模式运行。使用此模型,您可以提供物理或虚拟计算资源,Tableau 在这些资源上托管和管理 Data Connect Kubernetes 群集。Tableau 通过远程管理、监控和维护 Kubernetes 群集来减少管理开销。由于能够执行补救措施以实现持续可用性,Tableau 无需监控流量和连接状态。此外,为了减少延迟和降低网络拥塞,Data Connect 允许您确定最符合您的性能要求的数据中心、边缘位置和环境。在这种模型中,Tableau 负责安全地操作数据连接服务,而您负责管理基础设施和网络层。

Data Connect 环境的各种组件以及管理这些组件的责任。

安全性设计

Data Connect 应用以下安全性设计:

  • Data Connect 服务是控制平面服务,无法访问您的数据。Data Connect 服务的底层组件是 Tableau Bridge。

  • 为了促进安全的数据传输,Data Connect 使用 Tableau Bridge,它利用安全的 Web 套接字与 Tableau Cloud 建立持久连接。

  • Data Connect 服务不与数据库凭据或数据库访问交互。数据库凭据安全地存储在 Tableau Cloud 上,并传递给选择执行刷新的 Tableau Bridge 客户端。

  • 所有通信都是从防火墙后面发起的,因此不需要任何额外的明确入站防火墙规则来管理异常。

除其他操作外,Bridge 客户端还负责访问您的数据并与 Tableau Cloud 建立安全的 Web 套接字连接。请参见Bridge 安全性

架构

  1. Tableau Cloud 与 Kubernetes 业务流程服务通信,以部署、监视和管理 Kubernetes 业务流程。

  2. 初始化 Data Connect 时,通过端口 443 与业务流程提供程序服务建立安全连接。

  3. 配置服务后,Kubernetes 群集将部署带有 Bridge 客户端的容器。这些 Bridge 客户端将负责执行 Tableau 工作负载。

  4. Tableau Cloud 用户登录 Tableau Cloud 以与 Data Connect 服务进行交互。

  5. 在设置时,Bridge 客户端使用 HTTPS 初始化与 Tableau Cloud 的连接。成功连接后,Bridge 客户端使用 WebSocket (wss://) 连接与您的 Tableau Cloud 环境建立安全的双向通信。

  6. 从 Tableau Cloud 发起的查询针对您的数据库运行,以支持最终用户分析。

安全 层

Data Connect 解决方案有三个层。安装在您的基础设施中的应用程序、用于部署和管理应用程序的业务流程层,以及支持网络和硬件基础设施

  • 应用程序层:数据库身份验证、将数据发送到 Tableau Cloud 以及网络注意事项,请参见Bridge 安全性

  • 业务流程层:请参见下面的容器编排部分。

  • 基础设施层:在 Data Connect 责任共担模型中,基础设施本身的安全将由您负责。以下部分介绍 Data Connect 业务流程层如何与您的基础设施交互的安全详细信息。

服务配置

在 Data Connect 配置期间,您将负责从您的网络内部配置和启动服务。此过程提供正确的访问级别并指定哪些数据访问节点要与您的 Tableau Cloud 站点集成。有关 Data Connect 服务配置的详细信息,请参见步骤 1:设置群集

在初始化 Data Connect 解决方案时,会发生以下情况:

  • Data Connect 节点运行状况已验证。

  • 通过端口 443 与业务流程提供程序服务建立安全连接。

  • Kubernetes 操作软件已下载并安装到计算机上。此软件允许 Tableau 远程部署和管理 Data Connect。

  • 通过安全连接查询 Data Connect 节点信息以维护服务的运行状况。

您的数据永远不会通过业务流程连接传输。

Tableau Cloud 通信

从您的基础设施到 Tableau Cloud 的所有通信都是从防火墙后面发起的。您不必管理额外的例外情况。

有关 Data Connect 通信和基础设施配置的详细信息,请参见网络规格

Tableau Cloud 身份验证

Data Connect 创建身份验证令牌,用于保护 Tableau Bridge 与 Tableau Cloud 的连接。这些令牌特定于站点,并由它们与之关联的 Bridge 客户端池使用。令牌存储在群集上的 Kubernetes 密文(链接在新窗口中打开)中,由 Data Connect 管理。部署在该群集上的 Bridge 客户端可访问这些令牌来登录 Tableau Cloud,但这些令牌不会存储在客户端上。

为了保持 Data Connect 服务平稳运行,使用 Data Connect 的所有站点的站点管理员需要在 Tableau Cloud 中每 90 天刷新一次池的令牌。如果令牌未刷新,该池中的 Bridge 客户端将无法向 Tableau Cloud 站点进行身份验证,并且使用该池的作业将失败。

数据库身份验证

您可以在Bridge 安全性中找到有关身份验证的更多详细信息。

在数据库身份验证的背景下,重要的是要了解 Data Connect 仅支持 Bridge 刷新计划,而不支持 Bridge 旧版计划。

容器编排

业务流程层仅是一个控制层,无法访问数据层,因此不会与客户数据交互。Data Connect 与数据层交互的唯一方面是安装在您基础设施上的应用程序。此应用程序是 Bridge 客户端。

安全常见问题解答

容器上预置了什么代码?

除了 Kubernetes 操作(kops)所需的软件外,还部署了适用于容器的 Linux 版 Tableau Bridge。创建基础映像时,必须预置数据库驱动程序。

如何管理 Data Connect 部署的软件上检测到的漏洞?

您通过基础映像提供 Data Connect 部署的所有软件。若要更改已部署的软件,您需要提供一个新基础映像。然后,该映像将被部署到该池中的所有 Data Connect 节点。

Data Connect 需要什么级别的计算机访问权限?

Data Connect 需要对您的基础设施进行管理级别的访问。此访问权限允许 Tableau 更新和维护服务。

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!