Konfigurieren von Tableau Server mit Independent Gateway

In diesem Thema wird beschrieben, wie Sie Tableau Server mit Independent Gateway für verschiedene Verbindungsszenarien und für ein benutzerdefiniertes Authentifizierungsmodul konfigurieren.

Informationen zum Installationsverfahren finden Sie unter Installieren von Tableau Server mit Independent Gateway.

Ein End-to-End-Bereitstellungsbeispiel, das auf Tableau Server für Linux in AWS ausgeführt wird, finden Sie unter Konfigurieren der Webschicht(Link wird in neuem Fenster geöffnet) im Bereitstellungshandbuch für Unternehmen.

Unterschied zwischen direkter Verbindung und Relay-Verbindung

Das Independent Gateway kann über mehrere Ports direkt mit den Back-End-Prozessen von Tableau Server kommunizieren. Diese Kommunikation bezeichnen wir als direkte Verbindung.

Alternativ dazu können Sie Independent Gateway konfigurieren, um die Client-Kommunikation über einen einzelnen Port an den Gateway-Prozess in Tableau Server weiterzuleiten. Dies bezeichnen wir als Relay-Verbindung.

Der TSM-Konfigurationsschlüssel, der den Verbindungstyp festlegt, lautet gateway.tsig.proxy_tls_optional.

In den folgenden Abschnitten wird beschrieben, wie sich diese Verbindungen unterscheiden und wie sie eingerichtet werden.

Direkte Verbindung

In dieser Konfiguration kommuniziert das Independent Gateway über mehrere Ports direkt mit den Back-End-Prozessen in Tableau Server. Dazu müssen Sie die Ports zwischen der Firewall, die Independent Gateway von der Back-End-Bereitstellung von Tableau Server trennt, öffnen.

Die aktuelle Implementierung von Independent Gateway unterstützt keine TLS-Verbindungen für diese Prozesse.

Eine direkte Verbindung ermöglicht Independent Gateway die Kommunikation mit den Back-End-Prozessen in Tableau Server ohne Proxyweiterleitung durch den Gateway-Prozess. Die direkte Verbindung bietet eine bessere Leistung als die alternative Relay-Verbindung.

Konfiguration

Direkte Verbindung ist die Standardkonfiguration. Daher müssen Sie keinen Befehl ausführen, um diese festzulegen. Sollten Sie jedoch auf die standardmäßige Direktverbindung zurücksetzen müssen, führen Sie die folgenden Befehle aus:

tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys   
tsm pending-changes apply

Verwalten des Porteingangs

Nach der Installation muss Independent Gateway in der Lage sein, über mehrere Ports mit Tableau Server zu kommunizieren. Diese Ports werden während der Einrichtung dynamisch zugewiesen und liegen im Bereich TCP 8.000 – 9.000. Die spezifischen Ports und entsprechenden Prozesse, die für die Kommunikation mit Tableau Server verwendet werden, werden in eine CSV-Datei unter TSIG_DATA/config/httpd/proxy_targets.csv auf den Computer geschrieben, auf dem Independent Gateway ausgeführt wird.

In einer Standardinstallation: /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv

Verwenden Sie proxy_targets.csv zum Festlegen oder Automatisieren der Porteingangskonfiguration über Ihr Netzwerk zu Tableau Server. Wir empfehlen, die Porteingangskonfiguration zu automatisieren, da sich die Ports ändern können, wenn sich die Topologie der Tableau Server-Bereitstellung ändert. Wenn in der Tableau Server-Bereitstellung Knoten hinzugefügt oder Prozesse neu konfiguriert werden, bringt dies Änderungen beim Portzugriff mit sich, der von Independent Gateway benötigt wird.

Relay-Verbindung

In einer Relay-Verbindungs-Konfiguration stellt das Independent Gateway seine Verbindung nicht direkt mit den Back-End-Prozessen her. Stattdessen vermittelt das Independent Gateway die Kommunikation über HTTP an den Gateway-Prozess in der Back-End-Tableau Server-Bereitstellung. Dieser Vermittlungsprozess bringt einen zusätzlichen Hop mit sich und verschlechtert daher die Leistung im Vergleich zu Konfigurationen mit einer direkten Verbindung.

Ein Vorteil der Konfiguration von Independent Gateway als Relay-Verbindung ist die Sicherung des Datenverkehrs mit TLS. Siehe Konfigurieren von TLS auf dem Independent Gateway.

Konfiguration

Führen Sie die folgenden Befehle aus, um Independent Gateway für Relay-Verbindung zu Tableau Server zu konfigurieren:

tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys
tsm pending-changes apply

Housekeeping-Protokoll

Sowohl Direkt- als auch Relay-Verbindungen erfordern die Kommunikation mit dem Tableau Server-HK-Protokoll ("Housekeeping"). Der HK-Prozess verwaltet den Konfigurationsstatus zwischen der Back-End-Tableau Server-Bereitstellung und dem Independent Gateway. Während der Installation muss der Tableau Server über Port 21.319 mit Independent Gateway kommunizieren können.

Details zur Kommunikation über das Housekeeping-Protokoll:

  • Die HK-Anfragen überprüfen den Status des Independent Gateways und aktualisieren die Konfiguration nach Bedarf. Diese Anfragen enthalten keine Kundendaten. Die Konfigurationen enthalten keine Kennwörter oder andere Geheimnisse.
  • Die Konfigurationsdateien enthalten Details zur Tableau Server-Clustertopologie, sodass Independent Gateway Reverse-Proxy-Funktionen ausführen kann. Die Konfiguration der Clustertopologie kann als sensibel angesehen werden, da die Konfiguration einem Angreifer Zielinformationen liefern könnte. Beachten Sie, dass solche Konfigurationsdaten nur für Angreifer nützlich wären, die dann auf den Tableau Server-Cluster zugreifen könnten.
  • Die Konfigurationsaktualisierungsdateien enthalten eine Überprüfung der "gehashten" Inhalte. Dies bietet eine zusätzliche Sicherheitsstufe, um die Integrität der Konfigurationsdateien zu validieren, die zum Aktualisieren von Independent Gateway verwendet werden.

Standardmäßig verwendet der HK-Prozess TCP 21.319.

Ab Tableau Server 2022.1.2 wird TLS für HK-Verbindungen unterstützt. Siehe Konfigurieren von TLS auf dem Independent Gateway.

Ändern des HK-Ports

Sie können den vom HK-Protokoll verwendeten Port im Rahmen der Initialisierung des Independent Gateways ändern. Informationen dazu finden Sie unter Hilfe-Ausgabe für das Skript "initialize-tsig".

Wenn Sie Independent Gateway bereits installiert haben, können Sie den Port ändern, indem Sie den Wert von TSIG_HK_PORT in environment.bash aktualisieren.

In der Standardeinstellung befindet sich environment.bash unter /etc/opt/tableau/tableau_tsig.

Nachdem Sie die Datei aktualisiert haben, müssen Sie tsig-httpd neu starten:

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Speicherorte der Protokolldatei

Die nützlichsten Protokolleinträge für Tableau Server befinden sich im Protokolldateiverzeichnis tabadminagent . Wenn Sie Tableau Server jedoch in einem Cluster ausführen, müssen Sie auf jeder Instanz nach den neuesten tabadminagent-Protokollen suchen.

Auf dem Independent Gateway werden die folgenden Protokolldateien in das VerzeichnisTSIG_DATA/logs/ geschrieben.

In der Standardeinstellung lautet der Pfad /var/opt/tableau/tableau_tsig/logs.

  • access.log: Independent Gateway schreibt Protokollmeldungen, die von der httpd.conf.stub-Konfiguration generiert werden, in access.log. Mit einem Zeitstempel versehene Protokolldateien (z. B. access_date.log) werden von der httpd.conf-Konfiguration generiert.
  • error.log
  • startup.log

Diese Protokolle werden auch eins zu eins an die Tableau Server-Bereitstellung weitergeleitet und in Unterverzeichnissen des Cluster-Controller-Protokollverzeichnisses gespeichert. Daher sind die Independent Gateway-Protokolle in der Ziplog-Datei enthalten, die vom Befehl tsm maintenance ziplogs generiert wird.

Problembehebung

Tipps zur Fehlerbehebung finden Sie unter Fehlerbehebung bei Tableau Server Independent Gateway(Link wird in neuem Fenster geöffnet) im Handbuch zu Tableau Server Enterprise-Bereitstellung (Enterprise Deployment Guide, EDG). Das EDG bietet eine beispielhafte Bereitstellung von Tableau Server unter Linux. Die Schritte zur Fehlerbehebung sind für Windows- oder Linux-Versionen von Tableau Server hilfreich.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.