Tableau Services Manager の概要

この記事では、Tableau Server の構成および管理に使用する Tableau Services Manager (TSM) の概要について説明します。TSM CLI が Tableau Server on Linux のバージョン 10.5 で導入されました。バージョン 2018.2 以降は、TSM Web UI を利用可能です。

機能

TSM には、Tableau Server を構成して維持するためのサーバー管理者コマンドラインおよび Web ベースのオプションがあります。これには、サーバー データのバックアップ、バックアップの復元、ログ アーカイブの作成、マルチノード クラスタの管理などの管理タスクを実行することが含まれます。たとえば、TSM を使用して次のタスクを実行できます。

  • インストール後の Tableau Server の初期構成
  • 設定の編集やサーバー トポロジの変更を含む継続的な構成管理
  • バックアップ、復元、ログの圧縮などの管理タスクの実行

以前のバージョンの Tableau Server に慣れている管理者にとって、TSM は以前のバージョンの Tableau Server にあった以下のツールに取って代わるものとなります。

  • Tableau Server 構成ユーティリティ
  • tabadmin コマンド ライン ユーティリティ
  • Tableau Server Monitor

コンポーネント

TSM はサービス (このドキュメントではプロセスと呼ばれる) とクライアントで構成されます。TSM プロセスは、Tableau Server プロセスを管理する管理サービスです。TSM を初期化した後は、他の Tableau Server がオフラインの場合でも TSM プロセスが継続的に実行されます。

Tableau Server が停止する場合でも実行する TSM プロセスには以下のものがあります。

  • 管理エージェント
  • 管理コントローラー
  • クライアント ファイル サービス
  • 調整サービス (Apache Zookeeper™ に基づく)
  • サービス マネージャー
  • ライセンス発行サービス

TSM プロセスと Tableau Server プロセスの詳細については、Tableau Server プロセスを参照してください。

TSM 認証

TSM Web UI、コマンド ライン インターフェイス、または TSM API を使用する場合も、管理タスクを実行するには Tableau Server への認証が必要です。このユーザー アカウントは、Tableau Server 管理者やサイト管理者などの Tableau Server ユーザー アカウントとは区別されます。

TSM は動作しているオペレーティング システムにユーザーの認証を委任します。Linux の場合、認証はプラグ可能な認証モジュール (PAM) を使用して処理されます。PAM は、Tableau Server がサポートされているすべての Linux ディストリビューションの規格です。組織でディレクトリ サービス (Active Directory、LDAP) の認証に PAM を構成している場合、TSM へのアクセスをそのディレクトリ サービスからユーザーに許可できます。このシナリオでは、tsmadmin グループのメンバーである PAM の認証ユーザーは、TSM へのアクセスを許可されます。

2019.1 リリースでは、TSM 認証プロセスは PAM を直接使用し、PAM にエラーが発生する場合やディレクトリ サービスを使用して構成されていない場合には代替ユーザー (su) を使用して認証スキームを構成します。PAM でディレクトリ サービスが構成されていない場合、ローカル アカウントを Linux コンピューターで管理する必要があります。こうした場合、TSM は su の認証方法を使用し、ユーザーが提供した認証資格情報を渡して /bin ディレクトリで true コマンドを実行します。このコマンドが成功すると、認証が検証されます。そのため、ユーザーが tsmadmin グループのメンバーの場合、認証されたユーザーは TSM へのアクセスを付与されます。

カスタム PAM サービスの定義

TSM は認証に標準的な PAM ログイン サービスを使用します。さらに、/etc/pam.dtableau PAM サービス ファイルを作成することで、TSM 認証の動作をカスタマイズすることができます。このファイルが存在する場合、PAM ログイン サービスの代わりにファイルが確認されます。

TSM 認可グループ

Tableau Server コンピュータ上に存在するユーザーを TSM に対して認証します。この TSM ユーザー アカウントでは、パスワード ベースの認証を使用する必要があります。既定では、TSM ユーザー アカウントは Tableau Server が実行されているコンピューターの tsmadmin グループのメンバーである必要があります。または、TSM 管理用に別の認可グループを指定することもできます。インストール プロセスで別の既定グループのを指定する場合は、initialize-tsm スクリプトの出力ヒントを参照してください。Tableau Server をインストールした後に別の認可グループを指定するには、カスタム TSM 管理グループの構成」を参照してください。

TSM クライアントの接続

セキュリティ対策として、HTTPS を経由するクライアント (CLI、Web UI、Rest API) を使用してのみ TSM に接続できます。セキュリティ対策として、HTTPS を使用しないと TSM には接続できません。

TSM クライアントを使用して接続している場合、TSM 管理コントローラー サービスを実行している Tableau Server インスタンスに接続する必要があります。

セキュリティのベスト プラクティスとして、TSM ポート (既定では 8850) をインターネットに公開しないでください。

: TSM CLI ツールでは、一部のシナリオに管理者の認証資格情報は必要ありません。特に TSM 承認グループのメンバーとしてログインしているアカウントの場合、tsm CLI をローカルで実行する際にコマンドを実行するために認証資格情報を指定する必要はありません。詳細については、tsm CLI での認証を参照してください。

TSM HTTPS 接続は、Tableau Server インストーラーによって生成される自己署名証明書に依存します。この証明書は、Tableau が HTTP 経由のトラフィックの暗号化のために作成する SSL 証明書に署名する、Tableau インストール CA 証明書です。Tableau インストール CA 証明書は、TSM 管理コントローラーに接続するシステムが信頼する必要があります。

TSM CLI クライアントは、TSM Web UI が使用する以外のストアによる証明書の信頼を検証します。TSM CLI クライアントはローカル Java キーストアの信頼されているストアを参照し、CA 証明書の信頼を検証します。TSM Web UI は Web ブラウザーとの接続を確立する必要があるため、オペレーティング システムの信頼されるキーストアを使用して信頼が検証されます。CA 証明書の保存方法の差は、以下に概説する信頼の構成シナリオの違いによって決まります。

  • Tableau Server での TSM CLI の通信では、証明書の信頼はインストール、ノード bootstrap、アップグレード プロセスの一部として既定で構成されます。Tableau インストール CA 証明書は、Java キーストアで信頼されるストアに追加されます。これにより、追加構成を行わなくても、クラスタの任意のコンピューターより TSM に CLI を使用してアクセスできます。しかし、TSM Web UI にアクセスする際には、ブラウザーにより TSM 管理コントローラー サービスを実行中のホストを信頼するようにメッセージが表示されます。
  • リモート コンピューターからの TSM CLI 接続では、TSM 管理コントローラーを実行中の Tableau Server に初めて接続するときに、Tableau インストール CA 証明書を信頼するようにメッセージが表示されます。CA 証明書を信頼するよう選択できますが、この場合には、証明書の有効期限が切れるまで (既定は 3 年間)、そのコンピューターにメッセージは表示されません。または、--trust-admin-controller-cert フラグとともに TSM コマンドを実行することで、ワンタイムの信頼を使用して接続できます。
  • リモート コンピューターからの TSM Web UI 接続では、ブラウザーにより TSM 管理コントローラー サービスを実行中のホストを信頼するようにメッセージが表示されます。
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!