독립 게이트웨이로 Tableau Server 구성
이 항목에서는 다양한 연결 시나리오와 사용자 지정 인증 모듈에 대해 독립 게이트웨이로 Tableau Server를 구성하는 방법을 설명합니다.
설치 절차는 독립 게이트웨이로 Tableau Server 설치를 참조하십시오.
AWS의 Tableau Server for Linux에서 실행되는 전체 배포 예제는 엔터프라이즈 배포 가이드에서 웹 계층 구성(링크가 새 창에서 열림)을 참조하십시오.
직접 연결과 릴레이 연결
독립 게이트웨이는 여러 포트를 통해 직접 백엔드 Tableau Server 프로세스와 통신할 수 있습니다. 이 통신 방식을 직접 연결이라고 합니다.
단일 포트를 통해 Tableau Server의 게이트웨이 프로세스로 클라이언트 통신을 릴레이하도록 독립 게이트웨이를 구성할 수도 있습니다. 이를 릴레이 연결이라고 합니다.
연결 유형을 설정하는 TSM 구성 키는 gateway.tsig.proxy_tls_optional
입니다.
다음 섹션에서는 이 두 연결의 차이점과 설정 방법을 설명합니다.
직접 연결
이 구성에서 독립 게이트웨이는 여러 포트를 통해 Tableau Server의 백엔드 프로세스와 직접 통신합니다. 이 구성을 사용하려면 Tableau Server 백엔드 배포에서 독립 게이트웨이를 분리하는 방화벽 사이의 포트를 열어야 합니다.
독립 게이트웨이의 현재 구현은 이러한 프로세스에서 TLS 연결을 지원하지 않습니다.
직접 연결을 사용하면 독립 게이트웨이가 게이트웨이 프로세스를 통한 프록시 연결 없이 백엔드 Tableau Server 프로세스와 통신할 수 있습니다. 직접 연결은 대안인 릴레이 연결보다 우수한 성능을 제공합니다.
구성
직접 연결은 기본 구성입니다. 따라서 명령을 실행하여 설정할 필요가 없습니다. 그러나 기본 직접 연결로 재설정해야 하는 경우에는 다음 명령을 실행합니다.
tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys tsm pending-changes apply
포트 수신 관리
설치 후에는 독립 게이트웨이에서 여러 포트를 통해 Tableau Server와 통신할 수 있어야 합니다. 이러한 포트는 설치 중에 동적으로 할당되며 TCP 8000~9000 범위에 포함됩니다. Tableau Server에 대한 통신에 사용되는 특정 포트와 해당하는 프로세스는 독립 게이트웨이를 실행하는 컴퓨터의 CSV 파일(TSIG_DATA/config/httpd/proxy_targets.csv
)에 기록됩니다.
기본 설치에서 파일 위치는 /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv
입니다.
proxy_targets.csv
를 사용하여 네트워크에서 Tableau Server로의 포트 수신 구성을 설정하거나 자동화할 수 있습니다. 토폴로지 Tableau Server 배포가 변경될 경우 포트가 변경될 수 있으므로 포트 수신 구성을 자동화하는 것이 좋습니다. Tableau Server 배포에서 노드를 추가하거나 프로세스를 재구성하면 독립 게이트웨이에 필요한 포트 액세스 권한이 변경됩니다.
릴레이 연결
릴레이 연결 구성에서 독립 게이트웨이는 백엔드 프로세스에 직접 연결하지 않습니다. 대신 HTTP를 통해 백엔드 Tableau Server 배포의 게이트웨이 프로세스로 통신을 릴레이합니다. 이 릴레이 프로세스에서 추가 홉이 발생하므로 직접 연결 구성 대비 성능이 저하됩니다.
독립 게이트웨이를 릴레이 연결로 구성할 때의 한 가지 이점은 TLS로 트래픽을 보호하는 것입니다. 독립 게이트웨이에서 TLS 구성을 참조하십시오.
구성
Tableau Server에 대한 릴레이 연결을 사용하도록 독립 게이트웨이를 구성하려면 다음 명령을 실행합니다.
tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys tsm pending-changes apply
하우스키핑 프로토콜
직접 연결과 릴레이 연결에는 모두 Tableau Server HK(하우스키핑) 프로토콜과의 통신이 필요합니다. HK 프로세스는 백엔드 Tableau Server 배포와 독립 게이트웨이 간의 구성 상태를 유지합니다. 설치 중에 Tableau Server는 포트 21319를 통해 독립 게이트웨이와 통신할 수 있어야 합니다.
하우스키핑 프로토콜 통신 세부 정보:
- HK(하우스키핑) 요청은 독립 게이트웨이 상태를 확인하고 필요에 따라 구성을 업데이트합니다. 이러한 요청에 고객 데이터는 포함되지 않습니다. 구성에는 비밀번호 또는 기타 암호가 포함되지 않습니다.
- 구성 파일에는 독립 게이트웨이에서 역방향 프록시 기능을 수행할 수 있도록 Tableau Server 클러스터 토폴로지에 대한 세부 정보가 포함됩니다. 클러스터 토폴로지 구성은 공격자에게 표적에 관한 정보를 제공할 수 있기 때문에 중요한 것으로 간주될 수 있습니다. 참고로 이러한 구성 데이터는 공격자가 Tableau Server 클러스터에 액세스할 수 있는 경우에만 공격자에게 유용합니다.
- 구성 업데이트 파일에는 해시된 콘텐츠의 확인이 포함됩니다. 이 확인은 독립 게이트웨이를 업데이트할 때 사용되는 구성 파일의 무결성을 검증하도록 하는 추가 계층의 보안을 제공합니다.
기본적으로 HK 프로세스는 TCP 21319를 사용합니다.
Tableau Server 2022.1.2부터 HK 연결에 TLS가 지원됩니다. 독립 게이트웨이에서 TLS 구성을 참조하십시오.
HK 포트 변경
독립 게이트웨이 초기화 작업의 일부로 HK 프로토콜에 사용되는 포트를 변경할 수 있습니다.
독립 게이트웨이를 이미 설치한 경우 environment.bash
에서 TSIG_HK_PORT
값을 업데이트하여 포트를 변경할 수 있습니다.
기본적으로 environment.bash
는 /etc/opt/tableau/tableau_tsig
에 위치합니다.
파일을 업데이트한 후 tsig-httpd를 다시 시작해야 합니다.
sudo su - tableau-tsig systemctl --user restart tsig-httpd exit
로그 파일 위치
Tableau Server에서 가장 유용한 로그 항목은 tabadminagent
로그 파일 디렉터리에 있습니다. 그러나 클러스터에서 Tableau Server를 실행하는 경우 최신 tabadminagent 로그를 찾으려면 각 인스턴스를 확인해야 합니다.
독립 게이트웨이에서 다음 로그 파일은 TSIG_DATA/logs/
디렉터리에 기록됩니다.
기본적으로 이 디렉터리는 /var/opt/tableau/tableau_tsig/logs
경로에 있습니다.
access.log
: 독립 게이트웨이는 httpd.conf.stub 구성에 의해 생성되는 로깅을access.log
에 기록합니다. 타임스탬프가 있는 로그 파일(예:access_date.log
)은 httpd.conf 구성에 의해 생성됩니다.error.log
startup.log
이러한 로그는 Tableau Server 배포로 그대로 릴레이되며 클러스터 컨트롤러 로그 디렉터리의 하위 디렉터리에 저장됩니다. 따라서 독립 게이트웨이 로그는 tsm maintenance ziplogs
명령을 통해 생성된 ziplog 파일에 포함됩니다.
문제 해결
문제 해결 팁은 엔터프라이즈 배포 가이드(EDG)에서 Tableau Server 독립 게이트웨이 문제 해결(링크가 새 창에서 열림)을 참조하십시오. EDG에는 Linux 기반 Tableau Server의 예제 배포가 나와 있습니다. 문제 해결 단계는 Tableau Server의 Windows 또는 Linux 버전에 유용합니다.