Linux 기반 Tableau Server 도움말

독립 게이트웨이에 대한 TLS 지원은 Tableau Server 2022.1.2 이상에서 제공됩니다.

Tableau Server와 Tableau Server 독립 게이트웨이 모두 OpenSSL을 통해 구축된 SSL 모듈(mod_ssl)을 사용하여 TLS(전송 계층 보안) 기능을 구현합니다.

보안에 민감한 특성과 복잡성으로 인해 Apache httpd 기반 TLS에 능숙한 IT 전문가를 통해 TLS 구성을 계획하고 구현하는 것이 좋습니다.

많은 경우 기존 TSM 또는 Apache httpd 구성 속성 또는 개념과의 호환성을 이유로 이름에 “SSL”을 사용하는데, “SSL”은 실제로 프로토콜 버전을 나타내며 이제는 안전하지 않고 오래된 것으로 간주됩니다. 그러나 레거시 이름은 계속 남아 관습상 TLS과 교차로 사용되는 경우가 종종 있습니다. Tableau Server와 독립 게이트웨이는 SSL 관련 프로토콜을 지원하지 않습니다.

TLS 구성 예

TLS 구성에 대한 전체 예제는 엔터프라이즈 배포 가이드에서 부하 분산 장치에서 Tableau Server로의 SSL/TLS 구성(링크가 새 창에서 열림)을 참조하십시오. 이 항목에서는 AWS 배포의 Linux 기반 Tableau Server에서 TLS를 구성하는 방법에 대한 단계별 예제를 보여줍니다. 이 예에서는 Linux용 프로세스를 설명하지만 Windows 기반 Tableau Server에도 유용한 구성 예제입니다.

TLS 구성 개요

다음 섹션의 인터넷과 Tableau Server 간 경로에서 HTTPS에 대한 TLS를 구성할 수 있습니다.

• 외부 네트워크(인터넷 또는 프런트 엔드 부하 분산 장치)에서 독립 게이트웨이로
• 독립 게이트웨이에서 Tableau Server로
• Tableau Server에서 독립 게이트웨이로의 HK(하우스키핑) 프로세스
  

이 항목에서는 이 각 노드를 구성하는 절차를 제공합니다.

독립 게이트웨이 컴퓨터와 Tableau Server 클러스터의 구성을 변경해야 합니다.

인증서 요구 사항 및 고려 사항

독립 게이트웨이의 인증서 요구 사항은 Tableau Server “외부 SSL”에 명시된 것과 동일합니다. SSL 인증서 요구 사항을 참조하십시오.

기타 고려 사항:

• 인증서 관리 및 배포를 간소화하고 보안을 위한 모범 사례를 적용하기 위해 신뢰할 수 있는 주요 외부 CA(인증 기관)에서 생성된 인증서를 사용할 것을 권장합니다. 또는 자체 서명 인증서를 생성하거나 TLS용 PKI의 인증서를 사용할 수도 있습니다. 이 경우 CA 인증서를 신뢰하고 인증서 유효성을 검사하는 구성 옵션을 주의하여 확인하십시오.
• 구현 시 인증서 체인 파일을 사용해야 하는 경우 기술 자료 문서 인증서 체인이 있는 인증서를 사용할 때 독립 게이트웨이에서 TLS 구성(영문)(링크가 새 창에서 열림)을 참조하십시오.
• 독립 게이트웨이의 여러 인스턴스를 실행하는 경우 동일한 위치(파일 경로)의 각 컴퓨터에 인증서를 배포해야 합니다.
• 노드가 2개 이상인 Tableau Server 배포를 실행하는 경우 TSM 명령을 통해 업로드하는 인증서가 노드 전체에 자동으로 배포됩니다. 초기 노드에서 모든 TSM 명령을 실행하십시오.

글로벌 TLS 구성

다음 구성은 글로벌입니다. 아래의 구성 옵션은 tsm configuration set 명령을 사용하여 설정해야 하는 구성 키를 나타냅니다. 명령에 --force-keys 옵션을 포함해야 합니다.

이러한 값을 변경할 필요는 없습니다.

각 키 쌍은 동일한 이름 지정 형식을 공유합니다. 여기서 문자열 tsig는 독립 게이트웨이의 값을 설정합니다. 문자열 tsig가 포함되지 않은 키는 Tableau Server 클러스터의 게이트웨이 프로세스에 대한 값을 설정합니다.

tsig 키에 대한 값을 설정하지 않으면 기본 Tableau Server 게이트웨이 값이 사용됩니다.

gateway.tsig.httpd.socache 또는 gateway.httpd.socache

기본값: shmcb

대체값: dbm

프로세스 간 SSL 세션 캐시의 저장소 유형입니다. shmcb 및 dbm 저장소 유형에 대한 자세한 내용은 Apache 웹 사이트에서 SSLSessionCache 지시문(영문)(링크가 새 창에서 열림)을 참조하십시오.

gateway.tsig.httpd.shmcb.size 또는 gateway.httpd.shmcb.size

기본값: 2048000

shmcb 저장소 유형을 사용할 때 순환 버퍼에 사용할 메모리의 양(바이트)입니다.

참고: 다른 글로벌 키는 gateway.tsig.ssl.key.passphrase.dialog입니다. 해당하는 경우 gateway.tsig.ssl.key.passphrase.dialog에는 단일 구성만 있습니다. 설계상 이 구성은 구성에서 암호화된 모든 개인 키 파일의 암호를 수집합니다. 이 키의 사용에 대한 내용은 이 항목의 후반 섹션에서 설명합니다.

독립 게이트웨이에 대한 외부 TLS

독립 게이트웨이 서버에서 TLS가 종료되는 외부 연결을 구성하는 프로세스는 개념적으로 Tableau Server 클러스터에 대해 “외부 SSL”을 구성하는 방법과 유사합니다. 그러나 메커니즘은 다릅니다. TSM은 독립 게이트웨이 노드에 인증서 및 키 재료를 자동으로 배포하지 않습니다. 또한 독립 게이트웨이는 시작 시 선택적 TLS 키 암호를 제공하는 방법을 자동으로 제공하지 않습니다.

다음 단계는 외부 원본에서 독립 게이트웨이 컴퓨터로의 TLS를 구성하는 방법을 설명합니다.

1단계: 독립 게이트웨이 컴퓨터에 파일 배포

1. 독립 게이트웨이 서비스(tsig-httpd)에서 읽을 수 있는 권한이 있는 위치에 인증서 및 관련 파일을 배치합니다. 키 파일에 대한 액세스를 제한하여 독립 게이트웨이 서비스만 파일을 읽을 수 있도록 하는 것이 좋습니다.
2. 모든 파일, 인증서 및 키를 모든 독립 게이트웨이 컴퓨터에서 정확히 같은 위치에 배치합니다. TSIG_INSTALL 및 TSIG_DATA 경로 외부에 파일을 배치하여 독립 게이트웨이를 다시 설치하거나 업그레이드할 때 해당 파일이 제거되지 않도록 합니다.

2단계: 독립 게이트웨이 컴퓨터의 환경 변수 업데이트

각 독립 게이트웨이 컴퓨터에서 TSIG_PORT 및 TSIG_PROTOCOL 환경 변수를 443(관습상 이 값으로 설정하지만 사용되지 않는 TCP 포트 번호로 설정할 수 있음)과 https로 각각 설정합니다.

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

3단계: Tableau Server에서 TLS 구성 속성 설정

다음 표에 나온 대부분의 TSM 구성 키는 Apache httpd 지시문에서 가져온 것입니다. 따라서 이러한 TSM 구성 키에 대한 구성 값은 해당하는 Apache 지시문의 유효한 값에 직접 매핑됩니다. 다음 표에 해당하는 지시문에 대한 링크가 포함되어 있습니다.

특정 키가 설정되지 않은 경우에는 대체 구성이 사용됩니다. 대체 구성도 아래 표에 나와 있습니다.

다음 표의 구성 옵션은 tsm configuration set 명령을 사용하여 설정해야 하는 구성 키를 나타냅니다. 모든 명령에 --force-keys 옵션을 포함해야 합니다. 예:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

구성 키를 설정한 후 tsm pending-changes apply를 실행해야 합니다.

Tableau Server에 대한 독립 게이트웨이

이 섹션에서는 독립 게이트웨이와 Tableau Server 간의 연결을 암호화하는 방법을 설명합니다.

1단계: Tableau Server에서 TLS를 구성하고 사용하도록 설정

자세한 내용은 Tableau Server에서 들어오고 나가는 외부 HTTP 트래픽에 대해 SSL 구성을 참조하십시오.

“SSL”은 실제로 TLS 구현 중 하나이며 “외부”는 Tableau Server에 대한 외부 연결을 나타냅니다. 이 시나리오에서 독립 게이트웨이는 “외부” 연결입니다.

독립 게이트웨이를 구성하기 전에 클라이언트에서 TLS를 사용하도록 설정하고 TLS를 사용하여 Tableau Server에 직접 연결할 수 있는지 확인하는 것이 좋습니다.

2단계: 독립 게이트웨이 컴퓨터에 인증서 파일 배포

다음 중 하나에 해당하는 경우 독립 게이트웨이 컴퓨터에 인증서 파일을 배포해야 합니다.

• 자체 서명 또는 PKI 인증서를 Tableau Server 배포의 TLS 인증서로 사용하고 있습니다.
• 독립 게이트웨이에서 Tableau Server로의 연결에 상호 TLS를 사용하고 있습니다.
  

독립 게이트웨이 컴퓨터의 모든 TLS 관련 파일과 마찬가지로 각 컴퓨터의 동일한 경로에 파일을 배치해야 합니다. TLS 공유 파일의 모든 파일 이름도 동일해야 합니다.

3단계: Tableau Server에서 TLS 구성 속성 설정

다음 표에 나온 대부분의 TSM 구성 키는 Apache httpd 지시문에서 가져온 것입니다. 따라서 이러한 TSM 구성 키에 대한 구성 값은 해당하는 Apache 지시문의 유효한 값에 직접 매핑됩니다. 다음 표에 해당하는 지시문에 대한 링크가 포함되어 있습니다.

특정 키가 설정되지 않은 경우에는 대체 구성이 사용됩니다. 대체 구성도 아래 표에 나와 있습니다.

다음 표의 구성 옵션은 tsm configuration set 명령을 사용하여 설정해야 하는 구성 키를 나타냅니다. 모든 명령에 --force-keys 옵션을 포함해야 합니다. 예:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

구성 키를 설정한 후 tsm pending-changes apply를 실행해야 합니다.

4단계: Tableau Server에 루트 CA 인증서 업로드

독립 게이트웨이 컴퓨터에서 사용 중인 TLS 인증서가 자체 서명 또는 PKI 생성 인증서인 경우 이 추가 단계를 수행해야 합니다. 독립 게이트웨이 컴퓨터에서 사용 중인 TLS 인증서가 신뢰할 수 있는 타사 인증 기관의 인증서인 경우 이 단계를 건너뛰어도 됩니다.

독립 게이트웨이 컴퓨터에 사용된 루트 CA 인증서를 Tableau Sever의 초기 노드에 복사한 후 다음 명령을 실행합니다.

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Tableau Server와 독립 게이트웨이 간의 하우스키핑 연결

HK(하우스키핑) 프로세스는 백엔드 Tableau Server 배포와 독립 게이트웨이 간의 구성 상태를 유지합니다.

독립 게이트웨이가 설치된 경우 기본 구성은 암호화되지 않은 HTTP 연결을 제공합니다. 독립 게이트웨이는 Tableau Server 클러스터(설치 중에 정의)에서 시작되는 하우스키핑 요청을 수신합니다.

독립 게이트웨이의 여러 인스턴스를 실행 중인 경우 모든 서버는 TLS를 사용하거나 사용하지 않는 모든 하우스키핑 요청을 수락해야 합니다. 이 섹션에서는 TLS에 대해 HK 연결을 구성하는 방법에 대해 설명합니다. 이 프로세스에서는 Tableau Server를 다시 시작해야 하므로 가동 중단이 발생합니다.

위에서 설명한 이전 TLS 시나리오와 마찬가지로 HK 연결에 대한 대부분의 구성 변경은 Tableau Server 클러스터를 통해 관리되는 구성 속성에 설정됩니다. 그러나 HK TLS 구성의 경우 독립 게이트웨이에서 추가 단계를 수행해야 합니다.

1단계: 독립 게이트웨이 컴퓨터에 파일 배포

외부 네트워크 및 독립 게이트웨이를 통해 TLS를 사용하도록 설정한 경우 동일한 인증서 및 키 파일을 HK 연결에 사용할 수 있습니다.

동일한 자산을 사용 중인 경우 Tableau Server에 사용된 인증서의 루트 CA 인증서 파일만 추가로 배포하면 됩니다. Tableau Server가 제시한 TLS 인증서가 신뢰할 수 있는 타사 CA를 통해 생성된 것인 경우 루트 CA 인증서를 독립 게이트웨이 컴퓨터에 복사하지 않아도 됩니다.

1. 독립 게이트웨이 서비스(tsig-httpd)에서 읽을 수 있는 권한이 있는 위치에 인증서 및 관련 파일을 배치합니다. 키 파일에 대한 액세스를 제한하여 독립 게이트웨이 서비스만 파일을 읽을 수 있도록 하는 것이 좋습니다.
2. 모든 파일, 인증서 및 키를 모든 독립 게이트웨이 컴퓨터에서 정확히 같은 위치에 배치합니다.

2단계: 독립 게이트웨이 루트 CA 인증서를 Tableau Server 신뢰 저장소로 가져오기

독립 게이트웨이 컴퓨터에서 사용 중인 TLS 인증서가 자체 서명 또는 PKI 생성 인증서인 경우 이 추가 단계를 수행해야 합니다. 독립 게이트웨이 컴퓨터에서 사용 중인 TLS 인증서가 신뢰할 수 있는 타사 인증 기관의 인증서인 경우 이 단계를 건너뛰어도 됩니다.

루트 CA 인증서 1개만 Tableau Server에 업로드할 수 있습니다. 따라서 루트 CA 인증서를 이미 업로드한 경우 동일한 루트 CA 인증서로 HK 연결에 사용할 인증서를 서명해야 합니다.

독립 게이트웨이 컴퓨터에 사용된 루트 CA 인증서를 Tableau Sever의 초기 노드에 복사한 후 다음 명령을 실행합니다.

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

3단계: 독립 게이트웨이 컴퓨터의 환경 변수 업데이트

각 독립 게이트웨이 컴퓨터에서 TSIG_HK_PROTOCOL 환경 변수를 https로 설정합니다. TSIG_HK_PORT 환경 변수를 설정하여 HK의 대체 포트도 지정할 수 있습니다(기본값: 21319).

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

4단계: 독립 게이트웨이에서 httpd.conf.stub 업데이트

각 독립 게이트웨이 서버에서 httpd.conf.stub 파일을 업데이트해야 합니다. httpd.conf.stub 파일은 글로벌 httpd 구성을 시드하는 데 사용됩니다.

파일은 TSIG_DATA/config/httpd.conf.stub에 있습니다.

기본 설치에서 파일 위치는 /var/opt/tableau/tableau_tsig/config/httpd.conf.stub입니다.

1. 텍스트 편집기에서 httpd.conf.stub 파일을 엽니다. <VirtualHost *:${TSIG_HK_PORT}> 블록을 HK 구성 세부 정보로 업데이트해야 합니다. 다음 예제는 필요한 변경을 보여줍니다.

   <VirtualHost *:${TSIG_HK_PORT}>
    SSLEngine on
    #TLS# SSLHonorCipherOrder on
    #TLS# SSLCompression off
    SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
    SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
    SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
   #TLS# SSLCARevocationFile /path/to/file
   </VirtualHost>				

   참고:

   • 기본적으로 <VirtualHost *:${TSIG_HK_PORT}> 블록의 각 줄은 문자열 #TLS#로 주석 처리되어 있습니다. 블록의 라인을 “사용”하려면 줄 시작에서 #TLS# 문자열을 삭제합니다.
   • 모든 httpd 구성과 마찬가지로 참조된 각 파일에는 파일에 대한 절대 경로가 필요합니다.
   • SSLCACertificateFile은 Tableau Server가 제시한 인증서를 생성하는 CA의 루트 CA 인증서를 지정합니다. 이 설정은 Tableau Server에 사용된 TLS 인증서가 자체 서명 인증서이거나 PKI 생성 인증서인 경우에만 설명하면 됩니다.

2. tsig-httpd 서비스를 중지합니다.

   sudo su - tableau-tsig

   systemctl --user stop tsig-httpd

   exit

   이 시점에서 상태 확인 실패가 수신되기 시작하는데 이는 TSM에서 독립 게이트웨이 구성 요소가 성능 저하 상태가 되었음을 나타냅니다.

3. httpd.conf.stub를 httpd.conf에 복사합니다.

   httpd.conf 파일은 동일한 디렉터리에 있습니다. httpd.conf 파일을 httpd.conf.stub 파일로 덮어씁니다.

   cp httpd.conf.stub httpd.conf

4. tsig-httpd 서비스를 시작합니다.

   sudo su - tableau-tsig
   systemctl --user start tsig-httpd
   exit

   이 시점에서도 계속해서 상태 확인 실패가 수신되는데 이는 TSM에서 독립 게이트웨이 구성 요소가 성능 저하 상태가 되었음을 나타냅니다. 이러한 상태 확인은 다음 단계에 설명된 구성을 완료할 때까지 계속 실패합니다.

5단계: Tableau Server에서 TLS 구성 속성 설정

구성 변경을 적용하려면 서버를 다시 시작해야 합니다. 중단 시간이 길어지는 것을 방지하려면 여기서 설정한 변경을 적용하기 전에 서버를 중지하는 것이 좋습니다. 6단계에서는 업데이트 명령을 실행한 다음 TSM을 다시 시작하게 됩니다. 이 구성 단계에서 TSM을 중지하면 가동 중단 시간이 단축됩니다.

1. TSM을 중지합니다. 다음 명령을 실행합니다.

   tsm stop

2. 다음 표에 나온 대부분의 TSM 구성 키는 Apache httpd 지시문에서 가져온 것입니다. 따라서 이러한 TSM 구성 키에 대한 구성 값은 해당하는 Apache 지시문의 유효한 값에 직접 매핑됩니다. 다음 표에 해당하는 지시문에 대한 링크가 포함되어 있습니다.

   TSM 구성 속성 이름 중에 gateway.tsig.hk.xyz.abc 접두사에 hk 노드가 포함되는 구성 속성이 있습니다. 설정하면 이러한 값이 HK TLS 구성에 사용됩니다. 설정하지 않으면 많은 구성 속성에 gateway.tsig.xyz.abc에 대한 대체값이 사용되는데, gateway.xyz.abc로 대체될 수도 있고 아닐 수도 있습니다. 관련된 경우 대체 구성 속성이 나열됩니다.

   다음 표의 구성 옵션은 tsm configuration set 명령을 사용하여 설정해야 하는 구성 키를 나타냅니다. 모든 명령에 --force-keys 옵션을 포함해야 합니다. 예:

   tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

   구성 속성	설명	Apache 지시문 구성
   gateway.tsig.hk.ssl.enabled (대체 없음)	필수 항목입니다. TLS를 사용하도록 설정합니다. true로 설정해야 합니다.	해당 없음
   gateway.tsig.hk.ssl.cert.file_name 대체: gateway.tsig.ssl.cert.file_name	독립 게이트웨이에 대한 인증서 파일의 경로 + 파일 이름입니다. 예를 들어 /etc/ssl/certs/tsig-ssl.crt입니다.	SSLCertificateFile(링크가 새 창에서 열림)
   gateway.tsig.hk.ssl.key.file_name 대체: gateway.tsig.ssl.key.file_name	독립 게이트웨이에 대한 인증서 키 파일의 경로 + 파일 이름입니다. 예를 들어 /etc/ssl/keys/tsig-ssl.key입니다.	SSLCertificateKeyFile(링크가 새 창에서 열림)
   gateway.tsig.ssl.key.passphrase.dialog (글로벌 속성)	키에 암호가 필요한 경우 Apache httpd SSLPassPhraseDialog 지시문에 필요한 올바른 문자열로 이 키를 구성해야 합니다. 이 구성은 독립 게이트웨이에 대해 글로벌입니다.	SSLPassPhraseDialog(링크가 새 창에서 열림)
   gateway.tsig.hk.ssl.protocols 대체: gateway.tsig.ssl.protocols ssl.protocols	지원되는 버전의 SSL/TLS를 지정합니다. 기본 구성에 대한 자세한 내용은 보안 강화 검사 목록을 참조하십시오.	SSLProtocols(링크가 새 창에서 열림)
   gateway.tsig.hk.ssl.ciphersuite 대체: gateway.tsig.ssl.ciphersuite ssl.ciphersuite	SSL 연결에서 클라이언트가 협상할 수 있는 암호를 지정합니다.	SSLCipherSuite(링크가 새 창에서 열림)
   gateway.tsig.hk.ssl.client_certificate_login.required (대체 없음)	이 연결에서 상호 TLS를 사용하려면 이 값을 true로 설정합니다. gateway.tsig.hk.ssl.cacert.file 속성도 아래에 지정된 것과 같이 설정해야 합니다.	해당 없음
   gateway.tsig.hk.ssl.cacert.file 대체: gateway.tsig.ssl.cacert.file	클라이언트 인증 프로세스에 대한 연결된 CA 인증서가 포함된 파일을 지정합니다.	SSLCACertificateFile(링크가 새 창에서 열림)
   gateway.tsig.hk.ssl.revocation.file 대체: gateway.tsig.hk.ssl.revocation.file	독립 게이트웨이에 연결하는 클라이언트에 대한 연결된 CA 해지 목록이 포함된 파일을 지정합니다.	SSLCARevocationFile(링크가 새 창에서 열림)

3. 변경 내용을 적용합니다. 다음 명령을 실행합니다.

   tsm pending-changes apply.

6단계: 독립 게이트웨이 JSON 구성 파일 업데이트

최종 단계는 JSON 파일로 독립 게이트웨이 구성을 업데이트하여 https로의 전환(해당하는 경우 다른 포트 번호로의 전환 포함)을 반영하는 것입니다.

이 파일의 편집에 대한 자세한 내용은 설치 항목을 참조하십시오. 3단계: Tableau Server에서 독립 게이트웨이를 사용하도록 설정을 참조하십시오.

JSON 파일을 업데이트한 후 다음 명령을 실행합니다.

tsm topology external-services gateway update -c tsig.json
tsm start

문제 해결

문제 해결 팁은 엔터프라이즈 배포 가이드(EDG)에서 Tableau Server 독립 게이트웨이 문제 해결(링크가 새 창에서 열림)을 참조하십시오. EDG에는 Linux 기반 Tableau Server의 예제 배포가 나와 있습니다. 문제 해결 단계는 Tableau Server의 Windows 또는 Linux 버전에 유용합니다.