Tableau Server configureren met onafhankelijke gateway
In dit onderwerp wordt beschreven hoe u Tableau Server met onafhankelijke gateway configureert voor verschillende verbindingsscenario's en voor een aangepaste verificatiemodule.
Zie Tableau Server Installeren met onafhankelijke gateway voor de installatieprocedure.
Zie Weblaag configureren(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie voor een voorbeeld van een end-to-end-implementatie die wordt uitgevoerd op Tableau Server voor Linux in AWS.
Directe vs. relayverbinding
De onafhankelijke gateway kan rechtstreeks communiceren met de backendprocessen van Tableau Server via meerdere poorten. We noemen deze communicatie een directe verbinding.
U kunt ook de onafhankelijke gateway configureren om clientcommunicatie via één poort door te geven aan het gatewayproces op Tableau Server. We noemen dit een relayverbinding.
De TSM-configuratiesleutel waarmee het verbindingstype wordt ingesteld, is gateway.tsig.proxy_tls_optional.
In de volgende paragrafen wordt beschreven hoe deze verbindingen verschillen en hoe u ze instelt.
Directe verbinding
In deze configuratie communiceert de onafhankelijke gateway rechtstreeks met de backendprocessen op Tableau Server via meerdere poorten. Hiervoor moet u de poorten openen van de firewall die de onafhankelijke gateway scheidt van de Tableau Server-backendimplementatie.
De huidige implementatie van onafhankelijke gateway ondersteunt geen TLS-verbindingen op deze processen.
Dankzij een directe verbinding kan de onafhankelijke gateway communiceren met de backendprocessen van Tableau Server zonder dat er een proxy nodig is via het gatewayproces. Directe verbinding levert betere prestaties dan de alternatieve relayverbinding.
Configuratie
Directe verbinding is de standaardconfiguratie. U hoeft dus geen opdracht uit te voeren om dit in te stellen. Mocht u echter de standaard directe verbinding willen herstellen, voer dan de volgende opdrachten uit:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys tsm pending-changes apply
Poorttoegang beheren
Na de installatie moet de onafhankelijke gateway via meerdere poorten met Tableau Server kunnen communiceren. Deze poorten worden dynamisch toegewezen tijdens de installatie en vallen binnen het bereik TCP 8000-9000. De specifieke poorten en bijbehorende processen die worden gebruikt om te communiceren met Tableau Server worden weggeschreven naar een CSV-bestand op de computer waarop de onafhankelijke gateway wordt uitgevoerd op TSIG_DATA/config/httpd/proxy_targets.csv.
In een standaardinstallatie: /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv.
Gebruik proxy_targets.csv om de poorttoegangsconfiguratie via uw netwerk naar Tableau Server in te stellen of te automatiseren. Wij raden aan de poortingangsconfiguratie te automatiseren, omdat de poorten kunnen veranderen als de topologie van de Tableau Server-implementatie verandert. Als u knooppunten toevoegt of processen opnieuw configureert in de Tableau Server-implementatie, leidt dit tot wijzigingen in de poorttoegang die de onafhankelijke gateway vereist.
Relayverbinding
In een relayverbindingsconfiguratie maakt de onafhankelijke gateway geen rechtstreekse verbinding met de backendprocessen. In plaats daarvan geeft de onafhankelijke gateway de communicatie door aan het gatewayproces op de backend van de Tableau Server-implementatie via HTTP. Dit relayproces resulteert in een extra hop en verslechtert daarom de prestaties in vergelijking met de configuratie van een directe verbinding.
Een voordeel van het configureren van onafhankelijke gateway als een relayverbinding is dat het verkeer wordt beveiligd met TLS. Zie TLS configureren op onafhankelijke gateway.
Configuratie
Voer de volgende opdrachten uit om de onafhankelijke gateway te configureren voor een relayverbinding met Tableau Server:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys tsm pending-changes apply
Housekeepingprotocol
Zowel directe als relayverbindingen vereisen communicatie met het housekeeping (HK)-protocol van Tableau Server. Het HK-proces onderhoudt de configuratiestatus tussen de backend van de Tableau Server-implementatie en de onafhankelijke gateway. Tijdens de installatie moet de Tableau Server kunnen communiceren met de onafhankelijke gateway via poort 21319.
Communicatiedetails uit het housekeepingprotocol:
- De HK-verzoeken controleren de status van de onafhankelijke gateway en werken de configuratie indien nodig bij. Er zitten geen klantdata in deze verzoeken. De configuraties bevatten geen wachtwoorden of andere geheimen.
- De configuratiebestanden bevatten details over de Tableau Server-clustertopologie, zodat de onafhankelijke gateway reverse-proxy-functies kan uitvoeren. De configuratie van de clustertopologie kan als gevoelig worden beschouwd, omdat de configuratie doelinformatie aan een aanvaller zou kunnen verstrekken. Dergelijke configuratiedata zijn alleen nuttig voor aanvallers die vervolgens toegang kunnen krijgen tot het Tableau Server-cluster.
- De configuratie-updatebestanden bevatten een controle van de gehashte inhoud. Dit biedt een extra beveiligingslaag om de integriteit te valideren van de configuratiebestanden die worden gebruikt om de onafhankelijke gateway bij te werken.
Standaard gebruikt het HK-proces TCP 21319.
Vanaf Tableau Server 2022.1.2 wordt TLS ondersteund op HK-verbindingen. Zie TLS configureren op onafhankelijke gateway.
De HK-poort wijzigen
U kunt de poort die door het HK-protocol wordt gebruikt, wijzigen als onderdeel van de initialisatie van de onafhankelijke gateway.
Als u onafhankelijke gateway al hebt geïnstalleerd, kunt u de poort wijzigen door de TSIG_HK_PORT-waarde in environment.bash te wijzigen.
Standaard bevindt environment.bash zich in /etc/opt/tableau/tableau_tsig.
Nadat u het bestand hebt bijgewerkt, moet u tsig-httpd opnieuw starten:
sudo su - tableau-tsig systemctl --user restart tsig-httpd exit
Locaties van logboekbestanden
De meest bruikbare logboekvermeldingen op Tableau Server staan in de logboekbestanddirectory tabadminagent . Als u Tableau Server echter in een cluster uitvoert, moet u op elke instantie kijken om de nieuwste tabadminagent-logboeken te vinden.
Op de onafhankelijke gateway worden de volgende logbestanden naar de directory TSIG_DATA/logs/ geschreven.
Standaard staat dit op het pad /var/opt/tableau/tableau_tsig/logs:
access.log: onafhankelijke gateway zal schrijven naaraccess.logvoor logboekregistraties die gegenereerd worden door de httpd.conf.stub-configuratie. Logbestanden met een tijdstempel (bijv.access_date.log) worden gegenereerd door de httpd.conf-configuratie.error.logstartup.log
Deze logboeken worden ook letterlijk doorgegeven aan de Tableau Server-implementatie en opgeslagen in submappen van de logboekdirectory van de clustercontroller. Als zodanig worden de logboeken van de onafhankelijke gateway opgenomen in het ziplogbestand dat door de opdracht tsm maintenance ziplogs wordt gegenereerd.
Problemen oplossen
Zie Problemen met de onafhankelijke gateway van Tableau Server oplossen(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie (GBI) voor tips voor het oplossen van problemen. In de GBI staat een voorbeeld van een implementatie van Tableau Server op Linux. De stappen voor probleemoplossing zijn handig voor Windows- of Linux-versies van Tableau Server.