Konfigurera proxyservrar och belastningsutjämnare för Tableau Server

I de flesta företag måste Tableau Server kommunicera med Internet. Tableau Server har utformats för att fungera i ett skyddat internt nätverk. Konfigurera inte Tableau Server direkt på Internet eller i en DMZ. I stället bör kommunikationen mellan nätverket och Internet ske via proxyservrar. Proxyservrar för vidarebefordran förmedlar trafik inifrån nätverket till mål på Internet. Omvända proxyservrar och belastningsutjämnare förmedlar trafik från internet till mål inne i nätverket.

Vem ska läsa denna artikel?

Den här artikeln riktar sig till IT-proffs som har erfarenhet av allmän nätverkshantering, belastningsutjämning och gatewayproxylösningar. I artikeln beskriver vi hur och när Tableau kräver åtkomst till internet samt hur du konfigurerar ditt nätverk och Tableau till att använda proxyservrar och belastningsutjämnare för åtkomst till och från internet. Det finns många tredjepartslösningar tillgängliga, så en del av innehållet i artikeln är av allmän karaktär.

Innan du konfigurerar en proxyserver, se Kommunicera med Internet.

Konfigurera en proxyserver för vidarebefordran

För att möjliggöra kommunikation från Tableau Server till Internet driftsätter du Tableau Server bakom en proxyserver för vidarebefordran. När Tableau Server behöver resurs till Internet skickar den inte begäran direkt till Internet. Den skickar istället begäran till proxyn för vidarebefordran, som i sin tur vidarebefordrar begäran. Proxy för vidarebefordran hjälper administratörer att hantera trafiken till Internet för uppgifter som belastningsutjämning, blockering av åtkomst till webbplatser, etc.

Om du använder en proxy för vidarebefordran måste du konfigurera de datorer som kör Tableau Server inne i nätverket för att skicka trafik till proxyn för vidarebefordran. Tableau Server stöder inte direkt eller manuell proxyautentisering.

Om du kör OpenID-autentisering med en lösning för proxy för vidarebefordran krävs ytterligare konfigurationer. Se Konfigurera Tableau Server för OpenID Connect.

Konfigurera Tableau Server på Linux för att fungera med en proxy för vidarebefordran

Vi rekommenderar att du konfigurerar Tableau Server så att den fungerar med din lösning för proxy för vidarebefordran som en del av installationsprocessen. Konfigurera specifikt Tableau Server när du kör ./initialize-tsm som beskrivs i Installera och initiera TSM, eller som en del av den Automatisk installation av Tableau Server.

Proceduren nedan beskriver hur du skapar en konfigureringsfil för proxy för vidarebefordran för Tableau Server på Linux.

Konfigurationsfilen lagras i följande katalog:

~<unprivileged_user>/.config/systemd/tableau_server.conf.d

Som standard skapar Tableau Server den oprivilegierade användaren, tableau. Därför är standardsökvägen till konfigurationskatalogen:

~tableau/.config/systemd/tableau_server.conf.d

Filnamnet för proxykonfigurationen i detta ämne och i konfigurationsfilen nedan kallas 20-proxy.conf. Du kan namnge filen som du vill, men den måste använda tillägget .conf. systemd som behandlar filer lagrade i tableau_server.conf.d katalogen i lexikalisk ordning enligt filnamnet.

  1. Kör kommandot tsm stop.

  2. Starta en session som oprivilegierad användare. Som standard är tableau den oprivilegierade användaren som skapades av Tableau Server under installationen. Kör följande kommando:

    sudo su -l tableau

  3. Skapa eller öppna filen 20-proxy.conf i katalogen tableau_server.conf.d. Om du har konfigurerat en proxy för vidarebefordran under installationen har filen 20-proxy.conf redan skapats.

    • Skapa filen. Kör följande kommando:

      touch ~tableau/.config/systemd/tableau_server.conf.d/20-proxy.conf

    • Öppna 20-proxy.conf-filen i en textredigerare.

  4. Kopiera innehållet i konfigureringsfilen för proxy till filen. Om du redigerar en befintlig fil ska du se till att du inte tar bort konfigurationen. Innehållet i konfigureringsfilen för proxy innehåller anvisningar om hur du ställer in proxykonfigurationer. Gå til steg 5 när du har redigerat och sparat filen.

  5. Innehåll i konfigureringsfilen för proxy
    
    # Always edit this file on Tableau Server as the unprivileged user. By default, tableau, is the unprivileged user created by Tableau Server during installation.
    # Set environment variables http_proxy and https_proxy to point to your proxy host.
    # For example, to set the proxy to example-host for ports 80 and 443, run the following commands:
    #
    http_proxy=http://example-host:80/
    https_proxy=http://example-host:443/
    #
    # Take care to use 'http' when you specify the URL for the https_proxy environmental variable.  
    # Do not specify the 'https' protocol for the value of  the https_proxy environmental variable.
    #                   
    # To bypass the proxy server, specify exceptions in the no_proxy variable. Use this variable if your proxy server does not route internal addresses. 
    # You must also add exceptions to this proxy configuration to guarantee that all communications within a local Tableau Server cluster (if you have one now or will have one later) do not route to the proxy server. 
    # Enter both the host name and the IP address for each computer. Additionally, include the cannonical host name (localhost) and IP address (127.0.0.1) for the local computer.
    # For example, to specify exceptions for a three-node cluster:
    #
    no_proxy="localhost,127.0.0.1,hostname1,hostname2,hostname3,IP1,IP2,IP3"
    #									
    # Where "hostname1" is the actual hostname of node 1, and "IP1" is the actual IP address of node 1, etc.
  6. Avsluta Tableau-gränssnittet. Kör följande kommando:

    exit

  7. Starta om TSM-affärstjänsterna. Kör följande skriptkommandon:

    sudo /opt/tableau/tableau_server/packages/scripts.<version>/stop-administrative-services

    sudo /opt/tableau/tableau_server/packages/scripts.<version>/start-administrative-services

  8. Starta om TSM.

    tsm restart

Serverkraschrapporteraren

Om organisationen använder en proxyserver för att ansluta till Internet måste du konfigurera kraschrapporteraren för Tableau Server till att använda proxyservern. Även om du redan har konfigurerat Tableau Server att använda en proxy måste du konfigurera Serverkraschrapporteraren separat. För att konfigurera proxy för serverkraschrapporterare, se Konfigurera serverkraschrapporteraren.

Hur en omvänd proxyserver och en belastningsutjämnare fungerar med Tableau Server

Omvända proxyservrar och belastningsutjämnare är servrar som tar emot begäranden från externa klienter (internet) och vidarebefordrar dem till Tableau Server. De här lösningarna gör att Tableau Server är tillgänglig på internet utan att den individuella IP-adressen för aktuell Tableau Server behöver exponeras till internet. De kan även fungera som autentiserings- och genomflödesenheter, vilket gör att inga data lagras på ställen där någon utanför företaget kan komma åt dem. Detta krav kan vara viktigt för organisationer som omfattas av olika sekretessregler som PCI, HIPAA eller SOX.

I följande diagram illustreras kommunikationsvägen när en klient gör en begäran till Tableau Server som är konfigurerad att fungera med en omvänd proxyserver och/eller belastningsutjämnare (LB).

  1. En extern klient initierar en anslutning till Tableau Server. Klienten använder den offentliga URL:en som har konfigurerats för den omvända proxyservern/LB, till exempel https://tableau.example.com. (Klienten vet inte att den använder en omvänd proxyserver/LB.)

  2. Omvända proxykartor som i sin tur gör en begäran till Tableau Server. I vissa scenarier kan den omvända proxyservern konfigureras för att autentisera klienten (med SSL/TLS) som en förutsättning för att skicka begäran till Tableau Server.

  3. Tableau Server får begäran och skickar sitt svar till den omvända proxyservern/LB.

  4. Den omvända proxyservern/LB skickar tillbaka innehållet till klienten. Från klientens synpunkt hade den precis en interaktion med Tableau Server, och kan inte veta att kommunikationen förmedlades via en eller flera mellanliggande servrar.

TLS/SSL

Beroende på ditt gatewayscenario bör du överväga att konfigurera dina omvända proxy- och belastningsutjämningsservrar så att de använder TLS/SSL för all trafik som är extern till nätverket. Detta säkerställer integritet, innehållsintegritet och autentisering. Om du inte har installerat några andra säkerhetsåtgärder för att skydda trafiken mellan din Internet-gateway och Tableau Server rekommenderar vi även att du konfigurerar SSL mellan gateway-proxy och Tableau Server. För att kryptera trafiken mellan Tableau Server och andra interna datorer kan du använda interna eller självsignerade certifikat.

Mobil åtkomst

Tableau Server lägger till ett X-huvud till alla HTTP-svar för Tableau Mobile-sessioner. Som standard kommer de flesta proxylösningar att bevara X-huvud. Om din gatewaylösning inte bevarar X-huvuden måste du konfigurera din proxyserver och belastningsutjämnare till att bevara följande huvud till alla HTTP-svar för mobila klientsessioner: X-Tableau: Tableau Server.

Om du har konfigurerat autentisering på gatewayen måste din proxyserver/LB svara på Tableau Mobile HTTP-begäranden med ett HTTP 302-svar. 302 måste innehålla en omdirigering till identitetsproviderns inloggningssida. Om du vill se diagram som beskriver autentiseringssekvensen 302, se Autentiseringssekvens för Tableau Mobile(Länken öppnas i ett nytt fönster) i Tableau Community.

Omvänd proxyserver, belastningsutjämnare och användarautentisering

Tableau Server kommer alltid att autentisera användare. Detta innebär att även om du autentiserar inkommande anslutningar vid organisationens gateway kommer Tableau Server fortfarande att autentisera användaren.

Alla klienter kommer däremot inte att ha stöd för användarautentisering med en gatewaylösning:

  • För webbläsare som stöds kan du använda SAML, OpenID Connect, Kerberos, betrodda biljetter eller manuell autentisering med en omvänd proxyserver/LB.

  • Tableau Mobile har stöd för SAML eller manuell autentisering med en omvänd proxyserver/LB. iOS-versionen av Tableau Mobile stöder dessutom Kerberos med en omvänd proxyserver/LB. Samma rekommendation som ovan gäller.

  • Tableau Prep stöder inte autentisering med en omvänd proxyserver eller belastningsutjämnare. För fjärråtkomst använder du en VPN-lösning eller konfigurerar dina gatewaytjänster till att dirigera trafiken från Tableau Prep direkt till Tableau Server för autentisering.

  • Tableau Desktop stöder autentisering med en omvänd proxy förutsatt att en autentiseringsmodul gör en förautentisering på den omvända proxyn innan trafiken dirigeras till Tableau Server för slutgiltig autentisering. Mer information finns i Del 5 - Konfigurera webbnivå(Länken öppnas i ett nytt fönster) i Driftsättningsguiden för Tableau Server Enterprise och Konfigurera autentiseringsmodulen med oberoende gateway.

Om organisationen använder Active Directory för autentisering:

  • Tableau Server måste konfigureras för omvänd proxy innan du konfigurerar Tableau Server för Kerberos. Mer information finns i Konfigurera Kerberos.

Konfigurera Tableau Server till att fungera med en omvänd proxyserver och/eller en belastningsutjämnare

Innan du konfigurerar Tableau Server måste du samla in följande information om proxyserverns konfiguration. Du kan konfigurera Tableau Server med hjälp av kommandot tsm configuration set. Informationen du måste samla in motsvarar de alternativ du behöver när du kör tsm.

De flesta av följande tsm-alternativ används även för att konfigurera driftsättningar av Tableau Server som fungerar bakom en belastningsutjämnare. Mer information finns i Lägga till en belastningsutjämnare.

ArtikelBeskrivningMotsvarande för tsm configuration set
IP-adress eller CNAME

För detta alternativ kan du antingen ange en IP-adress eller ett CNAME.

Proxy- och belastningsutjämningsservrarnas offentliga IP-adress eller adresser. IP-adressen måste vara i IPv4-format, till exempel 203.0.113.0, och den måste vara en statisk IP.

Om du inte kan tillhandahålla en statisk IP-adress, eller om du använder molnproxyer eller externa belastningsutjämnare, kan du ange DNS-värdet för CNAME (Canonical Name) som klienterna kommer att använda för att ansluta till Tableau Server. Detta CNAME-värde måste konfigureras på din omvända proxylösning för att kommunicera med Tableau Server.

gateway.trusted
FQDNDet fullständiga domännamnet som människor använder för att nå Tableau Server, till exempel tableau.example.com. Tableau Server stöder inte kontextbyten för detta alternativ. Följande webbadress stöds till exempel inte: example.com/tableau.gateway.public.host
Icke-FQDNEventuella underdomännamn för proxy- eller LB-servrarna. I exemplet tableau.example.com är subdomännamnet tableau.gateway.trusted_hosts
AliasEventuella offentliga alternativa namn för proxy- eller LB-servrarna. I de flesta fall betecknas alias med CNAME-värden. Ett exempel är en proxyserver bigbox.example.com och CNAME-poster för ftp.example.com och www.example.com.gateway.trusted_hosts
PortarPortnummer för trafik från klienten till omvänd proxyserver.

gateway.public.port

Om du använder en distribuerad installation av Tableau Server kör du följande kommandon för tsm på den initiala noden i ditt kluster.

  1. Ange följande kommando för att ställa in FQDN som klienterna ska använda för att nå Tableau Server via proxy- och/eller LB-servrarna, där name är FQDN:

    tsm configuration set -k gateway.public.host -v 'name'

    Om du till exempel når Tableau Server genom att ange https://tableau.example.com i webbläsaren anger du följande kommando:

    tsm configuration set -k gateway.public.host -v 'tableau.example.com'

  2. Ange följande kommando för att ställa in proxy- och/eller LB-servrarnas adress eller CNAME, där server_address är IPv4-adressen eller CNAME-värdet:

    tsm configuration set -k gateway.trusted -v 'server_ip_address'

    Om organisationen använder flera proxy- och/eller LB-servrar anger du flera IPv4-adresser och separerar dem med kommatecken. IP-intervall stöds inte. Minimera antalet poster för gateway.trusted i syfte att förbättra start och initiering av Tableau Server.

  3. Ange följande kommando för att ange alternativa namn för proxy-/LB-servrarna, till exempel deras fullständiga domännamn, eventuella ej fullständiga domännamn och eventuella alias. Om det finns mer än ett namn separerar du namnen med ett kommatecken.

    tsm configuration set -k gateway.trusted_hosts -v 'name1, name2, name3'

    Till exempel:

    tsm configuration set -k gateway.trusted_hosts -v 'proxy1.example.com, proxy1, ftp.example.com, www.example.com'

  4. Om proxyservern använder SSL för att kommunicera med Internet kör du följande kommando som talar om för Tableau att den omvända proxyservern använder port 443 istället för port 80:

    tsm configuration set -k gateway.public.port -v 443

    Obs! Om proxyservern använder SSL för att kommunicera med Tableau Server måste SSL konfigureras och aktiveras på Tableau Server.

  5. Ange följande kommando för att göra ändringarna:

    tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Konfigurera den omvända proxy- eller belastningsutjämningsservern till att fungera med Tableau Server

När en klient använder Tableau Server via en omvänd proxyserver eller belastningsutjämnare måste specifika meddelanderubriker bevaras (eller läggas till). Alla servrar i meddelandekedjan måste representeras i inställningarna gateway.trusted_hosts och gateway.trusted.

Följande grafik visar exempelrubriker för en meddelandekedja med ett hopp där proxyservern kommunicerar direkt med Tableau Server:

Följande grafik visar exempelrubriker för en meddelandekedja med flera hopp där meddelandet går igenom två proxyservrar innan det ansluts till Tableau Server:

Följande tabell beskriver vad dessa rubriker är och hur de relaterar till konfigurationsinställningarna på Tableau Server:

RubrikerBeskrivningRelaterade inställningar för Tableau Server
REMOTE_ADDR och X-FORWARDED-FOR (XFF)Tableau Server behöver dessa rubriker för att bestämma den ursprungliga IP-adressen för förfrågningar. Rubriken X-FORWARDED-FOR måste presentera IP-adresskedjan till Tableau Server i den ordning som anslutningarna har skett.IP-adressen du anger i gateway.trusted måste matcha IP-adressen som visas i REMOTE_ADDR. Om du har skickat in flera adresser i gateway.trusted måste en av dem matcha IP-adressen som visas i REMOTE_ADDR.
HOST och X-FORWARDED HOST (XFH)Dessa rubriker används för att generera absoluta länkar till Tableau Server när den svarar på klienten. Rubriken X-FORWARDED-HOST måste presentera värdnamn till Tableau Server i den ordning som anslutningarna har skett.De värdnamn som presenteras i rubriken X-FORWARDED-HOST måste ingå i de värdnamn som du anger i gateway.trusted_hosts.
X-FORWARDED-PROTO (XFP)Den här rubriken krävs om SSL är aktiverat för trafik från klienten till proxyn, men inte för trafik från proxyn till Tableau Server.

Rubrikerna med X-FORWARDED-PROTO är viktiga i scenarier där HTTP eller HTTPS inte upprätthålls i varje hopp i meddelanderutten. Om till exempel omvänd proxy kräver SSL för externa förfrågningar, men trafiken mellan omvänd proxy och Tableau Server inte är konfigurerad för att använda SSL krävs rubriker med X-FORWARDED-PROTO. Vissa proxylösningar lägger till rubriker med X-FORWARDED-PROTO automatiskt och andra gör det inte. Slutligen, beroende på din proxy-lösning, kan du behöva konfigurera vidarebefordran av port för att översätta begäran från port 443 till port 80.

Relaterad KB-artikel: ”Det gick inte att logga in” och ”Ogiltigt användarnamn eller lösenord” Fel med SAML efter uppgradering(Länken öppnas i ett nytt fönster).

Portkonfiguration på omvänd proxy (inkommande anslutningar från klient och utgående anslutningar till Tableau Server) måste anges i motsvarande parameter: gateway.public.port, som portklienterna använder för att ansluta till proxy.

Om proxyservern använder SSL för att kommunicera med Tableau Server måste SSL konfigureras och aktiveras på Tableau Server.

Validera konfigurationen för omvända proxyservrar och belastningsutjämnare

Om du vill validera din gateway-till-Tableau Server-konfiguration ska du publicera arbetsböcker och datakällor med Tableau Server-webbredigering eller Tableau Desktop. Om du ansluter med en webbläsare till Tableau Server från Internet ska du se till att du använder en rekommenderad webbläsare(Länken öppnas i ett nytt fönster). Publicera och visa arbetsböcker som använder befintliga datakällor samt en datakälla som du har publicerat. Använd länkarna nedan för att bekanta dig med anslutning till Tableau Server som slutanvändare.

UppgiftDokumentation
Översikt över webbredigering.Använda Tableau på webben(Länken öppnas i ett nytt fönster)
Logga in på Tableau Server från Tableau Desktop eller från en webbläsare.Logga in på Tableau Server eller Online(Länken öppnas i ett nytt fönster)
Publicera en arbetsbok till Tableau ServerPublicera en arbetsbok(Länken öppnas i ett nytt fönster)
Publicera en datakälla.Publicera en datakälla(Länken öppnas i ett nytt fönster)
Öppna arbetsbok från Tableau Server.Öppnar arbetsbok från servern(Länken öppnas i ett nytt fönster)
Logga ut från servern (med Desktop).Logga in på Tableau Server eller Online(Länken öppnas i ett nytt fönster)
Ladda ner arbetsboken från en webbläsare.Ladda ner arbetsböcker(Länken öppnas i ett nytt fönster)
Kontrollera att tabcmd (från en klient som inte är server) fungerar.tabcmd

Relaterade ämnen

Tack för din feedback!Din feedback har skickats in. Tack!