ความช่วยเหลือ Tableau Server บน Linux

ยังคงรองรับการปรับใช้บนคลาวด์สาธารณะแต่เนื้อหาสำหรับการปรับใช้บนคลาวด์สาธารณะของบุคคลที่สามจะไม่อัปเดตอีกต่อไป

หากต้องการเนื้อหาการปรับใช้ Tableau Server ล่าสุด โปรดดูส่วนคู่มือการปรับใช้ระดับองค์กร(ลิงก์จะเปิดในหน้าต่างใหม่)และปรับใช้(ลิงก์จะเปิดในหน้าต่างใหม่)ของความช่วยเหลือของ Tableau Server

สำหรับลูกค้าที่มีสิทธิ์เข้าถึง เราขอแนะนำ Tableau Cloud หากต้องการข้อมูลเพิ่มเติม โปรดดู:

• คู่มือการย้ายข้อมูลด้วยตนเองของ Tableau Cloud
• การทดลองใช้ Tableau Cloud สำหรับผู้ดูแลระบบ(ลิงก์จะเปิดในหน้าต่างใหม่)
• Tableau Cloud: การเริ่มใช้งานสำหรับผู้ดูแลระบบ(ลิงก์จะเปิดในหน้าต่างใหม่)

ไม่ว่าคุณจะดำเนินการปรับใช้ Tableau Server ในองค์กรหรือในระบบคลาวด์ เป็นสิ่งสำคัญที่จะต้องดำเนินตามขั้นตอนเพื่อให้การปรับใช้ของคุณมีความปลอดภัย หากต้องการข้อมูลเกี่ยวกับการทำให้ Tableau Server มีความปลอดภัยมากขึ้น โปรดดูที่ความปลอดภัย

นอกจากฟีเจอร์ด้านความปลอดภัยที่มีอยู่ใน Tableau Server แล้ว AWS ยังมีฟีเจอร์อื่นๆ ที่คุณสามารถใช้เพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อม Tableau Server ของคุณได้ เช่น

• Amazon VPC เพิ่มการรักษาความปลอดภัยเครือข่ายอีกชั้นหนึ่งให้กับสภาพแวดล้อมของคุณด้วยการสร้างซับเน็ตส่วนตัว

• กลุ่มความปลอดภัยจะกำหนดว่าการรับส่งข้อมูลขาเข้าและขาออกใดที่สามารถเชื่อมต่อกับเครือข่ายของคุณได้ จำกัดการรับส่งข้อมูลขาเข้าไปยังที่อยู่ IP ของคุณในบล็อกการกำหนดเส้นทางระหว่างโดเมนแบบไม่มีคลาส (CIDR) ไม่ควรใช้ 0000\0 ซึ่งไม่ปลอดภัยเนื่องจากอนุญาตให้การรับส่งข้อมูลทั้งหมดเข้าถึงเซิร์ฟเวอร์ของคุณได้

• AWS Identity and Access Management (IAM) ช่วยให้สามารถควบคุมการเข้าถึงฟีเจอร์ภายใน AWS ของผู้ใช้ได้

• AWS Direct Connect ช่วยให้สามารถเชื่อมต่อเครือข่ายเฉพาะจากเครือข่ายองค์กรไปยัง AWS ได้โดยใช้ 802.1Q VLAN ที่เป็นมาตรฐานอุตสาหกรรมผ่านคู่ค้า AWS Direct Connect หากต้องการข้อมูลเพิ่มเติม โปรดดูที่Requesting Cross Connects at AWS Direct Connect Locations (ขอใช้การเชื่อมต่อแบบ Cross Connect ที่ตำแหน่ง Direct Connect ของ AWS) ใน AWS Direct Connect User Guide (คู่มือการเชื่อมต่อแบบ Direct Connect ของ AWS) ที่เว็บไซต์ AWS

• Amazon EBS Encryption มอบวิธีที่ง่ายและมีประสิทธิภาพในการเข้ารหัสข้อมูลที่อยู่ภายในไดรฟ์ข้อมูลดิสก์และข้อมูลในการถ่ายโอนระหว่างอินสแตนซ์ EC2 และพื้นที่จัดเก็บ EBS

คุณสามารถใช้การรักษาความปลอดภัยของแอปพลิเคชันระดับองค์กรใน AWS และ Tableau Server เพื่อเปิดใช้งานรายงานหรือแดชบอร์ดเดียวเพื่อตอบสนองความต้องการของฐานผู้ใช้ขนาดใหญ่และหลากหลายได้อย่างปลอดภัย รวมถึงผู้ใช้ทั้งภายในและภายนอก ความปลอดภัยของแอปพลิเคชันระดับองค์กรมีองค์ประกอบหลัก 3 ประการ ดังนี้

• เครือข่าย

• การเข้าถึงไคลเอ็นต์

• ข้อมูล

ความปลอดภัยของเครือข่ายสำหรับ Tableau Server ใน AWS จะใช้กลุ่มความปลอดภัย Amazon VPC ที่มี SSL สำหรับการรักษาความปลอดภัยสำหรับการสื่อสารภายในและภายนอก หากต้องการข้อมูลเพิ่มเติม โปรดดูที่กลุ่มความปลอดภัยสำหรับ VPC ของคุณในคู่มือผู้ใช้ Amazon Virtual Private Cloud ที่เว็บไซต์ AWS

Amazon VPC เป็นเครือข่ายที่แยกออกมาภายในคลาวด์ ทั้งนี้การรับส่งข้อมูลเครือข่ายภายใน Amazon VPC แต่ละรายการก็แยกจาก Amazon VPC อื่นๆ ทั้งหมดเช่นกัน เมื่อใช้ Amazon VPC คุณจะสามารถสร้างซับเน็ตของคุณได้เองและแบ่งชั้นแอปพลิเคชันออกเป็นซับเน็ตของเครือข่ายเพื่อระดับการควบคุมที่ดียิ่งขึ้น เราขอแนะนำให้คุณติดตั้งและเรียกใช้ Tableau Server ในซับเน็ตแยกต่างหากภายใน Amazon VPC ของคุณ เพื่อให้สามารถกำหนดค่าเครือข่ายสำหรับการเข้าถึง Tableau Server และชุดข้อมูลอื่นๆ ได้ ภาพต่อไปนี้แสดงถึงการติดตั้งทั่วไปของเซิร์ฟเวอร์ Tableau แบบโหนดเดียวใน Amazon VPC

กลุ่มความปลอดภัยช่วยให้คุณสามารถกำหนดประเภทของการรับส่งข้อมูลเครือข่ายที่สามารถเข้าถึง Tableau Server ได้ กลุ่มความปลอดภัยของ Amazon EC2 ทำหน้าที่เป็นไฟร์วอลล์ที่ควบคุมการรับส่งข้อมูลเครือข่ายเข้าและออกจากอินสแตนซ์ Amazon EC2 คุณสามารถระบุและกำหนดกลุ่มความปลอดภัยที่เหมาะสมสำหรับอินสแตนซ์ Amazon EC2 ของคุณได้ ตามค่าเริ่มต้นแล้ว อินสแตนซ์ Amazon EC2 จะเปิดใช้งานพร้อมกับกลุ่มความปลอดภัยที่ไม่อนุญาตให้มีการรับส่งข้อมูลขาเข้า ก่อนที่จะเข้าถึงอินสแตนซ์ EC2 ของคุณได้ คุณต้องทำการเปลี่ยนแปลงเพื่ออนุญาตให้มีการรับส่งข้อมูลขาเข้าที่เหมาะสมก่อน

ข้อกำหนดขั้นต่ำสำหรับการเชื่อมต่อกับ Tableau Server บนอินสแตนซ์ EC2 มีดังนี้

• การเชื่อมต่อผ่าน RDP (พอร์ต 3389) โดยใช้ไคลเอ็นต์ Remote Desktop เพื่อเข้าถึงและจัดการอินสแตนซ์และบริการ

• ปริมาณการใช้เว็บมาตรฐานผ่าน HTTP (พอร์ต 80) และ HTTPS (พอร์ต 443) เพื่อดูเนื้อหาที่โฮสต์และเผยแพร่ไปยัง Tableau Server

• จะต้องอนุญาตการสื่อสารระหว่าง Tableau Server ในอินสแตนซ์ที่ต่างกัน (หากมี)

คุณควรเปิดใช้งานพอร์ตมาตรฐานเพียง 3 พอร์ตสำหรับการรับส่งข้อมูลขาเข้าไปยังอินสแตนซ์ EC2 ของคุณตามข้อกำหนดเหล่านี้ คือ HTTP 80, HTTPS 443 และ RDP 3389 นอกจากนี้ คุณควรจำกัดการเข้าถึงระยะไกล (พอร์ต 3389) จากโฮสต์บางรายการและจำกัดการรับส่งข้อมูล HTTP และ HTTPS ให้กับโฮสต์ภายในเครือข่ายองค์กรของคุณหรือชุดไคลเอ็นต์ที่เชื่อถือได้

โดยค่าเริ่มต้นแล้ว Tableau Server ให้ใช้คำขอและการตอบกลับ HTTP แบบมาตรฐาน Tableau Server สามารถกำหนดค่าให้ใช้ HTTPS (SSL) ด้วยใบรับรองความปลอดภัยที่ลูกค้าจัดหามาเอง เมื่อกำหนดค่าให้ Tableau Server ใช้ SSL เนื้อหาและการสื่อสารทั้งหมดระหว่างไคลเอ็นต์จะถูกเข้ารหัสไว้และใช้โปรโตคอล HTTPS เมื่อคุณกำหนดค่า Tableau Server สำหรับ SSL เบราว์เซอร์และไลบรารี SSL ในเซิร์ฟเวอร์จะปรับระดับการเข้ารหัสทั่วไป Tableau Server ใช้ OpenSSL เป็นไลบรารี SSL ฝั่งเซิร์ฟเวอร์ และมีการกำหนดค่าไว้ล่วงหน้าเพื่อใช้มาตรฐานที่ยอมรับได้ในปัจจุบัน ในแต่ละเว็บเบราว์เซอร์ที่เข้าถึง Tableau Server ผ่าน SSL จะใช้การปรับใช้ SSL มาตรฐานที่เบราว์เซอร์นั้นมีให้ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ Tableau Server ใช้ SSL โปรดดูที่SSL Tableau Server จะรับฟังการเข้าชมสำหรับ SSL เท่านั้นในพอร์ต 443 คุณไม่สามารถกำหนดค่าพอร์ตที่กำหนดเองสำหรับ SSL/TLS

หากคุณใช้ Elastic Load Balancing (ELB) ELB ยังสามารถดำเนินการยุติ SSL ในนามของคุณได้ด้วย การอนุญาตให้ ELB จัดการการเข้ารหัส/ถอดรหัสปริมาณการใช้เว็บไซต์เป็นวิธีที่ง่ายในการรักษาความปลอดภัยให้การเชื่อมต่อของไคลเอ็นต์กับ Tableau Server โดยไม่ต้องกำหนดค่า SSL ด้วยตนเองบน Tableau Server หากต้องการข้อมูลเพิ่มเติม โปรดดูที่การจัดสรรภาระงานแบบยืดหยุ่นของ AWS: รองรับการยุติ SSL ที่เว็บไซต์ AWS

ไม่บังคับ บริการไดเรกทอรีของ AWS เป็นบริการที่มีการจัดการเต็มรูปแบบที่ให้คุณเชื่อมต่อทรัพยากร AWS ของคุณกับไดเรกทอรีภายในองค์กรที่มีอยู่ เช่น Microsoft Active Directory (ที่มี AD Connector) หรือตั้งค่าไดเรกทอรีแบบสแตนด์อโลนใหม่ใน AWS Cloud (ที่มี AD แบบง่าย) การเชื่อมต่อกับไดเรกทอรีภายในองค์กรสามารถทำได้ง่าย และหลังจากสร้างการเชื่อมต่อนี้แล้ว ผู้ใช้ทั้งหมดจะสามารถเข้าถึงทรัพยากรและแอปพลิเคชันของ AWS ด้วยข้อมูลเข้าสู่ระบบที่มีอยู่ขององค์กรได้

เมื่อใช้บริการไดเรกทอรีของ AWS คุณสามารถเลือกใช้การตรวจสอบสิทธิตาม Active Directory แทนการตรวจสอบสิทธิในเครื่อง โดยที่ผู้ใช้จะสร้างและกำหนดรหัสผ่านโดยใช้ระบบจัดการผู้ใช้ในตัวของ Tableau Server หากต้องการตั้งค่าการตรวจสอบสิทธิตาม Active Directory ในขั้นตอนการกำหนดค่าหลังจากติดตั้ง Tableau Server คุณต้องเลือก Active Directory ทั้งนี้ไม่สามารถสลับระหว่าง Active Directory กับการตรวจสอบสิทธิภายในเครื่องได้ในภายหลัง

Tableau Server ใช้ไดรเวอร์ดั้งเดิม (ใช้อแด็ปเตอร์ ODBC ทั่วไปเมื่อไม่มีไดรเวอร์ดั้งเดิม) เพื่อเชื่อมต่อกับฐานข้อมูลเมื่อทำได้สำหรับการประมวลผลชุดผลลัพธ์ การรีเฟรชการแยกข้อมูล และสำหรับการสื่อสารอื่นๆ ทั้งหมดกับฐานข้อมูล คุณสามารถกำหนดค่าไดรเวอร์ให้สื่อสารบนพอร์ตที่ไม่ได้มาตรฐานหรือใช้การเข้ารหัสการส่งผ่านได้ อย่างไรก็ตาม การกำหนดค่าประเภทนี้จะโปร่งใสสำหรับ Tableau Server แต่เนื่องจากโดยทั่วไปแล้ว การสื่อสารระหว่างเซิร์ฟเวอร์กับฐานข้อมูลของ Tableau มักจะอยู่หลังไฟร์วอลล์ คุณอาจเลือกที่จะไม่เข้ารหัสการสื่อสารนี้ก็ได้

คุณสามารถเปิดใช้ทรัพยากร AWS เช่น Amazon Relational Database Service (Amazon RDS), Amazon Elastic MapReduce (Amazon EMR) Hadoop Hive หรือ Amazon Redshift ใน Amazon VPC ได้ การจัดตำแหน่งให้ Tableau Server อยู่ใน Amazon VPC เดียวกันกับที่จัดเก็บข้อมูลของคุณช่วยให้คุณมั่นใจได้ว่าการรับส่งข้อมูลของคุณจะไม่ออกจาก Amazon VPC

คุณสามารถใช้ซับเน็ตกับกลุ่มความปลอดภัยเพื่อเปิดใช้ทรัพยากรของคุณในชั้นต่างๆ ได้ แต่ต้องอนุญาตให้ซับเน็ตสื่อสารได้อย่างปลอดภัยภายใน Amazon VPC ดังที่แสดงไว้ในแผนภาพต่อไปนี้

คุณสามารถเลือกเชื่อมต่อ Amazon VPC ของคุณกับศูนย์ข้อมูลองค์กรของคุณเองได้โดยใช้การเชื่อมต่อ VPN ของฮาร์ดแวร์ IPsec ซึ่งจะทำให้ AWS Cloud เป็นส่วนขยายสำหรับศูนย์ข้อมูลของคุณ การเชื่อมต่อ VPN จะประกอบด้วยเกตเวย์ส่วนตัวเสมือนที่เชื่อมต่อกับ Amazon VPC และเกตเวย์ลูกค้าที่อยู่ในศูนย์ข้อมูลของคุณ คุณอาจเลือกใช้ AWS Direct Connect ซึ่งเป็นบริการเครือข่ายที่เป็นทางเลือกแทนการใช้อินเทอร์เน็ตเพื่อใช้บริการระบบคลาวด์ของ AWS AWS Direct Connect ให้คุณสร้างการเชื่อมต่อเครือข่ายเฉพาะโดยใช้ 802.1Q VLAN ที่เป็นมาตรฐานอุตสาหกรรมผ่านคู่ค้า AWS Direct Connect หากต้องการข้อมูลเพิ่มเติม โปรดดูที่Requesting Cross Connects at AWS Direct Connect Locations (ขอใช้การเชื่อมต่อแบบ Cross Connect ที่ตำแหน่ง Direct Connect ของ AWS) ใน AWS Direct Connect User Guide (คู่มือการเชื่อมต่อแบบ Direct Connect ของ AWS) ที่เว็บไซต์ AWS

คุณสามารถใช้การเชื่อมต่อเดียวกันเพื่อเข้าถึงทรัพยากรสาธารณะ (เช่น ออบเจ็กต์ที่จัดเก็บไว้ใน Amazon Simple Storage Service (Amazon S3) ที่ใช้พื้นที่ที่อยู่ IP สาธารณะ) และทรัพยากรส่วนตัว (เช่น อินสแตนซ์ Amazon EC2 ที่ทำงานภายใน Amazon VPC ที่ใช้พื้นที่ IP ส่วนตัว) และยังคงแยกเครือข่ายระหว่างสภาพแวดล้อมแบบสาธารณะและแบบส่วนตัวได้พร้อมกัน

การเข้ารหัส Amazon EBS เป็นวิธีที่โปร่งใสและไม่ยุ่งยากในการเข้ารหัสไดรฟ์ข้อมูลซึ่งอาจมีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) การเข้ารหัส EBS จะเข้ารหัสทั้งข้อมูลที่พักอยู่ภายในไดรฟ์ข้อมูลและข้อมูลที่อยู่ระหว่างการส่งผ่านระหว่างไดรฟ์ข้อมูลกับอินสแตนซ์โดยใช้ AES-256 เนื่องจากฟีเจอร์นี้มีผลกระทบต่อประสิทธิภาพของ Tableau Server เพียงเล็กน้อยหรือไม่มีเลย เราจึงขอแนะนำให้คุณใช้ประโยชน์จากบริการนี้ ไม่ว่าระบบของคุณจะจัดเก็บ PII หรือไม่ก็ตาม