配置具有独立网关的 Tableau Server

本主题介绍如何为不同的连接方案和自定义身份验证模块配置具有独立网关的 Tableau Server。

有关安装过程,请参见安装具有独立网关的 Tableau Server

有关在 AWS 中的 Tableau Server for Linux 上运行的端到端部署示例,请参见企业部署指南中的配置 Web 层(链接在新窗口中打开)

直接连接与中继连接

独立网关可以通过多个端口直接与后端 Tableau Server 进程通信。我们将这种通信称为直接连接。

或者。您可以将独立网关配置为通过单个端口将客户端通信中继到 Tableau Server 上的网关进程。我们将此称为中继连接。

设置连接类型的 TSM 配置键是 gateway.tsig.proxy_tls_optional

以下部分描述了这些连接的不同之处以及如何设置它们。

直接连接

在此配置中,独立网关通过多个端口直接与 Tableau Server 上的后端进程通信。这要求您打开将独立网关与 Tableau Server 后端部署分开的防火墙之间的端口。

独立网关的当前实现不支持这些进程上的 TLS 连接。

直接连接允许独立网关与后端 Tableau Server 进程进行通信,而无需通过网关进程进行代理。直接连接的性能比替代中继连接更好。

配置

直接连接是默认配置。因此,您不需要运行命令来设置它。但是,如果您需要重置为默认直接连接,请运行以下命令:

tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys   
tsm pending-changes apply

管理端口入口

安装后,独立网关必须能够通过多个端口与 Tableau Server 通信。这些端口是在设置期间动态分配的,位于 TCP 8000-9000 范围内。用于与 Tableau Server 通信的特定端口和相应进程将写入运行独立网关的计算机上的 CSV 文件,地址为 TSIG_DATA/config/httpd/proxy_targets.csv

在默认安装中:/var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv

使用 proxy_targets.csv 设置或自动化通过网络到 Tableau Server 的端口入口配置。我们建议自动化端口入口配置,因为如果拓扑 Tableau Server 部署发生更改,端口可能会更改。在 Tableau Server 部署上添加节点或重新配置进程将触发对独立网关所需的端口访问的更改。

中继连接

在中继连接配置中,独立网关不直接连接到后端进程。相反,独立网关通过 HTTP 将通信中继到后端 Tableau Server 部署上的网关进程。与直接连接配置相比,此中继过程会导致额外的跃点,因此会降低性能。

将独立网关配置为中继连接的一个好处是使用 TLS 保护流量。请参见在独立网关上配置 TLS

配置

若要配置独立网关以中继到 Tableau Server 的连接,请运行以下命令:

tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys
tsm pending-changes apply

整理协议

直接连接和中继连接都需要与 Tableau Server 整理 (HK) 协议进行通信。HK 进程维护后端 Tableau Server 部署和独立网关之间的配置状态。在安装期间,Tableau Server 必须能够通过端口 21319 与独立网关进行通信。

整理协议通信细节:

  • HK 请求检查独立网关状态并根据需要更新配置。这些请求中没有客户数据。配置不包括密码或其他密文。
  • 配置文件确实包含有关 Tableau Server 群集拓扑的详细信息,以便独立网关可以执行反向代理功能。群集拓扑配置可以被认为是敏感的,因为配置可以向攻击者提供目标信息。请注意,此类配置数据仅对随后可以访问 Tableau Server 群集的攻击者有用。
  • 配置更新文件包括对哈希内容的检查。这提供了额外的安全层来验证用于更新独立网关的配置文件的完整性。

默认情况下,HK 进程使用 TCP 21319。

从 Tableau Server 2022.1.2 开始,HK 连接上支持 TLS。请参见在独立网关上配置 TLS

更改 HK 端口

作为独立网关初始化的一部分,您可以更改 HK 协议使用的端口。请参见initialize-tsig 脚本的帮助输出

如果您已经安装了独立网关,您可以通过更新 environment.bash 中的 TSIG_HK_PORT 值来更改端口。

默认情况下,environment.bash 位于 /etc/opt/tableau/tableau_tsig

更新文件后,您必须重新启动 tsig-httpd:

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

日志文件位置

Tableau Server 上最有用的日志条目位于 tabadminagent 日志文件目录中。但是,如果您在群集中运行 Tableau Server,则必须查看每个实例以找到最新的 tabadminagent 日志。

在独立网关上,以下日志文件被写入 TSIG_DATA/logs/ 目录。

默认情况下,此路径位于 /var/opt/tableau/tableau_tsig/logs

  • access.log:独立网关将写入 access.log,用于由 httpd.conf.stub 配置生成的日志记录。带时间戳的日志文件(例如 access_date.log)由 httpd.conf 配置生成。
  • error.log
  • startup.log

这些日志还会逐字转发到Tableau Server 部署,并存储在群集控制器日志目录的子目录中。因此,独立网关日志包含在 tsm maintenance ziplogs命令生成的 ziplog 文件中。

疑难解答

有关故障排除提示,请参见企业部署指南 (EDG)中的 Tableau Server 独立网关故障排除(链接在新窗口中打开)。EDG 提供了在 Linux 上部署 Tableau Server 的示例。故障排除步骤对于 Windows 或 Linux 版本的 Tableau Server 非常有用。

感谢您的反馈!您的反馈已成功提交。谢谢!