Tableau 服务管理器概述

本文概述了可用于配置和管理 Tableau Server 的 Tableau 服务管理器 (TSM)。Linux 版 Tableau Server 版本 10.5 中引入了 TSM CLI。从版本 2018.2 开始,提供了 TSM Web UI。

功能

TSM 为服务器管理员提供了基于命令行和 Web 的 Tableau Server 配置和维护选项,包括执行管理任务,比如备份服务器数据、还原备份、创建日志存档,以及管理多节点群集。例如,您使用 TSM 来执行以下任务:

  • 安装之后 Tableau Server 的初始配置
  • 不断进行的配置管理,包括编辑设置以及更改服务器拓扑
  • 运行管理任务,例如备份、还原和压缩日志

对于熟悉 Tableau Server 早期版本的管理员,TSM 替代了以前版本的 Tableau Server 中的以下工具:

  • Tableau Server 配置实用工具
  • tabadmin 命令行实用工具
  • Tableau Server Monitor

组件

TSM 由服务(在本文档中称为进程)和客户端组成。TSM 进程是管理服务,用于管理 Tableau Server 进程。即使 Tableau Server 的其他部分处于脱机状态,在 TSM 初始化之后,TSM 进程仍会持续运行。

即使在 Tableau Server 停止后也会运行的 TSM 进程包括:

  • 管理代理
  • 管理控制器
  • 客户端文件服务
  • 协调服务(基于 Apache Zookeeper™)
  • 服务管理器
  • 许可服务

有关 TSM 进程和 Tableau Server 进程的详细信息,请参见Tableau Server 进程

TSM 身份验证

不管使用 TSM Web UI、命令行接口还是 TSM API,您都需要向 Tableau Server 进行身份验证,然后才能执行管理任务。此用户帐户不同于 Tableau Server 用户帐户,包括 Tableau Server 管理员和站点管理员。

TSM 将用户的身份验证委派给底层操作系统。在 Linux 上,这意味着使用可插入身份验证模块 (PAM) 来处理身份验证。PAM 是支持 Tableau Server 的所有 Linux 分发版上的标准模块。如果组织已将 PAM 配置为使用目录服务(Active Directory、LDAP)进行身份验证,则您可以授权该目录服务中的任何用户访问 TSM。在此方案中,将授权经过身份验证、属于 tsmadmin 组的任何 PAM 用户访问 TSM。

在 2019.1 版中,TSM 身份验证过程直接使用 PAM,并在 PAM 失败或未配置为使用目录服务时回退为使用替代用户 (su) 的身份验证方案。如果 PAM 未配置为使用目录服务,则必须在 Linux 计算机上管理本地帐户。在这些情况下,TSM 将使用 su 身份验证方法:传递用户提供的凭据来运行 /bin 目录中的 true 命令。如果该命令成功,则身份验证得到确认。因此,如果用户是 tsmadmin 组的成员,则授权经过身份验证的用户访问 TSM。

自定义 PAM 服务定义

TSM 使用标准 PAM 登录服务来进行身份验证。您可通过在 /etc/pam.d 中创建 tableau PAM 服务文件来进一步自定义 TSM 身份验证行为。如果此文件存在,则会查阅此文件,而不是 PAM 登录服务。

TSM 授权组

您向 TSM 验证 Tableau Server 计算机上存在的用户的身份。TSM 用户帐户必须使用基于密码的身份验证。默认情况下,TSM 用户帐户必须是运行 Tableau Server 的计算机上的 tsmadmin 组的成员。或者,您可以为 TSM 管理指定不同的授权组。若要在安装期间指定其他默认组,请参见initialize-tsm 脚本的帮助输出。若要在安装 Tableau Server 后指定其他授权组,请参见配置自定义 TSM 管理组

连接 TSM 客户端

作为一项安全措施,您只能使用客户端(CLI、Web UI、Rest API)通过 HTTPS 连接到 TSM。这是因为 TSM 允许您执行管理任务以及从其他计算机连接到 TSM。

使用 TSM 客户端进行连接时,您必须连接到运行 TSM 管理控制器服务的 Tableau Server 实例。

作为最佳安全做法,请勿公开 TSM 端口(默认情况下为 8850)到互联网。

注意:在某些情况下,TSM CLI 工具不需要管理凭据。具体而言,如果您的登录用户身份是 TSM-authorized 组的成员,则在本地运行 tsm CLI 时无需提供凭据来运行命令有关详细信息,请参见tsm CLI 身份验证

TSM HTTPS 连接依赖于 Tableau Server 安装程序生成的自签名证书。此证书是 Tableau 安装 CA 证书,它对 Tableau 为进行 HTTP 流量加密而创建的 SSL 证书进行签署。系统到 TSM 管理控制器的系统必须信任 Tableau 安装 CA 证书。

TSM CLI 客户端通过与 TSM Web UI 所使用存储不同的存储验证证书信任。TSM CLI 客户端在本地 Java 密钥存储中引用受信任的存储来验证 CA 证书信任。由于 TSM Web UI 必须建立与 Web 浏览器的连接,因此会使用操作系统的受信任密钥存储来验证信任。CA 证书存储方式的差异确定了不同的信任配置方案,如下所述:

  • 对于 Tableau Server 上的 TSM CLI 通信,默认情况下会在安装、节点引导和升级过程中配置证书信任。会在 Java 密钥存储中将 Tableau 安装 CA 证书添加到受信任的存储。这样,您将能从群集中的任何计算机使用 CLI 访问 TSM,而无需进行其他配置。但是,在访问 TSM Web UI 时,浏览器将提示您信任运行 TSM 管理控制器服务的主机。
  • 对于来自远程计算机的 TSM CLI 连接,系统将在您首次连接到运行 TSM 管理控制器的 Tableau Server 时提示您信任 Tableau 安装 CA 证书。您可以选择信任 CA 证书,在这种情况下,将不会在该计算机上再次提示您,直至证书过期为止(默认值为 3 年)。或者,您可以通过运行包含 --trust-admin-controller-cert 标志的 TSM 命令,使用一次性信任进行连接。
  • 对于来自远程计算机的 TSM Web UI 连接,浏览器将提示您信任运行 TSM 管理控制器服务的主机。
感谢您的反馈!您的反馈已成功提交。谢谢!