使用獨立閘道配置 Tableau Server
本主題介紹如何為不同的連線方案和自訂身份驗證模組配置具有獨立閘道的 Tableau Server。
有關安裝過程,請參見使用獨立閘道安裝 Tableau Server。
有關在 AWS 中 Linux 版 Tableau Server 上執行的端到端部署範例,請參閱企業部署指南中的設定 Web 層(連結在新視窗開啟)。
直接與中繼連線
獨立閘道可以通過多個連接埠直接與後端 Tableau Server 過程通訊。我們將這種通訊稱為直接連線。
或者。可以將獨立閘道配置為通過單個連接埠將用戶端通訊中繼到 Tableau Server 上的閘道過程。我們將此稱為中繼連線。
設定連線類型的 TSM 配置金鑰 是gateway.tsig.proxy_tls_optional
。
以下部分描述了這些連線的不同之處以及如何設定它們。
直接連線
在此配置中,獨立閘道通過多個連接埠直接與 Tableau Server 上的後端過程通訊。這要求您開啟將獨立閘道與 Tableau Server 後端部署分開的防火牆之間的連接埠。
獨立閘道的當前實作不支援這些過程上的 TLS 連線。
直接連線允許獨立閘道與後端 Tableau Server 過程進行通訊,而無需通過閘道過程進行 Proxy。直接連線比替代繼連線提供更好的效能。
設定
直接連線是預設配置。因此,不需要執行命令來設定它。但是,如果需要重設為預設直接連線,請執行以下命令:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys tsm pending-changes apply
管理連接埠入口
安裝後,獨立閘道必須能夠通過多個連接埠與 Tableau Server 通訊。這些連接埠是在設定期間動態分配的,位於 TCP 8000-9000 範圍內。用於與 Tableau Server 通訊的特定連接埠和相應過程將寫入執行獨立閘道的計算機上的 CSV 檔案,位於 TSIG_DATA/config/httpd/proxy_targets.csv
。
預設安裝中:/var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv
。
採用 proxy_targets.csv
設定或自動化通過網路到 Tableau Server 的連接埠入口配置。我們建議自動化連接埠入口配置,因為如果拓撲 Tableau Server 部署發生變更,連接埠可能會變更。在 Tableau Server 部署上新增節點或重新設定流程將觸發對獨立閘道所需的連接埠存取權的變更。
中繼連線
在中繼連線配置中,獨立閘道不直接連線到後端過程。相反,獨立閘道通過 HTTP 將通訊中繼到後端 Tableau Server 部署上的閘道過程。與直接連線配置相比,此中繼過程會導致額外的躍點,因此會降低效能。
將獨立閘道設定為中繼連線的一個好處是使用 TLS 保護流量。請參閱在獨立網關上設定 TLS 。
設定
若要配置獨立閘道以中繼連線到 Tableau Server,請執行以下命令:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys tsm pending-changes apply
Housekeeping 協定
直接連線和中繼連線都需要與 Tableau Server Housekeeping (HK) 協定進行通訊。HK 過程維護後端 Tableau Server 部署和獨立閘道之間的配置狀態。在安裝期間,Tableau Server 必須能夠通過連接埠 21319 與獨立閘道進行通訊。
Housekeeping 協定通訊詳情:
- HK 請求檢查 Independent Gateway 狀態並根據需要更新設定。這些請求中沒有客戶資料。設定不包括密碼或其他密碼。
- 設定檔確實包含有關 Tableau Server 叢集拓撲的詳細資訊,以便 Independent Gateway 可以執行反向 proxy 功能。叢集拓撲設定可以被認為是敏感的,因為設定可以向攻擊者提供目標資訊。請注意,此類設定資料僅對隨後可以存取 Tableau Server 叢集的攻擊者有用。
- 設定更新檔案包括對雜湊內容的檢查。這提供了額外的安全層來驗證用於更新 Independent Gateway 的設定檔完整性。
預設情況下,HK 過程使用 TCP 21319。
從 Tableau Server 2022.1.2 開始,在 HK 連線上支援 TLS。請參閱在獨立網關上設定 TLS 。
變更 HK 連接埠
作為獨立閘道初始化的一部分,可以變更 HK 協定使用的連接埠。
如果已經安裝獨立閘道,可以更新 TSIG_HK_PORT
在 environment.bash
中的值來變更連接埠。
預設情況下,environment.bash
位於 /etc/opt/tableau/tableau_tsig
。
更新檔案後,必須重新啟動 tsig-httpd:
sudo su - tableau-tsig systemctl --user restart tsig-httpd exit
記錄檔位置
Tableau Server 上最有用的記錄條目位於 tabadminagent
記錄檔目錄。但是,如果在叢集中執行 Tableau Server,則必須查看每個執行個體以找到最新的 tabadminagent 記錄。
在獨立閘道上,以下記錄檔會寫入 TSIG_DATA/logs/
目錄。
預設情況下,其位於 /var/opt/tableau/tableau_tsig/logs
路徑:
access.log
:獨立閘道將寫入access.log
用於由 httpd.conf.stub 配置產生的記錄。帶有時間戳記的記錄檔(例如access_date.log
)由 httpd.conf 配置產生。error.log
startup.log
這些記錄檔也會逐字轉送到 Tableau Server 部署,並儲存在叢集控制器記錄檔目錄的子目錄中。因此,獨立閘道記錄檔包含在 tsm maintenance ziplogs
命令產生的 ziplog 檔案中。
疑難排解
有關疑難排解提示,請參閱企業部署指南 (EDG) 中的 Tableau Server 獨立閘道疑難排解(連結在新視窗開啟)。EDG 提供了部署 Linux 版 Tableau Server 的範例。疑難排解步驟對 Windows 或 Linux 版 Tableau Server 很有用。