Tableau 服務管理員概觀
本文概觀了可用於設定和管理 Tableau Server 的 Tableau 服務管理員 (TSM)。
功能
TSM 為伺服器管理員提供了基於命令列和 Web 的 Tableau Server 設定和維護選項,包括執行管理工作,比如備份伺服器資料、還原備份、建立記錄封存,以及管理多節點叢集。例如,您使用 TSM 來執行以下工作:
- 安裝之後 Tableau Server 的初始設定
- 不斷進行的設定管理,包括編輯設定以及變更伺服器拓撲
- 執行管理工作,例如備份、還原和壓縮記錄
對於熟悉 Tableau Server 早期版本的管理員,TSM 替代了以前版本的 Tableau Server 中的以下工具:
- Tableau Server 設定公用程式
- tabadmin 命令列公用程式
- Tableau Server Monitor
元件
TSM 由服務(在本文件中稱為處理序)和用戶端組成。TSM 處理序是管理服務,用於管理 Tableau Server 處理序。即使 Tableau Server 的其他部分處於離線狀態,在 TSM 初始化之後,TSM 處理序仍會持續執行。
即使在 Tableau Server 停止後也會執行的 TSM 處理序包括:
- 管理 Proxy
- 管理控制器
- 用戶端檔案服務
- 協調服務(基於 Apache Zookeeper™)
- 服務管理員
- 授權服務
有關 TSM 處理序和 Tableau Server 處理序詳情,請參閱Tableau Server 處理序。
TSM 驗證
不管使用 TSM Web UI、命令列介面還是 TSM API,您都需要向 Tableau Server 進行驗證,然後才能執行管理工作。此使用者帳戶不同於 Tableau Server 使用者帳戶,包括 Tableau Server 管理員和網站管理員。
TSM 會將使用者驗證委派到基礎作業系統。在 Linux 上,這意味著驗證使用插入式驗證模組 (PAM) 進行處理。PAM 是支援 Tableau Server 的所有 Linux 發行版上的標配。如果您的組織已將 PAM 設定為透過目錄服務(Active Directory、LDAP)驗證,則您可以從該目錄服務授權任何使用者以存取 TSM。在此情況下,任何屬於 tsmadmin
群組成員的已驗證 PAM 使用者都有權存取 TSM。
在 2019.1 版本中,TSM 驗證處序會直接使用 PAM,如果 PAM 失敗或未設定目錄服務,則使用 替代使用者 (su
) 回退為驗證方案。如果 PAM 未設定目錄服務,則必須在 Linux 電腦上管理本機帳戶。在這些情況下,TSM 會使用 su
驗證方法:傳遞使用者提供的認證以在 /bin 目錄中執行 true
命令。如果該命令成功,則將通過驗證。因此,如果使用者是 tsmadmin
群組成員,則會向已驗證使用者授予 TSM 的存取權限。
自訂 PAM 服務定義
TSM 使用標準PAM 登入服務來驗證。您可以在 /etc/pam.d
中建立 tableau
PAM 服務檔案以進一步自訂 TSM 驗證行為。如果此檔案存在,則會使用此檔案而不是 PAM 登入服務。
TSM 授權群組
可向 TSM 驗證 Tableau Server 電腦上存在的使用者身分。TSM 使用者帳戶必須使用基於密碼的驗證。預設情況下,TSM 使用者帳戶必須是執行 Tableau Server 的電腦上 tsmadmin
群組的成員。或者,可以為 TSM 管理指定其他授權群組。若要在安裝過程中指定其他預設群組,請參閱 initialize-tsm 指令碼的說明輸出。若要在安裝 Tableau Server 之後指定其他授權群組,請參閱設定自訂 TSM 管理群組。
連接 TSM 用戶端
作為一項安全措施,您只能透過 HTTPS 上的用戶端(CLI、Web UI、Rest API)連線至 TSM。這是因為 TSM 允許您執行管理工作以及從其他電腦連線到 TSM。
當您透過 TSM 用戶端連線時,您必須連線至執行 TSM 管理控制器服務的 Tableau Server 執行個體。
作為安全最佳實踐,請勿在網際網路中公開 TSM 連接埠(預設情況下, 8850
)。
附註:TSM CLI 工具不需要某些案例中的管理認證。尤其是,如果您登入的帳戶是 TSM-authorized 群組的成員,就不需要在本機執行 tsm CLI 時提供認證以執行命令。如需詳細資訊,請參閱藉由 tsm CLI 進行驗證。
TSM HTTPS 連線依賴於 Tableau Server 安裝程式產生的自我簽署憑證。此憑證是 Tableau 安裝 CA 憑證,簽署 SSL 憑證,Tableau 建立用來加密 HTTP 上流量。Tableau 安裝 CA 憑證必須受連線至 TSM 管理控制器的系統信任。
TSM CLI 用戶端會從與 TSM Web UI 使用的存放區不同的存放區驗證憑證信任。TSM CLI 用戶端指的是本機 Java Keystore 中用於驗證 CA 憑證信任的受信任存放區。由於 TSM Web UI 必須建立與 Web 瀏覽器的連線,因此信任透過作業系統受信任的 Keystore 進行驗證。CA 憑證存儲方式的差異決定不同的信任設定情節,如下所述:
- 對於 Tableau Server 上的 TSM CLI 通訊,在預設情況下,憑證信任設定為安裝、節點啟動程式和升級程序的一部份。Tableau 安裝 CA 憑證會新增至 Java Keystore 中的受信任存放區。這樣可讓您使用 CLI 在叢集中的任何電腦上存取 TSM,而不需額外設定。但是,存取 TSM Web UI 時,瀏覽器會提示您信任執行 TSM 管理控制器服務的主機。
- 對於遠端電腦的 TSM CLI 連線,當您第一次連線到執行 TSM 管理控制器的 Tableau Server時,系統會提示您信任 Tableau 安裝 CA 憑證。您可以選擇信任 CA 憑證,在此情況下,除非憑證過期(預設值為 3 年),否則該電腦將不會再次提示您。或者您可以透過用
--trust-admin-controller-cert
旗標執行 TSM 命令藉由一次性信任進行連線。 - 對於來自遠端電腦的 TSM Web UI 連線,瀏覽器會提示您信任執行 TSM 管理控制器服務的主機。