針對內部 Postgres 通訊設定 SSL

您可以將 Tableau Server 設定為對 Postgres 存放庫和其他伺服器元件之間的加密通訊使用 SSL (TLS)。預設情況下,Tableau Server 元件的內部通訊不加密。

在啟用對內部 SSL 的支援時,您也可以設定對從 Tableau 用戶端(例如 Tableau Desktop、Tableau Mobile、REST API 和 Web 瀏覽器)到存放庫的直接連線的支援。

  1. 以伺服器管理員身分在瀏覽器中開啟 TSM:

    https://<tsm-computer-name>:8850

    有關詳情,請參閱登入到 Tableau 服務管理員 Web UI

  2. [設定] 索引標籤上,選取 [安全] > [存放庫 SSL]

    TSM 存放庫 SSL 設定的螢幕截圖

  3. 選取用於存放庫 SSL 的選項之一。

    • 所有連線都需要 — 為內部 Tableau Server 通訊使用 SSL,並要求為直接連線到 postgres 存放庫的 Tableau 用戶端和任何外部(非 Tableau)用戶端(包括使用 tableaureadonly 使用者的用戶端)使用 SSL。

      重要提示:除非完成 設定 Postgres SSL 以允許從用戶端直接連線中的步驟,以將憑證檔放置在用戶端電腦上的正確位置,否則 Tableau 用戶端和外部 postgres 用戶端將無法透過比較用戶端電腦上的憑證與來自存放庫電腦中的 SSL 憑證來驗證 Tableau 存放庫的身分識別。

    • 對於使用者連線為可選 — 啟用後,Tableau 會為內部 Tableau Server 通訊使用 SSL,支援從 Tableau 用戶端和外部用戶端到伺服器的直接連線(但並不要求使用 SSL)。

    • 對於所有連線均關閉(預設值) — 內部伺服器通訊不加密,並且不需要為來自用戶端的直接連線使用 SSL。

  4. 按一下 [OK] (確定)。

    前兩個選項會組建伺服器的憑證檔案(server.crtserver.key),並將它們放在以下位置中。

    C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql<version>/security

    如果需要為直接連線設定用戶端,請使用此 .crt 檔案。

若要為伺服器元件之間的內部流量啟用 SSL,請執行以下命令:

tsm security repository-ssl enable

tsm pending-changes apply

命令的作用

repository-ssl enable 組建伺服器的憑證檔案,該檔案放在以下位置中:

C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql<version>/security

預設情況下,對於存放庫與其他伺服器元件之間的流量,以及 Tableau 用戶端的直接連線(包括透過 tableaureadonly 使用者進行的連線),此命令將 Tableau Server 設定為需要 SSL。

若要完成設定,您還必須執行設定 Postgres SSL 以允許從用戶端直接連線中所述的步驟,將憑證檔案放在用戶端電腦上的正確位置中。

如果擱置組態需要重新啟動伺服器,pending-changes apply 命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt 選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply

repository-ssl enable 的選項

如果只需要為內部 Tableau Server 通訊使用 SSL,而不需要為用戶端應用直接連線使用,請將以下選項用於 repository-ssl enable 命令:

--internal-only

叢集環境

如果在叢集中的節點上執行 repository-ssl enable,它會將所需的憑證檔案複製到每個其他節點上的相同位置。

有關下載用於直接連線的公共憑證的詳情,請參閱設定 Postgres SSL 以允許從用戶端直接連線

感謝您的意見反應!已成功提交您的意見回饋。謝謝!