Tableau Cloud-Hilfe

Data Connect funktioniert nach dem Modell der geteilten Verantwortung. Bei diesem Modell stellen Sie die physischen oder virtuellen Rechenressourcen bereit und Tableau hostet und verwaltet den Data Connect Kubernetes-Cluster auf diesen Ressourcen. Tableau reduziert den Verwaltungsaufwand durch die Remoteverwaltung, -überwachung und -wartung des Kubernetes-Clusters. Durch die Möglichkeit, Abhilfemaßnahmen durchzuführen, um eine kontinuierliche Verfügbarkeit zu gewährleisten, macht Tableau die Überwachung des Datenverkehrs und des Verbindungsstatus überflüssig. Außerdem, um Latenzen zu reduzieren und Netzwerküberlastungen zu verringern, können Sie mit Data Connect das Rechenzentrum, Edge-Standorte und -Umgebungen bestimmen, die Ihren Leistungsanforderungen am besten entsprechen. In diesem Modell ist Tableau für den sicheren Betrieb des Data Connect-Dienstes und Sie für die Verwaltung der Infrastruktur und Netzwerkebenen verantwortlich.

Data Connect wendet die folgenden Sicherheitsdesigns an:

• Der Data Connect-Dienst ist ein Steuerungsbereichsdienst und hat keinen Zugriff auf Ihre Daten. Der Data Connect-Dienst baut auf Tableau Bridge auf.

• Um eine sichere Datenübertragung zu ermöglichen, verwendet Data Connect Tableau Bridge, das sichere WebSockets nutzt, um dauerhafte Verbindungen mit Tableau Cloud herzustellen.

• Der Data Connect-Dienst interagiert nicht mit Datenbankanmeldeinformationen oder Datenbankzugriffen. Datenbankanmeldeinformationen werden sicher in Tableau Cloud gespeichert und an den Tableau Bridge-Client weitergegeben, der zum Durchführen der Aktualisierung ausgewählt wird.

• Die gesamte Kommunikation wird hinter Ihrer Firewall initiiert und erfordert daher keine zusätzlichen expliziten Firewall-Regeln für eingehenden Datenverkehr zur Verwaltung von Ausnahmen.

Der Bridge-Client ist – neben anderen Vorgängen – für den Zugriff auf Ihre Daten und den Aufbau sicherer WebSocket-Verbindungen mit Tableau Cloud verantwortlich. Siehe dazu Windows-Sicherheit von Bridge.

1. Tableau Cloud kommuniziert mit dem Kubernetes-Orchestrierungsdienst, um die Kubernetes-Orchestrierung bereitzustellen, zu überwachen und zu verwalten.

2. Wenn Sie Data Connect initialisieren, wird eine sichere Verbindung mit dem Orchestrierungsanbieterdienst über Port 443 hergestellt.

3. Nachdem der Dienst konfiguriert ist, stellt ein Kubernetes-Cluster einen oder mehrere Container mit Bridge-Clients bereit. Diese Bridge-Clients sind für die Ausführung von Tableau-Workloads verantwortlich.

4. Tableau Cloud-Benutzer melden sich bei Tableau Cloud an, um mit dem Data Connect-Dienst zu interagieren.

5. Beim Einrichten initialisieren Bridge-Clients eine Verbindung mit Tableau Cloud über HTTPS. Nach erfolgreichem Verbindungsaufbau initiieren Bridge Clients über eine WebSocket-Verbindung (wss://) eine sichere, bidirektionale Kommunikation mit Ihrer Tableau Cloud-Umgebung.

6. Von Tableau Cloud initiierte Abfragen werden in Ihrer Datenbank ausgeführt und ermöglichen so eine Analyse durch die Endbenutzer.

Die Data Connect-Lösung besteht aus drei Ebenen. Die Anwendung die in Ihrer Infrastruktur installiert ist, die Orchestrierungsebene, die zum Bereitstellen und Verwalten von Anwendungen verwendet wird, und die unterstützende Netzwerk- und Hardware-Infrastruktur.

• Anwendungsebene: Informationen über Datenbankauthentifizierung, Senden von Daten an Tableau Cloud und Netzwerküberlegungen finden Sie unter Windows-Sicherheit von Bridge.

• Orchestrierungsebene: Informationen dazu finden Sie weiter unten im Abschnitt Container-Orchestrierung.

• Infrastrukturebene: Im Data Connect-Modell der geteilten Verantwortung sind Sie für die Sicherheit der Infrastruktur selbst verantwortlich. Sicherheitsdetails darüber, wie die Data Connect-Orchestrierungsschicht mit Ihrer Infrastruktur interagiert, werden in den Abschnitten weiter unten behandelt.

Während der Konfiguration von Data Connect sind Sie für die Konfiguration und Initialisierung des Dienstes innerhalb Ihres Netzwerks verantwortlich. Dieser Prozess stellt die richtige Ebene von Zugriff bereit und gibt an, welche Datenzugriffsknoten mit Ihre Tableau Cloud-Site integriert werden sollen. Ausführliche Informationen zur Dienstkonfiguration für Data Connect finden Sie in Schritt 1: Einrichten Ihres Clusters.

Bei der Initialisierung der Data Connect-Lösung geschieht Folgendes:

• Die Integrität des Data Connect-Knotens wird validiert.

• Eine sichere Verbindung mit dem Orchestrierungsanbieterdienst wird über Port 443 hergestellt.

• Die Kubernetes-Betriebssoftware wird heruntergeladen und auf dem Computer installiert. Diese Software ermöglicht es Tableau, Data Connect remote bereitzustellen und zu verwalten.

• Data Connect-Knoteninformationen werden über die sichere Verbindung abgefragt, um die Funktionsfähigkeit des Dienstes aufrechtzuerhalten.

Ihre Daten werden niemals über die Orchestrierungsverbindung übertragen.

Die gesamte Kommunikation aus Ihrer Infrastruktur zu Tableau Cloud wird hinter Ihrer Firewall initiiert. Sie müssen keine zusätzlichen Ausnahmen verwalten.

Weitere Informationen über die Data Connect-Kommunikation und Ihre Infrastrukturkonfigurationen finden Sie unter Netzwerkspezifikationen.

Die Authentifizierung und Autorisierung der von Data Connect bereitgestellten Tableau Bridge-Clients für Tableau Cloud erfolgt mit PATs (Persönliche Zugriffstoken). Bevor Sie Data Connect bereitstellen, müssen Sie PATs in der Tableau Cloud-Verwaltungskonsole erstellen. Anschließend konfigurieren Sie den Data Connect-Dienst für die Verwendung dieser Token zur Authentifizierung von Ihrem Bridge-Client bei Tableau Cloud. Das Token ermöglicht den Bridge-Clients, mit Tableau Cloud zu kommunizieren und die Daten auf dem aktuellen Stand zu halten. Wenn ein PAT aus irgendeinem Grund abläuft, werden zugehörige Cluster nicht mehr in der Lage sein, eine Verbindung mit Tableau Cloud herzustellen. Weitere Informationen über das Erstellen, Überwachen und Widerrufen von PATs finden Sie unter Persönliche Zugangstoken.

Weitere Einzelheiten zur Authentifizierung finden Sie in Windows-Sicherheit von Bridge.

Im Kontext von Datenbankauthentifizierung ist es wichtig zu verstehen, dass Data Connect nur Bridge-Aktualisierungszeitpläne unterstützt, aber keine Bridge (Legacy)-Zeitpläne.

Die Orchestrierungsebene ist ausschließlich eine Steuerungsebene und hat keinen Zugriff auf die Datenschicht – daher interagiert sie auch nicht mit Kundendaten. Der einzige Aspekt von Data Connect, der mit der Datenebene interagiert, ist die Anwendung, die auf Ihrer Infrastruktur installiert wird. Diese Anwendung ist der Bridge-Client.

Zusätzlich zu Software, die für Kubernetes-Vorgänge (KOPS) erforderlich ist, wird Tableau Bridge für Linux für Container bereitgestellt. Sie müssen Datenbanktreiber bereitstellen, wenn Sie das Basisimage erstellen.

Sämtliche Software, die von Data Connect bereitgestellt wird, stellen Sie über das Basisimage bereit. Um die bereitgestellte Software zu ändern, stellen Sie ein neues Basis-Image bereit. Das Image wird dann auf allen Data Connect-Knoten in diesem Pool bereitgestellt.

Data Connect erfordert Zugriff auf Administratorebene auf Ihre Infrastruktur. Dieser Zugriff erlaubt es Tableau, den Dienst zu aktualisieren und zu warten.