Aide de Tableau Cloud

Data Connect fonctionne comme un modèle de responsabilité partagée. Avec ce modèle, vous fournissez les ressources de calcul physiques ou virtuelles, et Tableau héberge et gère le cluster Data Connect Kubernetes sur ces ressources. Tableau contribue à réduire les frais d’administration en assurant la gestion, la surveillance et l’entretien à distance du cluster Kubernetes. Tableau a la capacité d’effectuer des actions correctives pour garantir une disponibilité continue, éliminant ainsi le besoin de surveiller le trafic et l’état de la connexion. De plus, pour réduire la latence et la congestion du réseau, Data Connect vous permet de déterminer le centre de données ainsi que les emplacements périphériques et environnements qui répondent le mieux à vos exigences de performances. Dans ce modèle, Tableau est responsable de l’exploitation sécurisée du service Data Connect et vous êtes responsable de la gestion des couches d’infrastructure et de réseau.

Data Connect met en œuvre les principes de sécurité suivants :

• Le service Data Connect est un service de plan de contrôle et n’a pas accès à vos données. Le composant sous-jacent du service Data Connect est Tableau Bridge.

• Pour faciliter le transfert sécurisé des données, Data Connect utilise Tableau Bridge qui exploite des sockets Web sécurisés pour établir des connexions persistantes avec Tableau Cloud.

• Le service Data Connect n’interagit pas avec les informations d’identification pour la base de données ni avec les accès à la base de données. Les informations d’identification pour la base de données sont stockées en toute sécurité sur Tableau Cloud et sont transmises au client Tableau Bridge sélectionné pour effectuer l’actualisation.

• Toutes les communications sont initiées derrière votre pare-feu et ne nécessitent donc aucune règle de pare-feu entrante explicite supplémentaire pour gérer les exceptions.

Entre autres opérations, le client Bridge est responsable de l’accès à vos données et de l’établissement de connexions de socket Web sécurisées avec Tableau Cloud. Voir Sécurité Bridge sous Windows.

1. Tableau Cloud communique avec le service d’orchestration Kubernetes pour déployer, surveiller et gérer l’orchestration Kubernetes.

2. Lorsque vous initialisez Data Connect, une connexion sécurisée est établie avec le service du fournisseur d’orchestration via le port 443.

3. Une fois le service configuré, un cluster Kubernetes déploie un ou plusieurs conteneurs avec un ou plusieurs clients Bridge. Ces clients Bridge seront responsables de l’exécution des charges de travail Tableau.

4. Les utilisateurs de Tableau Cloud se connectent à Tableau Cloud pour interagir avec le service Data Connect.

5. Lors de la configuration, les clients Bridge initialisent une connexion avec Tableau Cloud en utilisant HTTPS. Une fois la connexion établie, les clients Bridge initient une communication bidirectionnelle sécurisée avec votre environnement Tableau Cloud à l’aide d’une connexion WebSocket (wss://).

6. Les requêtes initiées depuis Tableau Cloud sont exécutées sur votre base de données de manière à prendre en charge l’analyse de l’utilisateur final.

La solution Data Connect comporte trois niveaux. L’application, qui est installée dans votre infrastructure, la couche orchestration utilisée pour déployer et gérer les applications, et enfin l’infrastructure réseau et matériel.

• Couche d’application : authentification de la base de données, envoi de données à Tableau Cloud et considérations relatives au réseau, voir Sécurité Bridge sous Windows.

• Couche d’orchestration : voir la section Orchestration des conteneurs ci-dessous.

• Couche d’infrastructure : dans le modèle de responsabilité partagée Data Connect, la sécurité de l’infrastructure elle-même relève de votre responsabilité. Les détails de sécurité sur la manière dont la couche d’orchestration Data Connect interagit avec votre infrastructure sont traités dans les sections ci-dessous.

Lors de la configuration de Data Connect, vous serez responsable de la configuration et du lancement du service depuis votre réseau. Ce processus fournit le niveau d’accès correct et spécifie les nœuds d’accès aux données à intégrer à votre site Tableau Cloud. Pour plus de détails sur la configuration du service Data Connect, consultez Étape 1 : Configurer votre cluster.

Lors de l’initialisation de la solution Data Connect, les événements suivants se produisent :

• L’intégrité du nœud Data Connect est validée.

• Une connexion sécurisée est établie avec le service du fournisseur d’orchestration via le port 443.

• Le logiciel d’opérations Kubernetes est téléchargé et installé sur l’ordinateur. Ce logiciel permet à Tableau de déployer et de gérer Data Connect à distance.

• Les informations du nœud Data Connect sont interrogées via la connexion sécurisée afin de maintenir l’intégrité du service.

Vos données ne sont jamais transférées via la connexion d’orchestration.

Toutes les communications de votre infrastructure vers Tableau Cloud sont initiées derrière votre pare-feu. Vous n’avez pas besoin de gérer d’exceptions supplémentaires.

Pour plus d’informations sur la communication Data Connect et vos configurations d’infrastructure, consultez Spécifications réseau.

L’authentification et l’autorisation des clients Tableau Bridge déployés par Data Connect sur Tableau Cloud sont réalisées au moyen de jetons d’accès personnels (PAT). Avant de déployer Data Connect, vous devez créer des PAT dans la console d’administration Tableau Cloud. Vous configurerez ensuite le service Data Connect de manière à utiliser ces jetons pour authentifier votre client Bridge auprès de Tableau Cloud. Le jeton permet aux clients Bridge de communiquer avec Tableau Cloud et de garder les données à jour. Si un jeton PAT expire pour une raison quelconque, les clusters associés ne pourront plus se connecter à Tableau Cloud. Pour en savoir plus sur la création, la surveillance et la révocation des jetons PAT, consultez Jetons d’accès personnels.

Vous pouvez trouver plus de détails sur l’authentification dans la section Sécurité Bridge sous Windows.

Dans le contexte de l’authentification de la base de données, il est important de comprendre que Data Connect prend uniquement en charge les programmations d’actualisation Bridge, et non pas les anciennes programmations Bridge.

La couche d’orchestration est une couche de contrôle exclusivement. Elle n’a pas accès à la couche de données et n’interagit donc pas avec les données client. Le seul aspect de Data Connect qui interagit avec la couche de données est l’application installée sur votre infrastructure. Cette application est le client Bridge.

En plus du logiciel requis pour les opérations Kubernetes (kops), Tableau Bridge pour Linux pour conteneurs est déployé. Vous devez activer les pilotes de base de données lorsque vous créez l’image de base.

Vous fournissez tous les logiciels déployés par Data Connect via l’image de base. Pour modifier le logiciel déployé, vous fournissez une nouvelle image de base. L’image sera ensuite déployée sur tous les nœuds Data Connect de ce pool.

Data Connect nécessite un accès de niveau administratif à votre infrastructure. Cet accès permet à Tableau de mettre à jour et de maintenir le service.