Tableau Cloud ヘルプ

Data Connect は責任共有モデルでとして機能します。このモデルでは、ユーザーが物理または仮想コンピューティング リソースを提供し、Tableau がそれらのリソース上で Data Connect Kubernetes クラスターをホストおよび管理します。Tableau は、Kubernetes クラスターをリモートで管理、監視、メンテナンスすることで、管理のオーバーヘッドを削減します。Tableau では、継続的な可用性を実現するための修復アクションを実行できるため、トラフィックと接続ステータスを監視する必要がなくなります。さらに、Data Connect を使用すれば、遅延を減らして、ネットワークの混雑を軽減するために、パフォーマンス要件に最適なデータ センター、エッジの場所、環境を決定することができます。このモデルでは、Tableau が Data Connect サービスを安全に運用する責任を負い、ユーザーはインフラストラクチャとネットワーク レイヤーを管理する責任を負います。

Data Connect は以下のセキュリティ設計を適用しています。

• Data Connect サービスはコントロール プレーン サービスであり、データにはアクセスできません。Data Connect サービスの基盤となるコンポーネントは Tableau Bridge です。

• データ転送を安全かつ円滑に行うために、Data Connect は Tableau Bridge を使用します。Tableau Bridge は、安全な Web ソケットを活用して Tableau Cloud との永続的な接続を確立します。

• Data Connect サービスでは、データベースの認証資格情報やデータベース アクセスなどの通信はありません。データベースの認証資格情報は Tableau Cloud に安全に保存され、更新を実行するために選択された Tableau Bridge クライアントに渡されます。

• すべての通信はファイアウォールの内部で開始されるため、例外を管理するための明示的な受信ファイアウォール ルールを追加する必要はありません。

とくに、Bridge クライアントは、データにアクセスし、Tableau Cloud との安全な Web ソケット接続を確立する役割を担っています。「Bridge ウィンドウのセキュリティ」を参照してください。

1. Tableau Cloud は Kubernetes オーケストレーション サービスと通信して、Kubernetes オーケストレーションを展開、監視、管理します。

2. Data Connect を開始すると、ポート 443 を介してオーケストレーション プロバイダー サービスとの安全な接続が確立されます。

3. サービスが構成されると、Kubernetes クラスターは Bridge クライアントを使用して コンテナを展開します。これらの Bridge クライアントは、Tableau ワークロードの実行を担当します。

4. Tableau Cloud ユーザーは Tableau Cloud にサインインして、Data Connect サービスとやり取りします。

5. Bridge クライアントはセットアップ時に、HTTPS を使用して、Tableau Cloud との接続を開始します。接続が成功すると、Bridge クライアントは、WebSocket (wss://) 接続を使用して、Tableau Cloud 環境との安全な双方向通信を開始します。

6. Tableau Cloud から開始されたクエリは、エンド ユーザーの分析をサポートするために、データベースに対して実行されます。

Data Connect ソリューションには 3 つのレイヤーがあります。インフラストラクチャにインストールされるアプリケーション、アプリケーションの展開と管理に使用されるオーケストレーション レイヤー、および支援ネットワークとハードウェアのインフラストラクチャ。

• アプリケーション レイヤー: データベース認証、Tableau Cloud へのデータ送信、ネットワークの考慮事項については、「Bridge ウィンドウのセキュリティ」を参照してください。

• オーケストレーション レイヤー: 以下の「コンテナ オーケストレーション」のセクションを参照してください。

• インフラストラクチャ レイヤー: Data Connect の共有責任モデルでは、インフラストラクチャ自体のセキュリティはお客様の責任となります。Data Connect オーケストレーション レイヤーとインフラストラクチャとの通信に関するセキュリティの詳細は、以下のセクションで説明します。

Data Connect の設定中は、ネットワーク内からサービスを設定して、開始する責任はお客様にあります。このプロセスにより、適切なアクセス レベルが提供され、Tableau Cloud サイトと統合するデータ アクセス ノードが指定されます。Data Connect のサービス設定の詳細については、ステップ 1: クラスターを設定するを参照してください。

Data Connect ソリューションの初期化時に、次の処理が行われます。

• Data Connect ノードの正常性が検証されます。

• ポート 443 を介してオーケストレーション プロバイダー サービスとの安全な接続が確立されます。

• Kubernetes 運用ソフトウェアがダウンロードされ、コンピューターにインストールされます。このソフトウェアにより、Tableau が Data Connect をリモートで展開および管理できるようになります。

• サービスの正常性を維持するため、Data Connect ノードの情報は安全な接続を介してクエリされます。

データがオーケストレーション接続を介して転送されることはありません。

インフラストラクチャから Tableau Cloud へのすべての通信は、ファイアウォールの内部で開始されます。例外を追加して管理する必要はありません。

Data Connect の通信とインフラストラクチャの構成の詳細については、「ネットワーク仕様」を参照してください。

Data Connect が Tableau Cloud に展開した Tableau Bridge クライアントの認証と認可は、個人用アクセストークン (PAT) を使用して行われます。Data Connect を展開する前に、Tableau Cloud 管理コンソールで PAT を作成する必要があります。次に、Bridge クライアントから Tableau Cloud への認証に、これらのトークンを使用するように Data Connect サービスを設定します。トークンにより、Bridge クライアントは Tableau Cloud と通信し、データを最新の状態に保つことができます。何らかの理由で PAT の有効期限が切れると、関連付けられているクラスターは Tableau Cloud に接続できなくなります。PAT の作成、監視、失効の詳細については、個人用アクセス トークンを参照してください。

認証の詳細については、「Bridge ウィンドウのセキュリティ」を参照してください。

データベース認証のコンテキストでは、Data Connect は Bridge 更新スケジュールのみをサポートし、Bridge レガシー スケジュールはサポートしないことを理解することが重要です。

オーケストレーション レイヤーは制御レイヤーとしてのみ機能し、データ レイヤーにはアクセスできないため、顧客データとの対話はありません。Data Connect でデータ レイヤーと対話するのは、インフラにインストールされたアプリケーションだけです。このアプリケーションは Bridge クライアントです。

Kubernetes 運用に必要なソフトウェア (kops) に加えて、コンテナで使用する Tableau Bridge for Linux が導入されています。ベース イメージを作成するときに、データベース ドライバーをプロビジョニングする必要があります。

Data Connect によって展開されるすべてのソフトウェアをベース イメージを通じて提供します。展開されたソフトウェアを変更するには、新しいベース イメージを提供します。その後、そのイメージはそのプール内のすべての Data Connect ノードに展開されます。

Data Connect には、インフラストラクチャへの管理者レベルのアクセスが必要です。このアクセスにより、Tableau はサービスを更新および保守できるようになります。