Konfigurera proxyservrar och belastningsutjämnare för Tableau Server


I de flesta företag måste Tableau Server kommunicera med Internet. Tableau Server har utformats för att fungera i ett skyddat internt nätverk. Konfigurera inte Tableau Server direkt på Internet eller i en DMZ. I stället bör kommunikationen mellan nätverket och Internet ske via proxyservrar. Proxyservrar för vidarebefordran förmedlar trafik inifrån nätverket till mål på Internet. Omvända proxyservrar och belastningsutjämnare förmedlar trafik från internet till mål inne i nätverket.

Vem ska läsa denna artikel?

Den här artikeln riktar sig till IT-proffs som har erfarenhet av allmän nätverkshantering, belastningsutjämning och gatewayproxylösningar. I artikeln beskriver vi hur och när Tableau kräver åtkomst till internet samt hur du konfigurerar ditt nätverk och Tableau till att använda proxyservrar och belastningsutjämnare för åtkomst till och från internet. Det finns många tredjepartslösningar tillgängliga, så en del av innehållet i artikeln är av allmän karaktär.

Innan du konfigurerar en proxyserver, se Kommunicera med Internet.

Konfigurera en proxyserver för vidarebefordran

För att möjliggöra kommunikation från Tableau Server till Internet driftsätter du Tableau Server bakom en proxyserver för vidarebefordran. När Tableau Server behöver resurs till Internet skickar den inte begäran direkt till Internet. Den skickar istället begäran till proxyn för vidarebefordran, som i sin tur vidarebefordrar begäran. Proxy för vidarebefordran hjälper administratörer att hantera trafiken till Internet för uppgifter som belastningsutjämning, blockering av åtkomst till webbplatser, etc.

Om du använder en proxy för vidarebefordran måste du konfigurera de datorer som kör Tableau Server inne i nätverket för att skicka trafik till proxyn för vidarebefordran. Tableau Server stöder inte direkt eller manuell proxyautentisering.

Om du kör OpenID-autentisering med en lösning för proxy för vidarebefordran krävs ytterligare konfigurationer. Se Konfigurera OpenID att fungera med proxy för vidarebefordran.

Konfigurera Tableau Server på Windows för att fungera med en proxy för vidarebefordran

Stegen för att konfigurera Internetalternativ på Tableau Server-datorn beror på vilket av följande scenarier som beskriver ditt företag:

  • Din organisation använder inte en proxy för vidarebefordran. Om din organisation inte kör en proxylösning och datorn där du installerar Tableau Server kan kommunicera med Internet, behöver du inte följa dessa rutiner.

  • En proxylösning distribueras och automatiska konfigurationsfiler definierar anslutningsinställningar. Om din organisation använder automatiska konfigurationsfiler (t.ex. PAC- eller .ins-filer) kan du använda denna information i dialogrutan Inställningar för lokalt nätverk (LAN) i Windows för att ange information om Internetanslutning. Mer information finns i Aktivera automatisk upptäckt och konfiguration av webbläsarinställningar på Microsoft-webbplatsen för support.

  • En proxylösning distribueras men automatiska konfigurationsfiler distribueras inte. För detta scenario måste du konfigurera LAN-inställningar på den Windows-dator som kör Tableau Server så att anslutningarna till din proxyserver körs enligt säkerhetskontexten för Kör som tjänst-kontot. Du måste också konfigurera localhost och andra interna Tableau Server-instanser som undantag.

Följande procedur beskriver stegen för det sista scenariot – en proxylösning utan automatiska konfigurationsfiler där Tableau Server körs på Windows Server.

Obs! Om du använder en distribuerad installation av Tableau Server gör följande procedurer på den initiala servernoden och på varje ytterligare nod.

Steg 1: Lägg till Kör som tjänst-kontot till den lokala administratörsgruppen

För att utföra denna procedur måste du logga in på Tableau Server-datorn med som Kör som tjänst-kontot. Som standard tillämpas inte policyn ”logga in lokalt” på Kör som tjänst-kontot. Därför måste du tillfälligt lägga till Kör som tjänst-kontot i gruppen Lokala administratörer.

Om du inte har installerat Tableau Server på datorn ännu, se Ändra Kör som tjänst-konto. Om du redan har installerat Tableau Server och konfigurerat Kör som tjänst-kontot kan du bestämma namnet på Kör som tjänst-kontot för att logga in på webbgränssnittet för TSM. Tjänstekontot för Tableau Server Run As anges på fliken Säkerhet i fönstret Konfiguration. Se Logga in på webbgränssnittet för Tableau Services Manager.

Lägg till Kör som tjänst-kontot i gruppen Lokala administratörer genom att använda stegen i Lägg till en medlem i en lokal grupp på Microsoft-webbplatsen. När du har konfigurerat informationen om proxyn för vidarebefordran tar du bort Kör som tjänst-kontot från gruppen Lokala administratörer.

Steg 2: Konfigurera proxyservern i Windows LAN-inställningar

  1. Logga in på datorn där Tableau Server är installerat eller kommer att installeras med hjälp av Kör som tjänst-kontot.

  2. Öppna dialogrutan Inställningar för lokalt nätverk (LAN). (Ett snabbt sätt att öppna den här dialogrutan är att söka efter Internet Options på Start-menyn i Windows. I dialogrutan Egenskaper för internet klickar du på fliken Anslutningar och sedan på LAN-inställningar.)

  3. Under Proxyserverväljer du Använd en proxyserver för din LAN, anger proxyserverns adress och port och väljer sedan Använd inte någon proxyserver för lokala adresser.

Låt den här dialogrutan vara öppen och fortsätt till nästa steg.

Steg 3: Lägg till undantag för att kringgå proxyservern

Du lägger till undantag till denna proxykonfiguration för att garantera att all kommunikation inom ett lokalt Tableau Server-kluster (om du har en nu eller kommer att ha en senare) inte dirigeras till proxyn.

  1. Klicka på Avancerad i dialogrutan för LAN-inställningar. (Den här knappen finns endast tillgänglig om du har valt alternativet att använda en proxyserver för ditt LAN.)

  2. I fältet Undantag i dialogrutan Proxyinställningar, anger du följande:

    • localhost
    • Servervärdnamn och IP-adresser för andra Tableau Server-datorer i samma kluster.

    Använd semikolon för att separera objekt.

  3. Stäng dialogrutan för proxyinställningar och dialogrutan för LAN-inställningar.

  4. I dialogrutan Internetegenskaper klickar du på OK för att tillämpa inställningarna.

Fortsätt vara inloggad på datorn och fortsätt till nästa steg.

Steg 4: Kontrollera att proxyinställningarna inte är i konflikt med miljövariabler för Windows

Vissa organisationer konfigurerar inställningar för proxy för vidarebefordran som miljövariabler i Windows operativsystem. Om dessa inställningar konfigureras på datorn som kör Tableau Server måste du kontrollera att de inte är i konflikt med de konfigurationer du har slutfört här.

Den här verifieringen är viktig om Tableau Server är aktiverad för ATR-licensiering. ATR-licensiering är aktiverad som standard på Tableau Server version 2021.4 och senare.

  1. På datorn som kör Tableau Server anger du ”avancerade systeminställningar” i sökrutan och klickar sedan på Retur för att öppna rutan Systemegenskaper.

  2. Välj Miljövariabler på fliken Avancerat.

  3. Bläddra igenom fältet Systemvariabler.

    Om http_proxy eller https_proxy har angetts kontrollerar du att värdena inte står i konflikt med den proxyserveradress du konfigurerade i det tidigare steget.

    • Om de befintliga inställningarna inte är i konflikt går du till ”Steg 5: Testa proxykonfigurationen”.

    • Om de befintliga inställningarna är i konflikt skapar du en ny variabel med namnet no_proxy och anger:

      • värdnamnet,
      • IP-adresser

      Till exempel localhost,192.168.0.10. Mer information finns i Microsoft MSDN-artikeln Ange miljövariabler.

  4. Klicka på OK.

Steg 5: Kontrollera att WinHTTP-proxyinställningarna inte är i konflikt med Windows LAN-inställningarna

Om Server ATR är aktiverat (det är aktiverat som standard i Tableau Server 2021.4 eller senare) ska du kontrollera att WinHTTP-proxyn är konfigurerad och inte är i konflikt med Windows LAN-inställningarna.

  1. Logga in på datorn där Tableau Server är installerat eller kommer att installeras med hjälp av Kör som tjänst-kontot.

  2. Öppna kommandotolken och använd följande kommando för att bekräfta den aktuella konfigurationen:

    netsh winhttp show proxy

  3. Konfigurera proxyn för WinHTTP med någon av följande metoder:

    • Använd följande kommando om du importerar konfigurationen från Windows LAN-inställningarna:

      netsh winhttp import proxy source=ie

    • Använd följande kommando för att konfigurera WinHTTP-proxyn separat:

      netsh winhttp set proxy <proxy server> <proxy bypass list>

    Mer information finns under Konfigurera proxyservern manuellt med kommandot netsh(Länken öppnas i ett nytt fönster) på Microsofts webbplats.

  4. Bekräfta att proxyinställningarna inte är i konflikt med andra Windows-proxykonfigurationer.

Steg 6: Testa proxykonfigurationen

För att testa de nya konfigurationerna, medan du fortfarande är inloggad med Kör som tjänst-kontot på Tableau Server-datorn, öppna en webbläsare och testa följande Tableau-URL:er:

https://mapsconfig.tableau.com/v1/config.json(Länken öppnas i ett nytt fönster) och https://api.mapbox.com/(Länken öppnas i ett nytt fönster) uppmanar dig att ladda ner en json-fil.

Steg 7: Ta bort Kör som tjänst-kontot från den lokala administratörsgruppen

När du har testat proxyinställningarna tar du bort Kör som tjänst-kontot från gruppen Lokala administratörer. Om du lämnar Kör som tjänst-kontot i administratörsgruppen höjs behörigheterna för Kör som tjänst-kontot och det utgör en säkerhetsrisk.

Starta om Tableau Server för att se till att alla ändringar har implementerats.

Serverkraschrapporteraren

Om organisationen använder en proxyserver för att ansluta till Internet måste du konfigurera kraschrapporteraren för Tableau Server till att använda proxyservern. Även om du redan har konfigurerat Tableau Server att använda en proxy måste du konfigurera Serverkraschrapporteraren separat. För att konfigurera proxy för serverkraschrapporterare, se Konfigurera serverkraschrapporteraren.

Hur en omvänd proxyserver och en belastningsutjämnare fungerar med Tableau Server

Omvända proxyservrar och belastningsutjämnare är servrar som tar emot begäranden från externa klienter (internet) och vidarebefordrar dem till Tableau Server. De här lösningarna gör att Tableau Server är tillgänglig på internet utan att den individuella IP-adressen för aktuell Tableau Server behöver exponeras till internet. De kan även fungera som autentiserings- och genomflödesenheter, vilket gör att inga data lagras på ställen där någon utanför företaget kan komma åt dem. Detta krav kan vara viktigt för organisationer som omfattas av olika sekretessregler som PCI, HIPAA eller SOX.

I följande diagram illustreras kommunikationsvägen när en klient gör en begäran till Tableau Server som är konfigurerad att fungera med en omvänd proxyserver och/eller belastningsutjämnare (LB).

  1. En extern klient initierar en anslutning till Tableau Server. Klienten använder den offentliga URL:en som har konfigurerats för den omvända proxyservern/LB, till exempel https://tableau.example.com. (Klienten vet inte att den använder en omvänd proxyserver/LB.)

  2. Omvända proxykartor som i sin tur gör en begäran till Tableau Server. I vissa scenarier kan den omvända proxyservern konfigureras för att autentisera klienten (med SSL/TLS) som en förutsättning för att skicka begäran till Tableau Server.

  3. Tableau Server får begäran och skickar sitt svar till den omvända proxyservern/LB.

  4. Den omvända proxyservern/LB skickar tillbaka innehållet till klienten. Från klientens synpunkt hade den precis en interaktion med Tableau Server, och kan inte veta att kommunikationen förmedlades via en eller flera mellanliggande servrar.

TLS/SSL

Beroende på ditt gatewayscenario bör du överväga att konfigurera dina omvända proxy- och belastningsutjämningsservrar så att de använder TLS/SSL för all trafik som är extern till nätverket. Detta säkerställer integritet, innehållsintegritet och autentisering. Om du inte har installerat några andra säkerhetsåtgärder för att skydda trafiken mellan din Internet-gateway och Tableau Server rekommenderar vi även att du konfigurerar SSL mellan gateway-proxy och Tableau Server. För att kryptera trafiken mellan Tableau Server och andra interna datorer kan du använda interna eller självsignerade certifikat.

Mobil åtkomst

Tableau Server lägger till ett X-huvud till alla HTTP-svar för Tableau Mobile-sessioner. Som standard kommer de flesta proxylösningar att bevara X-huvud. Om din gatewaylösning inte bevarar X-huvuden måste du konfigurera din proxyserver och belastningsutjämnare till att bevara följande huvud till alla HTTP-svar för mobila klientsessioner: X-Tableau: Tableau Server.

Om du har konfigurerat autentisering på gatewayen måste din proxyserver/LB svara på Tableau Mobile HTTP-begäranden med ett HTTP 302-svar. 302 måste innehålla en omdirigering till identitetsproviderns inloggningssida. Om du vill se diagram som beskriver autentiseringssekvensen 302, se Autentiseringssekvens för Tableau Mobile(Länken öppnas i ett nytt fönster) i Tableau Community.

Omvänd proxyserver, belastningsutjämnare och användarautentisering

Tableau Server kommer alltid att autentisera användare. Detta innebär att även om du autentiserar inkommande anslutningar vid organisationens gateway kommer Tableau Server fortfarande att autentisera användaren.

Alla klienter kommer däremot inte att ha stöd för användarautentisering med en gatewaylösning:

  • För webbläsare som stöds kan du använda SAML, OpenID Connect, Kerberos, betrodda biljetter eller manuell autentisering med en omvänd proxyserver/LB.

  • Tableau Mobile har stöd för SAML eller manuell autentisering med en omvänd proxyserver/LB. iOS-versionen av Tableau Mobile stöder dessutom Kerberos med en omvänd proxyserver/LB. Samma rekommendation som ovan gäller.

  • Tableau Prep stöder inte autentisering med en omvänd proxyserver eller belastningsutjämnare. För fjärråtkomst använder du en VPN-lösning eller konfigurerar dina gatewaytjänster till att dirigera trafiken från Tableau Prep direkt till Tableau Server för autentisering.

  • Tableau Desktop stöder autentisering med en omvänd proxy förutsatt att en autentiseringsmodul gör en förautentisering på den omvända proxyn innan trafiken dirigeras till Tableau Server för slutgiltig autentisering. Mer information finns i Del 5 - Konfigurera webbnivå(Länken öppnas i ett nytt fönster) i Driftsättningsguiden för Tableau Server Enterprise och Konfigurera autentiseringsmodulen med oberoende gateway.

Om organisationen använder Active Directory för autentisering:

  • Active Directory med aktiverad automatisk inloggning (SSPI) stöds inte med en omvänd proxy.
  • Tableau Server måste konfigureras för omvänd proxy innan du konfigurerar Tableau Server för Kerberos. Mer information finns i Konfigurera Kerberos.

Konfigurera Tableau Server till att fungera med en omvänd proxyserver och/eller en belastningsutjämnare

Innan du konfigurerar Tableau Server måste du samla in följande information om proxyserverns konfiguration. Du kan konfigurera Tableau Server med hjälp av kommandot tsm configuration set. Informationen du måste samla in motsvarar de alternativ du behöver när du kör tsm.

De flesta av följande tsm-alternativ används även för att konfigurera driftsättningar av Tableau Server som fungerar bakom en belastningsutjämnare. Mer information finns i Lägga till en belastningsutjämnare.

ArtikelBeskrivningMotsvarande för tsm configuration set
IP-adress eller CNAME

För detta alternativ kan du antingen ange en IP-adress eller ett CNAME.

Proxy- och belastningsutjämningsservrarnas offentliga IP-adress eller adresser. IP-adressen måste vara i IPv4-format, till exempel 203.0.113.0, och den måste vara en statisk IP.

Om du inte kan tillhandahålla en statisk IP-adress, eller om du använder molnproxyer eller externa belastningsutjämnare, kan du ange DNS-värdet för CNAME (Canonical Name) som klienterna kommer att använda för att ansluta till Tableau Server. Detta CNAME-värde måste konfigureras på din omvända proxylösning för att kommunicera med Tableau Server.

gateway.trusted
FQDNDet fullständiga domännamnet som människor använder för att nå Tableau Server, till exempel tableau.example.com. Tableau Server stöder inte kontextbyten för detta alternativ. Följande webbadress stöds till exempel inte: example.com/tableau.gateway.public.host
Icke-FQDNEventuella underdomännamn för proxy- eller LB-servrarna. I exemplet tableau.example.com är subdomännamnet tableau.gateway.trusted_hosts
AliasEventuella offentliga alternativa namn för proxy- eller LB-servrarna. I de flesta fall betecknas alias med CNAME-värden. Ett exempel är en proxyserver bigbox.example.com och CNAME-poster för ftp.example.com och www.example.com.gateway.trusted_hosts
PortarPortnummer för trafik från klienten till omvänd proxyserver.

gateway.public.port

Om du använder en distribuerad installation av Tableau Server kör du följande kommandon för tsm på den initiala noden i ditt kluster.

  1. Ange följande kommando för att ställa in FQDN som klienterna ska använda för att nå Tableau Server via proxy- och/eller LB-servrarna, där name är FQDN:

    tsm configuration set -k gateway.public.host -v "name"

    Om du till exempel når Tableau Server genom att ange https://tableau.example.com i webbläsaren anger du följande kommando:

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Ange följande kommando för att ställa in proxy- och/eller LB-servrarnas adress eller CNAME, där server_address är IPv4-adressen eller CNAME-värdet:

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Om organisationen använder flera proxy- och/eller LB-servrar anger du flera IPv4-adresser och separerar dem med kommatecken. IP-intervall stöds inte. Minimera antalet poster för gateway.trusted i syfte att förbättra start och initiering av Tableau Server.

  3. Ange följande kommando för att ange alternativa namn för proxy-/LB-servrarna, till exempel deras fullständiga domännamn, eventuella ej fullständiga domännamn och eventuella alias. Om det finns mer än ett namn separerar du namnen med ett kommatecken.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Till exempel:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Om proxyservern använder SSL för att kommunicera med Internet kör du följande kommando som talar om för Tableau att den omvända proxyservern använder port 443 istället för port 80:

    tsm configuration set -k gateway.public.port -v 443

    Obs! Om proxyservern använder SSL för att kommunicera med Tableau Server måste SSL konfigureras och aktiveras på Tableau Server.

  5. Ange följande kommando för att göra ändringarna:

    tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Konfigurera den omvända proxy- eller belastningsutjämningsservern till att fungera med Tableau Server

När en klient använder Tableau Server via en omvänd proxyserver eller belastningsutjämnare måste specifika meddelanderubriker bevaras (eller läggas till). Alla servrar i meddelandekedjan måste representeras i inställningarna gateway.trusted_hosts och gateway.trusted.

Följande grafik visar exempelrubriker för en meddelandekedja med ett hopp där proxyservern kommunicerar direkt med Tableau Server:

Följande grafik visar exempelrubriker för en meddelandekedja med flera hopp där meddelandet går igenom två proxyservrar innan det ansluts till Tableau Server:

Följande tabell beskriver vad dessa rubriker är och hur de relaterar till konfigurationsinställningarna på Tableau Server:

RubrikerBeskrivningRelaterade inställningar för Tableau Server
REMOTE_ADDR och X-FORWARDED-FOR (XFF)Tableau Server behöver dessa rubriker för att bestämma den ursprungliga IP-adressen för förfrågningar. Rubriken X-FORWARDED-FOR måste presentera IP-adresskedjan till Tableau Server i den ordning som anslutningarna har skett.IP-adressen du anger i gateway.trusted måste matcha IP-adressen som visas i REMOTE_ADDR. Om du har skickat in flera adresser i gateway.trusted måste en av dem matcha IP-adressen som visas i REMOTE_ADDR.
HOST och X-FORWARDED HOST (XFH)Dessa rubriker används för att generera absoluta länkar till Tableau Server när den svarar på klienten. Rubriken X-FORWARDED-HOST måste presentera värdnamn till Tableau Server i den ordning som anslutningarna har skett.De värdnamn som presenteras i rubriken X-FORWARDED-HOST måste ingå i de värdnamn som du anger i gateway.trusted_hosts.
X-FORWARDED-PROTO (XFP)Den här rubriken krävs om SSL är aktiverat för trafik från klienten till proxyn, men inte för trafik från proxyn till Tableau Server.

Rubrikerna med X-FORWARDED-PROTO är viktiga i scenarier där HTTP eller HTTPS inte upprätthålls i varje hopp i meddelanderutten. Om till exempel omvänd proxy kräver SSL för externa förfrågningar, men trafiken mellan omvänd proxy och Tableau Server inte är konfigurerad för att använda SSL krävs rubriker med X-FORWARDED-PROTO. Vissa proxylösningar lägger till rubriker med X-FORWARDED-PROTO automatiskt och andra gör det inte. Slutligen, beroende på din proxy-lösning, kan du behöva konfigurera vidarebefordran av port för att översätta begäran från port 443 till port 80.

Relaterad KB-artikel: ”Det gick inte att logga in” och ”Ogiltigt användarnamn eller lösenord” Fel med SAML efter uppgradering(Länken öppnas i ett nytt fönster).

Portkonfiguration på omvänd proxy (inkommande anslutningar från klient och utgående anslutningar till Tableau Server) måste anges i motsvarande parameter: gateway.public.port, som portklienterna använder för att ansluta till proxy.

Om proxyservern använder SSL för att kommunicera med Tableau Server måste SSL konfigureras och aktiveras på Tableau Server.

Validera konfigurationen för omvända proxyservrar och belastningsutjämnare

Om du vill validera din gateway-till-Tableau Server-konfiguration ska du publicera arbetsböcker och datakällor med Tableau Server-webbredigering eller Tableau Desktop. Om du ansluter med en webbläsare till Tableau Server från Internet ska du se till att du använder en rekommenderad webbläsare(Länken öppnas i ett nytt fönster). Publicera och visa arbetsböcker som använder befintliga datakällor samt en datakälla som du har publicerat. Använd länkarna nedan för att bekanta dig med anslutning till Tableau Server som slutanvändare.

UppgiftDokumentation
Översikt över webbredigering.Använda Tableau på webben(Länken öppnas i ett nytt fönster)
Logga in på Tableau Server från Tableau Desktop eller från en webbläsare.Logga in på Tableau Server eller Online(Länken öppnas i ett nytt fönster)
Publicera en arbetsbok till Tableau ServerPublicera en arbetsbok(Länken öppnas i ett nytt fönster)
Publicera en datakälla.Publicera en datakälla(Länken öppnas i ett nytt fönster)
Öppna arbetsbok från Tableau Server.Öppnar arbetsbok från servern(Länken öppnas i ett nytt fönster)
Logga ut från servern (med Desktop).Logga in på Tableau Server eller Online(Länken öppnas i ett nytt fönster)
Ladda ner arbetsboken från en webbläsare.Ladda ner arbetsböcker(Länken öppnas i ett nytt fönster)
Kontrollera att tabcmd (från en klient som inte är server) fungerar.tabcmd

Relaterade ämnen

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!