Konfigurieren der lokalen Firewall
In diesem Thema wird erläutert, wie Sie die Firewall auf dem Computer konfigurieren, auf dem Tableau Server ausgeführt wird.
Auf dem Betriebssystem sollte eine lokale Firewall aktiviert werden, um Tableau Server in Bereitstellungen auf einem einzelnen oder mehreren Knoten zu schützen. In einer verteilten Installation von Tableau Server (auf mehreren Knoten) wird keine sichere Kommunikationsmethode zwischen den Knoten verwendet. Daher sollten Sie Firewalls auf den Computern, die Tableau Server hosten, aktivieren.
Es wird empfohlen, die Firewall so zu konfigurieren, dass nur zwei Ports für den externen Datenverkehr zugänglich sind: der Port gateway
und der Port tabadmincontroller
. Diese Ports lauten standardmäßig 80 bzw. 8850. Im Falle einer Ausführung in einer verteilten Bereitstellung müssen Sie zudem den Portbereich 27000 bis 27009 öffnen, damit die Lizenzierung knotenübergreifend kommunizieren kann.
Der Port gateway
wird verwendet, um eine HTTP-Verbindung zu Tableau Server herzustellen. Sie sollten SSL für den Port gateway
verwenden. Wenn Sie SSL verwenden, muss der Port 443
verwendet werden, da Tableau Server keine anderen Ports für SSL unterstützt. In den folgenden Vorgehensweisen wird beschrieben, wie die Firewall für den gateway
-Port konfiguriert wird. Konfigurieren Sie das Tableau Server-Gateway (Konfigurieren der Einstellungen für den ursprünglichen Knoten), um den hier von Ihnen festgelegten Port abzugleichen.
In den nachfolgenden Beispielen wird beschrieben, wie Sie die Firewall in Bereitstellungen von Tableau Server mit einem und mehreren Knoten konfigurieren, die in RHEL/CentOS-Distributionen ausgeführt werden. Die Beispiele verwenden die Firewall Firewalld. Dies ist die Standard-Firewall für CentOS.
Konfiguration bei einem Knoten
Öffnen Sie eine Bash-Shell, und führen Sie den folgenden TSM-Befehl zum Abrufen der Portnummer für den
tabadmincontroller
-Port aus:tsm topology list-ports
Notieren Sie sich den
tabadmincontroller
-Port. Dieser Port lautet standardmäßig8850
.Starten Sie "firewalld":
sudo systemctl start firewalld
Verifizieren Sie, dass die Standardzone eine Hochsicherheitszone ist, wie beispielsweise
public
. Ist dies nicht der Fall, wird empfohlen, diese Zone in eine Hochsicherheitszone zu ändern.sudo firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Fügen Sie für den Port
gateway
und den Porttabadmincontroller
Ports hinzu. Im folgenden Beispiel werden die Standardports (80
und8850
) verwendet.sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
Laden Sie die Firewall neu und überprüfen Sie die Einstellungen.
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
Konfiguration bei einem Cluster mit mehreren Knoten
Neben der Aktivierung von Ports erfordert die Konfiguration der Firewall in einem Cluster mit mehreren Knoten weitere Schritte, um sicherzustellen, dass die Knoten miteinander kommunizieren können.
Voraussetzungen
Sie benötigen die IP-Adresse für jeden Knoten im Cluster. In diesem Beispiel werden <node1IP>
als ein Platzhalter für die IP-Adresse des ursprünglichen Knotens sowie <node2IP>
und <node3IP>
als Platzhalter für die IP-Adressen der zwei zusätzlichen Knoten verwendet.
Schritt 1: Konfigurieren des ursprünglichen Knotens
Öffnen Sie eine Bash-Shell, und führen Sie den folgenden TSM-Befehl zum Abrufen der Portnummer für den
tabadmincontroller
-Port aus:tsm topology list-ports
Notieren Sie sich den
tabadmincontroller
-Port. Dieser Port lautet standardmäßig8850
.Führen Sie die folgenden Befehle aus, um den Portnummernbereich zu bestimmen, den der TSM möglicherweise dynamisch auswählt. Sie werden diesen Bereich später in diesem Verfahren festlegen. Notieren Sie sich den Portnummernbereich.
tsm configuration get -k ports.range.min
tsm configuration get -k ports.range.max
Ein typischer Bereich ist
8000
bis9000
.Starten Sie "firewalld":
sudo systemctl start firewalld
Verifizieren Sie, dass die Standardzone eine Hochsicherheitszone ist, wie beispielsweise
public
. Ist dies nicht der Fall, wird empfohlen, diese Zone in eine Hochsicherheitszone zu ändern.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Fügen Sie für den Port
gateway
und den Porttabadmincontroller
Ports hinzu. Im folgenden Beispiel werden die Standardports (80
und8850
) verwendet. Sie müssen auch einen Portbereich hinzufügen (27000-27010
), um die Lizenzierungskommunikation zwischen den Knoten zu ermöglichen.sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
sudo firewall-cmd --permanent --add-port=27000-27010/tcp
Konfigurieren Sie die Firewall so, dass sämtlicher Datenverkehr von den anderen Knoten im Cluster gestattet ist. Geben Sie für die Portoption den in Schritt 2 notierten Bereich an. Führen Sie den Befehl für jeden weiteren Knoten in Ihrem Cluster aus. Beispiel:
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
Laden Sie die Firewall neu und überprüfen Sie die Einstellungen.
sudo firewall-cmd --reload
firewall-cmd --list-all
Schritt 2: Konfigurieren von weiteren Knoten
Jeder Knoten im Cluster muss mit dem ersten Knoten und den anderen Knoten kommunizieren können.
Führen Sie diese Prozedur auf jedem zusätzlichen Knoten im Cluster aus. In diesem Beispiel kommuniziert der Knoten mit der IP-Adresse <node2IP>
mit dem ersten Knoten mit der IP-Adresse <node1IP>
und einem dritten Knoten mit der IP-Adresse <node3IP>
.
Starten Sie "firewalld":
sudo systemctl start firewalld
Verifizieren Sie, dass die Standardzone eine Hochsicherheitszone ist, wie beispielsweise
public
. Ist dies nicht der Fall, wird empfohlen, diese Zone in eine Hochsicherheitszone zu ändern.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Konfigurieren Sie die Firewall so, dass die anderen Knoten im Cluster auf die Ports
gateway
undtabadmincontroller
zugreifen können. Beispiel:sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
In diesem Beispiel wird der Port
tabadmincontroller
(8850
) nicht explizit in einem Befehl angegeben, da dieser im Portbereich eingeschlossen ist.Laden Sie die Firewall neu und überprüfen Sie die Einstellungen.
sudo firewall-cmd --reload
firewall-cmd --list-all