Konfigurieren der lokalen Firewall

In diesem Thema wird erläutert, wie Sie die Firewall auf dem Computer konfigurieren, auf dem Tableau Server ausgeführt wird.

Auf dem Betriebssystem sollte eine lokale Firewall aktiviert werden, um Tableau Server in Bereitstellungen auf einem einzelnen oder mehreren Knoten zu schützen. In einer verteilten Installation von Tableau Server (auf mehreren Knoten) wird keine sichere Kommunikationsmethode zwischen den Knoten verwendet. Daher sollten Sie Firewalls auf den Computern, die Tableau Server hosten, aktivieren.

Es wird empfohlen, die Firewall so zu konfigurieren, dass nur zwei Ports für den externen Datenverkehr zugänglich sind: der Port gateway und der Port tabadmincontroller. Diese Ports lauten standardmäßig 80 bzw. 8850. Im Falle einer Ausführung in einer verteilten Bereitstellung müssen Sie zudem den Portbereich 27000 bis 27009 öffnen, damit die Lizenzierung knotenübergreifend kommunizieren kann.

Der Port gateway wird verwendet, um eine HTTP-Verbindung zu Tableau Server herzustellen. Sie sollten SSL für den Port gateway verwenden. Wenn Sie SSL verwenden, muss der Port 443 verwendet werden, da Tableau Server keine anderen Ports für SSL unterstützt. In den folgenden Vorgehensweisen wird beschrieben, wie die Firewall für den gateway-Port konfiguriert wird. Konfigurieren Sie das Tableau Server-Gateway (Konfigurieren der Einstellungen für den ursprünglichen Knoten), um den hier von Ihnen festgelegten Port abzugleichen.

In den nachfolgenden Beispielen wird beschrieben, wie Sie die Firewall in Bereitstellungen von Tableau Server mit einem und mehreren Knoten konfigurieren, die in RHEL/CentOS-Distributionen ausgeführt werden. Die Beispiele verwenden die Firewall Firewalld. Dies ist die Standard-Firewall für CentOS.

Konfiguration bei einem Knoten

  1. Öffnen Sie eine Bash-Shell, und führen Sie den folgenden TSM-Befehl zum Abrufen der Portnummer für den tabadmincontroller-Port aus:

    tsm topology list-ports

    Notieren Sie sich den tabadmincontroller-Port. Dieser Port lautet standardmäßig 8850.

  2. Starten Sie "firewalld":

    sudo systemctl start firewalld

  3. Verifizieren Sie, dass die Standardzone eine Hochsicherheitszone ist, wie beispielsweise public. Ist dies nicht der Fall, wird empfohlen, diese Zone in eine Hochsicherheitszone zu ändern.

    sudo firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  4. Fügen Sie für den Port gateway und den Port tabadmincontroller Ports hinzu. Im folgenden Beispiel werden die Standardports (80 und 8850) verwendet.

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

  5. Laden Sie die Firewall neu und überprüfen Sie die Einstellungen.

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Konfiguration bei einem Cluster mit mehreren Knoten

Neben der Aktivierung von Ports erfordert die Konfiguration der Firewall in einem Cluster mit mehreren Knoten weitere Schritte, um sicherzustellen, dass die Knoten miteinander kommunizieren können.

Voraussetzungen

Sie benötigen die IP-Adresse für jeden Knoten im Cluster. In diesem Beispiel werden <node1IP> als ein Platzhalter für die IP-Adresse des ursprünglichen Knotens sowie <node2IP> und <node3IP> als Platzhalter für die IP-Adressen der zwei zusätzlichen Knoten verwendet.

Schritt 1: Konfigurieren des ursprünglichen Knotens

  1. Öffnen Sie eine Bash-Shell, und führen Sie den folgenden TSM-Befehl zum Abrufen der Portnummer für den tabadmincontroller-Port aus:

    tsm topology list-ports

    Notieren Sie sich den tabadmincontroller-Port. Dieser Port lautet standardmäßig 8850.

  2. Führen Sie die folgenden Befehle aus, um den Portnummernbereich zu bestimmen, den der TSM möglicherweise dynamisch auswählt. Sie werden diesen Bereich später in diesem Verfahren festlegen. Notieren Sie sich den Portnummernbereich.

    tsm configuration get -k ports.range.min

    tsm configuration get -k ports.range.max

    Ein typischer Bereich ist 8000 bis 9000.

  3. Starten Sie "firewalld":

    sudo systemctl start firewalld

  4. Verifizieren Sie, dass die Standardzone eine Hochsicherheitszone ist, wie beispielsweise public. Ist dies nicht der Fall, wird empfohlen, diese Zone in eine Hochsicherheitszone zu ändern.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  5. Fügen Sie für den Port gateway und den Port tabadmincontroller Ports hinzu. Im folgenden Beispiel werden die Standardports (80 und 8850) verwendet. Sie müssen auch einen Portbereich hinzufügen (27000-27010), um die Lizenzierungskommunikation zwischen den Knoten zu ermöglichen.

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

    sudo firewall-cmd --permanent --add-port=27000-27010/tcp

  6. Konfigurieren Sie die Firewall so, dass sämtlicher Datenverkehr von den anderen Knoten im Cluster gestattet ist. Geben Sie für die Portoption den in Schritt 2 notierten Bereich an. Führen Sie den Befehl für jeden weiteren Knoten in Ihrem Cluster aus. Beispiel:

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

  7. Laden Sie die Firewall neu und überprüfen Sie die Einstellungen.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Schritt 2: Konfigurieren von weiteren Knoten

Jeder Knoten im Cluster muss mit dem ersten Knoten und den anderen Knoten kommunizieren können.

Führen Sie diese Prozedur auf jedem zusätzlichen Knoten im Cluster aus. In diesem Beispiel kommuniziert der Knoten mit der IP-Adresse <node2IP> mit dem ersten Knoten mit der IP-Adresse <node1IP> und einem dritten Knoten mit der IP-Adresse <node3IP>.

  1. Starten Sie "firewalld":

    sudo systemctl start firewalld

  2. Verifizieren Sie, dass die Standardzone eine Hochsicherheitszone ist, wie beispielsweise public. Ist dies nicht der Fall, wird empfohlen, diese Zone in eine Hochsicherheitszone zu ändern.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  3. Konfigurieren Sie die Firewall so, dass die anderen Knoten im Cluster auf die Ports gateway und tabadmincontroller zugreifen können. Beispiel:

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

    In diesem Beispiel wird der Port tabadmincontroller (8850) nicht explizit in einem Befehl angegeben, da dieser im Portbereich eingeschlossen ist.

  4. Laden Sie die Firewall neu und überprüfen Sie die Einstellungen.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.