Configurar el firewall local
En este tema se explica cómo configurar el firewall en el equipo donde se ejecuta Tableau Server.
Deberá habilitarse un firewall local en el sistema operativo para proteger Tableau Server en las implementaciones de uno y varios nodos. En una instalación distribuida (de varios nodos) de Tableau Server, la comunicación entre los nodos no usa una comunicación segura. Por lo tanto, debe habilitar los firewalls en los equipos donde se hospede Tableau Server.
Le recomendamos que configure el firewall para que solo haya dos puertos accesibles al tráfico externo: el puerto gateway
y el puerto tabadmincontroller
. De forma predeterminada, son los puertos 80 y 8850 respectivamente. Además, si utiliza una implementación distribuida, tendrá que abrir el rango de puertos 27000-27009 de modo que las licencias se puedan comunicar entre nodos.
El puerto gateway
se usa para la conexión HTTP con Tableau Server. Recomendamos usar SSL para el puerto gateway
. Si va a usar SSL, el puerto debe ser 443
, ya que es el único que Tableau Server admite para SSL. Los procedimientos siguientes describen cómo configurar el firewall para el puerto gateway
. Configure la puerta de enlace de Tableau Server (Configurar los ajustes de nodo iniciales) para que coincida con el puerto que defina aquí.
En los siguientes ejemplos se describe cómo configurar el firewall en implementaciones de uno y de varios nodos de Tableau Server que se ejecutan en distribuciones RHEL/CentOS. En los ejemplos se utiliza Firewalld, que es el firewall predeterminado en CentOS.
Configuración de un solo nodo
Abra un shell Bash y ejecute el siguiente comando de TSM para recuperar el número del puerto
tabadmincontroller
:tsm topology list-ports
Anote el puerto
tabadmincontroller
. De forma predeterminada, es8850
.Inicie firewalld:
sudo systemctl start firewalld
.Compruebe que la zona predeterminada es una zona de alta seguridad, como
public
. Si no es así, recomendamos cambiarla a una zona de alta seguridad.sudo firewall-cmd --get-default-zone
.sudo firewall-cmd --set-default-zone=public
.Añada números para los puertos
gateway
ytabadmincontroller
. En el ejemplo siguiente, hemos usado los puertos predeterminados (80
y8850
).sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
.Vuelva a cargar el firewall y compruebe los ajustes.
sudo firewall-cmd --reload
.sudo firewall-cmd --list-all
.
Configuración de un clúster de varios nodos
Además de habilitar puertos, para configurar el firewall en un clúster de varios nodos es necesario realizar otros pasos con el fin de asegurar que los nodos se puedan comunicar entre sí.
Antes de empezar
Necesitará la dirección IP de cada nodo del clúster. En este ejemplo se usa <node1IP>
como marcador de posición para la dirección IP del nodo inicial, mientras que <node2IP>
y <node3IP>
tienen el mismo uso para las direcciones IP de dos nodos adicionales.
Paso 1: configurar el nodo inicial
Abra un shell Bash y ejecute el siguiente comando de TSM para recuperar el número del puerto
tabadmincontroller
:tsm topology list-ports
Anote el puerto
tabadmincontroller
. De forma predeterminada, es8850
.Ejecute los siguientes comandos para determinar el rango de números de puerto que TSM puede seleccionar de forma dinámica. Especificará este rango en una etapa posterior de este procedimiento. Anote el rango de puertos.
tsm configuration get -k ports.range.min
.tsm configuration get -k ports.range.max
.Un rango típico va de
8000
a9000
.Inicie firewalld:
sudo systemctl start firewalld
.Compruebe que la zona predeterminada es una zona de alta seguridad, como
public
. Si no es así, recomendamos cambiarla a una zona de alta seguridad.firewall-cmd --get-default-zone
.sudo firewall-cmd --set-default-zone=public
.Añada números para los puertos
gateway
ytabadmincontroller
. En el ejemplo siguiente, hemos usado los puertos predeterminados (80
y8850
). También debe añadir un rango de puertos (27000-27010
) para permitir la comunicación de licencias entre los nodos.sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
.sudo firewall-cmd --permanent --add-port=27000-27010/tcp
Configure el firewall para permitir el tráfico procedente de los demás nodos del clúster. Para la opción de puertos, especifique el rango que anotó en el Paso 2. Ejecute el comando para cada uno de los otros nodos del clúster. Por ejemplo:
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
Vuelva a cargar el firewall y compruebe los ajustes.
sudo firewall-cmd --reload
.firewall-cmd --list-all
.
Paso 2: configurar nodos adicionales
Cada nodo del clúster debe poder comunicarse con el nodo inicial y con los demás nodos.
Ejecute este procedimiento en todos los nodos adicionales del clúster. En este ejemplo, el nodo de la dirección IP, <node2IP>
, se comunica con el nodo inicial en <node1IP>
y con un tercer nodo en <node3IP>
.
Inicie firewalld:
sudo systemctl start firewalld
.Compruebe que la zona predeterminada es una zona de alta seguridad, como
public
. Si no es así, recomendamos cambiarla a una zona de alta seguridad.firewall-cmd --get-default-zone
.sudo firewall-cmd --set-default-zone=public
.Configure el firewall para permitir el acceso de
gateway
ytabadmincontroller
desde los demás nodos del clúster. Por ejemplo:sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
En este ejemplo, dado que el puerto
tabadmincontroller
(8850
) está incluido en el rango de puertos, no se especifica de forma explícita en un comando.Vuelva a cargar el firewall y compruebe los ajustes.
sudo firewall-cmd --reload
.firewall-cmd --list-all
.