Configurar Tableau Server con la puerta de enlace independiente
Este tema describe cómo configurar Tableau Server con la puerta de enlace independiente para diferentes tipos de conexión y para un módulo de autenticación personalizado.
Para conocer el procedimiento de instalación, consulte Instalar Tableau Server con puerta de enlace independiente .
Para ver un ejemplo de implementación integral que se ejecuta en Tableau Server para Linux en AWS, consulte Configuración del nivel web(El enlace se abre en una ventana nueva) en la Guía de implementación empresarial.
Conexión directa frente a conexión de retransmisión
La puerta de enlace independiente puede comunicarse directamente con los procesos backend de Tableau Server a través de varios puertos. Nos referimos a esta comunicación como conexión directa .
También puede configurar la puerta de enlace independiente para retransmitir la comunicación del cliente a través de un solo puerto al proceso de la puerta de enlace en Tableau Server. Nos referimos a esta comunicación como conexión de retransmisión.
La clave de configuración de TSM que establece el tipo de conexión es gateway.tsig.proxy_tls_optional
.
Las siguientes secciones describen en qué se diferencias estas conexiones y cómo configurarlas.
Conexión directa
En esta configuración, la puerta de enlace independiente se comunica directamente con los procesos de backend en Tableau Server a través de varios puertos. Esto requiere que abra los puertos entre el firewall que separa la puerta de enlace independiente de la implementación de backend de Tableau Server.
La implementación actual de la puerta de enlace independiente no admite conexiones TLS en estos procesos.
Una conexión directa permite que la puerta de enlace independiente se comunique con los procesos backend de Tableau Server sin pasar por el proxy a través del proceso de la puerta de enlace. La conexión directa proporciona un mejor rendimiento que la conexión de retransmisión alternativa.
Configuración
La conexión directa es la configuración predeterminada. Como tal, no tiene que ejecutar ningún comando para configurarla. Sin embargo, si tiene que restablecer la conexión directa predeterminada, puede ejecutar los siguientes comandos:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys tsm pending-changes apply
Gestionar la entrada del puerto
Después de la instalación, la puerta de enlace independiente debe poder comunicarse con Tableau Server a través de varios puertos. Estos puertos se asignan dinámicamente durante la configuración y están en el rango TCP 8000-9000. Los puertos específicos y los procesos correspondientes que se usan para comunicarse con Tableau Server se escriben en un archivo CSV del equipo que ejecuta la puerta de enlace independiente en TSIG_DATA/config/httpd/proxy_targets.csv
.
En una instalación predeterminada:. /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv
Utilice proxy_targets.csv
para establecer o automatizar la configuración de entrada del puerto a través de su red a Tableau Server. Recomendamos automatizar la configuración de entrada de puertos, ya que los puertos pueden cambiar si cambia la topología de implementación de Tableau Server. Añadir nodos o reconfigurar procesos en la implementación de Tableau Server activará cambios en el acceso al puerto requerido por la puerta de enlace independiente.
Conexión de retransmisión
En una configuración de conexión de retransmisión, la puerta de enlace independiente no se conecta directamente a los procesos de backend. En su lugar, la puerta de enlace independiente transmite la comunicación al proceso de la puerta de enlace en la implementación de Tableau Server de backend a través de HTTP. Este proceso de retransmisión tiene un salto más y, por lo tanto, degrada el rendimiento en comparación con la configuración de conexión directa.
Una de las ventajas de configurar la puerta de enlace independiente como conexión de retransmisión es proteger el tráfico con TLS. Consulte Configurar TLS en puerta de enlace independiente.
Configuración
Para configurar la puerta de enlace independiente para la conexión de retransmisión a Tableau Server, ejecute los siguientes comandos:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys tsm pending-changes apply
Protocolo de limpieza
Tanto las conexiones directas como las de retransmisión deben comunicarse con el protocolo de limpieza (HK) de Tableau Server. El proceso HK mantiene el estado de configuración entre la implementación de Tableau Server y la puerta de enlace independiente. Durante la instalación, Tableau Server debe poder comunicarse con la puerta de enlace independiente a través del puerto 21319.
Detalles de comunicación del protocolo de limpieza:
- Las solicitudes de HK verifican el estado de la puerta de enlace independiente y actualizan la configuración según sea necesario. No hay datos de clientes en estas solicitudes. Las configuraciones no incluyen contraseñas u otros secretos.
- Los archivos de configuración contienen detalles sobre la topología del clúster de Tableau Server para que la puerta de enlace independiente pueda realizar funciones de proxy inverso. La configuración de topología de clúster se puede considerar confidencial porque la configuración podría proporcionar información de orientación a un atacante. Tenga en cuenta que dichos datos de configuración solo serían útiles para los atacantes que luego podrían acceder al clúster de Tableau Server.
- Los archivos de actualización de configuración incluyen una verificación de los contenidos hash. Esto proporciona una capa adicional de seguridad para validar la integridad de los archivos de configuración que se utilizan para actualizar la puerta de enlace independiente.
De forma predeterminada, el proceso HK utiliza TCP 21319.
A partir de Tableau Server 2022.1.2, TLS es compatible con la conexión HK. Consulte Configurar TLS en puerta de enlace independiente.
Cambiar el puerto HK
Puede cambiar el puerto utilizado por el protocolo HK como parte de la inicialización de la puerta de enlace independiente.
Si ya ha instalado la puerta de enlace independiente, puede cambiar el puerto actualizando el valor TSIG_HK_PORT
enenvironment.bash
.
De forma predeterminada, environment.bash
se encuentra en /etc/opt/tableau/tableau_tsig
.
Después de haber actualizado el archivo, debe reiniciar tsig-httpd:
sudo su - tableau-tsig systemctl --user restart tsig-httpd exit
Ubicaciones del archivo de registro
Las entradas de registro más útiles en Tableau Server están en el directorio de archivos de registro tabadminagent
. Sin embargo, si está ejecutando Tableau Server en un clúster, deberá buscar en cada instancia para ubicar los registros de tabadminagent más recientes.
En la puerta de enlace independiente, los siguientes archivos de registro se escriben en el TSIG_DATA/logs/
directorio.
De forma predeterminada se encuentra en la ruta /var/opt/tableau/tableau_tsig/logs
:
access.log
: la puerta de enlace independiente escribirá aaccess.log
para el registro que se genera por la configuración de httpd.conf.stub. Los archivos de registro con marca de tiempo (p. ej.access_date.log
) los genera la configuración de httpd.conf.error.log
startup.log
Estos registros también se transmiten palabra por palabra a la implementación de Tableau Server y se almacenan en subdirectorios del directorio de registros del controlador de clúster. Como tal, los registros de la puerta de enlace independiente se incluyen en el archivo ziplog generado por el comando tsm maintenance ziplogs
.
Solución de problemas
Para obtener sugerencias de solución de problemas, consulte Solución de problemas de la puerta de enlace independiente de Tableau Server(El enlace se abre en una ventana nueva) en la Guía de implementación empresarial (EDG). La EDG proporciona un ejemplo de implementación de Tableau Server en Linux. Los pasos de solución de problemas son útiles para las versiones de Windows o Linux de Tableau Server.