Configurer Tableau Server avec une passerelle indépendante
Cette rubrique décrit comment configurer Tableau Server avec une passerelle indépendante pour différents scénarios de connexion et pour un module d’authentification personnalisé.
Pour la procédure d’installation, consultez Installer Tableau Server avec une passerelle indépendante.
Pour un exemple de déploiement de bout en bout exécuté sur Tableau Server pour Linux dans AWS, consultez Configuration du niveau Web(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise.
Connexion en direct ou par relais
La passerelle indépendante peut communiquer directement avec les processus principaux de Tableau Server sur plusieurs ports. Cette communication est désignée en tant que connexion en direct.
À défaut, vous pouvez configurer la passerelle indépendante de manière à relayer la communication du client sur un seul port vers le processus de passerelle sur Tableau Server. Cette communication est désignée en tant que connexion par relais.
La clé de configuration TSM qui définit le type de connexion est gateway.tsig.proxy_tls_optional
.
Les sections suivantes décrivent en quoi ces connexions diffèrent et comment les configurer.
Connexion en direct
Dans cette configuration, la passerelle indépendante communique directement avec les processus principaux sur Tableau Server sur plusieurs ports. Pour cela, vous devez ouvrir les ports entre le pare-feu qui sépare la passerelle indépendante du déploiement dorsal de Tableau Server.
La mise en œuvre actuelle de la passerelle indépendante ne prend pas en charge les connexions TLS sur ces processus.
Une connexion en direct permet à la passerelle indépendante de communiquer avec les processus principaux de Tableau Server sans passer par le processus de la passerelle. La connexion en direct offre de meilleures performances que la connexion par relais alternative.
Configuration
La connexion en direct est la configuration par défaut. En tant que tel, vous n’avez pas besoin d’exécuter une commande pour la configurer. Toutefois, si vous devez réinitialiser la connexion en direct par défaut, exécutez les commandes suivantes :
tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys tsm pending-changes apply
Gérer l’entrée du port
Après l’installation, la passerelle indépendante doit pouvoir communiquer avec Tableau Server sur plusieurs ports. Ces ports sont attribués de façon dynamique lors de la configuration et se situent dans la plage TCP 8000-9000. Les ports spécifiques et les processus correspondants utilisés pour communiquer avec Tableau Server sont enregistrés dans un fichier CSV sur l’ordinateur exécutant la passerelle indépendante sur TSIG_DATA/config/httpd/proxy_targets.csv
.
Dans une installation par défaut : /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv
.
Utiliser proxy_targets.csv
pour définir ou automatiser la configuration de l’entrée de port entre votre réseau et Tableau Server. Nous recommandons d’automatiser la configuration des entrées de ports car les ports peuvent changer si la topologie du déploiement de Tableau Server change. L’ajout de nœuds ou la reconfiguration des processus lors du déploiement de Tableau Server déclenchera des modifications de l’accès aux ports requis par la passerelle indépendante.
Connexion par relais
Dans la configuration d’une connexion par relais, la passerelle indépendante ne se connecte pas directement aux processus principaux. Elle relaie plutôt la communication vers le processus de passerelle lors du déploiement dorsal de Tableau Server par HTTP. Ce processus de connexion par relais entraîne un saut supplémentaire et dégrade ainsi les performances par rapport à la configuration d’une connexion en direct.
L’un des avantages de la configuration de la passerelle indépendante en tant que connexion par relais est de sécuriser le trafic avec TLS. Consultez Configurer TLS sur la passerelle indépendante.
Configuration
Pour configurer la passerelle indépendante en vue d’une connexion par relais à Tableau Server, exécutez les commandes suivantes :
tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys tsm pending-changes apply
Protocole de gestion interne
Les connexions en direct et par relais nécessitent une communication avec le protocole de gestion interne (HK) de Tableau Server. Le processus HK maintient l’état de la configuration entre le déploiement dorsal de Tableau Server et la passerelle indépendante. Lors de l’installation, Tableau Server doit pouvoir communiquer avec la passerelle indépendante sur le port 21319.
Détails de communication du protocole d’entretien :
- Les requêtes HK vérifient l’état de la passerelle indépendante et mettent à jour la configuration si nécessaire. Il n’y a pas de données client dans ces demandes. Les configurations n’incluent pas de mots de passe ou d’autres secrets.
- Les fichiers de configuration contiennent des détails sur la topologie du regroupement Tableau Server afin que la passerelle indépendant puisse exécuter des fonctions de proxy inverse. La configuration de la topologie du regroupement peut être considérée comme sensible car la configuration peut fournir des informations de ciblage à un attaquant. Notez que ces données de configuration ne seraient utiles qu’aux attaquants qui pourraient alors accéder au regroupementTableau Server.
- Les fichiers de mise à jour de la configuration incluent une vérification du contenu haché. Cela fournit une couche de sécurité supplémentaire pour valider l’intégrité des fichiers de configuration utilisés pour mettre à jour la passerelle indépendante.
Par défaut, le processus HK utilise le protocole TCP 21319.
À partir de la version 2022.1.2 de Tableau Server, TLS est pris en charge sur la connexion HK. Consultez Configurer TLS sur la passerelle indépendante.
Changer le port HK
Vous pouvez changer le port utilisé par le protocole HK dans le cadre de l’initialisation de la passerelle indépendante.
Si vous avez déjà installé la passerelle indépendante, vous pouvez modifier le port en mettant à jour la valeur TSIG_HK_PORT
dansenvironment.bash
.
Par défaut, environment.bash
se trouve à l’emplacement /etc/opt/tableau/tableau_tsig
.
Une fois le fichier mis à jour, vous devez redémarrer le script tsig-httpd :
sudo su - tableau-tsig systemctl --user restart tsig-httpd exit
Emplacements du fichier journal
Les entrées de fichier journal les plus utiles sur Tableau Server se trouvent dans le répertoire des fichiers journaux tabadminagent
. Toutefois, si vous exécutez Tableau Server dans un groupement, vous devez interroger chaque instance pour localiser les fichiers journaux tabadminagent les plus récents.
Sur la passerelle indépendante, les fichiers journaux suivants sont enregistrés sur le répertoire TSIG_DATA/logs/
.
Le chemin d’accès par défaut est /var/opt/tableau/tableau_tsig/logs
:
access.log
: la passerelle indépendante enregistreaccess.log
pour les fichiers journaux générés par la configuration de httpd.conf.stub. Les fichiers journaux horodatés (par exempleaccess_date.log
) sont générés par la configuration de httpd.conf.error.log
startup.log
Ces journaux sont également transmis textuellement au déploiement de Tableau Server et stockés dans des sous-répertoires du répertoire des journaux du contrôleur de groupement. Ainsi, les journaux de la passerelle indépendante sont inclus dans le fichier ziplog généré par la commande tsm maintenance ziplogs
.
Résolution des problèmes
Pour obtenir des conseils de dépannage, consultez Dépannage de la passerelle indépendante de Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise (EDG). L’EDG fournit un exemple de déploiement de Tableau Server sous Linux. Les étapes de dépannage sont utiles pour les versions Windows ou Linux de Tableau Server.