Configurer le pare-feu local
Cette rubrique explique comment configurer le pare-feu sur l’ordinateur exécutant Tableau Server.
Il est conseillé d’activer un pare-feu local sur le système d’exploitation afin de protéger Tableau Server dans les déploiements à un ou plusieurs nœuds. Dans une installation distribuée (à plusieurs nœuds) de Tableau Server, la communication entre les nœuds n’est pas une communication sécurisée. Par conséquent, vous devez activer les pare-feu sur les ordinateurs qui hébergent Tableau Server.
Nous vous recommandons de configurer le pare-feu pour que seuls deux ports soient accessibles au trafic externe : le port gateway
et le port tabadmincontroller
. Par défaut, ce sont les ports 80 et 8850 respectivement. En outre, si vous utilisez un déploiement distribué, vous devez ouvrir la plage de ports 27000-27009 afin que les licences puissent communiquer sur ces nœuds.
Le port gateway
est utilisé pour la connexion HTTP à Tableau Server. Nous vous recommandons d’utiliser SSL pour le port gateway
. Si vous utilisez SSL, le port doit être 443
parce que Tableau Server ne prend pas en charge d’autres ports pour SSL. Les procédures ci-dessous décrivent comment configurer le pare-feu pour le port gateway
. Configurez la passerelle Tableau Server (Configurer les paramètres du nœud initial) en fonction du port que vous définissez ici.
Les exemples ci-dessous décrivent comment configurer le pare-feu sur des déploiements à un ou plusieurs nœuds de Tableau Server fonctionnant sur des distributions RHEL/CentOS. Les exemples utilisent Firewalld, qui est le pare-feu par défaut sur CentOS.
Configuration d’un seul nœud
Ouvrez un interpréteur de commandes bash et exécutez la commande TSM pour récupérer le numéro de port pour le port
tabadmincontroller
:tsm topology list-ports
Notez le port
tabadmincontroller
. Par défaut, ce port est8850
.Démarrez firewalld :
sudo systemctl start firewalld
Vérifiez que la zone par défaut est une zone de haute sécurité, par exemple
public
. Si ce n’est pas le cas, nous vous recommandons de la transformer en zone de haute sécurité.sudo firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Ajoutez des ports pour le port
gateway
et le porttabadmincontroller
. Dans l’exemple ci-dessous, nous utilisons les ports par défaut (80
et8850
).sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
Rechargez le pare-feu et vérifiez les paramètres.
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
Configuration du cluster multinœud
Outre l’activation des ports, la configuration du pare-feu sur un cluster multinœud nécessite des étapes supplémentaires pour que les nœuds puissent communiquer les uns avec les autres.
Avant de commencer
Vous aurez besoin de l’adresse IP de chaque nœud du cluster. L’exemple présenté ici utilise <node1IP>
comme espace réservé pour l’adresse IP du nœud initial, et <node2IP>
et <node3IP>
comme espaces réservés pour les adresses IP des deux nœuds supplémentaires.
Étape 1 : Configurer le nœud initial.
Ouvrez un interpréteur de commandes bash et exécutez la commande TSM pour récupérer le numéro de port pour le port
tabadmincontroller
:tsm topology list-ports
Notez le port
tabadmincontroller
. Par défaut, ce port est8850
.Exécutez les commandes suivantes pour déterminer la plage de numéros de port que TSM peut sélectionner de manière dynamique. Vous spécifierez cette plage plus loin dans cette procédure. Notez la plage de ports.
tsm configuration get -k ports.range.min
tsm configuration get -k ports.range.max
Une plage standard va de
8000
à9000
.Démarrez firewalld :
sudo systemctl start firewalld
Vérifiez que la zone par défaut est une zone de haute sécurité, par exemple
public
. Si ce n’est pas le cas, nous vous recommandons de la transformer en zone de haute sécurité.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Ajoutez des ports pour le port
gateway
et le porttabadmincontroller
. Dans l’exemple ci-dessous, nous utilisons les ports par défaut (80
et8850
). Vous devez également ajouter une plage de ports (27000-27010
) pour activer la communication des licences entre les nœuds.sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
sudo firewall-cmd --permanent --add-port=27000-27010/tcp
Configurez le pare-feu de manière à autoriser tout le trafic provenant des autres nœuds du cluster. Pour l’option de ports, spécifiez la plage que vous avez notée à l’étape 2. Exécutez la commande pour chacun des nœuds supplémentaires de votre cluster. Par exemple :
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
Rechargez le pare-feu et vérifiez les paramètres.
sudo firewall-cmd --reload
firewall-cmd --list-all
Étape 2 : Configurer des nœuds supplémentaires
Chaque nœud du cluster doit pouvoir communiquer avec le nœud initial et les autres nœuds.
Exécutez cette procédure sur chaque nœud supplémentaire du cluster. Dans cet exemple, le nœud à l’adresse IP <node2IP>
communique avec le nœud initial à <node1IP>
et un troisième nœud à <node3IP>
.
Démarrez firewalld :
sudo systemctl start firewalld
Vérifiez que la zone par défaut est une zone de haute sécurité, par exemple
public
. Si ce n’est pas le cas, nous vous recommandons de la transformer en zone de haute sécurité.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Configurez le pare-feu de manière à autoriser l’accès
gateway
ettabadmincontroller
depuis les autres nœuds du cluster. Par exemple :sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
Dans cet exemple, étant donné que le port
tabadmincontroller
(8850
) est inclus dans la plage de ports, il n’est pas explicitement spécifié dans une commande.Rechargez le pare-feu et vérifiez les paramètres.
sudo firewall-cmd --reload
firewall-cmd --list-all