Configurer le pare-feu local


Cette rubrique explique comment configurer le pare-feu sur l’ordinateur exécutant Tableau Server.

Il est conseillé d’activer un pare-feu local sur le système d’exploitation afin de protéger Tableau Server dans les déploiements à un ou plusieurs nœuds. Dans une installation distribuée (à plusieurs nœuds) de Tableau Server, la communication entre les nœuds n’est pas une communication sécurisée. Par conséquent, vous devez activer les pare-feu sur les ordinateurs qui hébergent Tableau Server.

Nous vous recommandons de configurer le pare-feu pour que seuls deux ports soient accessibles au trafic externe : le port gateway et le port tabadmincontroller. Par défaut, ce sont les ports 80 et 8850 respectivement. En outre, si vous utilisez un déploiement distribué, vous devez ouvrir la plage de ports 27000-27009 afin que les licences puissent communiquer sur ces nœuds.

Le port gateway est utilisé pour la connexion HTTP à Tableau Server. Nous vous recommandons d’utiliser SSL pour le port gateway. Si vous utilisez SSL, le port doit être 443 parce que Tableau Server ne prend pas en charge d’autres ports pour SSL. Les procédures ci-dessous décrivent comment configurer le pare-feu pour le port gateway. Configurez la passerelle Tableau Server (Configurer les paramètres du nœud initial) en fonction du port que vous définissez ici.

Les exemples ci-dessous décrivent comment configurer le pare-feu sur des déploiements à un ou plusieurs nœuds de Tableau Server fonctionnant sur des distributions RHEL/CentOS. Les exemples utilisent Firewalld, qui est le pare-feu par défaut sur CentOS.

Configuration d’un seul nœud

  1. Ouvrez un interpréteur de commandes bash et exécutez la commande TSM pour récupérer le numéro de port pour le port tabadmincontroller :

    tsm topology list-ports

    Notez le port tabadmincontroller. Par défaut, ce port est 8850.

  2. Démarrez firewalld :

    sudo systemctl start firewalld

  3. Vérifiez que la zone par défaut est une zone de haute sécurité, par exemple public. Si ce n’est pas le cas, nous vous recommandons de la transformer en zone de haute sécurité.

    sudo firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  4. Ajoutez des ports pour le port gateway et le port tabadmincontroller. Dans l’exemple ci-dessous, nous utilisons les ports par défaut (80 et 8850).

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

  5. Rechargez le pare-feu et vérifiez les paramètres.

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Configuration du cluster multinœud

Outre l’activation des ports, la configuration du pare-feu sur un cluster multinœud nécessite des étapes supplémentaires pour que les nœuds puissent communiquer les uns avec les autres.

Avant de commencer

Vous aurez besoin de l’adresse IP de chaque nœud du cluster. L’exemple présenté ici utilise <node1IP> comme espace réservé pour l’adresse IP du nœud initial, et <node2IP> et <node3IP> comme espaces réservés pour les adresses IP des deux nœuds supplémentaires.

Étape 1 : Configurer le nœud initial.

  1. Ouvrez un interpréteur de commandes bash et exécutez la commande TSM pour récupérer le numéro de port pour le port tabadmincontroller :

    tsm topology list-ports

    Notez le port tabadmincontroller. Par défaut, ce port est 8850.

  2. Exécutez les commandes suivantes pour déterminer la plage de numéros de port que TSM peut sélectionner de manière dynamique. Vous spécifierez cette plage plus loin dans cette procédure. Notez la plage de ports.

    tsm configuration get -k ports.range.min

    tsm configuration get -k ports.range.max

    Une plage standard va de 8000 à 9000.

  3. Démarrez firewalld :

    sudo systemctl start firewalld

  4. Vérifiez que la zone par défaut est une zone de haute sécurité, par exemple public. Si ce n’est pas le cas, nous vous recommandons de la transformer en zone de haute sécurité.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  5. Ajoutez des ports pour le port gateway et le port tabadmincontroller. Dans l’exemple ci-dessous, nous utilisons les ports par défaut (80 et 8850). Vous devez également ajouter une plage de ports (27000-27010) pour activer la communication des licences entre les nœuds.

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

    sudo firewall-cmd --permanent --add-port=27000-27010/tcp

  6. Configurez le pare-feu de manière à autoriser tout le trafic provenant des autres nœuds du cluster. Pour l’option de ports, spécifiez la plage que vous avez notée à l’étape 2. Exécutez la commande pour chacun des nœuds supplémentaires de votre cluster. Par exemple :

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

  7. Rechargez le pare-feu et vérifiez les paramètres.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Étape 2 : Configurer des nœuds supplémentaires

Chaque nœud du cluster doit pouvoir communiquer avec le nœud initial et les autres nœuds.

Exécutez cette procédure sur chaque nœud supplémentaire du cluster. Dans cet exemple, le nœud à l’adresse IP <node2IP> communique avec le nœud initial à <node1IP> et un troisième nœud à <node3IP>.

  1. Démarrez firewalld :

    sudo systemctl start firewalld

  2. Vérifiez que la zone par défaut est une zone de haute sécurité, par exemple public. Si ce n’est pas le cas, nous vous recommandons de la transformer en zone de haute sécurité.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  3. Configurez le pare-feu de manière à autoriser l’accès gateway et tabadmincontroller depuis les autres nœuds du cluster. Par exemple :

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

    Dans cet exemple, étant donné que le port tabadmincontroller (8850) est inclus dans la plage de ports, il n’est pas explicitement spécifié dans une commande.

  4. Rechargez le pare-feu et vérifiez les paramètres.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Retour en haut
Merci de vos commentaires !Avis correctement envoyé. Merci