Lokale firewall configureren
In dit onderwerp wordt uitgelegd hoe u de firewall configureert op de computer waarop Tableau Server wordt uitgevoerd.
Er moet een lokale firewall op het besturingssysteem zijn ingeschakeld om Tableau Server te beschermen bij implementaties met één of meerdere knooppunten. In een gedistribueerde installatie (met meerdere knooppunten) van Tableau Server is de communicatie tussen knooppunten niet beveiligd. Daarom moet u firewalls inschakelen op de computers waarop Tableau Server wordt gehost.
Wij raden u aan de firewall zodanig te configureren dat er slechts twee poorten voor extern verkeer toegankelijk zijn: de gateway
-poort en de tabadmincontroller
-poort. Dit zijn standaard respectievelijk poort 80 en 8850. Als u in een gedistribueerde implementatie werkt, moet u bovendien het poortbereik 27000-27009 openen, zodat communicatie over licentieverlening tussen knooppunten mogelijk is.
De gateway
-poort wordt gebruikt voor HTTP-verbinding met Tableau Server. We raden u aan SSL te gebruiken voor de gateway
-poort. Als u SSL gaat gebruiken, moet de poort 443
zijn omdat Tableau Server voor SSL geen andere poorten ondersteunt. In de onderstaande procedures wordt beschreven hoe u de firewall voor de gateway
-poort configureert. Configureer de Tableau Server-gateway (Initiële knooppuntinstellingen configureren) zodat deze overeenkomt met de poort die u hier instelt.
In de onderstaande voorbeelden wordt beschreven hoe u de firewall configureert bij implementaties op één en meerdere knooppunten van Tableau Server die worden uitgevoerd op RHEL/CentOS-distributies. De voorbeelden maken gebruik van Firewalld, de standaardfirewall op CentOS.
Configuratie met één knooppunt
Open een bash-shell en voer de volgende TSM-opdracht uit om het poortnummer voor de
tabadmincontroller
-poort op te halen:tsm topology list-ports
Noteer de
tabadmincontroller
-poort. Deze poort is standaard8850
.Firewalld starten:
sudo systemctl start firewalld
Controleer of de standaardzone een zone met hoog beveiligingsniveau is, zoals
public
. Als dit niet het geval is, raden we u aan deze te wijzigen in een zone met hoog beveiligingsniveau.sudo firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Voeg poorten toe voor de
gateway
-poort en detabadmincontroller
-poort. In het onderstaande voorbeeld gebruiken we de standaardpoorten (80
En8850
).sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
Laad de firewall opnieuw en controleer de instellingen.
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
Clusterconfiguratie met meerdere knooppunten
Naast het inschakelen van poorten vereist het configureren van de firewall op een cluster met meerdere knooppunten extra stappen om ervoor te zorgen dat knooppunten met elkaar kunnen communiceren.
Voordat u begint
U hebt het IP-adres voor elk knooppunt in het cluster nodig. In dit voorbeeld wordt <node1IP>
gebruikt als tijdelijke aanduiding voor het initiële IP-adres van het knooppunt, en worden <node2IP>
en <node3IP>
gebruikt als tijdelijke aanduidingen voor de IP-adressen van twee extra knooppunten.
Stap 1: Configureer het eerste knooppunt.
Open een bash-shell en voer de volgende TSM-opdracht uit om het poortnummer voor de
tabadmincontroller
-poort op te halen:tsm topology list-ports
Noteer de
tabadmincontroller
-poort. Deze poort is standaard8850
.Voer de volgende opdrachten uit om het bereik van poortnummers te bepalen dat TSM dynamisch kan selecteren. U zult dit bereik later in deze procedure opgeven. Noteer het poortbereik.
tsm configuration get -k ports.range.min
tsm configuration get -k ports.range.max
Een gebruikelijk bereik is
8000
tot9000
.Firewalld starten:
sudo systemctl start firewalld
Controleer of de standaardzone een zone met hoog beveiligingsniveau is, zoals
public
. Als dit niet het geval is, raden we u aan deze te wijzigen in een zone met hoog beveiligingsniveau.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Voeg poorten toe voor de
gateway
-poort en detabadmincontroller
-poort. In het onderstaande voorbeeld gebruiken we de standaardpoorten (80
En8850
). U moet ook een poortbereik (27000-27010
) toevoegen om communicatie over licentieverlening tussen knooppunten mogelijk te maken.sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
sudo firewall-cmd --permanent --add-port=27000-27010/tcp
Configureer de firewall om al het verkeer van de andere knooppunten in het cluster toe te staan. Geef bij de optie voor de poorten het bereik op dat u in stap 2 hebt genoteerd. Voer de opdracht uit voor elk van de extra knooppunten in het cluster. Bijvoorbeeld:
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
Laad de firewall opnieuw en controleer de instellingen.
sudo firewall-cmd --reload
firewall-cmd --list-all
Stap 2: Configureer extra knooppunten
Elk knooppunt in het cluster moet kunnen communiceren met het eerste knooppunt en met de andere knooppunten.
Voer deze procedure uit op elk extra knooppunt in het cluster. In dit voorbeeld communiceert het knooppunt op het IP-adres, <node2IP>
, met het eerste knooppunt op <node1IP>
en met een derde knooppunt op <node3IP>
.
Firewalld starten:
sudo systemctl start firewalld
Controleer of de standaardzone een zone met hoog beveiligingsniveau is, zoals
public
. Als dit niet het geval is, raden we u aan deze te wijzigen in een zone met hoog beveiligingsniveau.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Configureer de firewall om
gateway
entabadmincontroller
toegang te geven vanaf de andere knooppunten in het cluster. Bijvoorbeeld:sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
Aangezien in dit voorbeeld de
tabadmincontroller
-poort (8850
) is opgenomen in het poortbereik, wordt dit niet expliciet gespecificeerd in een opdracht.Laad de firewall opnieuw en controleer de instellingen.
sudo firewall-cmd --reload
firewall-cmd --list-all