Lokale firewall configureren


In dit onderwerp wordt uitgelegd hoe u de firewall configureert op de computer waarop Tableau Server wordt uitgevoerd.

Er moet een lokale firewall op het besturingssysteem zijn ingeschakeld om Tableau Server te beschermen bij implementaties met één of meerdere knooppunten. In een gedistribueerde installatie (met meerdere knooppunten) van Tableau Server is de communicatie tussen knooppunten niet beveiligd. Daarom moet u firewalls inschakelen op de computers waarop Tableau Server wordt gehost.

Wij raden u aan de firewall zodanig te configureren dat er slechts twee poorten voor extern verkeer toegankelijk zijn: de gateway-poort en de tabadmincontroller-poort. Dit zijn standaard respectievelijk poort 80 en 8850. Als u in een gedistribueerde implementatie werkt, moet u bovendien het poortbereik 27000-27009 openen, zodat communicatie over licentieverlening tussen knooppunten mogelijk is.

De gateway-poort wordt gebruikt voor HTTP-verbinding met Tableau Server. We raden u aan SSL te gebruiken voor de gateway-poort. Als u SSL gaat gebruiken, moet de poort 443 zijn omdat Tableau Server voor SSL geen andere poorten ondersteunt. In de onderstaande procedures wordt beschreven hoe u de firewall voor de gateway-poort configureert. Configureer de Tableau Server-gateway (Initiële knooppuntinstellingen configureren) zodat deze overeenkomt met de poort die u hier instelt.

In de onderstaande voorbeelden wordt beschreven hoe u de firewall configureert bij implementaties op één en meerdere knooppunten van Tableau Server die worden uitgevoerd op RHEL/CentOS-distributies. De voorbeelden maken gebruik van Firewalld, de standaardfirewall op CentOS.

Configuratie met één knooppunt

  1. Open een bash-shell en voer de volgende TSM-opdracht uit om het poortnummer voor de tabadmincontroller-poort op te halen:

    tsm topology list-ports

    Noteer de tabadmincontroller-poort. Deze poort is standaard 8850.

  2. Firewalld starten:

    sudo systemctl start firewalld

  3. Controleer of de standaardzone een zone met hoog beveiligingsniveau is, zoals public. Als dit niet het geval is, raden we u aan deze te wijzigen in een zone met hoog beveiligingsniveau.

    sudo firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  4. Voeg poorten toe voor de gateway-poort en de tabadmincontroller-poort. In het onderstaande voorbeeld gebruiken we de standaardpoorten (80 En 8850).

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

  5. Laad de firewall opnieuw en controleer de instellingen.

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Clusterconfiguratie met meerdere knooppunten

Naast het inschakelen van poorten vereist het configureren van de firewall op een cluster met meerdere knooppunten extra stappen om ervoor te zorgen dat knooppunten met elkaar kunnen communiceren.

Voordat u begint

U hebt het IP-adres voor elk knooppunt in het cluster nodig. In dit voorbeeld wordt <node1IP> gebruikt als tijdelijke aanduiding voor het initiële IP-adres van het knooppunt, en worden <node2IP> en <node3IP> gebruikt als tijdelijke aanduidingen voor de IP-adressen van twee extra knooppunten.

Stap 1: Configureer het eerste knooppunt.

  1. Open een bash-shell en voer de volgende TSM-opdracht uit om het poortnummer voor de tabadmincontroller-poort op te halen:

    tsm topology list-ports

    Noteer de tabadmincontroller-poort. Deze poort is standaard 8850.

  2. Voer de volgende opdrachten uit om het bereik van poortnummers te bepalen dat TSM dynamisch kan selecteren. U zult dit bereik later in deze procedure opgeven. Noteer het poortbereik.

    tsm configuration get -k ports.range.min

    tsm configuration get -k ports.range.max

    Een gebruikelijk bereik is 8000 tot 9000.

  3. Firewalld starten:

    sudo systemctl start firewalld

  4. Controleer of de standaardzone een zone met hoog beveiligingsniveau is, zoals public. Als dit niet het geval is, raden we u aan deze te wijzigen in een zone met hoog beveiligingsniveau.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  5. Voeg poorten toe voor de gateway-poort en de tabadmincontroller-poort. In het onderstaande voorbeeld gebruiken we de standaardpoorten (80 En 8850). U moet ook een poortbereik (27000-27010) toevoegen om communicatie over licentieverlening tussen knooppunten mogelijk te maken.

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

    sudo firewall-cmd --permanent --add-port=27000-27010/tcp

  6. Configureer de firewall om al het verkeer van de andere knooppunten in het cluster toe te staan. Geef bij de optie voor de poorten het bereik op dat u in stap 2 hebt genoteerd. Voer de opdracht uit voor elk van de extra knooppunten in het cluster. Bijvoorbeeld:

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

  7. Laad de firewall opnieuw en controleer de instellingen.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Stap 2: Configureer extra knooppunten

Elk knooppunt in het cluster moet kunnen communiceren met het eerste knooppunt en met de andere knooppunten.

Voer deze procedure uit op elk extra knooppunt in het cluster. In dit voorbeeld communiceert het knooppunt op het IP-adres, <node2IP>, met het eerste knooppunt op <node1IP> en met een derde knooppunt op <node3IP>.

  1. Firewalld starten:

    sudo systemctl start firewalld

  2. Controleer of de standaardzone een zone met hoog beveiligingsniveau is, zoals public. Als dit niet het geval is, raden we u aan deze te wijzigen in een zone met hoog beveiligingsniveau.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  3. Configureer de firewall om gateway en tabadmincontroller toegang te geven vanaf de andere knooppunten in het cluster. Bijvoorbeeld:

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

    Aangezien in dit voorbeeld de tabadmincontroller-poort (8850) is opgenomen in het poortbereik, wordt dit niet expliciet gespecificeerd in een opdracht.

  4. Laad de firewall opnieuw en controleer de instellingen.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.