Configurar o firewall local
Este tópico explica como configurar o firewall no computador que executa o Tableau Server.
Um firewall local deve estar ativado no sistema operacional para proteger o Tableau Server em implantações de um ou vários nós. Em uma instalação distribuída (de vários nós) do Tableau Server, a comunicação entre os nós não usa comunicação segura. Portanto, os firewalls precisam estar habilitados nos computadores que hospedam o Tableau Server.
Recomendamos a configuração do firewall, para que apenas duas portas fiquem acessíveis ao tráfego externo: a porta de gateway e a de tabadmincontroller. Por padrão, essas portas são 80 e 8850, respectivamente. Além disso, se estiver executando m uma implantação distribuída, será necessário abrir o intervalo de portas, 27000-27009, para que o licenciamento possa se comunicar por todos os nós.
A porta de gateway é usada para conexão HTTP ao Tableau Server. Recomendamos o uso do SSL para a porta de gateway. Caso use o SSL, o número da porta deverá ser 443, pois o Tableau Server não suporta outras portas para SSL. Os procedimentos abaixo descrevem como configurar o firewall para a porta de gateway. Configure o gateway do Tableau Server (Configurar as definições do nó inicial) para corresponder à porta definida aqui.
Os exemplos abaixo descrevem como configurar o firewall nas implantações, de nó único e de vários nós, do Tableau Server em execução nas distribuições RHEL/CentOS. Os exemplos usam Firewalld, que é o firewall padrão no CentOS.
Configuração de nó único
Abra um bash shell e execute o seguinte comando TSM para recuperar os números das portas de
tabadmincontroller:tsm topology list-portsAnote a porta de
tabadmincontroller. Por padrão, esta porta é8850.Inicie o firewalld:
sudo systemctl start firewalldVerifique se a zona padrão é uma zona de alta segurança, como a
public. Caso não seja, é recomendado alterá-la para uma zona de alta segurança.sudo firewall-cmd --get-default-zonesudo firewall-cmd --set-default-zone=publicAdicione portas às portas de
gatewayetabadmincontroller. No exemplo abaixo, usamos as portas padrão (80e8850).sudo firewall-cmd --permanent --add-port=80/tcpsudo firewall-cmd --permanent --add-port=8850/tcpRecarregue o firewall e verifique as configurações.
sudo firewall-cmd --reloadsudo firewall-cmd --list-all
Configuração de cluster de vários nós
Além de habilitar portas, a configuração do firewall em um cluster de vários nós exige etapas adicionais para garantir que os nós possam se comunicar uns com os outros.
Antes de começar
Será necessário o endereço IP para cada nó no cluster. Este exemplo usa o <node1IP> como espaço reservado para o endereço IP do nó inicial, e <node2IP> e <node3IP> como espaços reservados para os endereços IP de dois nós adicionais.
Etapa 1: configurar o nó inicial.
Abra um bash shell e execute o seguinte comando TSM para recuperar os números das portas de
tabadmincontroller:tsm topology list-portsAnote a porta de
tabadmincontroller. Por padrão, esta porta é8850.Execute os comandos a seguir para determinar o intervalo dos números de porta que o TSM pode selecionar dinamicamente. Esse intervalo precisará ser especificado adiante no procedimento. Anote o intervalo da porta.
tsm configuration get -k ports.range.mintsm configuration get -k ports.range.maxUm intervalo típico é
8000para9000.Inicie o firewalld:
sudo systemctl start firewalldVerifique se a zona padrão é uma zona de alta segurança, como a
public. Caso não seja, é recomendado alterá-la para uma zona de alta segurança.firewall-cmd --get-default-zonesudo firewall-cmd --set-default-zone=publicAdicione portas às portas de
gatewayetabadmincontroller. No exemplo abaixo, usamos as portas padrão (80e8850). Além disso, é necessário adicionar um intervalo de porta (27000-27010) para habilitar a comunicação do licenciamento entre nós.sudo firewall-cmd --permanent --add-port=80/tcpsudo firewall-cmd --permanent --add-port=8850/tcpsudo firewall-cmd --permanent --add-port=27000-27010/tcpConfigure o firewall para permitir todo o tráfego de outros nós no cluster. Para a opção de portas, especifique o intervalo anotado na Etapa 2. Execute o comando para cada um dos nós adicionais do cluster. Por exemplo:
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'Recarregue o firewall e verifique as configurações.
sudo firewall-cmd --reloadfirewall-cmd --list-all
Etapa 2: configurar os nós adicionais
Cada nó do cluster deve ser capaz de se comunicar com o nó inicial e com os outros nós.
Execute este procedimento em cada nó adicional do cluster. Neste exemplo, o nó no endereço IP, <node2IP>, se comunica com o nó inicial em <node1IP> e com um terceiro nó em <node3IP>.
Inicie o firewalld:
sudo systemctl start firewalldVerifique se a zona padrão é uma zona de alta segurança, como a
public. Caso não seja, é recomendado alterá-la para uma zona de alta segurança.firewall-cmd --get-default-zonesudo firewall-cmd --set-default-zone=publicConfigure o firewall para permitir o acesso por
gatewayetabadmincontrollerde outros nós no cluster. Por exemplo:sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'Neste exemplo, já que a porta
tabadmincontroller(8850) está incluída no intervalo de porta, ela não é explicitamente especificada em um comando.Recarregue o firewall e verifique as configurações.
sudo firewall-cmd --reloadfirewall-cmd --list-all