Configurar o firewall local

Este tópico explica como configurar o firewall no computador que executa o Tableau Server.

Um firewall local deve estar ativado no sistema operacional para proteger o Tableau Server em implantações de um ou vários nós. Em uma instalação distribuída (de vários nós) do Tableau Server, a comunicação entre os nós não usa comunicação segura. Portanto, os firewalls precisam estar habilitados nos computadores que hospedam o Tableau Server.

Recomendamos a configuração do firewall, para que apenas duas portas fiquem acessíveis ao tráfego externo: a porta de gateway e a de tabadmincontroller. Por padrão, essas portas são 80 e 8850, respectivamente. Além disso, se estiver executando m uma implantação distribuída, será necessário abrir o intervalo de portas, 27000-27009, para que o licenciamento possa se comunicar por todos os nós.

A porta de gateway é usada para conexão HTTP ao Tableau Server. Recomendamos o uso do SSL para a porta de gateway. Caso use o SSL, o número da porta deverá ser 443, pois o Tableau Server não suporta outras portas para SSL. Os procedimentos abaixo descrevem como configurar o firewall para a porta de gateway. Configure o gateway do Tableau Server (Configurar as definições do nó inicial) para corresponder à porta definida aqui.

Os exemplos abaixo descrevem como configurar o firewall nas implantações, de nó único e de vários nós, do Tableau Server em execução nas distribuições RHEL/CentOS. Os exemplos usam Firewalld, que é o firewall padrão no CentOS.

Configuração de nó único

  1. Abra um bash shell e execute o seguinte comando TSM para recuperar os números das portas de tabadmincontroller:

    tsm topology list-ports

    Anote a porta de tabadmincontroller. Por padrão, esta porta é 8850.

  2. Inicie o firewalld:

    sudo systemctl start firewalld

  3. Verifique se a zona padrão é uma zona de alta segurança, como a public. Caso não seja, é recomendado alterá-la para uma zona de alta segurança.

    sudo firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  4. Adicione portas às portas de gateway e tabadmincontroller. No exemplo abaixo, usamos as portas padrão (80 e 8850).

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

  5. Recarregue o firewall e verifique as configurações.

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Configuração de cluster de vários nós

Além de habilitar portas, a configuração do firewall em um cluster de vários nós exige etapas adicionais para garantir que os nós possam se comunicar uns com os outros.

Antes de começar

Será necessário o endereço IP para cada nó no cluster. Este exemplo usa o <node1IP> como espaço reservado para o endereço IP do nó inicial, e <node2IP> e <node3IP> como espaços reservados para os endereços IP de dois nós adicionais.

Etapa 1: configurar o nó inicial.

  1. Abra um bash shell e execute o seguinte comando TSM para recuperar os números das portas de tabadmincontroller:

    tsm topology list-ports

    Anote a porta de tabadmincontroller. Por padrão, esta porta é 8850.

  2. Execute os comandos a seguir para determinar o intervalo dos números de porta que o TSM pode selecionar dinamicamente. Esse intervalo precisará ser especificado adiante no procedimento. Anote o intervalo da porta.

    tsm configuration get -k ports.range.min

    tsm configuration get -k ports.range.max

    Um intervalo típico é 8000 para 9000.

  3. Inicie o firewalld:

    sudo systemctl start firewalld

  4. Verifique se a zona padrão é uma zona de alta segurança, como a public. Caso não seja, é recomendado alterá-la para uma zona de alta segurança.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  5. Adicione portas às portas de gateway e tabadmincontroller. No exemplo abaixo, usamos as portas padrão (80 e 8850). Além disso, é necessário adicionar um intervalo de porta (27000-27010) para habilitar a comunicação do licenciamento entre nós.

    sudo firewall-cmd --permanent --add-port=80/tcp

    sudo firewall-cmd --permanent --add-port=8850/tcp

    sudo firewall-cmd --permanent --add-port=27000-27010/tcp

  6. Configure o firewall para permitir todo o tráfego de outros nós no cluster. Para a opção de portas, especifique o intervalo anotado na Etapa 2. Execute o comando para cada um dos nós adicionais do cluster. Por exemplo:

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

  7. Recarregue o firewall e verifique as configurações.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Etapa 2: configurar os nós adicionais

Cada nó do cluster deve ser capaz de se comunicar com o nó inicial e com os outros nós.

Execute este procedimento em cada nó adicional do cluster. Neste exemplo, o nó no endereço IP, <node2IP>, se comunica com o nó inicial em <node1IP> e com um terceiro nó em <node3IP>.

  1. Inicie o firewalld:

    sudo systemctl start firewalld

  2. Verifique se a zona padrão é uma zona de alta segurança, como a public. Caso não seja, é recomendado alterá-la para uma zona de alta segurança.

    firewall-cmd --get-default-zone

    sudo firewall-cmd --set-default-zone=public

  3. Configure o firewall para permitir o acesso por gateway e tabadmincontroller de outros nós no cluster. Por exemplo:

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'

    sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'

    Neste exemplo, já que a porta tabadmincontroller (8850) está incluída no intervalo de porta, ela não é explicitamente especificada em um comando.

  4. Recarregue o firewall e verifique as configurações.

    sudo firewall-cmd --reload

    firewall-cmd --list-all

Obrigado pelo feedback! Ocorreu um erro ao enviar seu feedback. Tente novamente ou envie-nos uma mensagem..