Configurar o Tableau Server com Independent Gateway
Este tópico descreve como configurar o Tableau Server com Independent Gateway para diferentes cenários de conexão e para um módulo de autenticação personalizado.
Para obter o procedimento de instalação, consulte Instalar o Tableau Server com Independent Gateway .
Para obter um exemplo de implantação de ponta a ponta em execução no Tableau Server para Linux na AWS, consulte Configuração do nível da Web(O link abre em nova janela) no Guia de implantação corporativa.
Comparação entre conexão direta e relé
O Independent Gateway pode se comunicar diretamente com os processos back-end do Tableau Server em várias portas. Essa comunicação é chamada conexão direta .
Como alternativa, você pode configurar o Independent Gateway para retransmitir a comunicação do cliente por uma única porta para o processo de gateway no Tableau Server. Essa comunicação é chamada conexão de relé.
A chave de configuração de TSM que define o tipo de conexão é gateway.tsig.proxy_tls_optional
.
As seções a seguir descrevem como essas conexões diferem e como defini-las.
Conexão direta
Nessa configuração, o Independent Gateway se comunica diretamente com os processos de back-end no Tableau Server por meio de várias portas. Isso requer que você abra as portas entre o firewall que separa o Independent Gateway da implantação de back-end do Tableau Server.
A implementação atual do Independent Gateway não oferece suporte a conexões TLS nesses processos.
Uma conexão direta permite que o Independent Gateway se comunique com os processos de back-end do Tableau Server sem proxy por meio do processo de Gateway. A conexão direta oferece melhor desempenho do que a conexão de relé alternativa.
Configuração
A conexão direta é a configuração padrão. Como tal, você não precisa executar um comando para configurá-lo. No entanto, se você precisar redefinir para a conexão direta padrão, execute os seguintes comandos:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v all --force-keys tsm pending-changes apply
Gerenciar entrada da porta
Após a instalação, o Independent Gateway deve poder se comunicar com o Tableau Server em várias portas. Essas portas são atribuídas dinamicamente durante a configuração e estão no intervalo TCP 8000-9000. As portas específicas e os processos correspondentes usados para se comunicar com o Tableau Server são gravados em um arquivo CSV no computador que executa o Independent Gateway em TSIG_DATA/config/httpd/proxy_targets.csv
.
Em uma instalação padrão: /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv
Use proxy_targets.csv
para definir ou automatizar a configuração de entrada de porta por meio de sua rede para o Tableau Server. Recomendamos automatizar a configuração de entrada de porta, pois as portas podem ser alteradas se a implantação do Tableau Server de topologia for alterada. Adicionar nós ou reconfigurar processos na implantação do Tableau Server acionará alterações no acesso à porta exigido pelo Independent Gateway.
Conexão de relé
Em uma configuração de conexão de retransmissão, o Independent Gateway não se conecta diretamente aos processos de back-end. Em vez disso, o Independent Gateway retransmite a comunicação para o processo de Gateway na implantação do Tableau Server de back-end por HTTP. Esse processo de retransmissão resulta em um salto extra e, portanto, degrada o desempenho em comparação com a configuração de conexão direta.
Um benefício de configurar o Independent Gateway como uma conexão de relé é proteger o tráfego com TLS. Consulte Configurar TLS no Independent Gateway.
Configuração
Para configurar o Independent Gateway para conexão de retransmissão ao Tableau Server, execute os seguintes comandos:
tsm configuration set -k gateway.tsig.proxy_tls_optional -v none --force-keys tsm pending-changes apply
Protocolo de manutenção
As conexões diretas e de retransmissão exigem comunicação com o protocolo de manutenção (HK) do Tableau Server. O processo HK mantém o estado de configuração entre a implantação do Tableau Server de back-end e o Independent Gateway. Durante a instalação, o Tableau Server deve poder se comunicar com o Independent Gateway pela porta 21319.
Detalhes de comunicação do protocolo de limpeza:
- As solicitações de HK verificam o status do Independent Gateway e atualizam a configuração conforme necessário. Não há dados do cliente nessas solicitações. As configurações não incluem senhas ou outros segredos.
- Os arquivos de configuração contêm detalhes sobre a topologia de cluster do Tableau Server para que o Independent Gateway possa executar funções de proxy reverso. A configuração da topologia de cluster pode ser considerada confidencial porque a configuração pode fornecer informações de direcionamento para um invasor. Observe que esses dados de configuração seriam úteis apenas para invasores que poderiam acessar o cluster do Tableau Server.
- Os arquivos de atualização de configuração incluem uma verificação do conteúdo hash. Isso fornece uma camada extra de segurança para validar a integridade dos arquivos de configuração usados para atualizar o Independent Gateway.
Por padrão, o processo HK usa TCP 21319.
A partir do Tableau Server 2022.1.2, o TLS é compatível com a conexão HK. Consulte Configurar TLS no Independent Gateway.
Alterar a porta de HK
Você pode alterar a porta usada pelo protocolo HK como parte da inicialização do Independent Gateway.
Se você já instalou o Independent Gateway, pode alterar a porta atualizando o valor de TSIG_HK_PORT
em environment.bash
.
Por padrão, environment.bash
está localizado em /etc/opt/tableau/tableau_tsig
.
Depois de atualizar o arquivo, você deve reiniciar o tsig-httpd:
sudo su - tableau-tsig systemctl --user restart tsig-httpd exit
Locais do arquivo de registro
As entradas de registro mais úteis no Tableau Server estão no diretório do arquivo de registro tabadminagent
. No entanto, se você estiver executando o Tableau Server em um cluster, deverá procurar em cada instância para localizar os registros tabadminagent mais recentes.
No Independent Gateway, os seguintes arquivos de log são gravados no diretório TSIG_DATA/logs/
.
Por padrão, o caminho é /var/opt/tableau/tableau_tsig/logs
.
access.log
: o Independent Gateway será gravado emaccess.log
para registro que é gerado pela configuração httpd.conf.stub. Arquivos de registro com carimbo de data/hora (por exemplo,access_date.log
) são gerados pela configuração de httpd.conf.error.log
startup.log
Esses registros também são retransmitidos na íntegra para a implantação do Tableau Server e armazenados em subdiretórios do diretório de registros do Controlador de cluster. Desse modo, os registros do Independent Gateway são incluídos no arquivo ziplog gerado pelo comandotsm maintenance ziplogs
.
Solução de problemas
Para obter dicas de solução de problemas, consulte Solução de problemas do Independent Gateway do Tableau Server(O link abre em nova janela) no Guia de implantação corporativa (EDG). O EDG fornece exemplos de implantação do Tableau Server no Linux. As etapas de solução de problemas são úteis para as versões Windows ou Linux do Tableau Server.