Konfigurera en lokal brandvägg
Det här ämnet handlar om brandväggskonfigurationer på datorer med Tableau Server.
En lokal brandvägg bör aktiveras på operativsystemet för att skydda Tableau Server i driftsättningar med en och flera noder. I en distribuerad installation (flera noder) av Tableau Server är kommunikationen mellan noder inte skyddad. Därför bör du aktivera brandväggar på de datorer som används som värdar för Tableau Server.
Vi rekommenderar att du konfigurerar brandväggen så att det bara finns två tillgängliga portar för extern trafik: gateway
-porten och tabadmincontroller
-porten. Dessa är som standard portarna 80 och 8850. Om du vill köra en distribuera driftsättning måste du öppna portintervallet 27000–27009 för att kommunicera licensieringen mellan noderna.
gateway
-porten används för HTTP-anslutning till Tableau Server. Vi rekommenderar att du använder SSL för gateway
-porten. Om du använder SSL ska 443
-porten användas eftersom Tableau Server saknar SSL-stöd för andra portar. Här följer stegen för att konfigurera brandväggen för gateway
-porten. (Konfigurera initiala nodinställningar) Konfigurera Tableau Server-gateway så att den matchar porten som du anger här.
I exemplen nedan beskrivs hur du konfigurerar brandväggen för driftsättningar av Tableau Server med enskilda och flera noder som körs på RHEL-/CentOS-driftsättningar. I exemplen visas Firewalld som är standardbrandväggen för CentOS.
Konfiguration med enskild nod
Öppna en bash-kommandotolk och kör följande TSM-kommando för att hämta portnumret för porten
tabadmincontroller
:tsm topology list-ports
Skriv upp porten för
tabadmincontroller
. Som standard är den här porten8850
.Starta firewalld:
sudo systemctl start firewalld
Kontrollera att standardzonen är en zon med hög säkerhet, som
public
. Om så inte är fallet bör du ändra det till en zon med hög säkerhet.sudo firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Lägg till portar för porten
gateway
och portentabadmincontroller
. I exemplet nedan används standardportarna (80
och8850
).sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
Ladda brandväggen igen och kontrollera inställningarna.
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
Klusterkonfiguration med flera noder
Utöver att aktiverar portarna måste du utföra ytterligare steg vid brandväggskonfigurering av kluster med flera noder för att säkerställa att noder kan kommunicera med varandra.
Innan du börjar
IP-adressen för varje nod i klustret krävs. I det här exemplet används <node1IP>
som en platshållare för den ursprungliga IP-adressen för noden samt <node2IP>
och <node3IP>
som platshållare för IP-adresserna för de två ytterligare noderna.
Steg 1: Konfigurera den ursprungliga noden.
Öppna en bash-kommandotolk och kör följande TSM-kommando för att hämta portnumret för porten
tabadmincontroller
:tsm topology list-ports
Skriv upp porten för
tabadmincontroller
. Som standard är den här porten8850
.Kör följande kommandon för att bestämma intervall för portnumren som väljs dynamiskt i TSM. Intervallet ska anges längre fram. Anteckna portintervallet.
tsm configuration get -k ports.range.min
tsm configuration get -k ports.range.max
Ett vanligt intervall ligger mellan
8000
och9000
.Starta firewalld:
sudo systemctl start firewalld
Kontrollera att standardzonen är en zon med hög säkerhet, som
public
. Om så inte är fallet bör du ändra det till en zon med hög säkerhet.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Lägg till portar för porten
gateway
och portentabadmincontroller
. I exemplet nedan används standardportarna (80
och8850
). Du måste även lägga till ett portintervall (27000-27010
) för att aktivera licensiering av kommunikation mellan noder.sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=8850/tcp
sudo firewall-cmd --permanent --add-port=27000-27010/tcp
Konfigurera brandväggen för att tillåta all trafik från övriga klusternoder. Ange intervallet som du skrev in i steg 2 i portalternativet. Kör kommandot för var och en av de ytterligare klusternoderna. Exempel:
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node2IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
Ladda brandväggen igen och kontrollera inställningarna.
sudo firewall-cmd --reload
firewall-cmd --list-all
Steg 2: Konfigurera ytterligare noder
Alla klusternoder måste kunna kommunicera med den ursprungliga noden och övriga noder.
Genomför den här proceduren för varje ytterligare nod i klustret. I det här exemplet kommunicerar noden vid IP-adressen <node2IP>
med den ursprungliga noden vid <node1IP>
och en tredje nod vid <node3IP>
.
Starta firewalld:
sudo systemctl start firewalld
Kontrollera att standardzonen är en zon med hög säkerhet, som
public
. Om så inte är fallet bör du ändra det till en zon med hög säkerhet.firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=public
Konfigurera brandväggen för att ge
gateway
ochtabadmincontroller
åtkomst från övriga klusternoder. Exempel:sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node1IP>/32 port port=8000-9000 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=80 protocol=tcp accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=<node3IP>/32 port port=8000-9000 protocol=tcp accept'
I det här exemplet är intervallet inte uttryckligen specificerat i kommandot eftersom
tabadmincontroller
-porten (8850
) är inkluderad i portintervallet.Ladda brandväggen igen och kontrollera inställningarna.
sudo firewall-cmd --reload
firewall-cmd --list-all