Configurar proxies y equilibradores de carga para Tableau Server
En la mayoría de las empresas, Tableau Server necesita comunicarse con Internet. Tableau Server está diseñado para funcionar dentro de una red interna protegida. No configure Tableau Server directamente en Internet o en una zona desmilitarizada. Las comunicaciones entre la red e Internet deben realizarse a través de servidores proxy. Los servidores proxy de reenvío hacen de mediadores para el tráfico que va de la red a objetivos de Internet. Los servidores proxy inversos y los equilibradores de carga redirigen el tráfico desde Internet hasta destinos dentro de la red.
¿A quién va dirigido este artículo?
Este artículo va dirigido a profesionales de TI que tengan experiencia general con redes, equilibrio de carga y soluciones de proxy de puerta de enlace. En este artículo se describe cómo y cuándo necesita Tableau acceso a Internet, y también se describe cómo configurar la red y Tableau para usar servidores proxy y equilibradores de carga para acceder a y desde Internet. Hay disponible un gran número de soluciones de terceros, por lo que parte del contenido del artículo es genérico por necesidad.
Antes de configurar un servidor proxy, consulte Comunicando con Internet.
Configurar un servidor proxy de reenvío
Para permitir la comunicación entre Tableau Server e Internet, implemente Tableau Server detrás de un servidor proxy de reenvío. Si Tableau Server necesita acceso a Internet, no envía la solicitud directamente a Internet. En su lugar, envía la solicitud al proxy de reenvío que, a su vez, reenvía la solicitud. Los servidores proxy de reenvío ayudan a los administradores a administrar el tráfico dirigido a Internet para tareas como equilibrar la carga, bloquear el acceso a sitios, etc.
Si usa un proxy de reenvío, debe configurar los equipos donde se ejecute Tableau Server dentro de la red para enviar tráfico al proxy te reenvío. Tableau Server no es compatible con la autenticación de paso o de proxy manual.
Si está ejecutando la autenticación OpenID con una solución de proxy de reenvío, se requieren configuraciones adicionales. Consulte Configurar OpenID para que funcione con un proxy de reenvío.
Configurar Tableau Server en Windows para que funcione con un proxy de reenvío
Los pasos necesarios para configurar las opciones de Internet en el equipo con Tableau Server dependen de cuál de estos escenarios se ajuste a su empresa:
Su organización no usa una solución de proxy de reenvío. Si su organización no ejecuta una solución de proxy y el equipo donde instala Tableau Server se puede comunicar con Internet, no es necesario que siga los procedimientos que se indican aquí.
Se ha implementado una solución de proxy y los archivos de configuración automática definen las opciones de configuración de la conexión. Si su organización usa archivos de configuración automática (como archivos PAC o
.ins
) para especificar la información de conexión a Internet, puede usar esta información en el cuadro de diálogo Configuración de la red de área local (LAN) en Windows. Para obtener más información, consulte Activar la configuración y la detección automática del explorador en el sitio de soporte técnico de Microsoft.Se ha implementado una solución de proxy y los archivos de configuración automática definen las opciones de configuración de la conexión. Para este escenario, debe configurar opciones de LAN del equipo con Windows que está ejecutando Tableau Server de forma que las conexiones a su servidor proxy se ejecuten bajo el contexto de seguridad de la cuenta Ejecutar como usuario. También debe configurar
localhost
y otras instancias internas de Tableau Server como excepciones.
En el siguiente procedimiento se describen los pasos para el último escenario: una solución proxy sin archivos de configuración automática, donde Tableau Server se está ejecutando en Windows.
Nota: Si usa una instalación distribuida de Tableau Server, realice los siguientes procedimientos en el nodo del servidor inicial y en todos los adicionales.
Paso 1: Añadir la cuenta Ejecutar como servicio al grupo de administradores locales
Para llevar a cabo este procedimiento, debe iniciar sesión en el equipo con Tableau Server con la cuenta Ejecutar como servicio. De forma predeterminada, la directiva "iniciar sesión localmente" directiva no se aplica a la cuenta Ejecutar como servicio. Por tanto, debe añadir temporalmente la cuenta Ejecutar como servicio al grupo de administradores locales.
Si aún no ha instalado Tableau Server en el equipo, consulte Cambiar la cuenta Ejecutar como servicio. Si ha instalado Tableau Server y ha configurado la cuenta Ejecutar como servicio, puede determinar el nombre de la cuenta Ejecutar como servicio si inicia sesión en la interfaz de usuario web de TSM. La cuenta Ejecutar como servicio de Tableau Server aparece en la pestaña Seguridad de la ventana Configuración. Consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
Añada la cuenta Ejecutar como servicio al grupo de administradores locales siguiendo los pasos descritos en Agregar un miembro a un grupo local en el sitio web de Microsoft. Cuando termine de configurar la información del proxy de reenvío, quitará la cuenta Ejecutar como servicio del grupo de administradores locales.
Paso 2: Configurar el servidor proxy en la configuración LAN de Windows
Con la cuenta Ejecutar como servicio, inicie sesión en el equipo donde está instalado o se instalará Tableau Server.
Abra el cuadro de diálogo Configuración de la red de área local (LAN). (Una forma rápida de acceder a este cuadro de diálogo es buscar
Internet Options
en el menú Inicio de Windows. En el cuadro de diálogo Propiedades de Internet, haga clic en la pestaña Conexiones y, a continuación, haga clic en el botón Configuración de LAN).En Servidor proxy, seleccione Usar un servidor proxy para la LAN, escriba el puerto y la dirección del servidor proxy y, a continuación, seleccione No usar servidor proxy para direcciones locales.
Deje este cuadro de diálogo abierto y continúe con el siguiente paso.
Paso 3: Añadir excepciones para omitir el servidor proxy
Añada excepciones a esta configuración de proxy para asegurarse de que todas las comunicaciones internas en un clúster de Tableau Server (si tiene uno ahora o tiene previsto configurarlo) no se redirijan al servidor proxy.
En el cuadro de diálogo Configuración de LAN, haga clic en Avanzado. (Este botón solo está disponible si ha seleccionado la opción de usar un servidor proxy para su LAN).
En el cuadro de diálogo Configuración del proxy, en el campo Excepciones, escriba lo siguiente:
localhost
- Los nombres de los servidores y las direcciones IP de los otros equipos con Tableau Server del mismo clúster.
Use punto y coma para separar los elementos.
Cierre el cuadro de diálogo Configuración de proxy y el cuadro de diálogo Configuración de la red de área local (LAN).
En el cuadro de diálogo Propiedades de Internet, haga clic en Aceptar para aplicar la configuración.
Deje la sesión iniciada en el equipo y continúe con el siguiente paso.
Paso 4: Verificar que los ajustes de proxy no entren en conflicto con las variables de entorno de Windows
Algunas organizaciones configuran ajustes de proxy de reenvío como variables de entorno en el sistema operativo de Windows. Si dichos ajustes se configuran en el equipo que está ejecutando Tableau Server, debe confirmar que no entran en conflicto con las configuraciones que haya completado en él.
Esta verificación es importante si Tableau Server está habilitado para licencias ATR. La licencia ATR está habilitada de forma predeterminada en Tableau Server versión 2021.4 y posteriores.
En el equipo que está ejecutando Tableau Server, introduzca "configuración avanzada del sistema" en el cuadro de búsqueda y haga clic en Intro para abrir el cuadro Propiedades del sistema.
En la pestaña Avanzado, haga clic en Variables de entorno.
Desplácese a través del campo Variables del sistema.
Si se especifican
http_proxy
ohttps_proxy
, verifique que los valores no entran en conflicto con la dirección del servidor proxy que configuró en el paso anterior.Si la configuración actual no entra en conflicto, continúe al "Paso 5: Probar la configuración del proxy".
Si la configuración existente entra en conflicto, cree una nueva variable denominada
no_proxy
y escriba:- el nombre de host,
- Dirección IP
Por ejemplo,
localhost,192.168.0.10
. Para obtener más información, consulte el artículo de Microsoft MSDN, Establecer variables de entorno.
Haga clic en Aceptar.
Paso 5: Verifique que la configuración del proxy WinHTTP no entre en conflicto con la configuración de LAN de Windows
Si Server ATR está habilitado (está habilitado de forma predeterminada en Tableau Server 2021.4 o posterior), verifique que el proxy WinHTTP esté configurado y no entre en conflicto con la configuración de LAN de Windows.
Con la cuenta Ejecutar como servicio, inicie sesión en el equipo donde está instalado o se instalará Tableau Server.
Abra el símbolo del sistema y use el siguiente comando para confirmar la configuración actual:
netsh winhttp show proxy
Configure el proxy para WinHTTP usando cualquiera de los siguientes métodos:
Utilice el siguiente comando si importa la configuración desde la configuración de LAN de Windows:
netsh winhttp import proxy source=ie
Use el siguiente comando para configurar el proxy WinHTTP por separado:
netsh winhttp set proxy <proxy server> <proxy bypass list>
Para obtener más información, consulte Configurar el servidor proxy manualmente mediante el comando netsh(El enlace se abre en una ventana nueva) en el sitio web de Microsoft.
Confirme que la configuración del proxy no entre en conflicto con otras configuraciones de proxy de Windows.
Paso 6: Probar la configuración del proxy
Para probar las nuevas configuraciones, tras iniciar sesión con la cuenta Ejecutar como servicio en el equipo de Tableau Server, abra un navegador web y pruebe las siguientes URL de Tableau:
https://mapsconfig.tableau.com/v1/config.json
(El enlace se abre en una ventana nueva) y https://api.mapbox.com/
(El enlace se abre en una ventana nueva) le indicarán que descargue un archivo JSON.
Paso 7: Quitar la cuenta Ejecutar como servicio del grupo de administradores locales
Después de haber probado la configuración del proxy, quite la cuenta Ejecutar como servicio del grupo de administradores locales. Si deja la cuenta Ejecutar como servicio en el grupo de administradores, se elevan los permisos de la cuenta Ejecutar como servicio, lo que supone un riesgo para la seguridad.
Reinicie Tableau Server para garantizar la implementación de todos los cambios.
Informador de bloqueo de servidor
Si su organización utiliza un servidor proxy para conectarse a Internet, debe configurar el informador de bloqueo de Tableau Server para que use el proxy. Aunque ya haya configurado Tableau Server para que utilice un proxy, también debe configurar el creador de informes de bloqueo del servidor por separado. Para configurar el proxy para el informador de bloqueo del servidor, consulte Configurar el informador de bloqueo de servidor.
Funcionamiento de un proxy inverso y un equilibrador de carga con Tableau Server
Los proxies inversos y los equilibradores de carga son servidores que reciben solicitudes de clientes externos (de Internet) y las reenvían a Tableau Server. Estas soluciones permiten que Tableau Server esté disponible en Internet sin tener que exponer la dirección IP individual de esa instancia concreta de Tableau Server a Internet. Pueden actuar como dispositivos de autenticación y transferencia, con el fin de que no se almacenen datos en ubicaciones a las que puedan tener acceso usuarios externos a la empresa. Este requisito puede ser importante para las organizaciones que estén sujetas a diversas normativas de privacidad, como PCI, HIPAA o SOX.
En el diagrama siguiente se ilustra el trayecto de comunicación cuando un cliente hace una solicitud a Tableau Server, que está configurado para funcionar con un proxy inverso y/o equilibrador de carga (LB).
Un cliente externo inicia una conexión a Tableau Server. El cliente usa la URL pública que se ha configurado para el servidor proxy inverso/LB, por ejemplo
https://tableau.example.com
. (El cliente no sabe que usa un proxy inverso/LB).A su vez, el proxy inverso asigna la solicitud a una solicitud para Tableau Server. En algunos escenarios, el proxy inverso se puede configurar para que autentique al cliente (mediante SSL/TLS) como una condición previa para transmitir la solicitud a Tableau Server.
Tableau Server recibe la solicitud y envía la respuesta al proxy inverso/LB.
El proxy inverso/LB devuelve el contenido al cliente. En lo que concierne al cliente, acaba de interactuar con Tableau Server y no tiene forma de saber que la comunicación ha pasado por un(varios) servidor(es) intermediario(s).
TLS/SSL
Según su escenario de puerta de enlace, debe tener en cuenta si debe configurar sus servidores proxy inversos y de equilibrio de carga para que usen TLS/SSL al gestionar el tráfico externo a la red. Esto le ayuda a garantizar la privacidad, la integridad del contenido y la autenticación. A menos que haya implementado otras medidas de seguridad para proteger el tráfico entre su puerta de enlace de Internet y Tableau Server, también le recomendamos que configure SSL entre el proxy de puerta de enlace y Tableau Server. Puede usar certificados autofirmados o internos para cifrar el tráfico entre las instancias de Tableau Server y otros equipos internos.
Acceso móvil
Tableau Server, Tableau Server añade un encabezado X a todas las respuestas HTTP para las sesiones de Tableau Mobile. De forma predeterminada, las mayoría de soluciones proxy conservarán los encabezados X. Si su solución de puerta de enlace no conserva los encabezados X, entonces deberá configurar su servidor proxy y equilibrador de carga para que conserve el siguiente encabezado en todas las respuestas HTTP para las sesiones cliente de Mobile: X-Tableau: Tableau Server
.
Si ha configurado la autenticación en la puerta de enlace, entonces su servidor proxy/LB debe responder a las solicitudes HTTP de Tableau Mobile con una respuesta HTTP 302. El 302 debe incluir una redirección hacia la página de inicio de sesión del proveedor de identidad. Para ver un diagrama que describe la secuencia de autenticación 302, consulte Tableau Mobile Authentication Sequence (Secuencia de autenticación de Tableau Mobile)(El enlace se abre en una ventana nueva) en la comunidad de Tableau.
Proxy inverso, equilibrador de carga y autenticación de usuario
Tableau Server siempre autenticará a los usuarios. Esto quiere decir que, aunque autentique las conexiones de entrada en la puerta de enlace de la organización, Tableau Server seguirá autenticando al usuario.
No obstante, no todos los clientes admitirán la autenticación de usuario con una solución de puerta de enlace:
En los navegadores web compatibles, puede usar SAML, OpenID Connect, Kerberos, vales de confianza o la autenticación manual con un proxy inverso/LB.
Tableau Mobile admite SAML o autenticación manual con un proxy inverso/LB. La versión para iOS de Tableau Mobile además admite Kerberos con un proxy inverso/LB. Se aplica en este caso la misma recomendación indicada anteriormente.
Tableau Prep no admite la autenticación con un proxy inverso o un equilibrador de carga. Para admitir el acceso remoto, debe usar una solución VPN o configurar sus servicios de la puerta de enlace para que redirijan el tráfico de Tableau Prep directamente a Tableau Server para efectuar la autenticación.
Tableau Desktop admite la autenticación con un proxy inverso siempre que un módulo de autenticación realice una autenticación previa en el proxy inverso antes de que el tráfico se enrute a Tableau Server para la autenticación final. Para obtener más información, consulte la Parte 5: Configuración del nivel web(El enlace se abre en una ventana nueva) de la Guía de implementación de Tableau Server Enterprise y Configurar el módulo de autenticación con puerta de enlace independiente.
Si su organización realiza la autenticación con Active Directory:
- Active Directory con Habilitar inicio de sesión automático (SSPI) no es compatible con un proxy inverso.
- Tableau Server debe estar configurado para el proxy inverso antes de configurar Tableau Server para Kerberos. Para obtener más información, consulte Configurar Kerberos.
Configurar Tableau Server para que funcione con un servidor proxy inverso y/o equilibrador de carga
Antes de configurar Tableau Server, debe recopilar la información siguiente sobre la configuración del servidor proxy. Para configurar Tableau Server, utilice el comando tsm configuration set
. La información que debe recopilar se corresponde con las opciones que necesitará al ejecutar tsm
.
La mayoría de las siguientes opciones de tsm se usan también para configurar las implementaciones de Tableau Server que funcionan detrás de un equilibrador de carga. Para obtener más información, consulte Añadir un equilibrador de carga.
Elemento | Descripción | Opción tsm configuration set correspondiente |
---|---|---|
Dirección IP o CNAME | Puede especificar una dirección IP o un valor CNAME para esta opción. Las direcciones IP públicas o las direcciones de los servidores proxy y de equilibradores de carga. La dirección IP debe tener el formato IPv4 (por ejemplo, Si no puede proporcionar una IP estática, o si está utilizando proxy en la nube o compensadores de carga externos, puede especificar el valor de DNS de CNAME (nombre canónico) que los clientes usarán para conectarse a Tableau Server. Este valor CNAME se debe configurar en la solución de proxy inverso para comunicarse con Tableau Server. | gateway.trusted |
FQDN | El nombre de dominio completamente calificado que los usuarios emplean para contactar con Tableau Server, por ejemplo tableau.example.com . Tableau Server no admite el cambio de contexto en esta opción. Por ejemplo, no se admite la URL siguiente: example.com/tableau . | gateway.public.host |
No FQDN | Cualquier nombre de subdominio para los servidores proxy o LB. En el ejemplo de tableau.example.com , el nombre del subdominio es tableau . | gateway.trusted_hosts |
Alias | Cualquier nombre alternativo público para los servidores proxy o LB. En la mayoría de los casos, los alias se designan con valores de CNAME. Un ejemplo es un servidor proxy bigbox.example.com y entradas CNAME de ftp.example.com y www.example.com . | gateway.trusted_hosts |
Puertos | Los números de puerto para el tráfico desde el cliente hacia el servidor proxy inverso. |
|
Si utiliza una instalación distribuida de Tableau Server, ejecute los siguientes comandos tsm
en el nodo inicial del clúster.
Escriba el comando siguiente para configurar el valor FQDN que usarán los clientes para conectarse a Tableau Server a través de los servidores proxy y/o LB, donde
name
es el valor FQDN:tsm configuration set -k gateway.public.host -v "name"
Por ejemplo, si accede a Tableau Server escribiendo
https://tableau.example.com
en el navegador, escriba este comando:tsm configuration set -k gateway.public.host -v "tableau.example.com"
Escriba el comando siguiente para configurar la dirección o el valor de CNAME de los servidores proxy y/o LB, donde
server_address
es la dirección IPv4 o el valor de CNAME:tsm configuration set -k gateway.trusted -v "server_ip_address"
Si la organización usa varios servidores proxy y/o LB, escriba varias direcciones IPv4 y sepárelas con comas. No se admite el uso de intervalos de IP. Para mejorar el inicio y la inicialización de Tableau Server, reduzca el número de entradas de
gateway.trusted
.Escriba el siguiente comando para especificar nombres alternativos para los servidores proxy/LB, como su nombre de dominio completamente calificado, cualquier nombre de dominio que no esté completamente calificado y los alias. Si hay más de un nombre, sepárelos con una coma.
tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"
Por ejemplo:
tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"
Si el servidor proxy usa SSL para comunicarse con Internet, ejecute el comando siguiente, que le indica a Tableau que el servidor proxy inverso usa el puerto 443 en lugar del puerto 80:
tsm configuration set -k gateway.public.port -v 443
Nota: Si el servidor proxy usa una conexión SSL para comunicarse con Tableau Server, deberá configurarse y habilitarse SSL en Tableau Server.
Escriba el comando siguiente para aplicar el cambio hecho en la configuración:
tsm pending-changes apply
Si los cambios pendientes requieren un reinicio del servidor, el comando
pending-changes apply
mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción--ignore-prompt
, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.
Configurar el servidor proxy inverso o de equilibrio de carga para que funcione con Tableau Server
Cuando un cliente accede a Tableau Server a través de un proxy inverso o equilibrador de carga, es necesario conservar los encabezados específicos del mensaje (o añadirlos). En concreto, todos los servidores de la cadena de mensajes deben estar representados en la configuración de gateway.trusted
y gateway.trusted_hosts
.
En el gráfico siguiente se muestran algunos encabezados de ejemplo para una cadena de mensajes de un solo salto, donde el servidor proxy se comunica directamente con Tableau Server:
En el gráfico siguiente se muestran algunos encabezados de ejemplo para una cadena de mensajes de varios saltos, donde el mensaje atraviesa dos servidores proxy antes de conectarse a Tableau Server:
En la tabla siguiente se describen estos encabezados y cómo se relacionan con las opciones de configuración de Tableau Server:
Encabezados | Descripción | Configuración relacionada con Tableau Server |
REMOTE_ADDR y X-FORWARDED-FOR (XFF ) | Tableau Server necesita estos encabezados para determinar la dirección IP de origen de las solicitudes. El encabezado X-FORWARDED-FOR debe presentar la cadena de direcciones IP a Tableau Server en el orden en que se realizaron las conexiones. | La dirección IP que establece en gateway.trusted debe coincidir con la IP presentada en REMOTE_ADDR . Si ha enviado múltiples direcciones en gateway.trusted , una de ellas debe coincidir con la IP presentada en REMOTE_ADDR . |
HOST y X-FORWARDED HOST (XFH ) | Estos encabezados se usan para generar vínculos absolutos a Tableau Server cuando responde al cliente. El encabezado X-FORWARDED-HOST debe presentar los nombres de host a Tableau Server en el orden en que se realizaron las conexiones. | Los nombres de host presentes en el encabezado X-FORWARDED-HOST se deben incluir en los nombres de host que especifique en gateway.trusted_hosts . |
X-FORWARDED-PROTO (XFP ) | Este encabezado es necesario si la SSL está habilitada para el tráfico desde el cliente hacia el proxy, pero no para el tráfico desde el proxy hacia Tableau Server Los encabezados Artículo relacionado de la base de conocimiento: "Unable to Sign In" and "Invalid username or password" Error With SAML After Upgrading(El enlace se abre en una ventana nueva) (Error "No se puede iniciar sesión" y "Nombre de usuario o contraseña no válidos" con SAML después de la actualización). | La configuración de puertos en el proxy inverso (conexiones de entrada desde el cliente y conexiones de salida hacia Tableau Server) deben especificarse en el parámetro correspondiente: Si el servidor proxy está usando una SSL para comunicarse con Tableau Server, la SSL debe estar configurada y habilitada en Tableau Server. |
Validar la configuración del proxy inverso y el equilibrador de carga
Para validar la configuración de su puerta de enlace a Tableau Server, publique libros de trabajo y fuentes de datos mediante creación web de Tableau Server o Tableau Desktop. Si se conecta con un navegador web a Tableau Server a través de Internet, verifique que utiliza un navegador recomendado(El enlace se abre en una ventana nueva). Publique y consulte libros de trabajo que utilicen fuentes de datos existentes, así como fuentes de datos que haya publicado. Utilice los enlaces siguientes para familiarizarse con la conexión a Tableau Server como usuario final.
Tarea | Documentación |
---|---|
Información general sobre creación web. | Usar Tableau en la Web(El enlace se abre en una ventana nueva) |
Inicie sesión en Tableau Server desde Tableau Desktop o un navegador web. | Iniciar sesión en Tableau Server u Online(El enlace se abre en una ventana nueva) |
Publicar un libro de trabajo en Tableau Server. | Publicar un libro de trabajo(El enlace se abre en una ventana nueva) |
Publicar una fuente de datos. | Publicar una fuente de datos(El enlace se abre en una ventana nueva) |
Abra un libro de trabajo desde Tableau Server. | Apertura de libros de trabajo desde el servidor(El enlace se abre en una ventana nueva) |
Cierre la sesión del servidor (con Tableau Desktop). | Iniciar sesión en Tableau Server u Online(El enlace se abre en una ventana nueva) |
Descargar un libro de trabajo desde un navegador web. | Descargar libros de trabajo(El enlace se abre en una ventana nueva) |
Compruebe que tabcmd (desde un cliente que no sea un servidor) funcione correctamente. | tabcmd |