Essa página foi útil?
Sim Não

Configuração de proxies no Tableau Server

Na maioria das empresas, o Tableau Server precisa se comunicar com a Internet. O Tableau Server foi projetado para operar dentro de uma rede interna protegida. Não configure o Tableau Server diretamente na Internet ou em um DMZ. Em vez disso, a comunicação entre a rede e a Internet deve ser mediada com servidores proxy. O Servidor proxy avançado media o tráfego de dentro da rede para os destinos na Internet. Servidores de proxy reverso mediam o tráfego da Internet para destinos dentro da rede.

Quem deve ler este artigo?

Este artigo é para os profissionais de TI que têm experiência com soluções de redes gerais e de proxy de gateway. O artigo descreve como e quando o Tableau precisa de acesso à Internet e descreve como configurar sua rede e o Tableau para usar proxy reverso e de encaminhamento para acesso de e à Internet. Há diversas soluções de proxy de terceiros disponíveis, portanto, parte do conteúdo no artigo é necessariamente genérico.

Antes de configurar um servidor proxy, consulte Como se comunicar com a Internet.

Configurar um servidor proxy de encaminhamento

Para habilitar a comunicação do Tableau Server com a Internet, implante o Tableau Server com um servidor proxy de encaminhamento. Quando o Tableau Server precisa acessar a Internet, ele não envia a solicitação diretamente para a Internet. Em vez disso, ele envia a solicitação para o proxy de encaminhamento, que, por sua vez, encaminha a solicitação. Os proxies avançados ajudam os administradores a gerenciar o tráfego para fora da Internet, em tarefas como balanceamento de carga, bloqueio de acesso a sites etc.

Se você usa um proxy de encaminhamento, é necessário configurar os computadores que executam o Tableau Server na rede para enviar o tráfego para o proxy de encaminhamento.

Configuração do Tableau Server no Linux para trabalhar com um proxy de encaminhamento

Recomenda-se a configuração do Tableau Server para trabalhar com a solução de proxy de encaminhamento como parte do processo de instalação. Especificamente, configure o Tableau Server ao executar ./initialize-tsm, conforme descrito em Instalar e inicializar o TSM, ou como parte da Instalação automatizada do Tableau Server.

Caso não configure o Tableau Server para funcionar com sua solução de proxy de encaminhamento durante a instalação, execute o procedimento a seguir após implantar o Tableau Server.

  1. Abra o Bash e execute o comando tsm stop.

  2. Inicie uma sessão como um usuário sem privilégios. Por padrão, o tableau é o usuário não privilegiado criado pelo Tableau Server durante a instalação. Execute o seguinte comando:

    sudo su -l tableau

  3. Defina as variáveis de ambiente http_proxy e https_proxy para apontar para o host do proxy.

    Por exemplo, para definir o proxy como host de exemplo para as portas 80 e 443, execute os seguintes comandos:

    export http_proxy=http://example-host:80/

    export https_proxy=http://example-host:443/

    Certifique-se de usar http ao especificar a URL da variável ambiental https_proxy. Não especifique o protocolo https para o valor da variável ambiental https_proxy.

  4. Para ignorar o servidor proxy, especifique as exceções na variável no_proxy. Use esta variável se seu servidor proxy não rotear endereços internos. Além disso, adicione exceções a esta configuração de proxy para garantir que toda a comunicação em um cluster do Tableau Server (se tiver um agora ou se tiver um posteriormente) não seja roteada para o servidor proxy.

    Por exemplo, para especificar exceções para tráfego interno e para outro nó no cluster, execute o comando a seguir:

    export no_proxy="localhost,127.0.0.1,other.node"

    Em que other.node é o nome de host de outro nó no cluster do Tableau Server.

  5. Importe as variáveis de ambiente usando systemctl. Execute os seguintes comandos:

    systemctl --user import-environment http_proxy

    systemctl --user import-environment https_proxy

    systemctl --user import-environment no_proxy

  6. Reinicie os serviços do TSM. Execute os seguintes comandos:

    systemctl --user restart tabadmincontroller_0

    systemctl --user restart tabsvc_0

    systemctl --user restart appzookeeper_0

    systemctl --user restart clientfileservice_0

    systemctl --user restart fnplicenseservice_0

    systemctl --user restart licenseservice_0

    systemctl --user restart tabadminagent_0

  7. Execute tsm restart para concluir a configuração.

Como um proxy reverso funciona com o Tableau Server

Um proxy reverso é um servidor que recebe solicitações de clientes externos (Internet) e as encaminha para o Tableau Server. Por que usar um proxy reverso? A resposta básica é segurança. Um proxy reverso disponibiliza o Tableau Server para a Internet sem precisar expor o endereço IP individual do Tableau Server à Internet. Um proxy reverso também age como uma autenticação ou um dispositivo de passagem para que os dados não sejam armazenados de forma que pessoas de fora da empresa possam acessá-los. Este requisito pode ser importante para as organizações sujeitas a várias regulamentações de privacidade, como PCI, HIPAA ou SOX.

O diagrama a seguir ilustra o caminho de comunicação quando um cliente faz uma solicitação ao Tableau Server configurado para funcionar com um servidor proxy reverso.

  1. Um cliente externo inicia uma conexão com o Tableau Server. O cliente usa uma URL pública configurada para o servidor proxy reverso, como https://tableau.example.com. (O cliente não sabe que está acessando um proxy reverso).

  2. O proxy reverso mapeia essa solicitação, por sua vez, para uma solicitação no Tableau Server. O proxy reverso pode ser configurado para autenticar o cliente (usando SSL/TLS) como uma pré-condição para passar a solicitação ao Tableau Server.

  3. O Tableau Server recebe a solicitação e envia a resposta ao proxy reverso.

  4. O proxy reverso envia o conteúdo de volta ao cliente. Em relação ao cliente, ele acabou de ter uma interação com o Tableau Server e não tem como saber que a comunicação foi mediada pelo proxy reverso.

Servidores proxy e SSL

Para obter a melhor segurança, você deve configurar os servidores proxy reversos para usar SSL em qualquer tráfego externo à rede. Isso ajuda a garantir a privacidade, a integridade do conteúdo e a autenticação. A menos que você tenha implantado outras medidas de segurança para proteger o tráfego entre o seu gateway de internet e o Tableau Server, também recomendamos configurar o SSL entre o proxy do gateway e o Tableau Server. É possível usar certificados internos ou autoassinados para criptografar o tráfego entre Tableau Servers e outros computadores internos.

Acesso móvel

O Tableau Server adiciona um cabeçalho X-header a todas as respostas HTTP para sessões do Tableau Mobile. Por padrão, a maioria das soluções por proxy preservarão os X-headers. Se a sua solução por proxy não preserva os X-headers, então será necessário configurar seu servidor proxy para preservar o seguinte cabeçalho em todas as respostas HTTP para sessões de clientes móveis: X-Tableau: Tableau Server.

Se a autenticação foi configurada no gateway do servidor proxy, então o seu servidor proxy deve responder às solicitacões HTTP do Tableau Mobile com uma resposta HTTP 302. A resposta 302 deve incluir um redirecionamento para a página de logon do provedor de identidade. Para visualizar um diagrama que descreve a sequência de autenticação 302, consulte Sequência de autenticação do Tableau Mobile na comunidade do Tableau.

Proxy reverso e autenticação de usuário

O Tableau Server sempre autenticará os usuários. Isso significa que, mesmo que você esteja autenticando conexões de entrada no gateway de sua empresa, o Tableau Server ainda assim autenticará o usuário.

Contudo, nem todos os clientes serão compatíveis com a autenticação do usuário com um proxy reverso:

  • Para navegadores da Web compatíveis, use SAML, OpenID Connect, Kerberos, tíquetes confiáveis ou autenticação manual com um proxy reverso. Contudo, recomendamos um cenário transparente, no qual as solicitações de usuários não tenham a autenticação solicitada no gateway. Essa recomendação não proíbe o uso do SSL para autenticação de cliente/servidor no nível do sistema no proxy do gateway, na verdade, recomendamos veementemente a autenticação SSL no nível do sistema.

  • A versão de iOS do Tableau Mobile suporta autenticação SAML, Kerberos ou manual com um proxy reverso. A mesma recomendação acima se aplica.

  • O Tableau Desktop e a versão para Android do Tableau Mobile não são compatíveis com a autenticação com proxy reverso. Para esses clientes, use uma solução de VPN ou configure o proxy reverso para rotear o tráfego desses clientes diretamente para o Tableau Server para autenticação.

Se a sua empresa for autenticada com o Active Directory:

  • Active Directory com Habilitar logon automático (SSPI) não é compatível com o proxy reverso.
  • O Tableau Server deve ser configurado para proxy reverso antes de configurá-lo para Kerberos. Para obter mais informações, consulte Configurar o Kerberos.

Configurar o Tableau Server para funcionar com um servidor proxy reverso

Antes de configurar o Tableau Server, você precisará coletar as informações a seguir sobre a configuração do servidor proxy. Para configurar o Tableau Server, use o comando tsm configuration set. As informações de coleta obrigatória correspondem às opções necessárias ao executar tsm.

A maioria das seguintes opções do tsm também é usada para configurar as implantações do Tableau Server que funcionam em segundo plano a um balanceador de carga. Para obter mais informações, consulte Adicionar um balanceador de carga.

Item Descrição Opção tsm configuration set correspondente
Endereço IP ou CNAME

Você pode inserir um endereço IP ou um CNAME nessa opção.

O endereço IP público ou os endereços do servidor proxy. O endereço IP deve estar no formato IPv4, como 203.0.113.0, e deve ser um IP estático.

Caso não consiga fornecer um IP estático ou, se estiver usando proxies em nuvem ou balanceadores de carga externos, é possível especificar o valor DNS de CNAME (nome canônico) que os clientes usarão para se conectar ao Tableau Server. Este valor CNAME deve ser configurado na solução de proxy reverso para se comunicar com o Tableau Server.

gateway.trusted
FQDN O nome de domínio totalmente qualificado que as pessoas usam para acessar o Tableau Server, como tableau.example.com. O Tableau Server não suporta alternância de contexto para essa opção. Por exemplo, a seguinte URL não é compatível: example.com/tableau. gateway.public.host
Não FQDN Qualquer nome de subdomínio para o servidor proxy. No exemplo tableau.example.com, o nome do subdomínio é tableau. gateway.trusted_hosts
Aliases Quaisquer nomes alternativos públicos do servidor proxy. Na maioria dos casos, os aliases são designados usando valores CNAME. Um exemplo seria um servidor proxy bigbox.example.com e entradas CNAME de ftp.example.com e www.example.com. gateway.trusted_hosts
Portas Os números de porta do tráfego do cliente para o servidor de proxy reverso.

gateway.public.port

Se estiver usando uma instalação distribuída do Tableau Server, execute os seguintes comandos tsm no nó inicial do cluster.

  1. Insira o seguinte comando para acessar o FQDN que os clientes usarão para chegar ao Tableau Server pelo servidor proxy, no qual name é o FQDN:

    tsm configuration set -k gateway.public.host -v 'name'

    Por exemplo, se o Tableau Server for encontrado inserindo-se https://tableau.example.com no navegador, digite este comando:

    tsm configuration set -k gateway.public.host -v 'tableau.example.com'

  2. Insira o seguinte comando para definir o endereço ou o CNAME do servidor proxy, no qual server_address é o endereço IPv4 ou o valor de CNAME:

    tsm configuration set -k gateway.trusted -v 'server_ip_address'

    Se a empresa usar vários servidores proxy, insira vários endereços IPv4, separando-os com vírgulas. Intervalos de IP não são suportados. Para melhorar a inicialização do Tableau Server, reduza o número de entradas em gateway.trusted.

  3. Insira o comando a seguir para especificar nomes alternativos para o servidor proxy, como seu nome de domínio totalmente qualificado, nomes de domínio não totalmente qualificados e aliases. Se houver mais de um nome, separe-os por vírgula.

    tsm configuration set -k gateway.trusted_hosts -v 'name1, name2, name3'

    Por exemplo:

    tsm configuration set -k gateway.trusted_hosts -v 'proxy1.example.com, proxy1, ftp.example.com, www.example.com'

  4. Se o servidor proxy estiver usando SSL para se comunicar com a Internet, execute o seguinte comando, que diz ao Tableau que o servidor de proxy reverso está usando a porta 443 em vez da porta 80:

    tsm configuration set -k gateway.public.port -v 443

    Observação: se o servidor proxy estiver usando SSL para se comunicar com o Tableau Server, o SSL deverá ser configurado e estar habilitado no Tableau Server.

  5. Insira o comando a seguir para aplicar a alteração de configuração:

    tsm pending-changes apply

    O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

Configurar o servidor proxy reverso para funcionar com o Tableau Server

Quando um cliente acessa o Tableau Server por um proxy reverso, cabeçalhos de mensagem específicos precisam ser preservados (ou adicionados). Especificamente, todos os servidores proxy na cadeia de mensagens precisam ser representados nas configurações gateway.trusted e gateway.trusted_hosts.

O gráfico a seguir mostra cabeçalhos de exemplo de uma cadeia de mensagens de um salto na qual um servidor proxy está se comunicando diretamente com o Tableau Server:

O gráfico a seguir mostra cabeçalhos de exemplo de uma cadeia de mensagens de vários saltos, na qual a mensagem passa por dois servidores proxy antes de se conectar ao Tableau Server:

A tabela a seguir descreve o que são esses cabeçalhos e como eles estão relacionados às definições de configuração no Tableau Server:

Cabeçalhos Descrição Configurações relacionadas do Tableau Server
REMOTE_ADDR e X-FORWARDED-FOR (XFF) O Tableau Server precisa desses cabeçalhos para determinar o endereço IP de origem das solicitações. O cabeçalho X-FORWARDED-FOR precisa apresentar a cadeia de endereço IP para o Tableau Server na ordem em que as conexões aconteceram. O endereço IP definido emgateway.trusted deve ser igual ao IP apresentado em REMOTE_ADDR. Se você enviar vários endereços emgateway.trusted, um deles deve corresponder ao IP apresentado em REMOTE_ADDR.
HOST e X-FORWARDED HOST (XFH) Esses cabeçalhos são usados para gerar links absolutos para o Tableau Server quando ele responde ao cliente. O cabeçalho X-FORWARDED-HOST precisa apresentar nomes de host para o Tableau Server na ordem em que as conexões aconteceram. Os nomes de host que são apresentados no cabeçalho X-FORWARDED-HOST devem ser incluídos nos nomes de host especificados em gateway.trusted_hosts.
X-FORWARDED-PROTO (XFP) Este cabeçalho é necessário se o SSL estiver habilitado para o tráfego do cliente para o proxy, mas não para o tráfego do proxy para o Tableau Server.

Os cabeçalhos X-FORWARDED-PROTO são importantes para cenários em que HTTP ou HTTPS não são mantidos ao longo de cada salto da rota de mensagem. Por exemplo, se o proxy reverso necessita de SSL para solicitações externas, mas o tráfego entre o proxy reverso e o Tableau Server não está configurado para usar SSL, os cabeçalhos X-FORWARDED-PROTO são necessários. Algumas soluções de proxy acrescentam os cabeçalhos X-FORWARDED-PROTO automaticamente, enquanto outras não. Finalmente, dependendo da sua solução proxy, você pode ter que configurar o encaminhamento de porta para traduzir a solicitação da porta 443 à porta 80.

A configuração de porta no proxy reverso (conexões de entrada do cliente e conexões de saída para o Tableau Server) deve ser especificada nos parâmetros correspondentes: gateway.public.port, que é a porta que os clientes usam para se conectar ao proxy.

Se o servidor proxy estiver usando SSL para se comunicar com o Tableau Server, o SSL deve ser configurado e habilitado no Tableau Server.

Validar configuração de proxy reverso

Para validar a configuração do proxy reverso, publique pastas de trabalho e fontes de dados por meio da criação na Web do Tableau Server ou do Tableau Desktop. Ao se conectar por um navegador da Web com o Tableau Server na Internet, verifique se você está usando um navegador recomendado. Publique e visualize pastas de trabalho que usam fontes de dados existentes além de uma fonte de dados publicada por você. Use os links abaixo para se familiarizar com a conexão com o Tableau Server como um usuário final.

Tarefa Documentação
Visão geral da criação na Web. Usar o Tableau na Web
Faça logon no Tableau Server por meio do Tableau Desktop ou de um navegador da Web. Fazer logon no Tableau Server ou Online
Publique uma pasta de trabalho no Tableau Server. Publicar uma pasta de trabalho
Publique uma fonte de dados. Publicar uma fonte de dados
Abrir pasta de trabalho pelo Tableau Server. Como abrir pastas de trabalho no servidor
Sair do Server (com o Desktop). Fazer logon no Tableau Server ou Online
Baixar pasta de trabalho em um navegador da Web. Baixar pastas de trabalho
Verifique para certificar-se de que tabcmd (de um cliente não servidor) funciona. tabcmd

Tópicos relacionados