Configurar proxies e balanceadores de carga para o Tableau Server

Na maioria das empresas, o Tableau Server precisa se comunicar com a Internet. O Tableau Server foi projetado para operar dentro de uma rede interna protegida. Não configure o Tableau Server diretamente na Internet ou em um DMZ. Em vez disso, a comunicação entre a rede e a Internet deve ser mediada com servidores proxy. O Servidor proxy avançado media o tráfego de dentro da rede para os destinos na Internet. Servidores proxy reversos e balanceadores de carga medeiam o tráfego da Internet para alvos dentro da rede.

Quem deve ler este artigo?

Este artigo é destinado a profissionais de TI com experiência em redes gerais, balanceamento de carga e soluções de proxy de gateway. O artigo descreve como e quando o Tableau precisa de acesso à Internet e descreve como configurar sua rede e o Tableau para usar servidores proxy e de balanceamento de carga para acesso de e à Internet. Há diversas soluções de terceiros disponíveis, portanto, parte do conteúdo no artigo é necessariamente genérico.

Antes de configurar um servidor proxy, consulte Como se comunicar com a Internet.

Configurar um servidor proxy de encaminhamento

Para habilitar a comunicação do Tableau Server com a Internet, implante o Tableau Server com um servidor proxy de encaminhamento. Quando o Tableau Server precisa acessar a Internet, ele não envia a solicitação diretamente para a Internet. Em vez disso, ele envia a solicitação para o proxy de encaminhamento, que, por sua vez, encaminha a solicitação. Os proxies avançados ajudam os administradores a gerenciar o tráfego para fora da Internet, em tarefas como balanceamento de carga, bloqueio de acesso a sites etc.

Se você usa um proxy de encaminhamento, é necessário configurar os computadores que executam o Tableau Server na rede para enviar o tráfego para o proxy de encaminhamento. O Tableau Server não oferece suporte à autenticação de proxy manual ou de passagem.

Se você estiver executando a autenticação OpenID com uma solução de proxy de encaminhamento, configurações adicionais são necessárias. Consulte Configurar OpenID para trabalhar com um proxy de encaminhamento.

Configuração do Tableau Server no Windows para trabalhar com um proxy de encaminhamento

As etapas para configurar as opções de Internet no computador com o Tableau Server dependem de qual cenário descreve melhor a sua empresa:

  • Sua empresa não usa uma solução de proxy de encaminhamento. Se a empresa não estiver executando uma solução de proxy e o computador no qual você está instalando o Tableau Server puder se comunicar com a Internet, não será necessário seguir os procedimentos especificados aqui.

  • Um solução de proxy é implantada e arquivos de configuração automática definem as configurações de conexão. Se a sua organização usa arquivos de configuração automática (como arquivos PAC ou .ins) para especificar informações de conexão com a Internet, é possível usar essas informações na caixa de diálogo Configurações de rede local (LAN) no Windows. Para obter mais informações, consulte Ativar detecção e configuração automática de configurações de navegador no site de suporte da Microsoft.

  • Uma solução de proxy está implantada, mas os arquivos de configuração automática ainda não estão implantados. Neste cenário, ajuste as configurações de LAN no computador com Windows que executa o Tableau Server para que as conexões ao servidor proxy sejam feitas sob o contexto de segurança da conta de usuário Run As. Também é necessário configurar localhost e outras instâncias internas do Tableau Server como exceções.

O procedimento a seguir descreve as etapas do último cenário, uma solução de proxy sem arquivos de configuração automática, onde o Tableau Server está sendo executado no Windows Server.

Observação: se estiver usando uma instalação distribuída do Tableau Server, execute os seguintes procedimentos no nó inicial do servidor e em cada nó adicional.

Etapa 1: adicionar a conta de serviço do usuário Run As ao grupo de Administradores locais

Para realizar este procedimento, faça logon no computador com o Tableau Server como a conta de serviço Run As. Por padrão, a política "logon local" não se aplica à conta de serviço Run As. Portanto, deve-se adicionar a conta de serviço Run As temporariamente ao grupo de Administradores Locais.

Caso ainda não tenha instalado o Tableau Server no computador, consulte Alterar a conta de serviço Run As. Caso já tenha instalado o Tableau Server e configurado a conta de serviço Run As, será possível determinar o nome da conta de serviço Run As ao fazer logon na interface do usuário na Web do Tableau Server. A conta de serviço Run As do Tableau Server está listada na guia Geral da janela Configuração. Consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.

Adicione a conta de serviço Run As ao grupo de Administradores locais usando as etapas em Adicionar um membro a um grupo local no site da Microsoft. Ao terminar de configurar as informações de proxy de encaminhamento, você removerá a conta de serviço Run As do grupo Administradores locais.

Etapa 2: configurar o servidor proxy nas configurações de LAN do Windows

  1. Com a conta de serviço Run As, faça logon no computador no qual o Tableau Server está ou será instalado.

  2. Abra a caixa de diálogo Configurações da Rede Local (LAN). (Uma forma rápida de chegar a essa caixa de diálogo é pesquisar por Internet Options no menu Iniciar do Windows. Na caixa de diálogo Propriedades da Internet, clique na guia Conexões e clique em Configurações LAN.)

  3. Em Servidor proxy, selecione Usar um servidor proxy para a rede local, digite o endereço e a porta do servidor proxy e selecione Não usar um servidor proxy para endereços locais.

Mantenha a caixa de diálogo aberta e vá para a próxima etapa.

Etapa 3: adicionar exceções para ignorar o servidor proxy

Você adiciona exceções a esta configuração de proxy para garantir que toda a comunicação em um cluster do Tableau Server (se tiver um agora ou terá um posteriormente) não seja roteada para o servidor proxy.

  1. Na caixa de diálogo Configurações da Rede Local (LAN), clique Avançadas. (Esta opção estará disponível somente se você selecionar a opção para usar um servidor proxy para a sua LAN.)

  2. Na caixa de diálogo Configurações de Proxy, digite o seguinte no campo Exceções.

    • localhost
    • Os nomes de host do servidor e endereços IP dos outros computadores com Tableau Server no mesmo cluster.

    Use ponto e vírgula para separar os itens.

  3. Feche a caixa de diálogo configurações de proxy e a caixa de diálogo Configurações de rede local (LAN).

  4. Na caixa de diálogo Opções da Internet, clique em OK para aplicar as definições.

Mantenha-se conectado ao computador e vá para a próxima etapa.

Etapa 4: verificar se as configurações de proxy não estão em conflito com as variáveis de ambiente do Windows

Algumas empresas definem as configurações de proxy direto como variáveis de ambiente no sistema operacional Windows. Se essas configurações estiverem definidas no computador onde o Tableau Server é executado, verifique se não há conflito com as configurações preenchidas aqui.

Essa verificação é importante se o Tableau Server estiver habilitado para licenciamento ATR. O licenciamento ATR é habilitado por padrão no Tableau Server versão 2021.4 e posterior.

  1. No computador onde o Tableau Server é executado, insira "configurações avançadas do sistema" na caixa de pesquisa e, em seguida, pressione Enter para abrir a caixa Propriedades do sistema.

  2. Na guia Avançado, clique em Variáveis de ambiente.

  3. Vá até o campo Variáveis do sistema.

    Se http_proxy ou https_proxy for especificado, verifique se os valores não estão em conflito com o endereço do servidor proxy configurado na etapa anterior.

    • Se as configurações existentes não forem conflitantes, vá para a "Etapa 5: testar a configuração de proxy".

    • Se as configurações existentes entrarem em conflito, crie uma nova variável chamada no_proxy e digite:

      • o nome do host, o
      • Endereço IP

      Por exemplo, localhost,192.168.0.10. Para obter mais informações, consulte o artigo MSDN da Microsoft, Definir variáveis de ambiente.

  4. Clique em OK.

Etapa 5: verifique se as configurações de proxy WinHTTP não estão em conflito com as configurações de LAN do Windows

Se o ATR do servidor estiver habilitado (é habilitado por padrão no Tableau Server 2021.4 ou posterior), verifique se o proxy WinHTTP está configurado e não está em conflito com as configurações de LAN do Windows.

  1. Com a conta de serviço Run As, faça logon no computador no qual o Tableau Server está ou será instalado.

  2. Abra o prompt de comando e use o seguinte comando para confirmar a configuração atual:

    netsh winhttp show proxy

  3. Configure o proxy para WinHTTP usando um dos seguintes métodos:

    • Use o seguinte comando se você importar a configuração das Configurações de LAN do Windows:

      netsh winhttp import proxy source=ie

    • Use o seguinte comando para configurar o proxy WinHTTP separadamente:

      netsh winhttp set proxy <proxy server> <proxy bypass list>

    Para obter mais informações, consulte Configurar o servidor proxy manualmente usando o comando netsh(O link abre em nova janela) no site da Microsoft.

  4. Confirme se as configurações de proxy não estão em conflito com outras configurações de proxy do Windows.

Etapa 6: testar as configurações de proxy

Para testar as novas configurações, enquanto ainda conectado na conta de serviço Run As no computador do Tableau Server, abra um navegador da Web e teste as URLs do Tableau a seguir:

https://mapsconfig.tableau.com/v1/config.json(O link abre em nova janela) e https://api.mapbox.com/(O link abre em nova janela) solicitará que você baixe um arquivo json.

Etapa 7: remover a conta de serviço Run As do grupo de Administradores locais

Após testar as configurações de proxy, remova a conta de serviço Run As do grupo de Administradores locais. Deixar a conta de serviço Run As no grupo de administradores aumenta as permissões da conta de serviço Run As e coloca a segurança em risco.

Reinicie o Tableau Server para que todas as alterações sejam aplicadas.

Gerador de relatórios de falhas do servidor

Se sua organização usar um servidor proxy para se conectar à internet, você deve configurar o gerador de relatórios de falhas do servidor do Tableau para usar o proxy. Mesmo que já tenha configurado o Tableau Server para usar um proxy, também deverá configurar o gerador de relatórios de falhas do servidor separadamente. Para configurar o proxy para o gerador de relatórios de falhas do servidor, consulte Configurar o relato de falhas do servidor.

Como um proxy reverso e um balanceador funciona com o Tableau Server

Proxies reversos e balanceadores de carga são servidores que recebem solicitações de clientes externos (Internet) e as encaminham para o Tableau Server. Essas soluções disponibilizam o Tableau Server para a Internet sem precisar expor o endereço IP individual do Tableau Server à Internet. Elas também agem como uma autenticação ou dispositivos de passagem para que os dados não sejam armazenados de forma que pessoas de fora da empresa possam acessá-los. Este requisito pode ser importante para as organizações sujeitas a várias regulamentações de privacidade, como PCI, HIPAA ou SOX.

O diagrama a seguir ilustra o caminho de comunicação quando um cliente faz uma solicitação ao Tableau Server configurado para funcionar com um proxy reverso e/ou balanceador de carga (LB)

  1. Um cliente externo inicia uma conexão com o Tableau Server. O cliente usa uma URL pública configurada para o servidor proxy reverso/LB, como https://tableau.example.com. (O cliente não sabe que está acessando um proxy reverso/LB).

  2. O proxy reverso mapeia essa solicitação, por sua vez, para uma solicitação no Tableau Server. Em alguns cenários, o proxy reverso pode ser configurado para autenticar o cliente (usando SSL/TLS) como uma pré-condição para passar a solicitação ao Tableau Server.

  3. O Tableau Server recebe a solicitação e envia a resposta ao proxy reverso/LB.

  4. O proxy reverso/LB envia o conteúdo de volta ao cliente. No que diz respeito ao cliente, ele apenas interagiu com o Tableau Server e não tem como saber que a comunicação passou por servidor(es) intermediário(s).

TLS/SSL

Dependendo do cenário do gateway, considere configurar o proxy reverso e os servidores de balanceamento de carga para usar TLS/SSL para qualquer tráfego externo à sua rede. Isso ajuda a garantir a privacidade, a integridade do conteúdo e a autenticação. A menos que você tenha implantado outras medidas de segurança para proteger o tráfego entre o seu gateway de internet e o Tableau Server, também recomendamos configurar o SSL entre o proxy do gateway e o Tableau Server. É possível usar certificados internos ou autoassinados para criptografar o tráfego entre Tableau Servers e outros computadores internos.

Acesso móvel

O Tableau Server adiciona um cabeçalho X-header a todas as respostas HTTP para sessões do Tableau Mobile. Por padrão, a maioria das soluções por proxy preservarão os X-headers. Se a sua solução de gateway não preservar os cabeçalhos X, será necessário configurar o servidor proxy e o balanceador de carga para preservar o seguinte cabeçalho para todas as respostas HTTP para sessões do cliente móvel: X-Tableau: Tableau Server.

Se você tiver configurado a autenticação no gateway, seu servidor proxy/LB deverá responder às solicitações HTTP do Tableau Mobile com uma resposta HTTP 302. A resposta 302 deve incluir um redirecionamento para a página de logon do provedor de identidade. Para visualizar um diagrama que descreve a sequência de autenticação 302, consulte Sequência de autenticação do Tableau Mobile(O link abre em nova janela) na comunidade do Tableau.

Proxy reverso, balanceador de carga e autenticação de usuário

O Tableau Server sempre autenticará os usuários. Isso significa que, mesmo que esteja autenticando conexões de entrada no gateway de sua empresa, o Tableau Server ainda assim autenticará o usuário.

No entanto, nem todos os clientes aceitarão a autenticação do usuário com uma solução de gateway:

  • Para navegadores da Web compatíveis, use SAML, OpenID Connect, Kerberos, tíquetes confiáveis ou autenticação manual com um proxy reverso/LB.

  • O Tableau Mobile suporta autenticação SAML ou manual com um proxy reverso/LB. A versão de iOS do Tableau Mobile suporta o Kerberos com um proxy reverso/LB. A mesma recomendação acima se aplica.

  • O Tableau Prep não aceita autenticação com um proxy reverso ou balanceador de carga. Para acesso remoto, use uma solução VPN ou configure seus serviços de gateway para rotear o tráfego do Tableau Prep diretamente para o Tableau Server para autenticação.

  • O Tableau Desktop oferece suporte à autenticação com um proxy reverso, desde que um módulo de autenticação esteja executando a pré-autenticação no proxy reverso antes que o tráfego seja roteado para o Tableau Server para autenticação final. Para obter mais informações, consulte a Parte 5 - Configurando a camada da Web(O link abre em nova janela) do Guia de implantação do Tableau Server Enterprise e Configurar módulo de autenticação com Independent Gateway .

Se a sua empresa for autenticada com o Active Directory:

  • Active Directory com Habilitar logon automático (SSPI) não é compatível com o proxy reverso.
  • O Tableau Server deve ser configurado para proxy reverso antes de configurá-lo para Kerberos. Para obter mais informações, consulte Configurar o Kerberos.

Configurar o Tableau Server para funcionar com um servidor proxy reverso e/ou balanceador de carga

Antes de configurar o Tableau Server, você precisará coletar as informações a seguir sobre a configuração do servidor proxy. Para configurar o Tableau Server, use o comando tsm configuration set. As informações de coleta obrigatória correspondem às opções necessárias ao executar tsm.

A maioria das seguintes opções do tsm também é usada para configurar as implantações do Tableau Server que funcionam em segundo plano a um balanceador de carga. Para obter mais informações, consulte Adicionar um balanceador de carga.

ItemDescriçãoOpção tsm configuration set correspondente
Endereço IP ou CNAME

Você pode inserir um endereço IP ou um CNAME nessa opção.

O endereço ou endereços IP públicos dos servidores proxy e do balanceador de carga. O endereço IP deve estar no formato IPv4, como 203.0.113.0, e deve ser um IP estático.

Caso não consiga fornecer um IP estático ou, se estiver usando proxies em nuvem ou balanceadores de carga externos, é possível especificar o valor DNS de CNAME (nome canônico) que os clientes usarão para se conectar ao Tableau Server. Este valor CNAME deve ser configurado na solução de proxy reverso para se comunicar com o Tableau Server.

gateway.trusted
FQDNO nome de domínio totalmente qualificado que as pessoas usam para acessar o Tableau Server, como tableau.example.com. O Tableau Server não suporta alternância de contexto para essa opção. Por exemplo, a seguinte URL não é compatível: example.com/tableau.gateway.public.host
Não FQDNQualquer nome de subdomínio para o servidores LB. No exemplo tableau.example.com, o nome do subdomínio é tableau.gateway.trusted_hosts
AliasesQuaisquer nomes alternativos públicos para os servidores proxy ou LB. Na maioria dos casos, os aliases são designados usando valores CNAME. Um exemplo seria um servidor proxy bigbox.example.com e entradas CNAME de ftp.example.com e www.example.com.gateway.trusted_hosts
PortasOs números de porta do tráfego do cliente para o servidor de proxy reverso.

gateway.public.port

Se estiver usando uma instalação distribuída do Tableau Server, execute os seguintes comandos tsm no nó inicial do cluster.

  1. Insira o comando a seguir para definir o FQDN que os clientes usarão para acessar o Tableau Server por meio dos servidores proxy e/ou LB, em que name é o FQDN:

    tsm configuration set -k gateway.public.host -v "name"

    Por exemplo, se o Tableau Server for encontrado inserindo-se https://tableau.example.com no navegador, digite este comando:

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Digite o seguinte comando para definir o endereço ou o CNAME dos servidores proxy e ou LB, em que server_address é o endereço IPv4 ou valor CNAME:

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Se sua organização usa vários servidores proxy e/ou servidores LB, insira vários endereços IPv4, separando-os com vírgulas. Intervalos de IP não são suportados. Para melhorar a inicialização do Tableau Server, reduza o número de entradas em gateway.trusted.

  3. Insira o comando a seguir para especificar nomes alternativos para os servidores proxy/LB, como seus nomes de domínio totalmente qualificados, quaisquer nomes de domínio não totalmente qualificados e quaisquer aliases. Se houver mais de um nome, separe-os por vírgula.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Por exemplo:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Se o servidor proxy estiver usando SSL para se comunicar com a Internet, execute o seguinte comando, que diz ao Tableau que o servidor de proxy reverso está usando a porta 443 em vez da porta 80:

    tsm configuration set -k gateway.public.port -v 443

    Observação: se o servidor proxy estiver usando SSL para se comunicar com o Tableau Server, o SSL deverá ser configurado e estar habilitado no Tableau Server.

  5. Insira o comando a seguir para aplicar a alteração de configuração:

    tsm pending-changes apply

    Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Configurar o proxy reverso ou o servidor de balanceamento de carga para funcionar com o Tableau Server

Quando um cliente acessa o Tableau Server por um proxy reverso ou balanceador de carga, cabeçalhos de mensagem específicos precisam ser preservados (ou adicionados). Especificamente, todos os servidores na cadeia de mensagens precisam ser representados nas configurações gateway.trusted e gateway.trusted_hosts.

O gráfico a seguir mostra cabeçalhos de exemplo de uma cadeia de mensagens de um salto na qual um servidor proxy está se comunicando diretamente com o Tableau Server:

O gráfico a seguir mostra cabeçalhos de exemplo de uma cadeia de mensagens de vários saltos, na qual a mensagem passa por dois servidores proxy antes de se conectar ao Tableau Server:

A tabela a seguir descreve o que são esses cabeçalhos e como eles estão relacionados às definições de configuração no Tableau Server:

CabeçalhosDescriçãoConfigurações relacionadas do Tableau Server
REMOTE_ADDR e X-FORWARDED-FOR (XFF)O Tableau Server precisa desses cabeçalhos para determinar o endereço IP de origem das solicitações. O cabeçalho X-FORWARDED-FOR precisa apresentar a cadeia de endereço IP para o Tableau Server na ordem em que as conexões aconteceram.O endereço IP definido emgateway.trusted deve ser igual ao IP apresentado em REMOTE_ADDR. Se você enviar vários endereços emgateway.trusted, um deles deve corresponder ao IP apresentado em REMOTE_ADDR.
HOST e X-FORWARDED HOST (XFH)Esses cabeçalhos são usados para gerar links absolutos para o Tableau Server quando ele responde ao cliente. O cabeçalho X-FORWARDED-HOST precisa apresentar nomes de host para o Tableau Server na ordem em que as conexões aconteceram.Os nomes de host que são apresentados no cabeçalho X-FORWARDED-HOST devem ser incluídos nos nomes de host especificados em gateway.trusted_hosts.
X-FORWARDED-PROTO (XFP)Este cabeçalho é necessário se o SSL estiver habilitado para o tráfego do cliente para o proxy, mas não para o tráfego do proxy para o Tableau Server.

Os cabeçalhos X-FORWARDED-PROTO são importantes para cenários em que HTTP ou HTTPS não são mantidos ao longo de cada salto da rota de mensagem. Por exemplo, se o proxy reverso necessita de SSL para solicitações externas, mas o tráfego entre o proxy reverso e o Tableau Server não está configurado para usar SSL, os cabeçalhos X-FORWARDED-PROTO são necessários. Algumas soluções de proxy acrescentam os cabeçalhos X-FORWARDED-PROTO automaticamente, enquanto outras não. Finalmente, dependendo da sua solução proxy, você pode ter que configurar o encaminhamento de porta para traduzir a solicitação da porta 443 à porta 80.

Artigo KB relacionado: Erro "Não é possível fazer logon" e "Nome de usuário ou senha inválida" com SAML após atualização(O link abre em nova janela).

A configuração de porta no proxy reverso (conexões de entrada do cliente e conexões de saída para o Tableau Server) deve ser especificada nos parâmetros correspondentes: gateway.public.port, que é a porta que os clientes usam para se conectar ao proxy.

Se o servidor proxy estiver usando SSL para se comunicar com o Tableau Server, o SSL deve ser configurado e habilitado no Tableau Server.

Validar a configuração do proxy reverso e do balanceador de carga

Para validar a configuração do gateway para o Tableau Server, publique pastas de trabalho e fontes de dados usando a criação na Web do Tableau Server ou o Tableau Desktop. Ao se conectar por um navegador da Web com o Tableau Server na Internet, verifique se você está usando um navegador recomendado(O link abre em nova janela). Publique e visualize pastas de trabalho que usam fontes de dados existentes além de uma fonte de dados publicada por você. Use os links abaixo para se familiarizar com a conexão com o Tableau Server como um usuário final.

TarefaDocumentação
Visão geral da criação na Web.Usar o Tableau na Web(O link abre em nova janela)
Faça logon no Tableau Server por meio do Tableau Desktop ou de um navegador da Web.Fazer logon no Tableau Server ou Online(O link abre em nova janela)
Publique uma pasta de trabalho no Tableau Server.Publicar uma pasta de trabalho(O link abre em nova janela)
Publique uma fonte de dados.Publicar uma fonte de dados(O link abre em nova janela)
Abrir pasta de trabalho pelo Tableau Server.Como abrir pastas de trabalho no servidor(O link abre em nova janela)
Sair do Server (com o Desktop).Fazer logon no Tableau Server ou Online(O link abre em nova janela)
Baixar pasta de trabalho em um navegador da Web.Baixar pastas de trabalho(O link abre em nova janela)
Verifique para certificar-se de que tabcmd (de um cliente não servidor) funciona.tabcmd

Tópicos relacionados

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!