Häufige Sicherheitskonfigurationen für Gruppen
Eine Amazon Elastic Compute Cloud (EC2)-Instanz lässt nur Netzwerkverkehr aus Quellen und über Ports zu, die in der eigenen Sicherheitsgruppe definiert sind. Wenn Sie Amazon EC2 verwenden, müssen Sie einige Sicherheitsgruppen einrichten, die den Aktionen entsprechen, die Sie mit den EC2-Instanzen ausführen. In diesem Thema werden einige allgemeine Sicherheitsgruppen erläutert, die für unterschiedliche ArcGIS for Server-Bereitstellungen konfiguriert werden können.
Eine Sicherheitsgruppe ist standardmäßig vollständig gesperrt. Sie fügen einer Sicherheitsgruppe Regeln hinzu, indem Sie den zulässigen Datenverkehrstyp, die zur Übermittlung zulässigen Ports und die Computer festlegen, deren Kommunikation angenommen wird. Welche Ports geöffnet und welcher Datenverkehrstyp zugelassen wird, hängt von den Aktionen ab, die Sie mit der Instanz ausführen.
Nachfolgend finden Sie Vorschläge für Namen und Regeln für Sicherheitsgruppen, die Sie in der AWS-Verwaltungskonsole konfigurieren können. Zulässige Ports und Protokolle können je nach IT-Richtlinien der Organisation variieren. In den nachfolgenden Vorschlägen werden die am häufigsten verwendeten Portnummern verwendet. Wenn Ihre Organisation über einen IT-Spezialist verfügt, sollten Sie sich bezüglich der besten Sicherheitsstrategie für EC2-Instanzen von ihm beraten lassen.
ArcGIS for Server-Entwicklung
Sie sollten eine Sicherheitsgruppe speziell für EC2-Instanzen erstellen, die zu Entwicklungs- und Testzwecken verwendet werden. Dieser Gruppentyp kann den Zugriff auf Folgendes erteilen:
- RDP-Zugriff über Port 3389 für Ihre IP-Adresse oder einen Bereich genehmigter IP-Adressen innerhalb der Organisation (nur Windows). Dies ermöglicht Ihnen die Verwaltung der EC2-Instanzen über Windows-Remotedesktop. Sie müssen die Classless Inter-Domain Routing (CIDR)-Notation verwenden, um einen IP-Adressbereich (oder eine IP-Adresse) zum Herstellen von Verbindungen festzulegen. Mit "0.0.0.0/0" kann beispielsweise jeder Benutzer Verbindungen herstellen, wohingegen mit "92.23.32.51/32" nur bestimmte IP-Adressen Verbindungen herstellen können. Informieren Sie sich bei Ihrem Systemadministrator, falls Sie Unterstützung beim Abrufen der externen IP-Adresse des lokalen Computers benötigen.
- TCP-Zugriff über Port 22 für Ihre IP-Adresse oder einen Bereich genehmigter IP-Adressen innerhalb der Organisation (nur Linux). Wenn Port 22 geöffnet ist, können Sie mit Linux-Instanzen über SSH arbeiten.
- TCP-Zugriff über Port 6080 für alle Benutzer (wenn Elastic Load Balancer nicht verwendet wird) oder die Sicherheitsgruppe des Elastic Load Balancer (wenn Elastic Load Balancer verwendet wird). Port 6080 wird für die Kommunikation mit ArcGIS for Server verwendet. Wenn Sie der Site keinen Elastic Load Balancer vorschalten, müssen Sie Port 6080 für alle Benutzer öffnen, die Ihre ArcGIS for Server-Web-Services verwenden. Wenn Sie einen Elastic Load Balancer verwenden, müssen Sie Port 6080 für die Sicherheitsgruppe des Elastic Load Balancer öffnen (die in der AWS Management Console ermittelt werden kann und bei der es sich wahrscheinlich um einen Wert wie amazon-elb/amazon-elb-sg handelt).
- Zugriff über andere Computer in dieser Gruppe. Dies ist erforderlich, damit die GIS-Servercomputer miteinander kommunizieren können. Zudem wird dadurch die Dateifreigabe vereinfacht. Sie können eine Regel hinzufügen, die diesen Zugriffstyp zulässt, indem Sie den Regeltyp Alle ICMP, die Sicherheitsgruppen-ID (z. B. sg-xxxxxxxx) in das Feld Quelle eingeben und auf Regel hinzufügen klicken. Bei dieser Vorgehensweise können die Computer in der Gruppe über alle Ports und Protokolle miteinander kommunizieren.
ArcGIS for Server-Produktion
Nachdem Sie die Anwendung entwickelt und getestet haben und bereit sind, sie auf die Produktionsebene zu verschieben, ist es empfehlenswert, den Remotedesktopzugriff zu deaktivieren. Falls ein Problem auftritt und Sie sich beim Computer anmelden müssen, können Sie die Konfiguration der Sicherheitsgruppe vorübergehend ändern, um Zugriff zu erhalten. Eine ArcGIS for Server-Produktionsgruppe kann den Zugriff auf Folgendes erteilen:
- TCP-Zugriff über Port 6080 für alle Benutzer (wenn Elastic Load Balancer nicht verwendet wird) oder die Sicherheitsgruppe des Elastic Load Balancer (wenn Elastic Load Balancer verwendet wird)
- Zugriff über andere Computer in dieser Gruppe
ArcGIS for Server-Produktionssicherheit
Wenn Sie verschlüsselte Kommunikation mit dem Computer anfordern, sollten Sie einen Elastic Load Balancer auf der Site konfigurieren, der Datenverkehr über Port 443 empfängt, der normalerweise für verschlüsselte Kommunikation über SSL verwendet wird. Konfigurieren Sie den Load Balancer anschließend für die Übermittlung von Datenverkehr an Port 6443. Öffnen Sie in der Sicherheitsgruppe die oben beschriebenen Ports für die ArcGIS for Server-Produktion.
Enterprise-Geodatabase
Wenn Sie eine Enterprise-Geodatabase auf einer von der ArcGIS for Server-Instanz getrennten Instanz wünschen, können Sie eine Sicherheitsgruppe speziell für die Enterprise-Geodatabase-Instanz konfigurieren, die Ihnen folgende Möglichkeiten bietet:
- TCP-Zugriff über Port 22 (Linux) für Ihre IP-Adresse oder einen Bereich genehmigter IP-Adressen innerhalb der Organisation Sie müssen mindestens einmal eine Remote-Verbindung zu Ihrem Computer herstellen, um die Standardkennwörter für PostgreSQL zu ändern. Danach können Sie diese Remote-Zugriffsregel nach Wunsch aus der Sicherheitsgruppe entfernen.
- RDP-Zugriff über Port 3389 (Windows) Sie können diese Regel hinzufügen, falls Sie eine Remote-Verbindung zur SQL Server- oder SQL Server Express-Instanz herstellen müssen – beispielsweise zum Hinzufügen von Benutzern oder zusätzlichen Geodatabases – und sie dann entfernen, wenn der Vorgang abgeschlossen ist.
- Zugriff über Computer in der ArcGIS-Server-Sicherheitsgruppe Dies ermöglicht den Instanzen die Ausführung von ArcGIS for Server, um die Enterprise-Geodatabase-Instanz anzuzeigen. Wenn Computer, die nicht an den Sicherheitsgruppen teilnehmen, eine Verbindung zur Geodatabase herstellen müssen, muss Port 5432 explizit geöffnet werden, wodurch die Kommunikation mit PostgreSQL ermöglicht wird.
Häufig verwendete Ports
Nachfolgend sind die am häufigsten verwendeten Ports aufgeführt, mit denen Sie beim Erstellen von Sicherheitsgruppen arbeiten können: Einige dieser Ports müssen möglicherweise nicht explizit geöffnet werden; stattdessen können Sie den Computern in der Sicherheitsgruppe gegenseitigen Zugriff gewähren. Wenn Sie den Zugriff über Computer zulassen möchten, die nicht zu den Sicherheitsgruppen gehören (z. B. die Desktop-Workstation in Ihrem Büro), müssen Sie bestimmte Portnummern öffnen.
Port | Allgemeine Zielsetzung |
|---|---|
80 | HTTP-Zugriff auf IIS-Webserver oder Load Balancer |
443 | HTTPS-Zugriff auf IIS-Webserver oder Load Balancer |
445 | Windows-Dateifreigabe |
1433 | Verbindungen zu Microsoft SQL Server |
3389 | Verbindungen zu Windows-Remotedesktop |
5432 | Verbindungen zu PostgreSQL |
6080 | HTTP-Zugriff auf ArcGIS for Server |
6443 | HTTPS-Zugriff auf ArcGIS for Server |
Die Windows-Firewall ist auf jeder Instanz aktiviert, die Sie mit den von Esri bereitgestellten AMIs starten, einschließlich auf Sites, die mit Cloud Builder erstellt werden. Wenn Sie die Anwendung eines Drittanbieters installieren, für die andere Ports als die oben aufgeführten erforderlich sind, stellen Sie sicher, dass die Windows-Firewall für die Verwendung des Ports konfiguriert ist.