Общие настройки группы безопасности
Экземпляр Amazon Elastic Compute Cloud (EC2) допускает сетевой трафик только из источников и портов, определенных в группе безопасности экземпляра. Когда вы будете использовать Amazon EC2, вы должны настроить некоторые группы безопасности, чтобы они соответствовали типу операций, которые вы будете выполнять с вашими экземплярами EC2. В данном разделе дается описание некоторых наиболее часто используемых групп безопасности, которые можно настраивать для различных размещений ArcGIS Server.
По умолчанию группа безопасности полностью заблокирована. Добавляя в группу безопасности новые правила, вы укажете тип разрешенного трафика, допустимые для этого трафика порты, а также компьютеры, с которых будут разрешены коммуникации. Порты, которые вы откроете, и тип трафика, который вам требуется разрешить, будут зависеть от того, какие действия вы будете выполнять с данным экземпляром.
Ниже предложены имена группы безопасности и правила, которые вы можете сконфигурировать на консоли управления AW (AWS Management Console). Разрешенные порты и протоколы могут отличаться в зависимости от IT политики в вашей организации. Ниже предложены наиболее употребительные номера портов. Если в вашей организации есть IT-специалист, проконсультируйтесь с ним по поводу разработки наиболее подходящей стратегии безопасности для ваших экземпляров EC2.
Развертывание ArcGIS Server
подумайте о том, чтобы создать группу безопасности специально для экземпляров EC2, которые будут использоваться для целей развертывания и тестирования. Такой тип группы разрешил бы следующие доступы:
- доступ RDP через порт 3389 для вашего IP адреса или диапазона разрешенных IP адресов в пределах вашей организации (только Windows). Это позволит вам управлять своим экземпляром EC2 через Windows Remote Desktop. Вы должны использовать обозначения Classless Inter-Domain Routing (CIDR) для указания диапазона IP адресов (или одного IP адреса), которым разрешено подключение. Например, 0.0.0.0/0 разрешает подключение каждому, а 92.23.32.51/32 разрешает подключение только определенному IP адресу. Проверьте у своего системного администратора, не требуется ли вам помощь в приобретении внешнего IP адреса для вашего компьютера.
- доступ TCP через порт 22 для вашего IP адреса или диапазона разрешенных IP адресов в пределах вашей организации (только Linux). Открытие порта 22 позволит вам работать с экземплярами Linux через SSH.
- доступ TCP через порт 6080 для каждого (если не использовать Elastic Load Balancer) или для 10.0.0.0/8 (если использовать Elastic Load Balancer). Порт 6080 используется для связи с ArcGIS Server. Если перед вашим сайтом нет Elastic Load Balancer, то вам необходимо открыть порт 6080 каждому, кто будет пользоваться вашими веб-сервисами ArcGIS Server. Если вы используете Elastic Load Balancer, то вам следует открыть для него порт 6080. Вы не можете предвидеть его IP адрес, но по крайней мере вы можете заблокировать внешний трафик на порт 6080, разрешив только диапазон IP 10.0.0.0/8.
- Доступ с других компьютеров в этой группе. Это необходимо для передачи информации между компьютерами ГИС-сервера. Это также облегчает обмен файлами. Вы можете добавить правило, разрешающее доступ такого типа, выбрав тип правила All ICMP посредством ввода ID группы безопасности (например, sg-xxxxxxxx) в поле Источник (Source), и щелкнув Добавить правило (Add Rule). Когда вы выполните эту задачу, компьютеры в вашей группе смогут обмениваться между собой информацией через все порты и протоколы.
ArcGIS Server Production
Когда ваше приложение прошло стадии разработки и тестирования и готово к внедрению в производство, удаленный доступ рабочего стола рекомендуется отключить. Если возникнет какая-либо проблема и вам потребуется войти в компьютер, то вы сможете временно открыть себе доступ, изменив настройки группы безопасности. Группа ArcGIS Server Production разрешает следующие доступы:
- доступ TCP через порт 6080 для каждого (если не использовать Elastic Load Balancer) или для 10.0.0.0/8 (если использовать Elastic Load Balancer)
- Доступ с других компьютеров в этой группе
ArcGIS Server Production Secure
Если вы захотите установить защищенное (зашифрованное) соединение со своим компьютером, то потребуется настройка на вашем сайте Elastic Load Balancer, который получает трафик через порт 443, т.е. порт, который используется для защищенных соединений через SSL. Затем настройте load balancer, чтобы он направлял трафик на порт 6443. В группе безопасности откройте вышеуказанные порты для ArcGIS Server Production.
Многопользовательская база геоданных
Если вы захотите иметь многопользовательскую базу геоданных на отдельном экземпляре от экземпляра ArcGIS Server, то вы можете настроить группу безопасности специально для вашего экземпляра многопользовательской базы геоданных; это обеспечит вам следующее:
- доступ TCP через порт 22 (Linux) для вашего IP адреса или диапазона разрешенных IP адресов в пределах вашей организации Вам потребуется по крайней мере одно удаленное подключение к вашему компьютеру, чтобы изменить пароли PostgreSQL по умолчанию. После этого при желании вы можете удалить это правило удаленного доступа из группы безопасности.
- доступ RDP через порт 3389 (Windows) Если требуется, вы можете добавить это правило для удаленного подключения к вашему экземпляру SQL Server или SQL Server Express, например, чтобы добавить пользователей или дополнительные базы геоданных, а затем удалить его, когда пользователи или базы будут добавлены.
- доступ с компьютеров в группе безопасности ArcGIS server Это позволяет вашим экземплярам, работающим с ArcGIS for Server, просматривать экземпляр многопользовательской базы геоданных. Если есть необходимость подключить к вашей базе геоданных компьютеры, не участвующие в ваших группах безопасности, то вам потребуется открыть порт 5432, который позволяет установление связи с PostgreSQL.
Часто используемые порты
Ниже приведены наиболее часто используемые порты, с которыми вам придется работать при создании групп безопасности. Некоторые из этих портов не потребуется на самом деле открывать; вместо этого вы можете принять решение предоставить полный взаимный доступ для компьютеров вашей группы безопасности. Если вы хотите разрешить доступ компьютерам, не участвующим в ваших группах безопасности (например, вашей офисной рабочей станции), то для этого вам придется открывать определенные номера портов.
Порт | Общая цель |
|---|---|
80 | Доступ по HTTP к веб-серверу IIS или к балансировке нагрузки (load balancer) |
443 | Доступ по HTTPS к веб-серверу IIS или к балансировке нагрузки (load balancer) |
445 | Обмен файлами Windows |
1433 | Подключения к Microsoft SQL Server |
3389 | Подключения к удаленному рабочему столу Windows (Windows Remote Desktop) |
5432 | Подключения к PostgreSQL |
6080 | Доступ по HTTP к ArcGIS Server |
6443 | Доступ по HTTPS к ArcGIS Server |
Windows Firewall будет включен на каждом экземпляре, работающем с использованием AMI, поставляемого Esri, в том числе и на сайтах, которые вы создаете с помощью Cloud Builder. Если вы установите стороннее приложение, которому требуются порты, отличные от перечисленных выше, необходимо убедиться, что настройки Windows Firewall позволяют использовать эти порты.