Skip To Content

سيناريوهات عمليات نشر ArcGIS Enterprise متوفرة بصورة كبيرة

تساعد طريقة المصادقة التي تستخدمها مع مؤسستك وما إذا كنت تسمح بالوصول إليها من خارج جدار الحماية الخاص بك في تشكيل كيفية تنفيذ عملية نشر ArcGIS Enterprise المتوفرة بشكل كبير.

ما يلي يعد صحيحًا لكل السيناريوهات المعروضة في هذا الموضوع:

  • تُخزّن أجهزة البوابة الإلكترونية (Portal1 وPortal2) المحتوى في نفس الدليل، والذي تم وضعه في خادم ملف متاح بشكل كبير.
  • تُشارك أجهزة GIS Server (HostingServer1 وHostingServer2) في خادم الاستضافة دلائل الخادم ومخزن تكوين، تم وضعها في خادم ملف متاح بشكل كبير.
  • يتكون مخزن البيانات الارتباطية المتاح بشكل كبير من جهاز رئيسي (DataStore1) وجهاز احتياطي (DataStore2) مسجلين في موقع خادم الاستضافة. أنشأ ArcGIS Data Store آلية مدمجة لتجاوز الفشل يُصبح بواسطتها مخزن البيانات الارتباطية للاستعداد جهاز مخزن البيانات الرئيسي إذا فشل الجهاز الرئيسي. يفحص مخزن البيانات حالة أجهزة ArcGIS Server للموقع المسجل فيه مخزن البيانات حتى يمكنك تكوين مخزن البيانات من خلال أي من عنوان URL لجهاز ArcGIS Server.
  • يتم تمكين HTTPS و HTTP لكل من Portal for ArcGIS وArcGIS Server. إذا تم تعطيل HTTP لجميع المكونات، فيمكن إزالة منافذ HTTP (80 و6080 و7080) من الأمثلة. تتطلب عناوين URL الإدارية اتصال HTTPS.
  • بالنسبة للهندسة المعمارية التي تتضمن موازنات التحميل، تم تكوين الفحوصات الصحية لتحديد مدى توفر أهداف النهاية الخلفية وموازنة حركة المرور باستخدام خوارزمية راوند روبن. بينما تستضيف الأمثلة loadbalancer.example.com وinternalloadbalancer.example.com وتُستخدم في المخططات، يمكن استبدال ذلك باسم مستعار DNS مخصص لأي مكون عبر خوادم DNS الداخلية أو الخارجية.

يتم توضيح الاختلافات في بروتوكولات اتصال ومصادقة العميل-البوابة الإلكترونية في الأقسام التالية. يمكن العثور على مزيد من المعلومات حول عناوين URL المستخدمة في عملية نشر متاحة بشكل كبير في توفر ArcGIS Enterprise بشكل كبير.

يتمتع العملاء والمستخدمون المدمجون بالوصول إلى البوابة الإلكترونية من خلال منفذي 80 و443.

في هذا السيناريو، تستخدم مصادقة البوابة الإلكترونية المستخدمين المدمجين وكل الاتصالات بين العملاء (المعروضة أعلى الرسم التخطيطي)، وتوجد البوابة الإلكترونية داخل جدار الحماية.

عملية النشر المتاحة إلى حد كبير مع مصادقة المستخدم المتضمنة ولا يمكن لأي مستخدم الوصول إلى البوابة الإلكترونية

في المثال، يصل العملاء إلى المؤسسة من خلال موازن التحميل عبر عنوان URL للمؤسسة—في هذه الحالة، يمكن الوصول إلى دليل REST لموقع https://loadbalancer.example.com/portal/home/—وArcGIS Server من خلال https://loadbalancer.example.com/server/rest/services. تتصل البوابة المتاحة بشكل كبير (جهازا Portal for ArcGIS، Portal1 وPortal2) بموقع خادم الاستضافة المتاح بشكل كبير من خلال عنوان URL للإدارة (https://loadbalancer.example.com/server/admin) المحدد في أثناء الاتحاد. تتواصل الأجهزة الموجودة في موقع خادم الاستضافة (HostingServer1 وHostingServer2) مع البوابة من خلال نفس نقطة النهاية مثل العملاء (https://loadbalancer.example.com/portal) باستخدام عنوان URL الخاص بالبوابة المحدد في خصائص نظام البوابة. يمُر عنوان URL لدليل ArcGIS Server Administrator وعنوان URL الخاص للبوابة الإلكترونية خلال موازن التحميل (LoadBalancer) لتوضيح التكرار. إذا فشل جهاز Portal for ArcGIS أو إذا تعذّر الوصول إليه، لا يزال بإمكان خادم الاستضافة الاتصال بالجهاز المتبقي؛ وذلك لأن موازن التحميل سيُوجّه حركة المرور إلى ذلك الجهاز. وبنفس الطريقة، إذا فشل أحد أجهزة خادم الاستضافة أو تعذّر الوصول إليه، فسيستمر موازن التحميل في توجيه حركة المرور من أجهزة Portal for ArcGIS إلى جهاز ArcGIS Server المتبقي.

المستخدمون المُدمجون بوصول عام إلى البوابة الإلكترونية

في هذا السيناريو، تَستخدم مصادقة البوابة الإلكترونية المستخدمين المدمجين، وسيصل بعض العملاء على الأقل إلى البوابة الإلكترونية من خارج جدار الحماية. يجب تعطيل الوصول الإداري من خارج جدار الحماية.

بوابة إلكترونية متاحة إلى حد كبير خلف جدار حماية يتم الوصول إليه بحسابات مدمجة

يصل العملاء إلى المؤسسة ونقطة نهاية ArcGIS Server REST المتبقية من خلال موازن التحميل خارج جدار الحماية (LoadBalancer)، عادةً من خلال اسم مستعار DNS مخصص لـ loadbalancer.example.com. تتواصل البوابة الإلكترونية مع خادم الاستضافة من خلال موازن تحميل ثان (InternalLoadBalancer) داخل جدار الحماية (https://internalloadbalancer.example.com:6443/arcgis، الخطوط الخضراء في الرسم التخطيطي). يتصل خادم الاستضافة مع البوابة الإلكترونية من خلال privateportalURL، وذلك عبر InternalLoadBalancer (https://internalloadbalancer.example.com:7443/arcgis، الخطوط البرتقالية في الرسم التخطيطي) حتى لا يجب على الاتصال المرور من خلال جدار الحماية. إذا فشلت إحدى البوابات الإلكترونية، لا يزال بإمكان خادم الاستضافة الاتصال بجهاز البوابة الإلكترونية المتبقي؛ وذلك لأن موازن التحميل الداخلي سيرسل الطلبات إلى جهاز البوابة الإلكترونية المتبقي. وبالمثل، إذا فشلت أحد أجهزة GIS Server، فسيقوم موازن التحميل الداخلي بتوجيه حركة المرور من البوابة إلى جهاز GIS Server المتبقي.

يمر الوصول من العملاء خارج جدار الحماية مباشرةً إلى موقع GIS Server خلال موازن التحميل (LoadBalancer) خارج جدار الحماية (الخط الأحمر في المخطط).

يتم حظر وصول المسؤول إلى دليل ArcGIS Server Administrator، وArcGIS Server Manager بإعداد القواعد في موازن التحميل (LoadBalancer) خارج جدار الحماية (الخط الأحمر في المخطط).

مصادقة IWA أو LDAP بدخول عميل داخلي

في هذا السيناريو، يقوم مستخدمو البوابة الإلكترونية بالمصادقة باستخدام مصادقة Windows المتكاملة (IWA) أو بروتوكول الوصول الخفيف إلى الدليل (LDAP) ويكون كل العملاء الذين يصلون إلى البوابة الإلكترونية داخل جدار الحماية.

بوابة إلكترونية متاحة إلى حد كبير تستخدم مصادقة IWA أو LDAP بدون وصول إلى البوابة الإلكترونية من خارج جدار الحماية

عندما لا يكون الوصول العام إلى البوابة الإلكترونية غير مطلوب، ولكن سيقوم العملاء بالمصادقة مع البوابة الإلكترونية باستخدام مصادقة IWA أو LDAP، يتطلب كل جهاز في البوابة الإلكترونية المتاحة إلى حد كبير محول ويب (WebAdaptor1 وWebAdaptor2). يُرسل موازن التحميل (LoadBalancer) حركة المرور إلى محولات الويب، والتي تعمل على موازنة الطلبات بين جهازي البوابة الإلكترونية (Portal1 وPortal2). يجب على أي اتصال من أجهزةArcGIS Server إلى أجهزة Portal for ArcGIS المرور بتحدي المصادقة في طبقة الويب عبر محول الويب "Web Adaptor". لذا، يتم تكوين موازن التحميل للتجاوب مع المنفذين 7080 و7443، كما يتم إرسال حركة المرور مباشرةً إلى البوابة الإلكترونية في منفذي 7080 أو 7443 خلال عنوان URL الخاص للبوابة الإلكترونية.

نظرًا لأن الوصول العام إلى البوابة الإلكترونية غير مطلوب، يمكن استخدام موازن التحميل لكل من عنوان URL للخدمات وعنوان URL للإدارة لموقع الاستضافة. privatePortalURL هو https://internalloadbalancer.example.com:7443/arcgis وتتواصل أجهزة موقع الاستضافة مع أجهزة البوابة عبر عنوان URL هذا (الخطوط البرتقالية في الرسم البياني). عنوان URL الخاص بالمنظمة هو https://loadbalancer.example.com/portal وكل من عنواني URL الخاصين بالخدمات والإدارة لموقع الاستضافة وهما https://loadbalancer.example.com/server.

مصادقة SAML أو ADFS بوصول عام إلى البوابة الإلكترونية

في هذا السيناريو، يقوم المستخدمون بالمصادقة باستخدام لغة تمييز التأكيدات الأمنية (SAML) أو خدمات توحيد الدليل النشط (ADFS)، ولكن يكون بعض العملاء الذين يصلون إلى المؤسسة خارج جدار الحماية. في هذه الحالة، تحتاج إلى تعطيل الوصول الإداري إلى أجهزة ArcGIS Server لموقع خادم الاستضافة لأغراض الأمان. يوضح القسم التالي عمليتي التكوين لتنفيذ ذلك.

ملاحظة:‏

عند استخدام مصادقة SAML أو ADFS للبوابة الإلكترونية، يتم عرضها على أنها غير ضرورية لتكوين محولات الويب بالبوابة الإلكترونية. في حين أنه يمكنك استخدام ArcGIS Web Adaptor في البوابة الإلكترونية في السيناريوهين التاليين، فإنها لا تضيف أي مزايا وظيفية إلى التكوين.

تأمين البوابة الإلكترونية ذات الوصول العام باستخدام مجموعة قواعد في موازن التحميل.

مخطط تأمين البوابة الإلكترونية ذات الوصول العام باستخدام مجموعة قواعد في موازن التحميل

في هذا السيناريو، يتصل العملاء من خلال موازن التحميل () خارج جدار الحماية (الخط الأحمر في الرسم التخطيطي)، وهو ما يرسل حركة المرور مباشرةً إلى جهازي البوابة الإلكترونية (Portal1 وPortal2) في منفذي 7443 و7080، وجهازي GIS Server (HostingServer1 وHostingServer2) في منفذي 6443 و6080. تحظر قواعد موازن التحميل الوصول إلى عناوين URL لـ ArcGIS Server Administrator وArcGIS Server Manager.

يتعذر على موزان التحميل خارج جدار الحماية الاتصال من خلال منفذ 6080 أو 6443 أو 7080 أو 7443. يتم تكوين موازن تحميل آخر (InternalLoadBalancer) داخل جدار الحماية لمعالجة الاتصال بين البوابة الإلكترونية وخادم الاستضافة. ستتصل البوابة الإلكترونية مع خادم الاستضافة باستخدام عنوان URL مُعرّف لـ عنوان URL للإدارة أثناء التوحيد (الخطوط الخضراء في الرسم التخطيطي) وسيتصل خادم الاستضافة مع البوابة الإلكترونية مع البوابة الإلكترونية من خلال عنوان URL للبوابة الإلكترونية الخاصة (الخطوط البرتقالي في الرسم التخطيطي) حتى لا يلجأ الاتصال إلى المرور عبر جدار الحماية. يضمن موازن التحميل الداخلي التكرار في حالة تعطل أحد أجهزة GIS Server أو أجهزة البوابة الإلكترونية.

privatePortalURL في هذا السيناريو هو https://internalloadbalancer.example.com:7443/arcgis. عنوان URL لإدارة موقع ArcGIS Server المستخدم أثناء الاتحاد هو https://internalloadbalancer.example.com:6443/arcgis.

تأمين بوابة إلكترونية يصل إليها أي مستخدم باستخدام محولات ويب في موقع GIS Server

بوابة إلكترونية متاحة إلى حد كبير من خارج جدار حماية يستخدم مصادقة SAML أو ADFS ومحولات الويب

في هذا السيناريو، يتصل العملاء من خلال موزان التحميل (LoadBalancer) خارج جدار الحماية (الخط الأحمر في الرسم التخطيطي)، وهو ما يرسل حركة المرور مباشرةً إلى جهازي البوابة الإلكترونية (Portal1 وPortal2) في منفذي 7443 و7080، كما يرسل حركة المرور إلى محولي ويب (WebAdaptor1 وWebadaptor2) المكونين مع جهازي ArcGIS Server (HostingServer1 وHostingServer2). يُعالج موازن التحميل الآخر (InternalLoadBalancer) حركة المرور بين أجهزة البوابة الإلكترونية وموقع خادم الاستضافة، ويضمن التكرار في حالة فشل أحد أجهزة GIS Server أو أحد أجهزة البوابة الإلكترونية.

يصل العملاء إلى البوابة الإلكترونية من خلال موزان تحميل (LoadBalancer) https://loadbalancer.example.com/portal/home/، وهو ما يرسل حركة المرور إلى جهازي البوابة الإلكترونية من خلال منفذي 7080 و7443. نظرًا لتكوين البوابة الإلكترونية مع مصادقة SAML أو ADFS، يقوم موفر SAML أو ADFS بمصادقة المستخدمين عند وصولهم إلى البوابة الإلكترونية.

يمكن للعملاء الوصول إلى موقع خادم الاستضافة من خلال موازن التحميل (LoadBalancer) خارج جدار الحماية، وهو ما يرسل حركة المرور إلى محولي GIS Server على الويب (WebAdaptor1 وWebAdaptor2). تُعيد محولات الويب توجيه حركة المرور إلى أجهزة GIS Server عبر منفذي 6080 و6443.

تتصل أجهزة ArcGIS Server مع البوابة الإلكترونية من خلال عنوان URL خاص للبوابة الإلكترونية (https://internalloadbalancer.example.com:7443/arcgis، الخطوط البرتقالي في الرسم التخطيطي) حتى لا يجب على الاتصال المرور من خلال جدار الحماية. يتم توحيد موقع خادم الاستضافة مع البوابة الإلكترونية لاستخدام https://loadbalancer.example.com/server لعنوان URL للخدمات. تمر حركة المرور خلال محولي الويب WebAdaptor1 وWebAdaptor2، ويتم تكوينهما لحظر وصول المسؤول إلى ArcGIS Server Manager ودليل ArcGIS Server Administrator. يتم استخدام موازن تحميل ثانٍ (InternalLoadBalancer) لعنوان URL للإدارة (https://internalloadbalancer.example.com:6443/arcgis، الخطوط الخضراء في الرسم التخطيطي) المحددة أثناء الاتحاد لتوفير التكرار.