Amazon Elastic Compute Cloud (EC2)- und Amazon Virtual Private Cloud (VPC)-Instanzen lassen nur Netzwerkverkehr aus Quellen und über Ports zu, die in den eigenen Sicherheitsgruppen definiert sind. Daher müssen Sie einige Sicherheitsgruppen einrichten, die den Aktionen entsprechen, die Sie mit den Amazon-Instanzen ausführen. In diesem Thema werden einige allgemeine Sicherheitsgruppeneinstellungen erläutert, die für unterschiedliche ArcGIS-Bereitstellungen konfiguriert werden können.
Sicherheitsgruppen sind standardmäßig vollständig gesperrt. Sie können einer Sicherheitsgruppe Regeln hinzufügen, indem Sie den zulässigen Datenverkehrstyp, die zur Übermittlung zulässigen Ports und die Computer festlegen, deren Kommunikation angenommen wird. Welche Ports geöffnet und welcher Datenverkehrstyp zugelassen wird, hängt von den Aktionen ab, die Sie mit der Instanz ausführen.
Nachfolgend finden Sie Vorschläge für Namen und Regeln für Sicherheitsgruppen, die Sie für Ihre Instanzen in der Amazon Web Services (AWS) Management Console konfigurieren können. Zulässige Ports und Protokolle können je nach IT-Richtlinien der Organisation variieren. In den nachfolgenden Vorschlägen werden die am häufigsten verwendeten Portnummern verwendet. Wenn Ihre Organisation über einen IT-Spezialist verfügt, lassen Sie sich bezüglich der besten Sicherheitsstrategie für EC2-Instanzen von ihm beraten.
Entwicklungsinstanzen
Sie sollten eine Sicherheitsgruppe speziell für EC2- oder VPC-Instanzen erstellen, die zu Entwicklungs- und Testzwecken verwendet werden. Dieser Gruppentyp kann den Zugriff auf Folgendes erteilen:
- RDP-Zugriff (Remote Desktop Protocol) über Port 3389 für Ihre IP-Adresse oder einen Bereich genehmigter IP-Adressen innerhalb der Organisation (nur Microsoft Windows).
Dies ermöglicht Ihnen die Verwaltung der Instanzen über Windows-Remotedesktop. Sie müssen die Classless Inter-Domain Routing (CIDR)-Notation verwenden, um einen IP-Adressbereich (oder eine IP-Adresse) zum Herstellen von Verbindungen festzulegen. Mit "0.0.0.0/0" kann beispielsweise jeder Benutzer Verbindungen herstellen, wohingegen mit "92.23.32.51/32" nur bestimmte IP-Adressen Verbindungen herstellen können. Informieren Sie sich bei Ihrem Systemadministrator, falls Sie Unterstützung beim Abrufen der externen IP-Adresse des lokalen Computers benötigen.
- TCP-Zugriff über Port 22 für Ihre IP-Adresse oder einen Bereich genehmigter IP-Adressen innerhalb der Organisation (nur Linux).
Wenn Port 22 geöffnet ist, können Sie mit Linux-Instanzen über SSH arbeiten.
- TCP-Zugriff über Port 6080 oder 6443 für alle Benutzer (wenn Elastic Load Balancer nicht verwendet wird) oder die Sicherheitsgruppe des Elastic Load Balancer (wenn Elastic Load Balancer verwendet wird)
Port 6080 wird für die HTTP-Kommunikation verwendet und Port 6443 für die HTTPS-Kommunikation mit ArcGIS Server-Sites. Wenn Sie der Site keinen Elastic Load Balancer vorschalten, müssen Sie Port 6080 oder 6443 für alle Benutzer öffnen, die Ihre ArcGIS Server-Web-Services verwenden. Wenn Sie einen Elastic Load Balancer verwenden, müssen Sie Port 6080 oder 6443 für die Sicherheitsgruppe des Elastic Load Balancer öffnen (die in der AWS Management Console ermittelt werden kann und bei der es sich wahrscheinlich um einen Wert wie amazon-elb/amazon-elb-sg handelt).
- Zugriff über andere Computer in dieser Gruppe.
Dieser ist erforderlich, damit die ArcGIS Server-Computer in einer Site und die Komponenten eines ArcGIS Enterprise-Portals miteinander kommunizieren können. Zudem wird dadurch die Dateifreigabe vereinfacht.
Produktionsinstanzen
Nachdem Sie die Anwendung entwickelt und getestet haben und bereit sind, sie auf die Produktionsebene zu verschieben, ist es empfehlenswert, den Remotedesktopzugriff zu deaktivieren. Falls ein Problem auftritt und Sie sich beim Computer anmelden müssen, können Sie die Konfiguration der Sicherheitsgruppe vorübergehend ändern, um Zugriff zu erhalten. Eine ArcGIS-Produktionsgruppe kann den Zugriff auf Folgendes erteilen:
- TCP-Zugriff über Port 6443 für eine Reihe von IP-Adressen (wenn Elastic Load Balancer nicht verwendet wird) oder die Sicherheitsgruppe des Elastic Load Balancer (wenn Elastic Load Balancer verwendet wird).
- TCP-Zugriff über Port 7443 für eine Reihe von IP-Adressen.
- Zugriff über andere Computer in dieser Gruppe.
Gesicherte Produktionsinstanzen
Wenn Sie verschlüsselte Kommunikation mit dem Computer anfordern, sollten Sie einen Elastic Load Balancer auf der Site konfigurieren, der Datenverkehr über Port 443 empfängt, der normalerweise für verschlüsselte Kommunikation über SSL verwendet wird. Konfigurieren Sie anschließend den Load Balancer so, dass Datenverkehr für ArcGIS Server-Sites mit mehreren Computern an Port 6443 und für ArcGIS Enterprise-Portale an Port 7443 weitergeleitet wird. Öffnen Sie in der Sicherheitsgruppe die oben beschriebenen Ports für ArcGIS-Produktion.
Häufig verwendete Ports
Nachfolgend sind die am häufigsten verwendeten Ports aufgeführt, mit denen Sie beim Erstellen von Sicherheitsgruppen arbeiten können: Einige dieser Ports müssen möglicherweise nicht explizit geöffnet werden; stattdessen können Sie den Computern in der Sicherheitsgruppe gegenseitigen Zugriff gewähren. Wenn Sie den Zugriff über Computer zulassen möchten, die nicht zu den Sicherheitsgruppen gehören (z. B. die Desktop-Workstation in Ihrem Büro), müssen Sie bestimmte Portnummern öffnen.
| Port | Allgemeine Zielsetzung |
|---|---|
22 | Verbindungen über SSH |
80 | HTTP-Zugriff auf IIS-Webserver oder Load Balancer |
443 | HTTPS-Zugriff auf IIS-Webserver oder Load Balancer |
445 | Windows-Dateifreigabe |
3389 | Verbindungen über Windows-Remotedesktop |
6080 | HTTP-Zugriff aufArcGIS Server |
6443 | HTTPS-Fehler beim Zugriff auf ArcGIS Server |
7443 | HTTPS-Fehler beim Zugriff auf Portal for ArcGIS |
2443 | ArcGIS Data Store-Kommunikation *Externe Clients haben keinen direkten Zugriff auf ArcGIS Data Store; die Verbindungen erfolgen über die ArcGIS Server-Site, für die Sie den Datenspeicher erstellt haben. |
Die Windows-Firewall ist auf jeder Windows-Instanz aktiviert, die Sie mit den von Esri bereitgestellten Amazon Machine Images starten. Wenn Sie die Anwendung eines Drittanbieters installieren, für die andere Ports als die oben aufgeführten erforderlich sind, stellen Sie sicher, dass die Windows-Firewall für die Verwendung des Ports konfiguriert ist.
Informationen zu weiteren von ArcGIS Enterprise-Komponenten verwendeten Ports finden Sie auf den folgenden Seiten: