Amazon Elastic Compute Cloud (EC2)- und Amazon Virtual Private Cloud (VPC)-Instanzen lassen nur Netzwerkverkehr aus Quellen und über Ports zu, die in den eigenen Sicherheitsgruppen definiert sind. Daher müssen Sie einige Sicherheitsgruppen einrichten, die den Aktionen entsprechen, die Sie mit den Amazon-Instanzen ausführen.
Nachfolgend finden Sie Vorschläge für Namen und Regeln für Sicherheitsgruppen, die Sie für Ihre Instanzen in der Amazon Web Services (AWS) Management Console konfigurieren können. Zulässige Ports und Protokolle können je nach IT-Richtlinien der Organisation variieren. Wenn Ihre Organisation über einen IT-Spezialist verfügt, lassen Sie sich bezüglich der besten Sicherheitsstrategie für EC2-Instanzen von ihm beraten.
Sie sollten eine Sicherheitsgruppe speziell für EC2- oder VPC-Instanzen erstellen, die zu Entwicklungs- und Testzwecken verwendet werden. Dieser Gruppentyp kann den Zugriff auf Folgendes erteilen:
-
Dies ermöglicht Ihnen die Verwaltung der Instanzen über Windows-Remotedesktop. Sie müssen die Classless Inter-Domain Routing (CIDR)-Notation verwenden, um einen IP-Adressbereich (oder eine IP-Adresse) zum Herstellen von Verbindungen festzulegen.
-
Wenn Port 22 geöffnet ist, können Sie mit Linux-Instanzen über SSH arbeiten.
- TCP-Zugriff über Port 6080 oder 6443 für alle Benutzer (wenn Elastic Load Balancer nicht verwendet wird) oder die Sicherheitsgruppe des Elastic Load Balancer (wenn Elastic Load Balancer verwendet wird)
Port 6080 wird für die HTTP-Kommunikation verwendet und Port 6443 für die HTTPS-Kommunikation mit ArcGIS Server-Sites. Wenn Sie der Site keinen Elastic Load Balancer vorschalten, müssen Sie Port 6080 oder 6443 für alle Benutzer öffnen, die Ihre ArcGIS Server-Web-Services verwenden. Wenn Sie einen Elastic Load Balancer verwenden, müssen Sie Port 6080 oder 6443 für die Sicherheitsgruppe des Elastic Load Balancer öffnen (die in der AWS Management Console ermittelt werden kann und bei der es sich meist um einen Wert wie amazon-elb/amazon-elb-sg handelt).
- Zugriff über andere Computer in dieser Gruppe.
Eine ArcGIS-Produktionsgruppe kann den Zugriff auf Folgendes erteilen:
Wenn Sie den Zugriff über Computer zulassen möchten, die nicht zu den Sicherheitsgruppen gehören (z. B. die Desktop-Workstation in Ihrem Büro), müssen Sie bestimmte Portnummern öffnen.
| Verbindungen über SSH |
80 | HTTP-Zugriff auf IIS-Webserver oder Load Balancer |
443 | HTTPS-Zugriff auf IIS-Webserver oder Load Balancer |
445 |
|
|
|
|
|
6443 | HTTPS-Zugriff auf ArcGIS Server |
7443 |
|
2443 |
|
Die Windows-Firewall ist auf jederWindows-Instanz aktiviert, die Sie mit dem Esri Amazon Machine Image starten. Wenn Sie die Anwendung eines Drittanbieters installieren, für die andere Ports als die oben aufgeführten erforderlich sind, stellen Sie sicher, dass die Windows-Firewall für die Verwendung des Ports konfiguriert ist.
Informationen zu weiteren von ArcGIS Enterprise-Komponenten verwendeten Ports finden Sie auf den folgenden Seiten: