Amazon Elastic Compute Cloud (EC2)- und Amazon Virtual Private Cloud (VPC)-Instanzen lassen nur Netzwerkverkehr aus Quellen und über Ports zu, die in den eigenen Sicherheitsgruppen definiert sind. Daher müssen Sie Regeln für Sicherheitsgruppen konfigurieren, die dem entsprechen, wie Sie Ihre Instanzen verwenden. Auf dieser Seite werden einige allgemeine Sicherheitsgruppeneinstellungen erläutert, die für unterschiedliche ArcGIS-Bereitstellungen konfiguriert werden können.
Sicherheitsgruppen sind standardmäßig vollständig gesperrt. Sie können einer Sicherheitsgruppe Regeln hinzufügen, um den zulässigen Datenverkehrstyp, die zulässigen Ports, über die er verläuft, und die Computer anzugeben, von denen eine Kommunikation akzeptiert wird. Welche Ports geöffnet werden und welcher Datenverkehrstyp zugelassen wird, hängt von den Aktionen ab, die Sie mit der Instanz ausführen.
Nachfolgend finden Sie Vorschläge für Namen und Regeln für Sicherheitsgruppen, die Sie für Ihre Instanzen in der Amazon Web Services (AWS) Management Console konfigurieren können. Zulässige Ports und Protokolle können je nach IT-Richtlinien der Organisation variieren. In den nachfolgenden Vorschlägen werden die am häufigsten verwendeten Portnummern verwendet. Wenn Ihre Organisation über einen IT-Spezialisten verfügt, lassen Sie sich bezüglich der besten Sicherheitsstrategie für Ihre Instanzen von ihm beraten.
Entwicklungsinstanzen
Sie sollten eine Sicherheitsgruppe speziell für EC2- oder VPC-Instanzen erstellen, die zu Entwicklungs- und Testzwecken verwendet werden. Dieser Gruppentyp kann den Zugriff auf Folgendes erteilen:
- RDP-Zugriff (Remote Desktop Protocol) über Port 3389 für Ihre IP-Adresse oder einen Bereich genehmigter IP-Adressen innerhalb der Organisation (nur Microsoft Windows).
Dies ermöglicht Ihnen die Verwaltung der Instanzen über Windows-Remotedesktop. Sie müssen die Classless Inter-Domain Routing (CIDR)-Notation verwenden, um einen IP-Adressbereich (oder eine IP-Adresse) zum Herstellen von Verbindungen festzulegen. Mit "0.0.0.0/0" kann beispielsweise jeder Benutzer Verbindungen herstellen, wohingegen mit "92.23.32.51/32" nur bestimmte IP-Adressen Verbindungen herstellen können. Informieren Sie sich bei Ihrem Systemadministrator, falls Sie Unterstützung beim Abrufen der externen IP-Adresse des lokalen Computers benötigen.
- TCP-Zugriff über Port 22 für Ihre IP-Adresse oder einen Bereich genehmigter IP-Adressen innerhalb der Organisation (nur Linux).
Wenn Port 22 geöffnet ist, können Sie mit Linux-Instanzen über SSH arbeiten.
- TCP-Zugriff über Port 6080 oder 6443 für alle Benutzer (wenn Elastic Load Balancer nicht verwendet wird) oder die Sicherheitsgruppe des Elastic Load Balancer (wenn Elastic Load Balancer verwendet wird)
Port 6080 wird für die HTTP-Kommunikation verwendet und Port 6443 für die HTTPS-Kommunikation mit ArcGIS Server-Sites. Wenn Sie der Site keinen Elastic Load Balancer vorschalten, müssen Sie Port 6080 oder 6443 für alle Benutzer öffnen, die Ihre ArcGIS Server-Web-Services verwenden. Wenn Sie einen Elastic Load Balancer verwenden, müssen Sie Port 6080 oder 6443 für die Sicherheitsgruppe des Elastic Load Balancer öffnen (die in der AWS Management Console ermittelt werden kann und bei der es sich wahrscheinlich um einen Wert wie amazon-elb/amazon-elb-sg handelt).
- Zugriff über andere Computer in dieser Gruppe.
Dieser ist erforderlich, damit die ArcGIS Server-Computer in einer Site und die Komponenten eines ArcGIS Enterprise-Portals miteinander kommunizieren können. Zudem wird dadurch die Dateifreigabe vereinfacht.
Produktionsinstanzen
Nachdem Sie die Anwendung entwickelt und getestet haben und bereit sind, sie auf die Produktionsebene zu verschieben, ist es empfehlenswert, den Remotedesktopzugriff zu deaktivieren. Falls ein Problem auftritt und Sie sich bei dem Computer anmelden müssen, können Sie die Konfiguration der Sicherheitsgruppe vorübergehend ändern, damit Sie selber Zugriff haben. Eine ArcGIS-Produktionsgruppe kann den Zugriff auf Folgendes erteilen:
- TCP-Zugriff über Port 6443 für eine Reihe von IP-Adressen (wenn Elastic Load Balancer nicht verwendet wird) oder die Sicherheitsgruppe des Elastic Load Balancer (wenn Elastic Load Balancer verwendet wird).
- TCP-Zugriff über Port 7443 für eine Reihe von IP-Adressen.
- Zugriff über andere Computer in dieser Gruppe.
Gesicherte Produktionsinstanzen
Um verschlüsselte Kommunikation mit Ihrem Computer anzufordern, sollten Sie einen Elastic Load Balancer auf Ihrer Site konfigurieren, der Datenverkehr über Port 443 empfängt, den Port, der in der Regel für verschlüsselte Kommunikation über SSL verwendet wird. Konfigurieren Sie anschließend den Load Balancer so, dass Datenverkehr für ArcGIS Server-Sites mit mehreren Computern an Port 6443 und für ArcGIS Enterprise-Portale an Port 7443 weitergeleitet wird. Öffnen Sie in der Sicherheitsgruppe die oben beschriebenen Ports für ArcGIS-Produktion.
Häufig verwendete Ports
Nachfolgend sind die am häufigsten verwendeten Ports aufgeführt, mit denen Sie beim Erstellen von Sicherheitsgruppen arbeiten können: Einige dieser Ports werden Sie ggf. nicht explizit öffnen müssen; vielmehr gewähren Sie Computern innerhalb Ihrer Sicherheitsgruppe vollständigen Zugriff untereinander. Um den Zugriff über Computer zuzulassen, die nicht zu den Sicherheitsgruppen gehören (z. B. die Desktop-Workstation in Ihrem Büro), müssen Sie bestimmte Portnummern öffnen.
Port | Allgemeine Zielsetzung |
---|---|
22 | Verbindungen über SSH |
80 | HTTP-Zugriff auf IIS-Webserver oder Load Balancer |
443 | HTTPS-Zugriff auf IIS-Webserver oder Load Balancer |
445 | Windows-Dateifreigabe |
3389 | Verbindungen über Windows-Remotedesktop |
6080 | HTTP-Zugriff auf ArcGIS Server |
6443 | HTTPS-Zugriff auf ArcGIS Server |
7443 | HTTPS-Zugriff auf Portal for ArcGIS |
2443 | ArcGIS Data Store-Kommunikation* * Externe Clients haben keinen direkten Zugriff auf ArcGIS Data Store; die Verbindungen erfolgen über die ArcGIS Server-Site, für die Sie den Data Store erstellt haben. |
Die Windows-Firewall ist auf jeder Windows-Instanz aktiviert, die Sie unter Verwendung von ArcGIS Enterprise on Amazon Web Services-Bereitstellungswerkzeugen starten. Wenn Sie die Anwendung eines Drittanbieters installieren, für die andere Ports als die oben aufgeführten erforderlich sind, stellen Sie sicher, dass die Windows-Firewall für die Verwendung des Ports konfiguriert ist.
Links zu Informationen zu den Ports für jede ArcGIS Enterprise-Komponente finden Sie in den ArcGIS Enterprise-Systemanforderungen.