Ein Reverseproxyserver fungiert als Vermittler für Clientanforderungen, bei denen Ressourcen von der ArcGIS Server-Site gesucht werden, und bietet zusätzliche Sicherheitsfunktionen für Ihre Site-Bereitstellung.
ArcGIS Web Adaptor ist eine Softwarekomponente, die Sie auf den meisten häufigen Webanwendungsservern konfigurieren können. Alternativ können Sie andere Reverseproxy-Webserver von Drittanbietern nutzen.
ArcGIS Web Adaptor oder der Reverseproxyserver eines Drittanbieters wird normalerweise auf einem separaten Webservercomputer konfiguriert. Er kann sich jedoch auch auf demselben Computer wie ArcGIS Server befinden.
Für Clientanwendungen besteht kein Unterschied zwischen dem direkten Zugriff auf GIS-Services oder dem Zugriff durch den Proxy. Als ArcGIS Server-Administrator empfiehlt es sich jedoch, in den folgenden Fällen einen Reverseproxyserver zu verwenden:
Zugriff auf GIS-Services über Standardports
Wenn kein Reverseproxyserver verwendet wird, stellen die Clients direkt über https://gisserver.domain.com:6443 eine Verbindung mit ArcGIS Server her, sofern HTTPS konfiguriert wurde. Es ist nicht möglich, die Standardports zu ändern, die von ArcGIS Server verwendet werden. Wenn von den Clientanwendungen der Standardport 443 verwendet werden soll, müssen Sie einen Reverseproxy konfigurieren und Clients für den Zugriff auf Services durch diesen Port leiten. Beispielsweise können Sie einen Reverseproxy unter http://proxy.domain.com/arcgis oder http://proxy.domain.com/myGIS konfigurieren.
Isolieren von ArcGIS Server hinter der Firewall Ihrer Organisation
Wenn Ihre Services und Anwendungen öffentlich über das Internet verfügbar gemacht werden sollen, empfiehlt es sich, eine Reverseproxy-Webserverkonfiguration zu verwenden, um ArcGIS Server hinter der Firewall der Organisation zu isolieren. In dieser Konfiguration durchqueren eingehende Anforderungen aus dem Internet eine Firewall, die alle Ports außer Port 443 blockiert. Der Reverseproxy-Webserver empfängt die eingehende Anforderung, leitet sie durch eine andere Firewall über Port 6443 an ArcGIS Server weiter und sendet die Antwort zurück an den Client. In der folgenden Abbildung wird dargestellt, wie der Reverseproxyserver in ein Umkreisnetzwerk eingebunden wird, damit Sie den Zugriff auf Ihr sicheres internes Netzwerk besser schützen können.
Informationen zum Integrieren eines Reverseproxyservers mit ArcGIS Server finden Sie unter Verwenden eines Reverseproxyservers mit ArcGIS Server.
Sperren des administrativen Zugriffs auf die Site
Mit einem Reverseproxyserver kann der Zugriff auf bestimmte Ressourcen in der Site gesperrt werden. Beispielsweise können Sie den Zugriff auf ArcGIS Server Manager und das ArcGIS Server-Administratorverzeichnis in der Konfiguration des Reverseproxy sperren. Dies ist besonders dann empfehlenswert, wenn die ArcGIS Server-Services über das Internet verfügbar gemacht werden.
Wenn Sie einen Reverseproxyserver eines Drittanbieters verwenden, informieren Sie sich in der entsprechenden Dokumentation darüber, wie Sie alle Zugriffsanforderungen auf ArcGIS Server Manager (proxy.domain.com/arcgis/manager/) oder das ArcGIS Server-Administratorverzeichnis (proxy.domain.com/arcgis/admin/) sperren.
Der administrative Zugriff wird beim Zugriff auf die Site durch den Reverseproxy gesperrt, er ist jedoch weiter beim direkten Zugriff auf ArcGIS Server über den Standardport 6443 verfügbar. Die Firewalls sollten entsprechend eingerichtet werden, um zu steuern, wo auf diese Ports zugegriffen werden kann.
Nutzen von Funktionen im eigenen Webserver
Webserver enthalten viele Funktionen, die Sie möglicherweise in Ihrer ArcGIS Server-Bereitstellung verwenden möchten. Durch die Freigabe der GIS-Services über Ihren Reverseproxyserver können Sie die Protokollierungs-, Caching- und Sicherheitsfunktionen Ihres Webservers nutzen.
- Authentifizierung auf Webebene: Standardmäßig verwendet ArcGIS Server die tokenbasierte Authentifizierung (häufig als tokenbasierte ArcGIS-Authentifizierung oder Authentifizierung auf GIS-Ebene bezeichnet). Alternativ können Sie in ArcGIS Server die Authentifizierung auf Webebene konfigurieren. Bei dieser Methode kann ArcGIS Server die Authentifizierung an Ihren Webserver delegieren. Sie können beispielsweise die HTTP-Basic-Authentifizierung, Authentifizierung mit Clientzertifikaten und andere Standardauthentifizierungsmethoden anwenden. Wenn Sie die Authentifizierung auf Webebene benötigen, müssen Sie ArcGIS Web Adaptor verwenden. Die Authentifizierung auf Webebene ist über den Reverseproxy-Webserver eines Drittanbieters nicht verfügbar.
- Protokollierung: ArcGIS Server-Protokolle enthalten Informationen, die spezifisch für ArcGIS Server-Services sind, z. B., welche Operation aufgerufen wurde, die Ausführungszeit von ArcGIS Server-Aufrufen sowie in ArcGIS Server ausgelöste Warnmeldungen und Fehler. Sie können diese Informationen mit den Protokollen Ihres Webservers ergänzen, die Details enthalten, welche in ArcGIS Server-Protokollen möglicherweise nicht verfügbar sind, z. B. die IP-Adresse, von der die Anforderungen ausgegangen sind, der Benutzer-Agent, der Verweiser usw.
- Andere Funktionen: Die meisten Webserver bieten Optionen für die genaue Steuerung von Anforderungen und Antworten. Beispielsweise können Sie Filterregeln auf eingehende Anforderungen anwenden, den Zugriff von bestimmten IP-Adressen oder Domänennamen sperren usw.
Zusammenfassung
ArcGIS Web Adaptor oder der Reverseproxyserver eines Drittanbieters stellt eine ausgezeichnete Ergänzung für ArcGIS Server-Bereitstellungen mit nur einem Computer dar. Beide umfassen zusätzliche Sicherheitsfunktionen. Es wird dringend empfohlen, eine dieser beiden Optionen zu nutzen, wenn Sie GIS-Services über das Internet verfügbar machen möchten. Abhängig von den Sicherheitsanforderungen kann ihr Einsatz selbst für Intranet-Bereitstellungen erforderlich sein.
Vorteile
- Ergänzt die Bereitstellung mit einem einzelnen Computer durch eine zusätzliche Sicherheitsebene.
Nachteile
- Bei Verwendung eines Reverseproxyservers können Anforderungen an ArcGIS Server-Services zusätzlichen Overhead verursachen. Dies gilt besonders für die Authentifizierung auf Webebene bei sehr großen und komplexen organisationsspezifischen Identitätsspeichern (verschachtelte Gruppen oder Verbund).
- Keine hohe Verfügbarkeit; der ArcGIS Server-Computer und der Reverseproxyserver sind Schwachpunkte, wenn einer von beiden offline geht. Weitere Informationen finden Sie unter Ein einzelner Computer mit hoher Verfügbarkeit (Aktiv/Passiv).