Un servidor proxy inverso es un equipo implementado dentro de una red perimetral (también conocida como zona desmilitarizada [DMZ] o subred filtrada) que gestiona las solicitudes de Internet y las reenvía a los equipos de la red interna. El reenvío de solicitudes en nombre del servidor proxy inverso enmascara la identidad de los equipos detrás del firewall de la organización, protegiendo así los equipos internos del ataque directo de los usuarios de Internet. Se pueden implementar funciones de seguridad adicionales en el servidor proxy inverso para proteger aún más la red interna de los usuarios externos.
Si su servidor proxy inverso admite una función de verificación de estado, puede utilizar el extremo de verificación de estado de Portal for ArcGIS para determinar si el portal está disponible para recibir solicitudes. Esto resulta útil para determinar rápidamente si hay un fallo de software o hardware en el sitio. Para obtener más información, consulte el tema Verificación de estado del portal en la API REST de ArcGIS.
Precaución:
La configuración que se detalla en este tema se debe realizar antes de federar cualquier sitio de ArcGIS Server en su portal de ArcGIS Enterprise. No se permite agregar un alias DNS ni un servidor proxy después de federar un sitio ArcGIS Server con su portal. Si necesita cambiar el nombre de host en el URL de su organización, póngase en contacto con Esri Professional Servicies o con otro socio de consultoría de confianza para solicitar ayuda.
Dejar sin federar un sitio de ArcGIS Server tiene varias consecuencias importantes y no se puede subsanar fácilmente. Para obtener más información, consulte Administrar un servidor federado.
Agregar Portal for ArcGIS a un servidor proxy inverso
Antes de agregar Portal for ArcGIS al servidor proxy inverso de su organización, debe completar los siguientes pasos:
- Configure HTTPS (HTTP y HTTPS o solo HTTPS) en el servidor proxy inverso. De forma predeterminada, Portal for ArcGIS utiliza HTTPS para la comunicación. Consulte la documentación del producto de su servidor proxy para conocer el procedimiento de configuración de HTTPS.
Nota:
Portal for ArcGIS no admite la descarga de SSL por medio de un equilibrador de carga/servidor proxy inverso. Por lo tanto, si su configuración usa un servidor proxy inverso, debe dirigir el tráfico a ArcGIS Web Adaptor o directamente a Portal for ArcGIS a través de HTTPS.
- Configure ArcGIS Web Adaptor con su portal si este último va a utilizar la autenticación integrada de Windows. Portal for ArcGIS requiere el uso de ArcGIS Web Adaptor y esto permitirá que el servidor proxy inverso se comunique correctamente con el portal. Para obtener instrucciones completas, consulte Configurar ArcGIS Web Adaptor.
Verifique que el servidor proxy admite la codificación gzip y que está configurado para permitir el encabezado Accept-Encoding. Este encabezado permite que se compriman las respuestas de HTTP 1.1 con la codificación de gzip. Por ejemplo, si se permite el encabezado, una solicitud para cargar el Map Viewer devolverá una respuesta comprimida de alrededor de 1,4 MB al navegador. Si el encabezado se omite o no se permite, la solicitud devolverá una respuesta descomprimida de alrededor de 6,8 MB al navegador. Si la velocidad de su red es lenta, el Map Viewer puede tardar bastante en cargarse si las respuestas no se comprimen. Esri recomienda encarecidamente permitir este encabezado como parte de la configuración de su servidor proxy inverso.
Agregar ArcGIS Web Adaptor a las directivas del servidor proxy
Después de configurar ArcGIS Web Adaptor con Portal for ArcGIS, ArcGIS Web Adaptor puede utilizarse con el servidor proxy inverso de su organización agregando componentes directamente a las directivas del proxy. Por ejemplo, si utiliza Apache como servidor proxy inverso, deberá agregar ArcGIS Web Adaptor a las directivas ProxyPass del archivo de configuración del servidor web de Apache httpd.conf:
ProxyPass /webadaptorname https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /webadaptorname https://webadaptorhost.domain.com/webadaptorname
Las directivas ProxyPass deben coincidir con el nombre designado para ArcGIS Web Adaptor (/webadaptorname en la muestra de arriba).
Preparar un proxy inverso
Antes de implementar su servidor proxy inverso para utilizarlo con el portal, Esri recomienda configurar parte de los encabezados del proxy inverso para garantizar una comunicación adecuada.
En la configuración de carga del servidor proxy inverso, configure un encabezado X-Forwarded-Host para el nombre de host del servidor proxy inverso. Portal for ArcGIS espera que esta propiedad esté configurada en el encabezado enviado por el proxy inverso y devolverá las solicitudes que coincidan con la URL del servidor proxy inverso. Si no utiliza ArcGIS Web Adaptor con su portal, defina el encabezado Host para que coincida con el nombre de host del equipo en el que está instalado Portal for ArcGIS.
Sugerencia:
Puede utilizar el extremo máquinas del Directorio de administrador de ArcGIS Portal para ver el nombre de host de la máquina en la que se ejecuta Portal for ArcGIS.
Por ejemplo, una solicitud enviada al extremo REST de Portal for ArcGIS (https://reverseproxy.domain.com/arcgis/sharing/rest) se devolverá al cliente como la misma URL. Si la propiedad no está definida, Portal for ArcGIS puede devolver la URL del equipo interno donde se dirigió la solicitud (por ejemplo, https://portal.domain.com/arcgis/sharing/rest en lugar de https://reverseproxy.domain.com/arcgis/sharing/rest). Esto es problemático, ya que no clientes no podrán acceder a esta URL (marcado comúnmente como error 404 del navegador). Además, el cliente tiene acceso así a cierta información sobre el equipo interno.
Además del encabezado X-Forwarded-Host, su servidor proxy inverso debe ser capaz de dirigir redirecciones (códigos HTTP 301 o 302). También debe actualizar su encabezado Location para garantizar que el nombre de dominio totalmente calificado (FQDN) y el contexto de la respuesta coincidan con el valor WebContextURL del portal.
Establecer la propiedad WebContextURL
La propiedad WebContextURL del portal le ayuda a construir las direcciones URL de todos los recursos que envía al usuario final.
Nota:
Si no utiliza ArcGIS Web Adaptor en su implementación, asegúrese de que el nombre de contexto del servidor proxy inverso solo profundice un nivel en la URL. Por ejemplo, puede tener una URL de proxy inverso como https://proxy.domain.com/enterprise, pero no puede tener una URL de proxy inverso como https://proxy.domain.com/myorg/enterprise.
- Abra un navegador web e inicie sesión en el Directorio de Portal for ArcGIS como miembro del rol de administrador predeterminado de la organización de su portal. La dirección URL tiene el formato https://portal.domain.com:7443/arcgis/portaladmin.
- Haga clic en Sistema > Propiedades > Actualizar propiedades.
- En el cuadro de diálogo Update System Properties, inserte el JSON siguiente, sustituyendo la dirección URL de alias DNS o de su propio servidor proxy inverso tal como la ven los usuarios de fuera del firewall de su organización.
{ "WebContextURL": "https://reverseproxy.domain.com/enterprise" }
Nota:
Portal for ArcGIS solo admite un único DNS.
Nota:
No puede utilizar un puerto no estándar (es decir, un puerto que no sea el 443) al configurar la propiedad WebContextURL.
- Haga clic en Actualizar propiedades.
Rehacer las tareas administrativas
Una vez que haya configurado el servidor proxy inverso con el portal, podrá acceder al portal a través de la dirección URL del servidor proxy inverso en lugar de la dirección URL de ArcGIS Web Adaptor. Todo aquello a lo que se acceda del sitio Web del portal o del directorio de Portal for ArcGIS devolverá la dirección URL del servidor proxy inverso.
Es necesario volver a completar las tareas administrativas siguientes usando la dirección URL del servidor proxy inverso:
Si había agregado servicios protegidos como elementos del portal con anterioridad, deberá eliminar los elementos originales y volverlos a agregar. Esto se debe a que los elementos originales utilizan la dirección URL de ArcGIS Web Adaptor en lugar de la dirección URL del servidor del proxy inverso. Consulte las instrucciones en Conectarse a servicios protegidos.
Tras configurar el servidor proxy inverso con el portal, es posible que necesite ajustar su configuración. Por ejemplo, si las operaciones o solicitudes de su implementación fallan con un error que indica que el tiempo de espera de la conexión se ha agotado, el problema puede ser que el valor de tiempo de espera del servidor proxy inverso sea demasiado corto. Para solucionar este error, plantéese aumentar el valor de tiempo de espera para permitir que se completen solicitudes de larga ejecución, como federar un servidor.