El método de autenticación que utiliza con su organización y si permite o no el acceso al mismo desde fuera de su firewall ayuda a definir el modo en que lleva a cabo una implementación de ArcGIS Enterprise de alta disponibilidad.
Lo siguiente se cumple en todas las situaciones descritas en este tema:
- Los equipos del portal (Portal1 y Portal2) almacenan contenido en el mismo directorio, que se ha colocado en un servidor de archivos de alta disponibilidad.
- Los equipos de GIS Server (HostingServer1 y HostingServer2) en el sitio del servidor de alojamiento comparten directorios de servidor comunes y un almacén de configuración, que se han colocado en un servidor de archivos de alta disponibilidad.
- Un data store relacional de alta disponibilidad se compone de un equipo principal (DataStore1) y un equipo de respaldo (DataStore2), que están registrados en el sitio del servidor de alojamiento. ArcGIS Data Store cuenta con un mecanismo de conmutación por error integrado en el que el data store relacional de respaldo se convierte en el equipo de data store principal si falla el equipo principal. El data store comprueba el estado de los equipos de ArcGIS Server para el sitio con el cual está registrado, de forma que puede configurar el data store a través de la dirección URL de cada equipo de ArcGIS Server.
- HTTPS y HTTP están habilitados para Portal for ArcGIS y ArcGIS Server. Si HTTP está deshabilitado para todos los componentes, los puertos HTTP (80, 6080 y 7080) se pueden eliminar de los ejemplos. Las direcciones URL administrativas requieren comunicación HTTPS.
- Para las arquitecturas que involucran equilibradores de carga, se han configurado comprobaciones de estado para determinar la disponibilidad de los destinos de back-end y equilibrar el tráfico con un algoritmo de operación por turnos. Aunque en los diagramas se utilizan los hosts de ejemplo loadbalancer.example.com y internalloadbalancer.example.com, puede reemplazarlo por un alias DNS asignado a cada componente mediante servidores DNS internos o externos.
Las diferencias en los protocolos de autenticación y comunicación cliente-portal se describen en las secciones siguientes. Puede encontrar más información sobre las direcciones URL utilizadas en una implementación de alta disponibilidad en Alta disponibilidad en ArcGIS Enterprise.
Los usuarios integrados y los clientes tienen acceso al portal a través de los puertos 80 y 443
En este escenario, la autenticación del portal utiliza usuarios incorporados y toda la comunicación entre los clientes (que se muestran en la parte superior del diagrama) y el portal se produce dentro del firewall.
En el ejemplo, los clientes acceden a la organización mediante el equilibrador de carga a través de la dirección URL de la organización (en este caso, https://loadbalancer.example.com/portal/home/) y se puede acceder al directorio REST del sitio de ArcGIS Server a través de https://loadbalancer.example.com/server/rest/services. El portal de alta disponibilidad (dos equipos de Portal for ArcGIS, Portal1 y Portal2) se comunica con el sitio de su servidor de alojamiento de alta disponibilidad mediante la dirección URL administrativa (https://loadbalancer.example.com/server/admin) definida durante la federación. Los equipos del sitio del servidor de alojamiento (HostingServer1 y HostingServer2) se comunican con el portal mediante el mismo extremo que los clientes (https://loadbalancer.example.com/portal) utilizando la privatePortalURL definida en las propiedades del sistema del portal. Tanto la dirección URL del Directorio del administrador de ArcGIS Server como la privatePortalURL pasan por el equilibrador de carga (LoadBalancer) para tener en cuenta la redundancia. Si un equipo de Portal for ArcGIS falla o no se puede acceder a él, el servidor de alojamiento todavía puede comunicarse con el equipo restante, ya que el equilibrador de carga dirigirá el tráfico a este equipo. Del mismo modo, si uno de los equipos del servidor de alojamiento falla o no se puede acceder a él, el equilibrador de carga seguirá dirigiendo el tráfico de los equipos de Portal for ArcGIS al equipo de ArcGIS Server restante.
Usuarios incorporados con acceso público al portal
En este escenario, la autenticación del portal utiliza los usuarios incorporados y al menos algunos clientes accederán al portal desde fuera del firewall. El acceso administrativo desde fuera del firewall debería estar deshabilitado.
Los clientes acceden a la organización y al extremo REST de ArcGIS Server a través del equilibrador de carga que está fuera del firewall (LoadBalancer), normalmente a través de un alias DNS asignado a loadbalancer.example.com. El portal se comunica con el sitio del servidor de alojamiento a través de un segundo equilibrador de carga (InternalLoadBalancer) dentro del firewall (https://internalloadbalancer.example.com:6443/arcgis, las líneas verdes del diagrama). El servidor de alojamiento se comunica con el portal a través de la privateportalURL, que también pasa por el InternalLoadBalancer (https://internalloadbalancer.example.com:7443/arcgis, las líneas naranja del diagrama) de modo que la comunicación no tiene que pasar a través del firewall. Si uno de los equipos del portal falla, el servidor de alojamiento todavía puede comunicarse con el equipo restante del portal, ya que el equilibrador de carga interno enviará solicitudes al equipo restante del portal. Del mismo modo, si uno de los equipos de GIS Server falla, el equilibrador de carga interno dirigirá el tráfico del portal al equipo de GIS Server restante.
El acceso de clientes de fuera del firewall directamente al sitio de GIS Server también pasará por el equilibrador de carga (LoadBalancer) fuera del firewall (la línea roja del diagrama).
El acceso de administrador al Directorio de administrador de ArcGIS Server y a ArcGIS Server Manager se bloquea configurando reglas en el equilibrador de carga (LoadBalancer) fuera del firewall (la línea roja del diagrama).
Autenticación IWA o LDAP con acceso interno del cliente
En este escenario, los usuarios del portal se autentican mediante la autenticación de Windows integrada (IWA) o la autenticación del protocolo de acceso al directorio ligero (LDAP), y todos los clientes que acceden al portal están dentro del firewall.
Cuando el acceso público al portal no es necesario pero los clientes se autenticarán con el portal utilizando la autenticación IWA o LDAP, cada equipo del portal de alta disponibilidad requiere un Web Adaptor (WebAdaptor1 y WebAdaptor2). El equilibrador de carga (LoadBalancer) envía el tráfico a los web adaptors, que equilibran las solicitudes entre los dos equipos del portal (Portal1 y Portal2). Cualquier comunicación de los equipos de ArcGIS Server a los equipos de Portal for ArcGIS debe sortear el desafío de autenticación en el nivel web a través del web adaptor. Por consiguiente, el equilibrador de carga está configurado para escuchar en los puertos 7080 y 7443 y el tráfico se envía directamente al portal en los puertos 7080 o 7443 a través de la privatePortalURL.
Como el acceso público al portal no es necesario, el equilibrador de carga puede utilizarse tanto para la dirección URL de los servicios como para la dirección URL de administración. La PrivatePortalURL es https://internalloadbalancer.example.com:7443/arcgis y los equipos del sitio de alojamiento se comunican con los equipos del portal a través de esta dirección URL (las líneas naranja del diagrama). La URL de la organización es https://loadbalancer.example.com/portal y la dirección URL de los servicios y la dirección URL de administración del sitio de alojamiento son https://loadbalancer.example.com/server.
Autenticación SAML o ADFS con acceso público al portal
En este escenario, los usuarios se autentican utilizando el lenguaje de marcado para confirmaciones de seguridad (SAML) o los Servicios de federación de Active Directory (ADFS), pero algunos clientes que acceden a la organización están fuera del firewall. En este caso, tiene que deshabilitar el acceso administrativo a los equipos de ArcGIS Server del sitio del servidor de alojamiento por motivos de seguridad. En la siguiente sección se describen las dos configuraciones para hacerlo.
Nota:
El uso de la autenticación SAML o ADFS para su portal hace innecesario configurar Web Adaptors con el portal. Aunque puede usar ArcGIS Web Adaptor con su portal en los dos escenarios siguientes, esto no aporta ninguna ventaja funcional a la configuración.
Proteger un portal de acceso público utilizando reglas definidas en el equilibrador de carga
En este escenario, los clientes se conectan a través del equilibrador de carga (LoadBalancer) que está fuera del firewall (la línea roja del diagrama), que envía el tráfico directamente a los dos equipos del portal (Portal1 y Portal2) en los puertos 7443 y 7080 y a los dos equipos de GIS Server (HostingServer1 and HostingServer2) en los puertos 6443 y 6080. Las reglas del equilibrador de carga bloquean el acceso a las direcciones URL de ArcGIS Server Administrator y ArcGIS Server Manager.
El equilibrador de carga que está fuera del firewall no se puede comunicar a través de los puertos 6080, 6443, 7080 ni 7443. Se configura otro equilibrador de carga (InternalLoadBalancer) dentro del firewall para habilitar la comunicación entre el portal y el servidor de alojamiento. El portal se comunicará con el servidor de alojamiento usando la dirección URL definida para la URL de administración durante la federación (líneas verdes del diagrama) y el servidor de alojamiento se comunicará con el portal a través de la privatePortalURL, (las líneas naranja del diagrama) de forma que la comunicación no tiene que pasar por el firewall. El equilibrador de carga interno garantiza la redundancia si uno de los equipos de GIS Server o los equipos del portal falla.
La privatePortalURL de este escenario es https://internalloadbalancer.example.com:7443/arcgis. La dirección URL de administración del sitio de ArcGIS Server utilizada durante la federación es https://internalloadbalancer.example.com:6443/arcgis.
Proteger un portal de acceso público usando Web Adaptors en el sitio de GIS Server
En este escenario, los clientes se conectan a través del equilibrador de carga (LoadBalancer) que está fuera del firewall (la línea roja del diagrama), que envía tráfico directamente a los dos equipos del portal (Portal1 y Portal2) en los puertos 7443 y 7080 y envía tráfico a los dos Web Adaptors (WebAdaptor1 y Webadaptor2) que están configurados con los equipos de ArcGIS Server (HostingServer1 y HostingServer2). Otro equilibrador de carga (InternalLoadBalancer) administra el tráfico entre los equipos del portal y el sitio del servidor de alojamiento y garantiza la redundancia si falla uno de los equipos de GIS Server o del portal.
Los clientes acceden al portal a través del equilibrador de carga (LoadBalancer) https://loadbalancer.example.com/portal/home/, que envía tráfico a los dos equipos del portal a través de los puertos 7080 y 7443. Como el portal está configurado con la autenticación SAML o ADFS, el proveedor SAML o ADFS autentica a los usuarios cuando acceden al portal.
Los clientes pueden acceder al sitio del servidor de alojamiento a través del equilibrador de carga (LoadBalancer) que está fuera del firewall, que envía tráfico a los Web Adaptors de GIS Server (WebAdaptor1 y WebAdaptor2). Los Web Adaptors reenvían el tráfico a los equipos de GIS Server a través de los puertos 6080 y 6443.
Los equipos de ArcGIS Server se comunican con el portal a través de la privatePortalURL (https://internalloadbalancer.example.com:7443/arcgis, las líneas naranja del diagrama), de modo que la comunicación no tiene que pasar a través del firewall. El sitio del servidor de hospedaje está federado al portal que utiliza https://loadbalancer.example.com/server para la dirección URL de los servicios. Este tráfico pasa por los Web Adaptors WebAdaptor1 y WebAdaptor2, que están configurados para bloquear el acceso del administrador a ArcGIS Server Manager y al Directorio del administrador de ArcGIS Server. Se utiliza un segundo equilibrador de carga (InternalLoadBalancer) para la dirección URL de administración (https://internalloadbalancer.example.com:6443/arcgis, las líneas verdes del diagrama) definida durante la federación para proporcionar redundancia.