Una instancia de Amazon Elastic Compute Cloud (EC2) admite solamente tráfico de red procedente de orígenes y de puertos definidos en su grupo de seguridad. Al utilizar Amazon EC2, deberá configurar algunos grupos de seguridad que se correspondan con los tipos de actividades que va a realizar en sus instancias de EC2. Este tema describe algunos grupos de seguridad comunes que podrá configurar para diferentes implementaciones de ArcGIS Server.
De manera predeterminada, un grupo de seguridad está completamente bloqueado. Podrá agregar reglas a un grupo de seguridad especificando el tipo de tráfico permitido, los puertos a través de los cuales se canalizará y los ordenadores desde los que se admitirán comunicaciones. Los puertos que decida abrir y el tipo de tráfico que necesite permitir dependerán de lo que vaya a hacer con la instancia.
A continuación sugerimos nombres y reglas para grupos de seguridad que podrá configurar en la Consola de administración de AWS. Los puertos y protocolos admisibles podrán variar en función de las directivas de TI de su organización. Para las siguientes sugerencias utilizamos los números de puerto más habituales. Si su organización tiene un especialista en TI, considere consultarle para que diseñe la mejor estrategia de diseño para las instancias de EC2.
Instancias de desarrollo
Considere crear un grupo de seguridad específicamente para instancias de EC2 empleadas a efectos de desarrollo y pruebas. Este tipo de grupo podría permitir los siguientes accesos:
- Acceso de RDP a través del puerto 3389 para la dirección IP o una serie de direcciones IP autorizadas internas de la organización (solo Windows). Esto permitirá administrar la instancia de EC2 a través de Conexión a Escritorio remoto de Windows. Debe utilizar la notación de Enrutamiento entre dominios sin clase (CIDR) para especificar un rango de direcciones IP (o una dirección IP) que puedan hacer conexiones. Por ejemplo, 0.0.0.0/0 permite que todos se conecten, en tanto que 92.23.32.51/32 permite que solamente una dirección IP específica se conecte. Consulte al administrador del sistema si necesita ayuda para obtener la dirección IP de cara al exterior de la máquina local.
- Acceso de TCP a través del puerto 22 para la dirección IP o una serie de direcciones IP autorizadas internas de la organización (solo Linux). La apertura del puerto 22 permite trabajar con las instancias de Linux a través de SSH.
- Acceso TCP a través del puerto 6080 para todos (si no se utiliza un balanceador de carga elástico), o el grupo de seguridad del balanceador de carga elástico (si se utiliza un balanceador de carga elástico). El puerto 6080 se utiliza para las comunicaciones con ArcGIS Server. Si no va a instalar un balanceador de carga elástico delante del sitio, tendrá que abrir el puerto 6080 a todos los usuarios de los servicios web de ArcGIS Server. Si utiliza un balanceador de carga elástico, tendrá que abrir el puerto 6080 al grupo de seguridad del balanceador de carga elástico (que se puede detectar a través de la Consola de administración de AWS y que es probable que tenga un valor como amazon-elb/amazon-elb-sg).
- Acceso desde otras máquinas del grupo. Es necesario para que las máquinas del servidor SIG se comuniquen entre sí. Además, facilita compartir archivos. Podrá agregar una regla que permita este tipo de acceso seleccionando el tipo de regla Todos los ICMP, especificando su Id. de grupo de seguridad (por ejemplo, sg-xxxxxxxx) en el cuadro Origen, y haciendo clic en Agregar regla. Con este método, las máquinas del grupo se comunicarán entre sí a través de todos los puertos y protocolos.
Instancias de producción
Una vez que haya desarrollado y comprobado la aplicación, cuando esté listo para pasar a la fase de producción sería una buena idea desactivar el acceso de Escritorio remoto. Si se produce algún problema y necesita iniciar una sesión de la máquina, podrá cambiar temporalmente la configuración del grupo de seguridad para acceder. Un grupo de producción de ArcGIS Server permite el siguiente acceso:
- Acceso TCP a través del puerto 6080 para todos (si no se utiliza un balanceador de carga elástico), o el grupo de seguridad del balanceador de carga elástico (si se utiliza un balanceador de carga elástico).
- Acceso desde otras máquinas del grupo
Instancias de producción segura
Si desea especificar comunicaciones cifradas con su máquina, debe configurar un balanceador de carga elástico en el sitio para que reciba tráfico a través del puerto 443, que es el que suele utilizarse para las comunicaciones cifradas a través de SSL. A continuación, configure el equilibrador de carga para dirigir el tráfico al puerto 6443. En el grupo de seguridad, abra los puertos descritos anteriormente para Producción de ArcGIS Server.
Grupos de seguridad para geodatabases corporativas
Si opta por tener geodatabases corporativas en una instancia separada de la instancia de ArcGIS Server, podrá configurar un grupo de seguridad específicamente para la instancia de geodatabase corporativa, con lo que tendrá lo siguiente:
- Acceso de TCP a través del puerto 22 (Linux) para la dirección IP o una serie de direcciones IP autorizadas internas de la organización Tendrá que conectarse remotamente a la máquina al menos una vez para cambiar las contraseñas predeterminadas de PostgreSQL. Posteriormente, si lo desea podrá eliminar esta regla de acceso remoto del grupo de seguridad.
- Acceso RDP a través del puerto 3389 (Windows) Puede agregar esta regla si necesita conectarse remotamente a la instancia de Microsoft SQL Server o de SQL Server Express (por ejemplo, para agregar usuarios o geodatabases adicionales) y, a continuación, eliminarla cuando haya terminado.
- Acceso desde equipos del grupo de seguridad de ArcGIS Server Esto permite que las instancias que se ejecuten en ArcGIS Server puedan acceder a la instancia de su geodatabase corporativa. Si los equipos que no participan en los grupos de seguridad tienen que conectarse a la geodatabase, deberá abrir explícitamente el puerto 5432 para permitir las comunicaciones con PostgreSQL o el puerto 1433 para las comunicaciones con SQL Server.
Puertos utilizados habitualmente
A continuación indicamos algunos de los puertos más habituales con los que posiblemente tenga que trabajar durante la creación de grupos de seguridad. Algunos de estos puertos no necesitan estar explícitamente abiertos. Más bien, puede limitarse a decidir dar a las máquinas incluidas dentro del grupo de seguridad pleno acceso mutuo. Si desea permitir el acceso desde máquinas que no participan en sus grupos de seguridad (por ejemplo, la estación de trabajo de sobremesa de la oficina), deberá abrir números de puerto específicos.
| Puerto | Propósito común |
|---|---|
80 | Acceso HTTP al servidor web de IIS o al balanceador de carga |
443 | Acceso HTTPS al servidor web de IIS o al balanceador de carga |
445 | Uso compartido de archivos de Windows |
1433 | Conexiones a Microsoft SQL Server |
3389 | Conexiones a Escritorio remoto de Windows |
5432 | Conexiones a PostgreSQL |
6080 | Acceso HTTP a ArcGIS Server |
6443 | Acceso HTTPS a ArcGIS Server |
7443 | Acceso HTTPS a Portal for ArcGIS |
2443 | Comunicación con ArcGIS Data Store |
Windows Firewall estará activado en cada instancia de Windows que inicie utilizando las AMI facilitadas por Esri. Si instala una aplicación de terceros que requiera puertos distintos de los anteriormente enumerados, asegúrese de configurar también Windows Firewall para admitir el puerto.