Las instancias de Amazon Elastic Compute Cloud (EC2) y Amazon Virtual Private Cloud (VPC) admiten solamente tráfico de red procedente de orígenes y de puertos definidos en sus grupos de seguridad. Por tanto, es posible que tenga que configurar reglas para los grupos de seguridad que se correspondan con los tipos de actividades que va a realizar en sus instancias de Amazon. Este tema describe algunos ajustes de grupos de seguridad comunes que podrá configurar para diferentes implementaciones de ArcGIS.
De forma predeterminada, los grupos de seguridad están completamente bloqueados. Puede agregar reglas a un grupo de seguridad especificando el tipo de tráfico permitido, los puertos a través de los cuales se canalizará y los equipos desde los que se admitirán comunicaciones. Los puertos que decida abrir y el tipo de tráfico que necesite permitir dependerán de lo que vaya a hacer con la instancia.
A continuación, sugerimos nombres y reglas para grupos de seguridad que podrá configurar para sus instancias en Amazon Web Services (AWS) Management Console. Los puertos y protocolos permitidos podrán variar en función de las directivas relativas a las tecnologías de la información (TI) de su organización. Para las siguientes sugerencias utilizamos los números de puerto más habituales. Si su organización tiene un especialista en TI, consúltele para que diseñe la mejor estrategia de seguridad para las instancias.
Instancias de desarrollo
Plantéese crear un grupo de seguridad específicamente para instancias de EC2 o VPC empleadas a efectos de desarrollo y pruebas. Este tipo de grupo podría permitir los siguientes accesos:
- Acceso de Protocolo de Escritorio remoto (RDP) a través del puerto 3389 para la dirección IP o una serie de direcciones IP autorizadas internas de la organización (solo Microsoft Windows).
Esto permitirá administrar la instancia a través de una conexión a Escritorio remoto de Windows. Debe utilizar la notación de Enrutamiento entre dominios sin clase (CIDR) para especificar un rango de direcciones IP (o una dirección IP) que puedan hacer conexiones. Por ejemplo, 0.0.0.0/0 permite que todos se conecten, en tanto que 92.23.32.51/32 permite que solamente una dirección IP específica se conecte. Consulte al administrador del sistema si necesita ayuda para obtener la dirección IP de cara al exterior del equipo local.
- Acceso de TCP a través del puerto 22 para la dirección IP o una serie de direcciones IP autorizadas internas de la organización (solo Linux).
La apertura del puerto 22 permite trabajar con las instancias de Linux a través de SSH.
- Acceso TCP a través del puerto 6080 o 6443 para todos (si no se utiliza ningún Elastic Load Balancer) o para el grupo de seguridad del Elastic Load Balancer (si se utiliza un Elastic Load Balancer).
El puerto 6080 se utiliza para la comunicación HTTP y el 6443 se utiliza para la comunicación HTTPS con los sitios de ArcGIS Server. Si no va a instalar ningún Elastic Load Balancer delante del sitio, tendrá que abrir el puerto 6080 o 6443 a todos los usuarios que utilizarán los servicios web de ArcGIS Server de desarrollo. Si utiliza un Elastic Load Balancer, abra el puerto 6080 o 6443 al grupo de seguridad del Elastic Load Balancer (que se puede detectar a través de AWS Management Console y que es probable que tenga un valor como amazon-elb/amazon-elb-sg).
- Acceso desde otros equipos del grupo.
Es obligatorio para que los equipos de ArcGIS Server de un sitio se comuniquen entre ellos y para que los componentes de un portal de ArcGIS Enterprise se comuniquen entre ellos. Además, facilita compartir archivos.
Instancias de producción
Una vez que haya desarrollado y comprobado la aplicación, cuando esté listo para pasar a la fase de producción sería una buena idea desactivar el acceso de Escritorio remoto. Si se produce algún problema y necesita iniciar sesión en el equipo, podrá cambiar temporalmente la configuración del grupo de seguridad para acceder. Un grupo de producción de ArcGIS permite el siguiente acceso:
- Acceso TCP a través del puerto 6443 para diversas direcciones IP (si no se utiliza ningún Elastic Load Balancer) o para el grupo de seguridad del Elastic Load Balancer (si se utiliza un Elastic Load Balancer).
- Acceso TCP a través del puerto 7443 para diversas direcciones IP.
- Acceso desde otros equipos del grupo.
Instancias de producción segura
Si desea especificar comunicaciones cifradas con su equipo, debe configurar un Elastic Load Balancer en el sitio para que reciba tráfico a través del puerto 443, que es el que suele utilizarse para las comunicaciones cifradas a través de SSL. A continuación, configure el equilibrador de carga para dirigir el tráfico al puerto 6443 para sitios de ArcGIS Server de varios equipos y el puerto 7443 para portales de ArcGIS Enterprise. En el grupo de seguridad, abra los puertos descritos anteriormente para Producción de ArcGIS.
Puertos utilizados habitualmente
A continuación indicamos algunos de los puertos más habituales con los que posiblemente tenga que trabajar durante la creación de grupos de seguridad. Algunos de estos puertos no necesitan estar explícitamente abiertos. Más bien, puede limitarse a decidir dar a los equipos incluidos dentro del grupo de seguridad pleno acceso mutuo. Si desea permitir el acceso desde equipos que no participan en sus grupos de seguridad (por ejemplo, la estación de trabajo de sobremesa de la oficina), deberá abrir números de puerto específicos.
Puerto | Propósito común |
---|---|
22 | Conexiones a través de SSH |
80 | Acceso HTTP al servidor web de IIS o al equilibrador de carga |
443 | Acceso HTTPS al servidor web de IIS o al equilibrador de carga |
445 | Uso compartido de archivos de Windows |
3389 | Conexiones a través del Escritorio remoto de Windows |
6080 | Acceso HTTP a ArcGIS Server |
6443 | Acceso HTTPS a ArcGIS Server |
7443 | Acceso HTTPS a Portal for ArcGIS |
2443 | Comunicación de ArcGIS Data Store* *Los clientes externos no acceden a ArcGIS Data Store directamente; las conexiones pasan por el sitio de ArcGIS Server para el que creó el data store. |
El Firewall de Windows está habilitado en cualquier instancia de Windows que inicie con las Amazon Machine Image de Esri. Si instala una aplicación de terceros que requiera puertos distintos de los anteriormente enumerados, asegúrese de configurar también el Firewall de Windows para admitir el puerto.
Para obtener información sobre los puertos adicionales utilizados por componentes de ArcGIS Enterprise, consulte las siguientes páginas: