Implementación en un solo equipo con un servidor proxy inverso
En este tema
- Acceso a los servicios SIG desde puertos estándar
- Aislar ArcGIS Server detrás del firewall de la organización
- Bloquear el acceso administrativo al sitio
- Aprovechar las características de su propio servidor web
- Resumen
Esta implementación es una variación de la implementación en un solo equipo en que a agrega un servidor proxy inverso al sitio. El servidor proxy inverso actúa como un intermediario para las solicitudes de cliente que buscan recursos en su sitio de ArcGIS Server, añadiendo características de seguridad adicional a la implementación del sitio.
ArcGIS Web Adaptor es una implementación de proxy inverso de Esri que se puede configurar en losservidores de aplicaciones web más comunes. También puede optar por sacar partido de otros servidores web de proxy inverso de terceros.
Tal como se muestra en el diagrama siguiente, ArcGIS Web Adaptor o el servidor proxy inverso de terceros se configura normalmente en un equipo de servidor web independiente, aunque también es posible colocarlos en el servidor SIG.
Para las aplicaciones cliente no hay diferencia entre acceder directamente a los servicios SIG o hacerlo a través del proxy. Sin embargo, como administrador de ArcGIS Server, puede sea más conveniente utilizar un servidor proxy inverso por alguno de los siguientes motivos:
Acceso a los servicios SIG desde puertos estándar
Si no se utiliza un servidor proxy inverso, los clientes conectarán directamente a ArcGIS Server a través de http://gisserver.domain.com:6080 o de https://gisserver.domain.com:6443 si SSL está configurado. No se pueden cambiar los puertos predeterminados que utiliza ArcGIS Server. Si desea que las aplicaciones cliente utilicen puertos estándar como el puerto 80 y 443 para HTTP y HTTPS respectivamente, tendrá que configurar un proxy inverso y dirigir a los clientes para que accedan a los servicios a través de él. Por ejemplo, podría configurar el proxy inverso en http://proxy.domain.com/arcgis o en http://proxy.domain.com/myGIS.
Aislar ArcGIS Server detrás del firewall de la organización
Si desea que los servicios y aplicaciones estén públicamente disponibles en Internet, se recomienda que utilice una configuración con servidor proxy web inverso para aislar ArcGIS Server detrás del firewall de su organización. En esta configuración, las solicitudes entrantes desde Internet pasar por un firewall que bloquea todos los puertos excepto los puertos 80 y 443 (HTTP y HTTPS, respectivamente). El servidor proxy web inverso recibe la solicitud entrante, se la pasa a ArcGIS Server a través de otro firewall por el puerto 6080 o 6443 (HTTP o HTTPS) y envía la respuesta al cliente. En el siguiente diagrama se muestra cómo el servidor proxy inverso residiría en una red perimetral, lo que le ayudaría a controlar el acceso a su red interna segura.
Para aprender a integrar un servidor proxy inverso con ArcGIS Server, consulte Utilizar un servidor proxy inverso con ArcGIS Server.
Bloquear el acceso administrativo al sitio
Se puede utilizar un servidor proxy inverso para bloquear el acceso a recursos específicos de su sitio. Por ejemplo, puede configurar el proxy inverso de modo que bloquee el acceso a ArcGIS Server Manager y al Directorio del administrador de ArcGIS Server. Esta es una buena práctica, especialmente si expone los servicios de ArcGIS Server en Internet.
Si utiliza ArcGIS Web Adaptor, deshabilite el acceso administrativo al sitio siguiendo las instrucciones que se indican a continuación en Configurar Web Adaptor después de la instalación. Si utiliza un servidor proxy inverso de terceros, consulte su documentación específica para bloquear el acceso a todas las solicitudes que traten de acceder a ArcGIS Server Manager (proxy.domain.com/arcgis/manager/) o al Directorio del administrador de ArcGIS Server (proxy.domain.com/arcgis/admin/).
Aunque el acceso administrativo estará bloqueado al acceder al sitio a través del proxy inverso, todavía estará disponible al acceder directamente a ArcGIS Server a través de los puertos predeterminados (6080 o 6443). Deben utilizarse firewalls de forma apropiada para controlar dónde se puede obtener acceso a estos puertos.
Aprovechar las características de su propio servidor web
Los servidores Web incluyen muchas características que puede que le convenga aprovechar como parte de la implementación de ArcGIS Server. Si comparte los servicios SIG a través de un servidor proxy inverso, puede aprovechar el registro, el almacenamiento en caché y las características de seguridad del servidor web.
- Autenticación en el nivel Web: de manera predeterminada, ArcGIS Server utiliza la autenticación basada en token (que se denomina habitualmente autenticación basada en token de ArcGIS o autenticación en el nivel de SIG). También puede optar por configurar ArcGIS Server con la autenticación en el nivel web. Este método permite a ArcGIS Server delegar la autenticación en su propio servidor web. Por ejemplo, puede aprovechar HTTP Basic, la autenticación con certificados de cliente y otros métodos de autenticación estándar. Si necesita la autenticación en el nivel web, debe utilizar ArcGIS Web Adaptor. La autenticación en el nivel de web no está disponible a través de servidores proxy web inversos de terceros.
- Registro: los registros de ArcGIS Server incluyen información específica de los servicios de ArcGIS Server, por ejemplo, qué operación se ha invocado, el tiempo de ejecución de las llamadas de ArcGIS Server, así como las advertencias y errores desencadenados en el servidor SIG. Puede complementar esta información con registros de su servidor web, que proporciona datos que pueden estar ausentes en los registros de ArcGIS Server, como la dirección IP desde la que se hacen las solicitudes, el agente de usuario, el origen de referencia, etc.
- Otras características: la mayoría de los servidores web le ofrecen opciones para controlar estrictamente las solicitudes y las respuestas. Por ejemplo, puede aplicar reglas de filtrado a las solicitudes entrantes, bloquear el acceso de direcciones IP o nombres de dominio específicos, etc.
Resumen
ArcGIS Web Adaptor o un servidor proxy inverso de terceros es un complemento excelente para las implementaciones en un solo equipo de ArcGIS Server. Ambos proporcionan características de seguridad adicionales. Es muy recomendable que utilice uno de ellos si piensa exponer los servicios SIG en Internet; incluso podría ser necesario en las implementaciones en una intranet, dependiendo de sus requisitos de seguridad.
Ventajas
- Complementa la implementación en un solo equipo con un nivel de seguridad adicional.
Desventajas
- El uso de un servidor proxy inverso puede añadir una sobrecarga en las solicitudes a los servicios de ArcGIS Server. Esto ocurre principalmente cuando se aprovecha la autenticación de nivel web para almacenes de identidad corporativos muy grandes y complejos (grupos anidados o federados).
- No es altamente disponible; el servidor SIG y el servidor proxy inverso son puntos únicos de fallo si cualquiera de ellos se desconecta. Consulte la implementación en Un solo equipo de alta disponibilidad (activo-pasivo) para obtener más información.