Déploiement sur une seule machine avec un serveur proxy inverse
Dans cette rubrique
- Accéder aux services SIG via des ports standard
- Isoler ArcGIS Server derrière le pare-feu de votre organisation
- Bloquer l'accès administratif à votre site
- Exploiter les fonctionnalités de votre serveur Web
- Récapitulatif
Ce déploiement est une variation du déploiement sur une seule machine lors duquel un serveur proxy inverse est ajouté au site. Un serveur proxy inverse sert d'intermédiaire pour les requêtes des clients recherchant des ressources sur votre site ArcGIS Server et il améliore la sécurité du déploiement de votre site.
ArcGIS Web Adaptor est une mise en œuvre de proxy inversé d'Esri que vous pouvez configurer dans la plupart des serveurs d'applications Web courants. Vous pouvez également utiliser d'autres serveurs Web proxy inversés tiers.
Comme l'indique le diagramme ci-dessous, ArcGIS Web Adaptor ou un serveur proxy inverse tiers est habituellement configuré sur un serveur Web distinct, bien qu'il puisse cohabiter avec votre serveur SIG.
Les applications clientes peuvent aussi bien accéder aux services SIG directement ou via le proxy. Toutefois, en tant qu'administrateur ArcGIS Server, vous souhaiterez peut-être utiliser un serveur proxy inverse pour une ou plusieurs raisons parmi les suivantes :
Accéder aux services SIG via des ports standard
Lorsque vous n'utilisez pas de serveur proxy inverse, les clients se connecteront directement à ArcGIS Server via http://gisserver.domain.com:6080 ou https://gisserver.domain.com:6443 si vous avez configuré SSL. Vous ne pouvez pas modifier les ports par défaut utilisés par ArcGIS Server. Pour que les applications clientes utilisent des ports standard, 80 et 443 pour HTTP et HTTPS respectivement, par exemple, configurez un proxy inversé et dirigez les clients vers ce dernier pour accéder aux services. Par exemple, vous pouvez configurer votre proxy inversé sur http://proxy.domain.com/arcgis ou http://proxy.domain.com/myGIS.
Isoler ArcGIS Server derrière le pare-feu de votre organisation
Pour que vos services et applications soient disponibles au public sur Internet, nous conseillons l'utilisation d'une configuration de serveur Web proxy inversé pour isoler ArcGIS Server derrière le pare-feu de votre organisation. Avec cette configuration, les requêtes en entrée provenant d'Internet passent par un pare-feu qui bloque tous les ports, à l'exception des ports 80 et 443 (HTTP et HTTPS respectivement). Votre serveur Web proxy inversé reçoit les requêtes en entrée, les transmet à ArcGIS Server via un autre pare-feu par le port 6080 ou 6443 (HTTP ou HTTPS) et renvoie la réponse au client. Le diagramme suivant indique comment le serveur proxy inverse réside sur un réseau de périmètre pour vous aider à contrôler l'accès à votre réseau interne sécurisé.
Pour savoir comment intégrer un serveur proxy inverse à ArcGIS Server, reportez-vous à la rubrique Utilisation d'un serveur proxy inverse avec ArcGIS Server.
Bloquer l'accès administratif à votre site
Un serveur proxy inverse permet de bloquer l'accès à des ressources spécifiques de votre site. Par exemple, vous pouvez configurer votre proxy inversé pour bloquer l'accès à ArcGIS Server Manager et au répertoire d'administrateur d'ArcGIS Server. Cette pratique est recommandée, surtout si vous proposez vos services ArcGIS Server sur Internet.
Lorsque vous utilisez ArcGIS Web Adaptor, désactivez l'accès administratif à votre site en suivant les instructions de la rubrique Configuration de l'adaptateur Web après l'installation. Si vous utilisez un serveur proxy inverse tiers, consultez la documentation qui l'accompagne pour bloquer toutes les requêtes qui tentent d'accéder à ArcGIS Server Manager (proxy.domain.com/arcgis/manager/) ou au répertoire d'administrateur d'ArcGIS Server (proxy.domain.com/arcgis/admin/).
Même si l'accès administratif à votre site est bloqué via le proxy inversé, il reste disponible si vous accédez à ArcGIS Server directement via ses ports par défaut (6080 ou 6443). Utilisez les pare-feu correctement pour contrôler l'accès à ces ports.
Exploiter les fonctionnalités de votre serveur Web
Les serveurs Web intègrent de nombreuses fonctionnalités que vous souhaiterez peut-être utiliser dans le cadre du déploiement ArcGIS Server. En partageant vos services SIG via votre serveur proxy inverse, vous pouvez utiliser les fonctions de consignation, de mise en cache et de sécurité de votre serveur Web.
- Authentification au niveau du Web : par défaut, ArcGIS Server utilise l'authentification à base de jetons (souvent appelée authentification ArcGIS à base de jetons ou authentification au niveau du serveur SIG). Vous pouvez également configurer ArcGIS Server avec l'authentification au niveau du Web. Cette méthode permet à ArcGIS Server de déléguer l'authentification à votre serveur Web. Vous pouvez, par exemple, utiliser l'authentification Windows intégrée (si vous utilisez Microsoft Internet Information Services), HTTP basique, l'authentification avec des certificats clients et d'autres méthodes d'authentification standard. Si vous devez procéder à une authentification au niveau du Web, vous devez utiliser ArcGIS Web Adaptor. L'authentification au niveau du Web n'est pas disponible via un serveur Web proxy inversé tiers.
- Consignation : les journaux ArcGIS Server contiennent des informations propres aux services ArcGIS Server, permettant par exemple d'identifier l'opération appelée, l'heure d'exécution des appels ArcGIS Server, ainsi que les avertissements et erreurs déclenchés sur votre serveur SIG. Vous pouvez compléter ces informations en assimilant les journaux de votre serveur Web qui contiennent des détails pouvant ne pas figurer dans les journaux d'ArcGIS Server, tels que l'adresse IP à partir de laquelle les requêtes ont été transmises, l'agent de l'utilisateur, le référent, etc.
- Autres fonctionnalités : la plupart des serveurs Web proposent des options de contrôle strict des requêtes et des réponses. Par exemple, vous pouvez appliquer des règles de filtrage aux requêtes en entrée, bloquer l'accès à partir d'adresses IP ou de noms de domaine spécifiques, etc.
Récapitulatif
ArcGIS Web Adaptor ou un serveur proxy inverse tiers sont tout à fait adaptés pour compléter des déploiements ArcGIS Server sur une seule machine. Ils proposent tous les deux des fonctions de sécurité supplémentaires. Nous recommandons vivement l'utilisation de l'un des deux si vous pensez proposer vos services SIG sur Internet, et leur utilisation peut être nécessaire pour les déploiements sur intranet, selon vos exigences en matière de sécurité.
Vous devez savoir que l'accès à votre site ArcGIS Server peut être autorisé via un ou plusieurs serveurs proxy inverses. Par exemple, deux adaptateurs Web peuvent prendre en charge des services publics et privés sur un site configuré avec des utilisateurs de Windows Active Directory. Pour plus d'informations, reportez-vous à la rubrique Prise en charge de services publics et privés.
Avantages
- Complète le déploiement sur une seule machine avec un niveau supplémentaire de sécurité.
Inconvénients
- L'utilisation d'un serveur proxy inverse peut éventuellement surcharger les requêtes à destination de vos services ArcGIS Server. C'est particulièrement le cas lors de l'utilisation de l'authentification au niveau du Web pour des magasins d'entités d'entreprise très volumineux et complexes (groupes imbriqués ou fédérés).
- Absence de haute disponibilité. Le serveur SIG et le serveur proxy inverse représentent des points de défaillance uniques s'ils venaient à être déconnectés. Pour plus d'informations, renseignez-vous sur le déploiement d'une seule machine haute disponibilité (actif-passif).
Vous avez un commentaire à formuler concernant cette rubrique ?