Les instances Amazon Elastic Compute Cloud (EC2) et Amazon Virtual Private Cloud (VPC) peuvent uniquement autoriser le trafic réseau provenant de sources et de ports définis dans leurs groupes de sécurité. Ainsi, vous devrez peut-être configurer les règles de certains de vos groupes de sécurité qui correspondent aux types d'opérations que vous allez effectuer avec vos instances Amazon. Cette rubrique décrit certains paramètres courants des groupes de sécurité que vous pouvez configurer pour différents déploiements de ArcGIS .
Par défaut, les groupes de sécurité sont complètement verrouillés. Vous pouvez ajouter des règles à un groupe de sécurité en spécifiant le type de trafic autorisé, les ports qu'il sera autorisé à utiliser et les ordinateurs à partir desquels la communication sera acceptée. Les ports que vous décidez d'ouvrir et le type de trafic que vous devez autoriser dépendent de ce que vous faites avec l'instance.
Vous trouverez ci-dessous des suggestions de noms et de règles des groupes de sécurité que vous pouvez configurer pour vos instances dans Amazon Web Services (AWS) Management Console. Les ports et protocoles autorisés peuvent varier en fonction de la stratégie informatique de votre organisation. Les suggestions ci-dessous utilisent les numéros de port les plus courants. Si votre organisation dispose d'un spécialiste informatique, contactez-le afin de mettre au point la meilleure stratégie de sécurité pour vos instances.
Instances de développement
Envisagez la création d’un groupe de sécurité spécifiquement dédié aux instances EC2 ou VPC qui sont utilisées à des fins de développement et de test. Ce type de groupe peut autoriser l'accès suivant :
- Le protocole RDP (Remote Desktop Protocol) utilise le port 3389 pour accéder à votre adresse IP ou à une plage d'adresses IP approuvées au sein de votre organisation (Microsoft Windows uniquement).
Ceci vous permet d'administrer votre instance via le Remote Desktop de Windows. Vous devez utiliser la notation CIDR (Classless Inter-Domain Routing) pour spécifier une plage d'adresses IP (ou une seule adresse IP) pouvant établir les connexions. Par exemple, 0.0.0.0/0 autorise tout le monde à se connecter, tandis que 92.23.32.51/32 autorise une seule adresse IP à se connecter. Consultez votre administrateur système si vous avez besoin d'aide pour connaître l'adresse IP externe de votre machine locale.
- Accès TCP via le port 22 pour votre adresse IP ou une plage d'adresses IP approuvées au sein de votre organisation (Linux uniquement).
L'ouverture du port 22 vous permet d'utiliser vos instances Linux via SSH.
- Accès TCP via le port 6080 ou 6443 pour tout le monde (si vous n'utilisez pas un équilibreur de charges élastiques) ou le groupe de sécurité de l’équilibreur de charges élastiques (si vous utilisez un équilibreur de charges élastiques).
Le port 6080 est utilisé pour les communications HTTP et le port 6443 pour les communications HTTPS avec les sites ArcGIS Server. Si vous ne placez pas un équilibreur de charges élastiques devant votre site, vous devez ouvrir le port 6080 ou le port 6443 pour toutes les personnes qui utiliseront vos services Web de développement ArcGIS Server. Si vous utilisez un équilibreur de charge élastique, ouvrez le port 6080 ou 6443 sur le groupe de sécurité de l’équilibreur de charge élastique (identifiable à l’aide de AWS Management Console et qui correspond généralement à une valeur similaire à amazon-elb/amazon-elb-sg).
- Accès depuis d'autres machines de ce groupe.
Ceci est requis pour que les machines ArcGIS Server d’un site puissent communiquer entre elles et pour que les composants d’un portail ArcGIS Enterprise puissent communiquer entre eux. Cela facilite également le partage de fichiers.
Instances de production
Une fois que vous avez développé et testé votre application et que vous êtes prêt à la transférer en phase de production, il convient de désactiver l'accès Bureau à distance. Si un problème survient et que vous avez besoin de vous connecter à la machine, vous pouvez temporairement changer la configuration du groupe de sécurité pour vous permettre d'y accéder. Un groupe de production ArcGIS peut autoriser l'accès suivant :
- Accès TCP via le port 6443 pour une plage d'adresses IP approuvées (si vous n'utilisez pas un équilibreur de charges élastiques) ou le groupe de sécurité de l’équilibreur de charges élastiques (si vous utilisez un équilibreur de charges élastiques).
- Accès TCP via le port 7443 pour une plage d'adresses IP.
- Accès depuis d'autres machines de ce groupe.
Instances de production sécurisées
Si vous souhaitez demander une communication chiffrée avec votre machine, vous devez configurer un ELB sur votre site qui reçoit le trafic par le port 443, qui est le port généralement utilisé pour la communication chiffrée via SSL. Puis configurez l'équilibreur de charges pour transmettre le trafic vers le port 6443 pour les sites ArcGIS Server comportant plusieurs machines et le port 7443 pour les portails ArcGIS Enterprise. Dans votre groupe de sécurité, ouvrez les ports décrits ci-dessus pour la production ArcGIS.
Ports fréquemment utilisés
Vous trouverez ci-dessous certains des ports les plus courants que vous pouvez utiliser lorsque vous créez des groupes de sécurité. Il est possible que vous n'ayez pas besoin d'ouvrir explicitement certains de ces ports. Vous pouvez simplement décider de donner aux machines qui se trouvent dans votre groupe de sécurité un accès complet les unes aux autres. Si vous souhaitez octroyer l'accès à des machines ne faisant pas partie de vos groupes de sécurité (par exemple, votre poste de travail au bureau), vous devez ouvrir des numéros de port spécifiques.
| Port | Objectif courant |
|---|---|
22 | Connexions via SSH |
80 | Accès HTTP au serveur Web IIS ou au programme d'équilibrage de charge |
443 | Accès HTTPS au serveur Web IIS ou au programme d'équilibrage de charge |
445 | Partage de fichiers Windows |
3389 | Connexions via Windows Remote Desktop |
6080 | HTTP, accèsArcGIS Server |
6443 | Accès HTTPS à ArcGIS Server |
7443 | Accès HTTPS à Portal for ArcGIS |
2443 | Communication ArcGIS Data Store* *Les clients externes n’accèdent pas directement à ArcGIS Data Store ; les connexions s’effectuent via le site ArcGIS Server pour lequel vous avez créé le magasin de données. |
Le Pare-feu Windows est activé sur chaque instance Windows que vous lancez avec Esri Amazon Machine Image. Si vous installez une application tierce qui requiert d'autres ports que ceux répertoriés ci-dessus, assurez-vous que le pare-feu Windows est également configuré pour autoriser le port.
Pour plus d’informations sur les ports supplémentaires utilisés par les composants ArcGIS Enterprise, reportez-vous aux pages suivantes :
Vous avez un commentaire à formuler concernant cette rubrique ?