Les instances Amazon Elastic Compute Cloud (EC2) et Amazon Virtual Private Cloud (VPC) peuvent uniquement autoriser le trafic réseau provenant de sources et de ports définis dans leurs groupes de sécurité. Ainsi, vous devez configurer les règles de certains groupes de sécurité qui correspondent à la façon dont vous allez utiliser vos instances. Cette page décrit quelques paramètres courants des groupes de sécurité que vous pouvez configurer pour différents déploiements d’ArcGIS.
Par défaut, les groupes de sécurité sont complètement verrouillés. Vous pouvez ajouter des règles à un groupe de sécurité pour spécifier le type de trafic autorisé, les ports autorisés et les ordinateurs à partir desquels la communication est acceptée. Les ports que vous ouvrez et le type de trafic que vous autorisez dépendent de ce que vous faites avec l'instance.
Vous trouverez ci-dessous des suggestions de noms et de règles de groupe de sécurité que vous pouvez configurer pour vos instances dans Amazon Web Services (AWS) Management Console. Les ports et protocoles autorisés varient en fonction de la stratégie informatique de votre organisation. Les suggestions ci-dessous utilisent les numéros de port les plus courants. Si votre organisation dispose d’un spécialiste informatique, contactez-le afin de mettre au point la meilleure stratégie de sécurité pour vos instances.
Instances de développement
Envisagez de créer un groupe de sécurité spécifiquement dédié aux instances EC2 ou VPC qui sont utilisées à des fins de développement et de test. Ce type de groupe peut autoriser l'accès suivant :
- Le protocole RDP (Remote Desktop Protocol) utilise le port 3389 pour accéder à votre adresse IP ou à une plage d’adresses IP approuvées au sein de votre organisation (Microsoft Windows uniquement).
Ainsi, vous pouvez administrer votre instance via Windows Remote Desktop. Vous devez utiliser la notation CIDR (Classless Inter-Domain Routing) pour spécifier une plage d'adresses IP (ou une seule adresse IP) pouvant établir les connexions. Par exemple, 0.0.0.0/0 autorise tout le monde à se connecter, tandis que 92.23.32.51/32 autorise une seule adresse IP à se connecter. Consultez votre administrateur système si vous avez besoin d'aide pour connaître l'adresse IP externe de votre machine locale.
- Accès TCP via le port 22 pour votre adresse IP ou une plage d’adresses IP approuvées au sein de votre organisation (Linux uniquement).
L’ouverture du port 22 vous permet d’utiliser vos instances Linux via SSH.
- Accès TCP via le port 6080 ou 6443 pour tout le monde (si vous n'utilisez pas un équilibreur de charges élastiques) ou le groupe de sécurité de l’équilibreur de charges élastiques (si vous utilisez un équilibreur de charges élastiques).
Le port 6080 est utilisé pour les communications HTTP et le port 6443 pour les communications HTTPS avec les sites ArcGIS Server. Si vous ne placez pas d’équilibreur de charge élastique devant votre site, vous devez ouvrir le port 6080 ou le port 6443 pour toutes les personnes qui utiliseront vos services Web de développement ArcGIS Server. Si vous utilisez un équilibreur de charge élastique, ouvrez le port 6080 ou 6443 sur le groupe de sécurité de l’équilibreur de charge élastique (identifiable à l’aide de AWS Management Console et qui correspond généralement à une valeur similaire à amazon-elb/amazon-elb-sg).
- Accès depuis d'autres machines de ce groupe.
Cette opération est requise pour que les machines ArcGIS Server d’un site puissent communiquer entre elles et pour que les composants d’un portail ArcGIS Enterprise puissent communiquer les uns avec les autres. Cela facilite également le partage de fichiers.
Instances de production
Une fois que vous avez développé et testé votre application et que vous êtes prêt à la transférer en phase de production, il convient de désactiver l'accès Bureau à distance. Si un problème survient et que vous avez besoin de vous connecter à la machine, vous pouvez temporairement changer la configuration du groupe de sécurité pour vous permettre d’y accéder. Un groupe de production ArcGIS peut autoriser l'accès suivant :
- Accès TCP via le port 6443 pour une plage d'adresses IP approuvées (si vous n'utilisez pas un équilibreur de charges élastiques) ou le groupe de sécurité de l’équilibreur de charges élastiques (si vous utilisez un équilibreur de charges élastiques).
- Accès TCP via le port 7443 pour une plage d'adresses IP.
- Accès depuis d'autres machines de ce groupe.
Instances de production sécurisées
Pour demander une communication chiffrée avec votre machine, vous devez configurer un ELB sur votre site qui reçoit le trafic par le port 443, qui est le port généralement utilisé pour la communication chiffrée via SSL. Ensuite, configurez l’équilibreur de charge afin d’acheminer le trafic vers le port 6443 pour les sites ArcGIS Server à plusieurs machines et le port 7443 pour les portails ArcGIS Enterprise. Dans votre groupe de sécurité, ouvrez les ports décrits ci-dessus pour la production ArcGIS.
Ports fréquemment utilisés
Vous trouverez ci-dessous certains des ports les plus courants que vous pouvez utiliser lorsque vous créez des groupes de sécurité. Il est possible que vous n’ayez pas besoin d’ouvrir explicitement certains de ces ports. Vous pouvez décider de donner aux machines qui se trouvent dans votre groupe de sécurité un accès complet les unes aux autres. Pour octroyer l’accès à des machines ne faisant pas partie de vos groupes de sécurité (par exemple, votre poste de travail au bureau), vous devez ouvrir des numéros de port spécifiques.
Port | Objectif courant |
---|---|
22 | Connexions via SSH |
80 | Accès HTTP au serveur Web IIS ou au programme d’équilibrage de charge |
443 | Accès HTTP au serveur Web IIS ou au programme d’équilibrage de charge |
445 | Partage de fichiers Windows |
3389 | Connexions via le Bureau à distance Windows |
6080 | Accès HTTP à ArcGIS Server |
6443 | Accès HTTPS à ArcGIS Server |
7443 | Accès HTTPS à Portal for ArcGIS |
2443 | Communication ArcGIS Data Store* *Les clients externes n’accèdent pas directement à ArcGIS Data Store ; les connexions sont établies via le site ArcGIS Server pour lequel vous avez créé le data store. |
Le pare-feu Windows est activé sur chaque instance Windows que vous lancez en utilisant les outils de déploiement ArcGIS Enterprise on Amazon Web Services. Si vous installez une application tierce qui requiert d’autres ports que ceux répertoriés ci-dessus, assurez-vous que le pare-feu Windows est également configuré pour autoriser ces ports.
Consultez la configuration système requise de ArcGIS Enterprise pour connaître les liens vers les informations des ports de chaque composant ArcGIS Enterprise.
Vous avez un commentaire à formuler concernant cette rubrique ?