高可用性 ArcGIS Enterprise の配置の実装方法は、組織でどの認証方式を使用するかと、ファイアウォールの外側から組織へのアクセスを許可するかどうかによって異なります。
次の内容は、このトピックに記載されているすべてのシナリオに当てはまります。
- ポータル コンピューター (Portal1 と Portal2) では、同じディレクトリにコンテンツが格納されます。このディレクトリは、高可用性ファイル サーバーに配置されています。
- ホスティング サーバー サイト内の GIS Server コンピューター (HostingServer1 と HostingServer2) は、共通のサーバー ディレクトリと構成ストアを共有しています。これらは、高可用性ファイル サーバーに配置されています。
- 高可用性リレーショナル データ ストアは、プライマリ コンピューター (DataStore1) とスタンバイ コンピューター (DataStore2) で構成されています。これらのコンピューターはホスティング サーバー サイトに登録されています。 ArcGIS Data Store には、フェイルオーバー メカニズムが内蔵されているため、プライマリ コンピューターが故障すると、スタンバイ リレーショナル データ ストアがプライマリ データ ストア コンピューターになります。 データ ストアでは、そのデータ ストアが登録されているサイトで ArcGIS Server コンピューターの状態がチェックされます。このため、いずれかの ArcGIS Server コンピューターの URL を使用してデータ ストアを構成できます。
- HTTPS と HTTP が Portal for ArcGIS と ArcGIS Server の両方で有効化されます。 HTTP がすべてのコンポーネントで無効化されている場合は、HTTP ポート (80、6080、7080) を例から削除できます。 管理 URL を使用するには HTTPS 通信が必要です。
- ロードバランサーを含むアーキテクチャでは、バックエンド ターゲットの可用性を確認し、ラウンドロビン アルゴリズムを使用してトラフィックの負荷を分散させるためにヘルス チェックが構成されています。 この例では、loadbalancer.example.com をホストし、internalloadbalancer.example.com が図中で使用されていますが、このロード バランサーは、内部または外部 DNS サーバー経由でいずれかのコンポーネントに割り当てられる DNS エイリアスに置き換えることができます。
以降のセクションでは、クライアントとポータル間の通信と認証プロトコルにおける相違点について説明します。 高可用性配置で使用される URL の詳細については、「ArcGIS Enterprise における高可用性」をご参照ください。
組み込みユーザーおよびクライアントがポート 80 および 443 経由でポータルにアクセスできる
このシナリオでは、ポータル認証で組み込みユーザーが使用され、クライアント (図の最上部に表示されている) とポータル間のすべての通信がファイアウォールの内側で行われます。
この例では、クライアントは、組織の URL (この場合、https://loadbalancer.example.com/portal/home/) を介してロード バランサー経由で組織にアクセスします。ArcGIS Server サイトの REST ディレクトリには https://loadbalancer.example.com/server/rest/services を介してアクセスできます。 高可用性ポータル (2 台の Portal for ArcGIS コンピューター Portal1 と Portal2) は、フェデレーション時に定義された管理 URL (https://loadbalancer.example.com/server/admin) を介してポータルの高可用性ホスティング サーバー サイトと通信します。 ホスティング サーバー サイト内のコンピューター (HostingServer1 と HostingServer2) は、ポータルのシステム プロパティに定義された privatePortalURL を使用し、クライアントと同じエンドポイント (https://loadbalancer.example.com/portal) を経由してポータルと通信します。 冗長性を確保するために、ArcGIS Server Administrator Directory の URL と privatePortalURL はいずれも、ロード バランサー (LoadBalancer) を経由してアカウントにアクセスします。 1 台の Portal for ArcGIS コンピューターが故障するか、アクセスできなくなると、ロード バランサーがもう一方のコンピューターにトラフィックを転送するため、ホスティング サーバーはそのコンピューターと引き続き通信できます。 同様に、ホスティング サーバー コンピューターのいずれか一方が故障するか、アクセスできなくなると、ロード バランサーが Portal for ArcGIS コンピューターからのトラフィックをもう一方の ArcGIS Server コンピューターに転送し続けます。
組み込みユーザーを使用してポータルにパブリック アクセスする
このシナリオでは、ポータル認証で組み込みユーザーが使用され、少なくとも一部のクライアントがファイアウォールの外側からポータルにアクセスします。 ファイアウォールの外側からの管理アクセスを無効にする必要があります。
クライアントは、ファイアウォールの外側にあるロード バランサー (LoadBalancer) を経由して、通常、loadbalancer.example.com に割り当てられた DNS エイリアスを使用して、組織と ArcGIS Server REST エンドポイントにアクセスします。 ポータルは、ファイアウォールの内側にある 2 つ目のロード バランサー (InternalLoadBalancer) を経由してホスティング サーバー サイトと通信します (https://internalloadbalancer.example.com:6443/arcgis、図中の緑色の線)。 ホスティング サーバーは、privateportalURL を介してポータルと通信し、この場合も、InternalLoadBalancer を経由します (https://internalloadbalancer.example.com:7443/arcgis、図中のオレンジ色の線)。そのため、通信はファイアウォールを通過する必要はありません。 1 台のポータル コンピューターが故障した場合でも、内部のロードバランサーからもう一方のポータル コンピューターにリクエストが送信されるため、ホスティング サーバーはもう一方のポータル コンピューターと引き続き通信できます。 同様に、GIS Server コンピューターのいずれか一方が故障した場合、内部のロード バランサーが、ポータルからもう一方の GIS Server コンピューターにトラフィックを転送します。
ファイアウォールの外側にあるクライアントから GIS Server サイトに直接アクセスする場合にも、ファイアウォールの外側にあるロード バランサー (内部のロードバランサー) を経由します (図中の赤色の線)。
ArcGIS Server Administrator Directory および ArcGIS Server Manager への管理者アクセスをブロックするには、ファイアウォールの外側にあるロード バランサー (LoadBalancer) に関するルールを設定します (図中の赤色の線)。
IWA または LDAP 認証を使用してクライアントが内側でアクセスする
このシナリオでは、ポータル ユーザーは統合 Windows 認証 (IWA) または Lightweight Directory Access Protocol (LDAP) 認証を認証方式として使用し、ポータルにアクセスするクライアントはすべてファイアウォールの内側にあります。
ポータルへのパブリック アクセスは必要ないが、クライアントが IWA または LDAP 認証をポータルの認証方式として使用する場合は、高可用性ポータル内の各コンピューターで Web アダプター (WebAdaptor1 と WebAdaptor2) が必要となります。 ロード バランサー (LoadBalancer) は Web アダプターにトラフィックを送信した後、リクエストを 2 台のポータル コンピューター (Portal1 と Portal2) に負荷分散させます。 ArcGIS Server コンピューターから Portal for ArcGIS コンピューターへのすべての通信では、Web アダプターを経由して Web 層での認証チャレンジを回避する必要があります。 このため、ロード バランサーはポート 7080 および 7443 を待機するように構成され、トラフィックは privatePortalURL を介してポート 7080 または 7443 上でポータルに直接送信されます。
ポータルへのパブリック アクセスが必要でないため、ホスティング サイトのサービス URL と管理 URL のどちらにもロード バランサーを使用できます。 privatePortalURL は https://internalloadbalancer.example.com:7443/arcgis であり、ホスティング サイトのコンピューターはこの URL 経由でポータル コンピューターと通信します (図中のオレンジ色の線)。 組織の URL は https://loadbalancer.example.com/portal であり、ホスティング サイトのサービス URL と管理 URL はどちらも https://loadbalancer.example.com/server です。
SAML または ADFS 認証を使用してポータルにパブリック アクセスする
このシナリオでは、ユーザーは Security Assertion Markup Language (SAML) または Active Directory フェデレーション サービス (ADFS) を認証方式として使用しますが、組織にアクセスする一部のクライアントはファイアウォールの外側にあります。 このような場合、セキュリティを確保するために、ホスティング サーバー サイトの ArcGIS Server コンピューターへの管理アクセスを無効にする必要があります。 次のセクションでは、これを実行するための 2 つの構成について説明します。
注意:
ポータルに SAML または ADFS 認証を使用すると、ポータルに Web アダプターを構成する必要がありません。 以下の 2 つのシナリオでは、ポータルで ArcGIS Web Adaptor を使用できますが、この構成で、機能面での追加のメリットが得られるわけではありません。
ロード バランサーで規定されたルールを使用してパブリック アクセス対象のポータルのセキュリティを確保する
このシナリオでは、クライアントは、ファイアウォールの外側にあるロード バランサー (LoadBalancer) を経由して接続します (図中の赤色の線)。トラフィックはポート 7443 と 7080 上の 2 台のポータル コンピューター (Portal1 と Portal2) およびポート 6443 と 6080 上の 2 台の GIS Server コンピューター (HostingServer1 と HostingServer2) に直接送信されます。 ロード バランサーのルールによって、ArcGIS Server Administrator Directory の URL と ArcGIS Server Manager の URL へのアクセスがブロックされます。
ファイアウォールの外側にあるロード バランサーは、ポート 6080、6443、7080、7443 を使用して通信できません。 もう 1 つのロード バランサー (InternalLoadBalancer) がファイアウォールの内側に構成され、ポータルとホスティング サーバー間の通信を可能にします。 ポータルは、フェデレーション時に管理 URL に定義された URL を使用してホスティング サーバーと通信します (図中の緑色の線)。ホスティング サーバーは、privatePortalURL を経由してポータルと通信します (図中のオレンジ色の線)。そのため、通信はファイアウォールを通過する必要はありません。 内部のロード バランサーにより、GIS Server コンピューターのいずれかまたはポータル コンピューターのいずれかが故障した場合の冗長性が確保されます。
このシナリオの privatePortalURL は https://internalloadbalancer.example.com:7443/arcgis です。 フェデレーション時に使用される ArcGIS Server サイトの管理 URL は https://internalloadbalancer.example.com:6443/arcgis です。
GIS Server サイト上で Web アダプターを使用してパブリック アクセス対象のポータルのセキュリティを確保する
このシナリオでは、クライアントは、ファイアウォールの外側にあるロード バランサー (LoadBalancer) を経由して接続します (図中の赤色の線)。ポート 7443 と 7080 上の 2 台のポータル コンピューター (Portal1 と Portal2) にトラフィックが直接送信され、ArcGIS Server コンピューター (HostingServer1 と HostingServer2) で構成されている 2 つの Web アダプター (WebAdaptor1 と Webadaptor2) にトラフィックが送信されます。 もう 1 つのロード バランサー (InternalLoadBalancer) は、ポータル コンピューターとホスティング サーバー サイト間のトラフィックを管理し、GIS Server コンピューターのいずれかまたはポータル コンピューターのいずれかが故障した場合の冗長性を確保します。
クライアントは、ロード バランサー (LoadBalancer) https://loadbalancer.example.com/portal/home/ を経由してポータルにアクセスし、ポート 7080 と 7443 上の 2 台のポータル コンピューターにトラフィックが送信されます。 ポータルは、SAML または ADFS 認証を使用して構成されるため、SAML または ADFS プロバイダーは、ユーザーがポータルにアクセスする時にユーザー認証を行います。
クライアントは、ファイアウォールの外側にあるロード バランサー (LoadBalancer) を経由してホスティング サーバー サイトにアクセスできます。GIS Server の Web アダプター (WebAdaptor1 と WebAdaptor2) にトラフィックが送信されます。 これらの Web アダプターはポート 6080 と 6443 上で GIS Server コンピューターにトラフィックを転送します。
ArcGIS Server コンピューターは、privatePortalURL を経由してポータルと通信します (https://internalloadbalancer.example.com:7443/arcgis、図中のオレンジ色の線)。そのため、通信はファイアウォールを通過する必要はありません。 ホスティング サーバー サイトは、サービス URL に https://loadbalancer.example.com/server を使用してポータルとフェデレートされます。 このトラフィックは Web アダプター WebAdaptor1 と WebAdaptor2 を経由します。これらの Web アダプターは、ArcGIS Server Manager および ArcGIS Server Administrator Directory への管理者アクセスをブロックするように構成されています。 冗長性を提供するために、2 つ目のロードバランサー (InternalLoadBalancer) が、フェデレーション時に定義された管理 URL に使用されます (https://internalloadbalancer.example.com:6443/arcgis、図中の緑色の線)。