Skip To Content

Konfigurowanie portalu w celu użycia zwrotnego serwera proxy

Zwrotny serwer proxy to komputer umieszczony w sieci granicznej (znanej również jako strefa zdemilitaryzowana [DMZ] lub podsieć ekranowana), który obsługuje żądania z Internetu i przekazuje je do komputerów w sieci wewnętrznej. Przekazywanie żądań w imieniu zwrotnego serwera proxy maskuje tożsamość komputerów znajdujących się za zaporą instytucji, chroniąc w ten sposób wewnętrzne komputery przed bezpośrednimi atakami użytkowników Internetu. Na zwrotnym serwerze proxy można zaimplementować dodatkowe funkcje bezpieczeństwa w celu dalszej ochrony sieci wewnętrznej przed użytkownikami zewnętrznymi.

Jeśli zwrotny serwer proxy obsługuje funkcję sprawdzania stanu, można użyć punktu końcowego sprawdzania stanu oprogramowania Portal for ArcGIS w celu określenia, czy portal może otrzymywać żądania. Jest to przydatne w celu szybkiego określenia, czy w witrynie występuje awaria oprogramowania lub sprzętu. Więcej informacji zawiera temat Sprawdzanie stanu portalu w interfejsie ArcGIS REST API.

Uwaga:

Konfiguracja przedstawiona w tym temacie musi zostać wykonana przed sfederowaniem jakiejkolwiek witryny ArcGIS Server z portalem ArcGIS Enterprise. Po sfederowaniu witryny ArcGIS Server z portalem nie jest obsługiwane dodawanie aliasu DNS ani zwrotnego serwera proxy. Jeśli zaistnieje potrzeba zmiany nazwy hosta w adresie URL instytucji, należy skontaktować się z działem Esri Professional Services lub innym zaufanym konsultantem, aby otrzymać wskazówki.

Anulowanie sfederowania witryny ArcGIS Server ma kilka poważnych konsekwencji, a tej operacji nie można łatwo cofnąć. Więcej informacji zawiera temat Zarządzanie serwerem sfederowanym.

Dodawanie oprogramowania Portal for ArcGIS do zwrotnego serwera proxy

Przed dodaniem oprogramowania Portal for ArcGIS do zwrotnego serwera proxy instytucji należy wykonać następujące czynności:

  • Skonfiguruj protokół HTTPS (HTTP i HTTPS lub tylko HTTPS) na zwrotnym serwerze proxy. Oprogramowanie Portal for ArcGIS do komunikacji domyślnie używa protokołu HTTPS. Aby dowiedzieć się, jak skonfigurować protokół HTTPS, zapoznaj się z dokumentacją serwera proxy.
    Notatka:

    Portal for ArcGIS nie obsługuje odciążania SSL poprzez zwrotny serwer proxy ani moduł równoważenia obciążenia. W związku z tym, jeśli konfiguracja korzysta ze zwrotnego serwera proxy, musi on przekazywać ruch do aplikacji ArcGIS Web Adaptor lub bezpośrednio do oprogramowania Portal for ArcGIS za pomocą protokołu HTTPS.

  • Skonfiguruj aplikację ArcGIS Web Adaptor z użyciem portalu, jeśli portal będzie używać Zintegrowanego uwierzytelniania systemu Windows. Oprogramowanie Portal for ArcGIS wymaga użycia aplikacji ArcGIS Web Adaptor do tego celu; umożliwi to również prawidłową komunikację zwrotnego serwera proxy z portalem. Szczegółowe instrukcje znajdują się w temacie Konfiguracja aplikacji ArcGIS Web Adaptor.

Upewnij się, że serwer proxy obsługuje kodowanie gzip oraz został skonfigurowany tak, aby akceptować nagłówek Accept-Encoding. Ten nagłówek umożliwia kompresowanie odpowiedzi HTTP 1.1 przy użyciu kodowania gzipgzip. Na przykład, jeśli nagłówek jest dozwolony, żądanie wczytania przeglądarki map Map Viewer zwróci do przeglądarki skompresowaną odpowiedź o rozmiarze około 1,4 MB. Jeśli nagłówek jest niedozwolony lub zostanie zignorowany, żądanie zwróci do przeglądarki nieskompresowaną odpowiedź o rozmiarze około 6,8 MB. W przypadku niskiej prędkości sieci wczytanie przeglądarki map Map Viewer może trwać długo, jeśli odpowiedzi nie są kompresowane. Firma Esri zaleca zaakceptowanie tego nagłówka w ramach konfiguracji zwrotnego serwera proxy.

Dodaj aplikację ArcGIS Web Adaptor do dyrektyw serwera proxy

Po skonfigurowaniu aplikacji ArcGIS Web Adaptor z użyciem oprogramowania Portal for ArcGIS możliwe jest użycie aplikacji ArcGIS Web Adaptor ze zwrotnym serwerem proxy instytucji przez dodanie komponentów bezpośrednio do dyrektyw serwera proxy. Jeśli na przykład jako zwrotny serwer proxy używany jest serwer Apache, należy dodać aplikację ArcGIS Web Adaptor do dyrektyw ProxyPass w pliku konfiguracyjnym httpd.conf serwera internetowego Apache:

ProxyPass /webadaptorname https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /webadaptorname https://webadaptorhost.domain.com/webadaptorname

Dyrektywy ProxyPass muszą dopasowywać nazwę podaną dla aplikacji ArcGIS Web Adaptor (/webadaptorname w powyższym przykładzie). Jeśli adres URL nie kończy się domyślnym ciągiem znakowym /arcgis, podaj inną niż domyślną nazwę aplikacji ArcGIS Web Adaptor (na przykład /myorg).

Przygotowanie zwrotnego serwera proxy

Przed wdrożeniem zwrotnego serwera proxy do użytku z portalem firma Esri zaleca skonfigurowanie kilku nagłówków zwrotnego serwera proxy, aby upewnić się, że komunikacja przebiega prawidłowo.

W konfiguracji obciążenia zwrotnego serwera proxy skonfiguruj nagłówek X-Forwarded-Host na nazwę hosta zwrotnego serwera proxy. Oprogramowanie Portal for ArcGIS oczekuje skonfigurowania tej właściwości w nagłówku wysyłanym przez zwrotny serwer proxy i będzie zwracać żądania pasujące do adresu URL zwrotnego serwera proxy. Jeśli nie jest używana aplikacja ArcGIS Web Adaptor, należy dodatkowo ustawić nagłówek Host na nazwę komputera z uruchomionym oprogramowaniem Portal for ArcGIS. Za pomocą interfejsu Machines API można zweryfikować nazwę hosta komputera Portal for ArcGIS.

Na przykład żądanie do punktu końcowego REST oprogramowania Portal for ArcGIS (https://reverseproxy.domain.com/arcgis/sharing/rest) zostanie zwrócone do aplikacji klienckiej jako ten sam adres URL. Jeśli ta właściwość nie zostanie skonfigurowana, oprogramowanie Portal for ArcGIS może zwrócić adres URL wewnętrznego komputera, do którego żądanie było skierowane (na przykład https://portal.domain.com/arcgis/sharing/rest zamiast https://reverseproxy.domain.com/arcgis/sharing/rest). Może to powodować problemy, gdyż aplikacje klienckie nie będą mogły uzyskać dostępu do tego adresu URL (zwykle powoduje to wyświetlenie błędu 404 w przeglądarce). Ponadto zapewnia to aplikacji klienckiej dostęp do pewnych informacji o wewnętrznym komputerze.

Oprócz obsługi nagłówka X-Forwarded-Host zwrotny serwer proxy musi mieć możliwość bezpośrednich przekierowań (kod HTTP 301 lub 302). Należy również zaktualizować nagłówek Location, aby zapewnić, że w pełni kwalifikowana nazwa domeny (FQDN) i kontekst odpowiedzi są zgodne z wartością WebContextURL portalu.

Konfigurowanie właściwości WebContextURL

Właściwość WebContextURL portalu pomaga w konstruowaniu poprawnych adresów URL dla wszystkich zasobów wysyłanych do użytkownika końcowego.

Notatka:

Jeśli właściwość ArcGIS Web Adaptor nie jest używana we wdrożeniu, należy upewnić się, że nazwa kontekstowa zwrotnego serwera proxy ma tylko jeden poziom głębokości adresu URL. Na przykład można używać adresu URL zwrotnego serwera proxy, https://proxy.domain.com/enterprise, ale już nie https://proxy.domain.com/myorg/enterprise.

Aby zmienić właściwość WebContextURL, wykonaj następujące czynności:

  1. Otwórz przeglądarkę internetową i zaloguj się do aplikacji ArcGIS Portal Directory jako członek pełniący rolę domyślnego administratora w instytucji portalu. Adres URL ma format https://portal.domain.com:7443/arcgis/portaladmin.
  2. Kliknij System > Właściwości > Aktualizuj właściwości.
  3. W oknie dialogowym Aktualizuj właściwości systemu wstaw następujący kod JSON, zastępując nim adres URL własnego zwrotnego serwera proxy lub aliasu DNS widziany przez użytkowników znajdujących się poza zaporą instytucji.
    {
       "WebContextURL": "https://reverseproxy.domain.com/enterprise"
    }
    Notatka:

    Oprogramowanie Portal for ArcGIS obsługuje tylko pojedynczy system DNS.

    Notatka:

    W przypadku skonfigurowania właściwości WebContextURL nie można użyć portu innego niż standardowy (tzn. innego niż 443).

  4. Kliknij opcję Aktualizuj właściwości.

Ponowne wykonanie zadań administracyjnych

Po skonfigurowaniu zwrotnego serwera proxy dla portalu dostęp do portalu jest uzyskiwany za pomocą adresu URL zwrotnego serwera proxy, a nie adresu URL aplikacji ArcGIS Web Adaptor. Podczas uzyskiwania dostępu do zasobów w witrynie portalu lub aplikacji ArcGIS Portal Directory zwracany będzie teraz adres URL zwrotnego serwera proxy.

Za pomocą adresu URL zwrotnego serwera proxy należy ponownie wykonać następujące zadania administracyjne:

Jeżeli wcześniej dodano usługi zabezpieczone jako elementy portalu, konieczne będzie usunięcie oryginalnych elementów i dodanie ich ponownie. Jest to niezbędne, ponieważ oryginale elementy korzystają z adresu URL aplikacji ArcGIS Web Adaptor zamiast adresu URL zwrotnego serwera proxy. Instrukcje można znaleźć w temacie Łączenie z zabezpieczonymi usługami.

Po skonfigurowaniu zwrotnego serwera proxy z portalem może być potrzebne dostosowanie jego ustawień. Jeśli na przykład operacje lub żądania w ramach wdrożenia kończą się niepowodzeniem z błędem wskazującym przekroczenie limitu czasu połączenia, problemem może być ustawiony zbyt krótki czas w wartości limitu czasu zwrotnego serwera proxy. Aby poprawić ten błąd, należy rozważyć zwiększenie wartości limitu czasu. Umożliwi to zakończenie długo trwających żądań, takich jak federowanie serwera.