Zwrotny serwer proxy lub moduł równoważenia obciążenia to urządzenie zwykle umieszczone w sieci granicznej (znanej również jako strefa zdemilitaryzowana [DMZ] lub podsieć ekranowana), które obsługuje żądania z Internetu i przekazuje je do komputerów w sieci wewnętrznej. Przekazywanie żądań w imieniu zwrotnego serwera proxy maskuje tożsamość komputerów znajdujących się za zaporą instytucji, chroniąc w ten sposób wewnętrzne komputery przed bezpośrednimi atakami użytkowników Internetu. Na zwrotnym serwerze proxy można zaimplementować dodatkowe funkcje bezpieczeństwa w celu dalszej ochrony sieci wewnętrznej przed użytkownikami zewnętrznymi.
Jeśli zwrotny serwer proxy lub moduł równoważenia obciążenia obsługuje funkcję sprawdzania stanu, można użyć punktu końcowego sprawdzania stanu oprogramowania Witryna Portal for ArcGIS w celu określenia, czy portal może otrzymywać żądania. Jest to przydatne w celu szybkiego określenia, czy w witrynie występuje awaria oprogramowania lub sprzętu. Więcej informacji zawiera temat Sprawdzanie stanu portalu w interfejsie ArcGIS REST API.
Uwaga:
Konfiguracja przedstawiona w tym temacie musi zostać wykonana przed sfederowaniem jakiejkolwiek witryny ArcGIS Server z portalem ArcGIS Enterprise. Po sfederowaniu witryny ArcGIS Server z portalem nie jest obsługiwane dodawanie aliasu DNS ani zwrotnego serwera proxy. Jeśli zaistnieje potrzeba zmiany nazwy hosta w adresie URL instytucji, należy skontaktować się z działem Esri Professional Services lub innym zaufanym konsultantem, aby otrzymać wskazówki.
Anulowanie sfederowania witryny ArcGIS Server ma kilka poważnych konsekwencji, a tej operacji nie można łatwo cofnąć. Więcej informacji zawiera temat Zarządzanie serwerem sfederowanym.
Typy modułów równoważenia obciążenia
Zwrotne serwery proxy są czasami określane jako moduły równoważenia obciążenia, ale zazwyczaj oferują więcej funkcji niż tylko dystrybucję przychodzących komunikatów do elementów docelowych na zapleczu. Wiele implementacji zwrotnych serwerów proxy może działać w obu opisanych poniżej możliwościach, w zależności od konfiguracji.
Działania związane z równoważeniem obciążenia są często rozróżniane na podstawie warstwy modelu OSI (Open Systems Interconnection), na której działają. Podczas pracy nad integracją istniejącej technologii równoważenia obciążenia, ważne jest, aby zidentyfikować, który typ jest wdrażany, ponieważ wpływa to na ogólną architekturę wdrożenia.
Moduły równoważenia obciążenia warstw 3 i 4 są czasami określane jako moduły równoważenia obciążenia na poziomie sieci lub pakietów. Te moduły równoważenia obciążenia zazwyczaj nie sprawdzają ruchu przychodzącego i zamiast tego kierują przychodzące pakiety TCP/UDP do elementów docelowych na zapleczu. Nowsze implementacje pozwalają na zakończenie SSL w module równoważenia obciążenia, ale sesja SSL klienta jest zwykle ustanawiana z serwera lub serwerów docelowych na zapleczu.
Moduły równoważenia obciążenia warstwy 7 są czasami określane jako moduły równoważenia obciążenia aplikacji lub moduły równoważenia obciążenia uwzględniające aplikacje. Te moduły równoważenia obciążenia sprawdzają przychodzące komunikaty i mogą podejmować decyzje dotyczące routingu w oparciu o kilka czynników, jak również modyfikować zawartość tych komunikatów przed przekierowaniem ich do elementu lub elementów docelowych na zapleczu. Moduły równoważenia obciążenia warstwy 7 korzystające z protokołu HTTPS zakończą komunikację SSL z klientem i ponownie zaszyfrują ten ruch przed przekierowaniem żądań do elementów docelowych HTTPS na zapleczu.
Przygotowanie zwrotnego serwera proxy lub modułu równoważenia obciążenia
Przed dodaniem oprogramowania Witryna Portal for ArcGIS do zwrotnego serwera proxy instytucji należy wykonać następujące czynności:
- Skonfiguruj protokół HTTPS (HTTP i HTTPS lub tylko HTTPS) na zwrotnym serwerze proxy. Oprogramowanie Witryna Portal for ArcGIS do komunikacji domyślnie używa protokołu HTTPS. Aby dowiedzieć się, jak skonfigurować protokół HTTPS, zapoznaj się z dokumentacją serwera proxy.
Notatka:
Witryna Portal for ArcGIS nie obsługuje odciążania SSL poprzez zwrotny serwer proxy ani moduł równoważenia obciążenia. W związku z tym, jeśli konfiguracja korzysta ze zwrotnego serwera proxy, musi on przekazywać ruch do aplikacji ArcGIS Web Adaptor lub bezpośrednio do oprogramowania Witryna Portal for ArcGIS za pomocą protokołu HTTPS.
Notatka:
Jeśli aplikacja ArcGIS Web Adaptor nie jest używana we wdrożeniu, należy upewnić się, że nazwa kontekstowa zwrotnego serwera proxy ma tylko jeden poziom głębokości adresu URL. Na przykład można używać adresu URL zwrotnego serwera proxy, https://proxy.domain.com/enterprise, ale już nie https://proxy.domain.com/myorg/enterprise.
Upewnij się, że serwer proxy obsługuje kodowanie gzip oraz został skonfigurowany tak, aby akceptować nagłówek Accept-Encoding. Ten nagłówek umożliwia kompresowanie odpowiedzi HTTP 1.1 przy użyciu kodowania gzipgzip. Na przykład, jeśli nagłówek jest dozwolony, żądanie wczytania przeglądarki map Map Viewer Classic zwróci do przeglądarki skompresowaną odpowiedź o rozmiarze około 1,4 MB. Jeśli nagłówek jest niedozwolony lub zostanie zignorowany, żądanie zwróci do przeglądarki nieskompresowaną odpowiedź o rozmiarze około 6,8 MB. W przypadku niskiej prędkości sieci wczytanie przeglądarki map Map Viewer Classic może trwać długo, jeśli odpowiedzi nie są kompresowane. Firma Esri zaleca zaakceptowanie tego nagłówka w ramach konfiguracji zwrotnego serwera proxy.
Moduł równoważenia obciążenia warstw 3 i 4
Moduł równoważenia obciążenia powinien nasłuchiwać na domyślnym porcie HTTPS i przekazywać ruch do aplikacji ArcGIS Web Adaptor lub bezpośrednio do komputera albo komputerów z oprogramowaniem Witryna Portal for ArcGIS przy użyciu portu 7443. Podczas zakańczania sesji SSL klienta na wewnętrznym serwerze internetowym oprogramowania Witryna Portal for ArcGIS upewnij się, że certyfikat SSL przedstawiony przez ten serwer internetowy jest ważny zarówno dla aliasu DNS, jak i nazwy FQDN komputera lub komputerów w witrynie, aby uniknąć problemów z zaufaniem do certyfikatu. Zazwyczaj można to osiągnąć, używając alternatywnych nazw dla certyfikatu SSL.
Notatka:
Gdy nie jest używana aplikacja ArcGIS Web Adaptor, dla witryny należy używać kontekstu domyślnego (/arcgis). W przypadku integracji wielu witryn Witryna Portal for ArcGIS i ArcGIS Server w tym samym module równoważenia obciążenia warstw 3 i 4, należy użyć unikalnego rekordu DNS dla każdej witryny i identyfikacji SNI (Server Name Identification) używanej do kierowania ruchu do odpowiednich elementów docelowych na zapleczu.
Moduł równoważenia obciążenia warstwy 7
W konfiguracji modułu równoważenia obciążenia nagłówek X-Forwarded-Host powinien być ustawiony na nazwę hosta aliasu DNS witryny. Oprogramowanie Witryna Portal for ArcGIS oczekuje skonfigurowania tej właściwości w nagłówku wysyłanym przez zwrotny serwer proxy i będzie zwracać żądania pasujące do adresu URL zwrotnego serwera proxy. Jeśli nie używasz aplikacji ArcGIS Web Adaptor z portalem, potwierdź, że nagłówek Host skonfigurowany przez moduł równoważenia obciążenia jest zgodny z nazwą hosta komputera, na którym jest zainstalowane oprogramowanie Witryna Portal for ArcGIS.
Wskazówka:
Za pomocą punktu końcowego komputerów w ArcGIS Portal Administrator Directory możesz wyświetlić nazwę hosta komputera z uruchomionym oprogramowaniem Witryna Portal for ArcGIS.
Na przykład żądanie do punktu końcowego REST oprogramowania Witryna Portal for ArcGIS (https://dnsalias.domain.com/arcgis/sharing/rest) zostanie zwrócone do aplikacji klienckiej jako ten sam adres URL. Jeśli ta właściwość nie zostanie skonfigurowana, oprogramowanie Witryna Portal for ArcGIS może zwrócić adres URL wewnętrznego komputera, do którego żądanie było skierowane (na przykład https://portal.domain.com/arcgis/sharing/rest zamiast https://dnsalias.domain.com/arcgis/sharing/rest). Może to powodować problemy, gdyż aplikacje klienckie nie będą mogły uzyskać dostępu do tego adresu URL (zwykle powoduje to wyświetlenie błędu 404 w przeglądarce). Ponadto zapewnia to aplikacji klienckiej dostęp do pewnych informacji o wewnętrznym komputerze.
Oprócz obsługi nagłówka X-Forwarded-Host moduł równoważenia obciążenia musi mieć możliwość bezpośrednich przekierowań (kody odpowiedzi HTTP 301 lub 302). Wszystkie nagłówki Location należy przebudować w module równoważenia obciążenia, aby zapewnić zgodność w pełni kwalifikowanej nazwy domeny (FQDN) i kontekstu odpowiedzi z wartością WebContextURL portalu.
Dodawanie portalu
Poniższe sekcje zawierają opis dodawania oprogramowania Witryna Portal for ArcGIS do zwrotnego serwera proxy instytucji.
Moduł równoważenia obciążenia warstw 3 i 4: dodawanie komputerów z aplikacją ArcGIS Web Adaptor lub oprogramowaniem Witryna Portal for ArcGIS do konfiguracji modułu równoważenia obciążenia
Ponieważ przekierowywanie ruchu do elementów docelowych na zapleczu będzie odbywać się przez protokół TCP, komputer lub komputery dla każdej witryny powinny być dodane do konfiguracji modułu równoważenia obciążenia. Jeśli używana jest aplikacja ArcGIS Web Adaptor, elementy docelowe na zapleczu powinny wskazywać port serwera lub serwerów internetowych (zazwyczaj 443 lub 8443) hostujących adapter lub adaptery internetowe. Przy przekierowywaniu ruchu bezpośrednio do oprogramowania Witryna Portal for ArcGIS elementy docelowe na zapleczu powinny wskazywać port 7443 na każdym komputerze w witrynie.
Moduł równoważenia obciążenia warstwy 7: dodawanie komputerów z aplikacją ArcGIS Web Adaptor lub oprogramowaniem Witryna Portal for ArcGIS do dyrektyw serwera proxy
Po skonfigurowaniu aplikacji ArcGIS Web Adaptor z użyciem oprogramowania Witryna Portal for ArcGIS możliwe jest użycie aplikacji ArcGIS Web Adaptor ze zwrotnym serwerem proxy instytucji przez dodanie komponentów bezpośrednio do dyrektyw serwera proxy. Jeśli na przykład jako zwrotny serwer proxy używany jest serwer Apache, należy dodać aplikację ArcGIS Web Adaptor do dyrektyw ProxyPass w pliku konfiguracyjnym httpd.conf serwera internetowego Apache:
ProxyPass /webadaptorname https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /webadaptorname https://webadaptorhost.domain.com/webadaptorname
Dyrektywy ProxyPass muszą dopasowywać nazwę podaną dla aplikacji ArcGIS Web Adaptor (/webadaptorname w powyższym przykładzie). Jeśli nie korzystasz z aplikacji ArcGIS Web Adaptor przed oprogramowaniem Witryna Portal for ArcGIS, dodaj następujące dyrektywy, gdzie /context jest wybraną ścieżką najwyższego poziomu adresu URL:
ProxyPass /context https://portal.domain.com:7443/arcgis
ProxyPassReverse /context https://portal.domain.com:7443/arcgis
Konfigurowanie portalu do korzystania ze zwrotnego serwera proxy lub modułu równoważenia obciążenia
W poniższych sekcjach opisano, jak skonfigurować portal, aby używał adresu URL zwrotnego serwera proxy, a także zadania administracyjne, które należy powtórzyć po skonfigurowaniu adresu URL.
Konfigurowanie właściwości WebContextURL
Właściwość WebContextURL portalu pomaga w konstruowaniu poprawnych adresów URL dla wszystkich zasobów wysyłanych do użytkownika końcowego. Aby zmienić właściwość WebContextURL, wykonaj następujące czynności:
- Otwórz przeglądarkę internetową i zaloguj się do aplikacji ArcGIS Portal Directory jako członek pełniący rolę domyślnego administratora w instytucji portalu. Adres URL ma format https://portal.domain.com:7443/arcgis/portaladmin.
- Kliknij System > Właściwości > Aktualizuj właściwości.
- W oknie dialogowym Aktualizuj właściwości systemu wstaw następujący kod JSON, zastępując nim adres URL własnego zwrotnego serwera proxy lub aliasu DNS widziany przez użytkowników znajdujących się poza zaporą instytucji.
{ "WebContextURL": "https://dnsalias.domain.com/portal" }
Notatka:
Oprogramowanie Witryna Portal for ArcGIS obsługuje tylko pojedynczy system DNS.
Notatka:
W przypadku skonfigurowania właściwości WebContextURL nie można użyć portu innego niż standardowy (tzn. innego niż 443).
- Kliknij opcję Aktualizuj właściwości.
Ponowne wykonanie zadań administracyjnych
Po skonfigurowaniu zwrotnego serwera proxy dla portalu dostęp do portalu jest uzyskiwany za pomocą adresu URL zwrotnego serwera proxy, a nie adresu URL aplikacji ArcGIS Web Adaptor. Podczas uzyskiwania dostępu do zasobów w witrynie portalu lub aplikacji ArcGIS Portal Directory zwracany będzie teraz adres URL zwrotnego serwera proxy.
Za pomocą adresu URL zwrotnego serwera proxy należy ponownie wykonać następujące zadania administracyjne:
Jeżeli wcześniej dodano usługi zabezpieczone jako elementy portalu, konieczne będzie usunięcie oryginalnych elementów i dodanie ich ponownie. Jest to niezbędne, ponieważ oryginale elementy korzystają z adresu URL aplikacji ArcGIS Web Adaptor zamiast adresu URL zwrotnego serwera proxy. Instrukcje można znaleźć w temacie Łączenie z zabezpieczonymi usługami.
Po skonfigurowaniu zwrotnego serwera proxy z portalem może być potrzebne dostosowanie jego ustawień. Jeśli na przykład operacje lub żądania w ramach wdrożenia kończą się niepowodzeniem z błędem wskazującym przekroczenie limitu czasu połączenia, problemem może być ustawiony zbyt krótki czas w wartości limitu czasu zwrotnego serwera proxy. Aby poprawić ten błąd, należy rozważyć zwiększenie wartości limitu czasu. Umożliwi to zakończenie długo trwających żądań, takich jak federowanie serwera.