Skip To Content

Scenariusze wdrożenia wysoko dostępnego oprogramowania ArcGIS Enterprise

Na sposób implementacji wysoko dostępnego oprogramowania ArcGIS Enterprise wpływa metoda uwierzytelniania używana w portalu oraz to, czy zezwolono na dostęp do portalu spoza zapory.

W przypadku wszystkich scenariuszy opisanych w tym temacie spełnione są następujące warunki:

  • Komputery portalu (p1 i p2 na diagramach) przechowują zasoby w tym samym katalogu, który został umieszczony na wysoko dostępnym serwerze plików.
  • Serwery GIS Server (s1 i s2) na serwerze hostującym udostępniają katalogi serwera i magazyn konfiguracji, które umieszczono na wysoko dostępnym serwerze plików.
  • Wysoko dostępny relacyjny magazyn danych złożony z komputera podstawowego (ds1) i komputera rezerwowego (ds2) jest zarejestrowany na serwerze hostującym. ArcGIS Data Store ma wbudowany mechanizm pracy awaryjnej, w którym rezerwowy relacyjny magazyn danych staje się podstawowym magazynem danych w przypadku awarii komputera podstawowego. Magazyn danych sprawdza warunek serwerów GIS Server dla witryny, w której jest zarejestrowany, dlatego można skonfigurować magazyn danych za pomocą adresu URL dowolnego serwera GIS Server.

Różnice w komunikacji klient/portal oraz protokoły uwierzytelniania są opisane w poniższych sekcjach.

Użytkownicy wbudowani, aplikacje klienckie mają dostęp do portalu poprzez porty 80 i 443

W tym scenariuszu uwierzytelnianie portalu korzysta z użytkowników wbudowanych i cała komunikacja między aplikacjami klienckimi (przedstawiona u góry diagramu) a portalem odbywa się wewnątrz zapory.

Wysoko dostępne wdrożenie z uwierzytelnianiem wbudowanych użytkowników i bez dostępu publicznego do portalu

W powyższym przykładzie aplikacje klienckie mają dostęp do witryny internetowej portalu poprzez moduł równoważenia obciążenia z adresem URL https://<lb>.<domain>.com/<context>/home/, a katalog REST serwera ArcGIS Server jest dostępny poprzez https://<lb>.<domain>.com/<context>/rest. Wysoko dostępny portal (dwa komputery z oprogramowaniem Portal for ArcGIS, p1 i p2) komunikują się ze swoim serwerem hostującym — wysoko dostępną witryną GIS Server — poprzez adres URL aplikacji ArcGIS Server Administrator Directory (https://<lb>.<domain>.com/<context>/admin). Komputery w witrynie serwera hostującego (s1 i s2) komunikują się z portalem poprzez prywatny adres URL portalu (https://<lb>.<domain>.com/<context>). Zarówno adres URL aplikacji ArcGIS Server Administrator Directory, jak i prywatny adres URL portalu przechodzą przez moduł równoważenia obciążenia (lb), aby zapewnić nadmiarowość. Jeśli jeden komputer z oprogramowaniem Portal for ArcGIS ulegnie awarii lub będzie niedostępny, serwer hostujący nadal może komunikować się z pozostałym komputerem portalu, ponieważ moduł równoważenia obciążenia przekieruje ruch do pozostałego komputera. Podobnie będzie w sytuacji, gdy jeden z hostujących serwerów ulegnie awarii lub będzie niedostępny, moduł równoważenia obciążenia przekieruje ruch z portalu do pozostałego serwera GIS Server.

Użytkownicy wbudowani z dostępem publicznym do portalu

W tym scenariuszu uwierzytelnianie portalu korzysta z użytkowników wbudowanych i co najmniej kilka aplikacji klienckich będzie mieć dostęp do portalu przez zaporę. Dostęp administracyjny spoza zapory należy wyłączyć.

Wysoko dostępny portal za zaporą, do którego dostęp jest uzyskiwany przy pomocy kont wbudowanych

Dostęp aplikacji klienckich do witryny internetowej portalu i punktu końcowego REST serwera ArcGIS Server poprzez moduł równoważenia obciążenia znajdujący się poza zaporą (lb). Portal komunikuje się z serwerem hostującym poprzez adres URL aplikacji ArcGIS Server Administrator Directory, który przechodzi przez dodatkowy moduł równoważenia obciążenia (lb2) wewnątrz zapory (https://<lb2>.<domain>.com:6443/arcgis, zielone linie na diagramie). Serwer hostujący komunikuje się z portalem poprzez prywatny adres URL portalu, który również przechodzi przez moduł lb2 (https://<lb2>.<domain>.com:7443/arcgis, żółte linie na diagramie), dlatego komunikacja nie musi przechodzić przez zaporę. Jeśli jeden z komputerów portalu ulegnie awarii, serwer hostujący może nadal komunikować się z pozostałym komputerem portalu, ponieważ moduł lb2 będzie wysyłać żądania do pozostałego komputera portalu. Podobnie będzie w sytuacji, gdy jeden z serwerów GIS Server ulegnie awarii. Moduł lb2 będzie kierował ruch z portalu do pozostałego komputera GIS Server.

Dostęp z poziomu aplikacji klienckich znajdujących się poza zaporą bezpośrednio do witryny GIS Server będzie również kierowany poprzez moduł równoważenia obciążenia znajdujący się poza zaporą (lb).

Dostęp administratora do aplikacji ArcGIS Server Administrator Directory i aplikacji ArcGIS Server Manager są zablokowane przez skonfigurowanie reguł na module równoważenia obciążenia znajdującym się poza zaporą (lb).

Uwierzytelnianie IWA lub LDAP z wewnętrznym dostępem aplikacji klienckiej

W tym scenariuszu użytkownicy portalu są uwierzytelniani za pomocą zintegrowanego uwierzytelniania systemu Windows (IWA) lub protokołu LDAP i wszystkie aplikacje klienckie uzyskujące dostęp do portalu znajdują się wewnątrz zapory.

Wysoko dostępny portal korzystający z uwierzytelniania IWA lub LDAP i bez dostępu do portalu spoza zapory

Gdy dostęp publiczny do portalu nie jest wymagany, ale aplikacje klienckie będą uwierzytelniać się w portalu z użyciem uwierzytelniania IWA lub LDAP, każdy komputer w wysoko dostępnym portalu wymaga adaptera internetowego (wa1 i wa2). Moduł równoważenia obciążenia (lb) wysyła ruch do adapterów internetowych, które następnie równoważą żądania między dwoma komputerami portalu (p1 i p2). Komunikacja z serwera hostującego do portalu musi pominąć żądanie uwierzytelniania w warstwie sieci poprzez adapter internetowy. Dlatego moduł równoważenia obciążenia jest skonfigurowany do nasłuchiwania na portach 7080 i 7443, a ten ruch jest wysyłany bezpośrednio do portalu na porty 7080 lub 7443 poprzez prywatny adres URL portalu.

Ponieważ dostęp publiczny do portalu nie jest wymagany, modułu równoważenia obciążenia można użyć zarówno dla publicznych adresów URL, jak i wewnętrznych adresów URL administratora. Prywatny adres URL portalu to: https://<lb>.<domain>.com:7443/arcgis. Wszystkie pozostałe adresy URL to: https://<lb>.<domain>.com/<context>.

Uwierzytelnianie SAML lub ADFS dostępem publicznym do portalu

W tym scenariuszu użytkownicy portalu są uwierzytelniani za pomocą uwierzytelniania protokołu SAML (Security Assertion Markup Language) lub uwierzytelniania usług federacyjnych Active Directory (ADFS), ale część aplikacji klienckich uzyskujących dostęp do portalu znajduje się poza zaporą. W tym przypadku trzeba wyłączyć dostęp administratora do komputerów GIS Server serwera hostującego, aby zabezpieczyć usługi. Poniższa sekcja zawiera opis dwóch konfiguracji pozwalających osiągnąć ten cel.

Notatka:

Korzystanie z uwierzytelniania SAML lub ADFS dla portalu powoduje, że konfiguracja adapterów internetowych w portalu jest zbędna. Wprawdzie można użyć w portalu ArcGIS Web Adaptor w następujących dwóch scenariuszach, jednak nie wnosi to do konfiguracji żadnych dodatkowych funkcjonalności.

Zabezpieczanie publicznie dostępnego portalu za pomocą reguł ustawionych w module równoważenia obciążenia

Wysoko dostępny portal, do którego dostęp jest uzyskiwany spoza zapory z użyciem uwierzytelniania SAML lub ADFS

W tym scenariuszu aplikacje klienckie łączą się poprzez moduł równoważenia obciążenia (lb) znajdujący się poza zaporą (czerwona linia na diagramie), który wysyła ruch bezpośrednio do dwóch komputerów portalu (p1 i p2) na portach 7443 i 7080 oraz dwóch serwerów GIS Server (s1 i s2) na portach 6443 i 6080. Reguły w ramach modułu równoważenia obciążenia blokują dostęp do adresu URL aplikacji ArcGIS Server Administrator Directory i aplikacji ArcGIS Portal Directory.

Moduł równoważenia obciążenia znajdujący się poza zaporą nie może komunikować się poprzez porty 6080, 6443, 7080 lub 7443. Dlatego w obrębie zapory jest skonfigurowany inny moduł równoważenia obciążenia (lb2) do obsługi komunikacji między portalem a serwerem hostującym. Portal będzie komunikował się z serwerem hostującym, korzystając z adresu URL zdefiniowanego dla wartości Adres URL administratora podczas federowania (zielone linie na diagramie). Serwer hostujący będzie komunikował się z portalem poprzez prywatny adres URL portalu (żółte linie na diagramie), dlatego komunikacja nie musi przechodzić przez zaporę. Moduł lb2 zapewnia nadmiarowość w sytuacji, gdy jeden z serwerów GIS Server lub komputerów portalu ulegnie awarii.

Prywatny adres URL portalu w tym scenariuszu to: https://<lb2>.<domain>.com:7443/arcgis. Adres URL aplikacji ArcGIS Server Administrator Directory to: https://<lb2>.<domain>.com:6443/arcgis/admin.

Zabezpieczanie publicznie dostępnego portalu za pomocą adapterów internetowych w witrynie GIS Server

Wysoko dostępny portal, do którego dostęp jest uzyskiwany spoza zapory z użyciem uwierzytelniania SAML lub ADFS oraz adapterów internetowych

W tym scenariuszu aplikacje klienckie łączą się poprzez moduł równoważenia obciążenia (lb1) znajdujący się poza zaporą (czerwona linia na diagramie), który wysyła ruch bezpośrednio do dwóch komputerów portalu (p1 i p2) na portach 7443 i 7080 i wysyła ruch do dwóch adapterów internetowych (wa1, wa2), które są skonfigurowane na dwóch serwerach GIS Server (s1 i s2). Inny moduł równoważenia obciążenia (lb2) obsługuje ruch między portalem a serwerem hostującym portalu i zapewnia nadmiarowość w sytuacji, gdy jeden z serwerów GIS Server lub jeden z komputerów portalu ulegnie awarii.

Aplikacje klienckie uzyskują dostęp do portalu poprzez moduł równoważenia obciążenia (lb1) https://<lb1>.<domain>.com/<context>/home/, który wysyła ruch do dwóch komputerów portalu poprzez porty 7080 i 7443. Ponieważ portal jest skonfigurowany z uwierzytelnianiem SAML lub ADFS, dostawca SAML lub ADFS uwierzytelnia użytkowników w momencie, gdy uzyskują oni dostęp do portalu.

Aplikacje klienckie mogą uzyskać dostęp do witryny GIS Server poprzez moduł równoważenia obciążenia (lb1) znajdujący się poza zaporą, który wysyła ruch do adapterów internetowych GIS Server (wa1 i wa2). Adaptery internetowe przekazują ruch do serwerów GIS Server poprzez porty 6080 i 6443.

Witryna GIS Server komunikuje się z portalem poprzez prywatny adres URL portalu (https://<lb2>.<domain>.com:7443/arcgis, żółte linie na diagramie), dlatego komunikacja nie musi przechodzić przez zaporę. Witryna GIS Server jest sfederowana z portalem korzystającym z modułu równoważenia obciążenia dla adresu URL usług. Ten ruch przechodzi przez adaptery internetowe wa1 i wa2, które są skonfigurowane do blokowania dostępu administratora do aplikacji ArcGIS Server Manager oraz ArcGIS Server Administrator Directory. Drugi moduł równoważenia obciążenia (lb2) jest używany do uzyskiwania dostępu do aplikacji ArcGIS Server Administrator Directory ( https://<lb2>.<domain>.com:6443/arcgis) w celu zapewnienia nadmiarowości (zielone linie na diagramie).