Um servidor proxy reverso é um computador que é implantado dentro de uma rede de perímetro (também conhecida como uma zona desmilitarizada [DMZ] ou sub rede) que manipula os pedidos da Internet e os encaminham para as máquinas na sua rede interna. O encaminhamento de pedidos em benefício do servidor proxy reverso mascara a identidade das máquinas atrás de um firewall da sua organização, deste modo protegendo máquinas internas de serem atacadas diretamente por usuários da Internet. As funções de segurança adicionais pode ser implementadas no servidor proxy reverso para proteger sua rede interna de usuários externos.
Se o seu servidor proxy reverso suportar uma função de verificação de desempenho, você poderá utilizar o parâmetro da verificação de desempenho do Portal for ArcGIS para determinar se o portal está disponível para receber pedidos. Isto é útil para determinar rapidamente se há um software ou falha de hardware no site. Para mais informações, consulte tópico do portal Verificação de Desempenho da API ArcGIS REST.
Aviso:
A configuração detalhada neste tópico deve ser executada antes de federar qualquer site do ArcGIS Server com seu portal do ArcGIS Enterprise. Desfederar um site do ArcGIS Server tem diversas consequências significativas e não é desfeito facilmente. Para aprender mais, consulte Administrar um servidor federado.
Adicionar Portal for ArcGIS a um servidor proxy reverso
Antes de adicionar o Portal for ArcGIS no servidor proxy reverso da sua organização, você deve completar o seguinte:
- Configure HTTPS (HTTP e HTTPS ou somente HTTPS) no servidor proxy reverso. O Portal for ArcGIS exige HTTPS para alguma comunicação. Consulte a documentação do produto para seu servidor proxy para informações sobre como instalar HTTPS.
Anotação:
O Portal for ArcGIS não oferece suporte ao descarregamento de SSL por meio de um servidor proxy reverso/balanceador de carga. Portanto, se a sua configuração usar um servidor proxy reverso, ela deverá encaminhar o tráfego ao ArcGIS Web Adaptor ou diretamente ao Portal for ArcGIS por HTTPS.
- Configure o ArcGIS Web Adaptor com seu portal se o seu portal for utilizar Autenticação Integrada do Windows. O Portal for ArcGIS requer o uso do ArcGIS Web Adaptor para este propósito e isto permitirá o servidor proxy reverso comunicar com seu portal corretamente. Para instruções completas, consulte os tópicos de configuração para IIS, Java (Windows) ou Java (Linux).
Verifique se o servidor proxy suporta codificação gzip e está configurado para permitir o cabeçalho Accept-Encoding. Este cabeçalho permite que respostas do HTTP 1.1 sejam compactadas utilizando a codificação gzip. Por exemplo, se o cabeçalho tiver permissão, um pedido para carregar o Map Viewer retornará uma resposta compactada de aproximadamente 1.4 MB para o navegador. Se o cabeçalho não tiver permissão ou for ignorado, o pedido retornará uma resposta descompactada de aproximadamente 6.8MB para o navegador. Se a sua velocidade de rede for lenta, ela poderá demorar muito tempo para o Map Viewer carregar, se as respostas não estiverem compactadas. É recomendado pela Esri que você permita este cabeçalho como parte da sua configuração do servidor proxy reverso.
Adicionar ArcGIS Web Adaptor às diretivas do servidor proxy
Após configurar o ArcGIS Web Adaptor com Portal for ArcGIS, ArcGIS Web Adaptor poderá ser utilizado com seu servidor proxy reverso da organização adicionando os componentes diretamente para as instruções do servidor proxy. Por exemplo, se você utilizar Apache como um servidor proxy reverso, você precisará adicionar o ArcGIS Web Adaptor às instruções ProxyPass no arquivo de configuração do servidor da web Apache httpd.conf:
ProxyPass /webadaptorname https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /webadaptorname https://webadaptorhost.domain.com/webadaptorname
As instruções de ProxyPass devem corresponder o nome designado do ArcGIS Web Adaptor (/webadaptorname na amostra acima). Se a URL do seu site não terminar com a string padrão /arcgis, especifique o nome nondefault de ArcGIS Web Adaptor (por exemplo, /myorg).
Adicionar um cabeçalho X-Forwarded-Host no seu proxy
Na configuração de carregamento do servidor proxy reverso, defina o cabeçalho X-Forwarded-Host. O Portal for ArcGIS espera ver esta propriedade configurada no cabeçalho enviado pelo proxy reverso e retornará pedidos que correspondam à URL do servidor proxy reverso. Por exemplo, um pedido ao parâmetro Portal for ArcGIS de REST (https://reverseproxy.domain.com/arcgis/sharing/rest) do retornado ao cliente como a mesma URL. Se a propriedade não estiver configurada, o Portal for ArcGIS poderá retornar a URL da máquina interna para a qual o pedido foi direcionado (por exemplo, https://portal.domain.com/arcgis/sharing/rest em vez de https://reverseproxy.domain.com/arcgis/sharing/rest). Isto é problemático, pois clientes não poderão acessar esta URL (comumente notado como um erro 404 do navegador). Além disso, fornece ao cliente acesso para algumas informações sobre a máquina interna.
Configurar a propriedade WebContextURL
A propriedade WebContextURL do portal, ajuda a construir URLs corretas em todos os recursos que ela envia para o usuário final.
Anotação:
Se você não utilizar ArcGIS Web Adaptor em seu desenvolvimento, certifique-se que o nome de contexto do servidor de proxy reverso vá somente um nível de detalhes da URL. Por exemplo, você pode ter uma URL de proxy reversa como https://proxy.domain.com/enterprise, mas você não pode ter uma URL de proxy reversa, como https://proxy.domain.com/myorg/enterprise.
- Abra um navegador da web e entre no ArcGIS Portal Directory como um membro do papel de administrador padrão em sua organização do portal. A URL está formatada como https://portal.domain.com:7443/arcgis/portaladmin.
- Clique em Sistema > Propriedades > Atualizar Propriedades.
- Na caixa de diálogo Atualizar Propriedades do Sistema, insira o seguinte JSON, substituindo seu próprio servidor proxy reverso ou nome alternativo de URL do DNS como visualizado por usuários fora do firewall da sua organização.
{ "WebContextURL": "https://reverseproxy.domain.com/enterprise" }
Anotação:
Você não pode utilizar uma porta diferente do padrão (isto é, uma porta diferente de 443) ao configurar a propriedade WebContextURL.
- Clique em Atualizar Propriedades.
Refazer administrativas comuns
Após configurar o servidor proxy reverso com seu portal, você agora acessará seu portal através da URL do servidor proxy reverso, ao invés da URL do ArcGIS Web Adaptor. Qualquer item que você acessar no site da web do portal ou ArcGIS Portal Directory retornará a URL do servidor proxy reverso.
As seguintes tarefas administrativas devem ser refeitas utilizando a URL do servidor proxy reverso:
Se você adicionou anteriormente serviços seguros como itens no seu portal, você precisará excluir os itens originais e adicioná-los novamente. Isto é devido aos itens originais utilizarem a URL do ArcGIS Web Adaptor ao invés da URL do servidor proxy reverso. Para instruções, consulte Conectar os serviços seguros.