Um servidor proxy reverso é um computador que é implantado dentro de uma rede de perímetro (também conhecida como uma zona desmilitarizada [DMZ] ou sub rede) que manipula os pedidos da Internet e os encaminham para as máquinas na sua rede interna. O encaminhamento de pedidos em benefício do servidor proxy reverso mascara a identidade das máquinas atrás de um firewall da sua organização, deste modo protegendo máquinas internas de serem atacadas diretamente por usuários da Internet. As funções de segurança adicionais pode ser implementadas no servidor proxy reverso para proteger sua rede interna de usuários externos.
Se seu servidor proxy reverso suporta uma função de verificação de desempenho, você pode utilizar o pronto final da verificação de desempenho do Portal for ArcGIS para determinar se o portal está disponível para receber pedidos. Isto é útil para determinar rapidamente se há um software ou falha de hardware no site. Para mais informações, consulte tópico do portal Verificação de Desempenho da API ArcGIS REST.
Aviso:
A configuração detalhada neste tópico deve ser executada antes de federar qualquer site do ArcGIS Server com seu portal do ArcGIS Enterprise. A adição de um nome alternativo de DNS ou proxy reverso depois que um site do ArcGIS Server foi federado com seu portal não é suportado. Se você precisar alterar o nome do host na URL da sua organização, entre em contato com os Serviços Profissionais da Esri ou outro parceiro de consultoria confiável para obter orientação.
Desfederar um site do ArcGIS Server tem diversas consequências significativas e não é desfeito facilmente. Para aprender mais, consulte Administrar um servidor federado.
Adicionar Portal for ArcGIS a um servidor proxy reverso
Antes de adicionar o Portal for ArcGIS no servidor proxy reverso da sua organização, você deve completar o seguinte:
- Configure HTTPS (HTTP e HTTPS ou somente HTTPS) no servidor proxy reverso. O Portal for ArcGIS utiliza HTTPS para comunicação por padrão. Consulte a documentação do produto para seu servidor proxy para informações sobre como instalar HTTPS.
Anotação:
O Portal for ArcGIS não oferece suporte ao descarregamento de SSL por meio de um servidor proxy reverso/balanceador de carga. Portanto, se a sua configuração usar um servidor proxy reverso, ela deverá encaminhar o tráfego ao ArcGIS Web Adaptor ou diretamente ao Portal for ArcGIS por HTTPS.
- Configure o ArcGIS Web Adaptor com seu portal se o seu portal for utilizar Autenticação Integrada do Windows. O Portal for ArcGIS requer o uso do ArcGIS Web Adaptor para este propósito e isto permitirá o servidor proxy reverso comunicar com seu portal corretamente. Para instruções completas, consulte Configurar o ArcGIS Web Adaptor.
Verifique se o servidor proxy suporta codificação gzip e está configurado para permitir o cabeçalho Accept-Encoding. Este cabeçalho permite que respostas do HTTP 1.1 sejam compactadas utilizando a codificação gzip. Por exemplo, se o cabeçalho tiver permissão, um pedido para carregar o Map Viewer retornará uma resposta compactada de aproximadamente 1.4 MB para o navegador. Se o cabeçalho não tiver permissão ou for ignorado, o pedido retornará uma resposta descompactada de aproximadamente 6.8MB para o navegador. Se a sua velocidade de rede for lenta, ela poderá demorar muito tempo para o Map Viewer carregar, se as respostas não estiverem compactadas. É altamente recomendado pela Esri que você permita este cabeçalho como parte da sua configuração do servidor proxy reverso.
Adicionar ArcGIS Web Adaptor em diretivas do servidor de proxy
Após configurar o ArcGIS Web Adaptor com Portal for ArcGIS, ArcGIS Web Adaptor poderá ser utilizado com seu servidor proxy reverso da organização adicionando os componentes diretamente para as instruções do servidor proxy. Por exemplo, se você utilizar Apache como um servidor proxy reverso, você precisará adicionar o ArcGIS Web Adaptor às instruções ProxyPass no arquivo de configuração do servidor da web Apache httpd.conf:
ProxyPass /webadaptorname https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /webadaptorname https://webadaptorhost.domain.com/webadaptorname
As instruções de ProxyPass devem corresponder o nome designado do ArcGIS Web Adaptor (/webadaptorname na amostra acima).
Preparar um proxy reverso
Antes de desenvolver seu servidor de proxy reverso para utilizar com o portal, a Esri recomenda que você configure algum dos cabeçalhos de proxy reverso para assegurar uma comunicação adequada.
Na configuração de carregamento do servidor proxy reverso, defina um cabeçalho X-Forwarded-Host para o nome do host do proxy reverso. O Portal for ArcGIS espera ver esta propriedade configurada no cabeçalho enviado pelo proxy reverso e retornará pedidos que correspondam à URL do servidor proxy reverso. Se você não estiver usando ArcGIS Web Adaptor com seu portal, configure o cabeçalho Host para corresponder o nome do host da máquina onde Portal for ArcGIS está instalado.
Dica:
Você pode utilizar o ponto final das máquinas no ArcGIS Portal Administrator Directory para visualizar o nome do host da máquina executando o Portal for ArcGIS.
Por exemplo, um pedido ao parâmetro Portal for ArcGIS de REST (https://reverseproxy.domain.com/arcgis/sharing/rest) do retornado ao cliente como a mesma URL. Se a propriedade não estiver configurada, o Portal for ArcGIS poderá retornar a URL da máquina interna para a qual o pedido foi direcionado (por exemplo, https://portal.domain.com/arcgis/sharing/rest em vez de https://reverseproxy.domain.com/arcgis/sharing/rest). Isto é problemático, pois clientes não poderão acessar esta URL (comumente notado como um erro 404 do navegador). Além disso, fornece ao cliente acesso para algumas informações sobre a máquina interna.
Junto com o cabeçalho X-Forwarded-Host, seu servidor de proxy reverso deve ser capaz de redirecionar (códigos HTTP 301 ou 302). Você também deve atualizar seu cabeçalho Location para assegurar que o nome de domínio completamente qualificado (FQDN) e contexto da resposta se correspondam ao valor do portal WebContextURL.
Configurar a propriedade WebContextURL
A propriedade WebContextURL do portal, ajuda a construir URLs corretas em todos os recursos que ela envia para o usuário final.
Anotação:
Se você não utilizar ArcGIS Web Adaptor em seu desenvolvimento, certifique-se que o nome de contexto do servidor de proxy reverso vá somente um nível de detalhes da URL. Por exemplo, você pode ter uma URL de proxy reversa como https://proxy.domain.com/enterprise, mas você não pode ter uma URL de proxy reversa, como https://proxy.domain.com/myorg/enterprise.
- Abra um navegador da web e entre no ArcGIS Portal Directory como um membro do papel de administrador padrão em sua organização do portal. A URL está formatada como https://portal.domain.com:7443/arcgis/portaladmin.
- Clique em Sistema > Propriedades > Atualizar Propriedades.
- Na caixa de diálogo Atualizar Propriedades do Sistema, insira o seguinte JSON, substituindo seu próprio servidor proxy reverso ou nome alternativo de URL do DNS como visualizado por usuários fora do firewall da sua organização.
{ "WebContextURL": "https://reverseproxy.domain.com/enterprise" }
Anotação:
O Portal for ArcGIS somente suporta um DNS único.
Anotação:
Você não pode utilizar uma porta diferente do padrão (isto é, uma porta diferente de 443) ao configurar a propriedade WebContextURL.
- Clique em Atualizar Propriedades.
Refazer administrativas comuns
Após configurar o servidor proxy reverso com seu portal, você agora acessará seu portal através da URL do servidor proxy reverso, ao invés da URL do ArcGIS Web Adaptor. Qualquer item que você acessar no site da web do portal ou ArcGIS Portal Directory retornará a URL do servidor proxy reverso.
As seguintes tarefas administrativas devem ser refeitas utilizando a URL do servidor proxy reverso:
Se você adicionou anteriormente serviços seguros como itens no seu portal, você precisará excluir os itens originais e adicioná-los novamente. Isto é devido aos itens originais utilizarem a URL do ArcGIS Web Adaptor ao invés da URL do servidor proxy reverso. Para instruções, consulte Conectar os serviços seguros.
Após configurar seu servidor de proxy reverso com o portal, você pode precisar ajustar suas configurações. Por exemplo, se operações ou pedidos dentro de seu desenvolvimento falharem com um erro indicando o tempo de conexão excedida, o problema pode ser que seu valor do tempo limite do servidor de proxy reverso é muito pequeno. Para corrigir este erro, considere aumentar o valor de tempo limite para permitir execução de pedidos longos, tal como, federar um servidor, para concluir.