Skip To Content

Cenários de implantação do ArcGIS Enterprise altamente disponíveis

O método de autenticação que você usa com sua organização e se você permite acesso a ele de fora do firewall ajudam a definir como você realiza uma implantação altamente disponível. do ArcGIS Enterprise

O seguinte é verdadeiro para todos os cenários descritos neste tópico:

  • As máquinas do portal (Portal1 e Portal2) armazenam conteúdo no mesmo diretório, que foi adicionado em um servidor de arquivo altamente disponível.
  • As máquinas do GIS Server (HostingServer1 e HostingServer2) no site do servidor de hospedagem compartilham diretórios de servidor comuns e um armazenamento de configuração, que foram colocados em um servidor de arquivos altamente disponível.
  • Um armazenamento de dados relacional altamente disponível é composto por uma máquina primária (DataStore1) e uma máquina auxiliar (DataStore2) registradas no site do servidor de hospedagem. O ArcGIS Data Store tem um mecanismo em caso de falha interno pelo qual o armazenamento de dados relacional auxiliar se torna a máquina do armazenamento de dados primária se a máquina primária falhar. O armazenamento de dados verifica as condições das máquinas do ArcGIS Server para o site com o qual está registrado, para que você possa configurar o armazenamento de dados pela URL de máquina do ArcGIS Server.
  • HTTPS e HTTP estão habilitados para Portal for ArcGIS e ArcGIS Server. Se o HTTP estiver desabilitado para todos os componentes, as portas HTTP (80, 6080 e 7080) poderão ser removidas dos exemplos. As URLs administrativas exigem comunicação de HTTPS.
  • Para arquiteturas que envolvem balanceadores de carga, as verificações de integridade foram configuradas para determinar a disponibilidade dos destinos de back-end e equilibrar o tráfego usando um algoritmo round-robin. Embora o exemplo hospede loadbalancer.example.com e internalloadbalancer.example.com seja usado nos diagramas, isso pode ser substituído por um nome alternativo de DNS atribuído a qualquer componente através de servidores de DNS internos ou externos.

As diferenças entre os protocolos de autenticação e da comunicação do portal/cliente são descritas nas seções a seguir. Mais informações sobre as URLs usadas em uma implantação altamente disponível podem ser encontradas emAlta disponibilidade no ArcGIS Enterprise.

Usuários e clientes integrados têm acesso ao portal através das portas 80 e 443

Neste cenário, a autenticação do portal utiliza usuários embutidos e toda a comunicação entre clientes (mostrada na parte superior do diagrama) e o portal ocorre dentro do firewall.

Implantação altamente disponível com autenticação de usuário embutido e sem acesso público ao portal

No exemplo, os clientes acessam a organização através do balanceador de carga via URL da Organização—nesse caso, https://loadbalancer.example.com/portal/home/— e o diretório REST do site ArcGIS Server pode ser acessado em https://loadbalancer.example.com/server/rest/services. O portal altamente disponível (duas máquinas do Portal for ArcGIS, Portal1 e Portal2) se comunica com seu site do servidor de hospedagem altamente disponível através da URL de Administração (https://loadbalancer.example.com/server/admin) definida durante a federação. As máquinas no site do servidor de hospedagem (HostingServer1 e HostingServer2) se comunicam com o portal através do mesmo terminal que os clientes (https://loadbalancer.example.com/portal) usando o privatePortalURL definido nas propriedades de sistema do portal. Tanto a URL do Diretório e Administrador do ArcGIS Server quanto o privatePortalURL passam pelo balanceador de carga (LoadBalancer) para contabilizar a redundância. Se uma máquina do Portal for ArcGIS falhar ou estiver inacessível, o servidor de hospedagem ainda poderá se comunicar com a máquina restante, pois o balanceador de carga direcionará o tráfego para essa máquina. Da mesma forma, se uma das máquinas do servidor de hospedagem falhar ou estiver inacessível, o balanceador de carga continuará direcionando o tráfego das máquinas do Portal for ArcGIS para a máquina do ArcGIS Server restante.

Usuários embutidos com acesso público ao portal

Neste cenário, a autenticação do portal utiliza usuários embutidos e pelo menos alguns clientes acessarão o portal de fora do firewall. O acesso administrativo de fora do firewall precisa deve estar desabilitado.

Portal altamente disponível atrás de um firewall acessado com contas embutidas

Os clientes acessam a organização e o parâmetro REST do ArcGIS Server através do balanceador de carga fora do firewall (LoadBalancer), normalmente por nome alternativo de DNS atribuído a loadbalancer.example.com. O portal se comunica com o site do servidor de hospedagem por um segundo balanceador de carga (InternalLoadBalancer) dentro do firewall (https://internalloadbalancer.example.com:6443/arcgis, as linhas verdes no diagrama). O servidor de hospedagem se comunica com o portal através do privateportalURL, que também passa pelo InternalLoadBalancer (https://internalloadbalancer.example.com:7443/arcgis, as linhas laranjas no diagrama), portanto a comunicação não precisa passar pelo firewall. Se uma máquina do portal falhar, o servidor de hospedagem ainda poderá se comunicar com a máquina remanescente do portal, pois o balanceador de carga interno enviará solicitações para a máquina remanescente do portal. Da mesma forma, se uma das máquinas do GIS Server falhar, o balanceador de carga interno direcionará o tráfego do portal para a máquina remanescente do GIS Server.

O acesso de clientes fora do firewall diretamente ao site também do GIS Server passará pelo balanceador de carga (LoadBalancer) fora do firewall (linha vermelha no diagrama).

O acesso de administrador ao ArcGIS Server Administrator Directory e ArcGIS Server Manager é bloqueado pela configuração de regras no balanceador de carga (LoadBalancer) fora do firewall (linha vermelha no diagrama).

Autenticação LDAP ou IWA com acesso interno de cliente

Neste cenário, os usuários do portal autenticam usando Autenticação Integrada do Windows (IWA) ou autenticação Lightweight Directory Access Protocol (LDAP), e todos os clientes que acessam o portal estão dentro do firewall.

Um portal altamente disponível utilizando autenticação IWA ou LDAP e sem acesso ao portal de fora do firewall

Quando o acesso público ao portal não é necessário, mas os clientes se autenticam com o portal utilizando autenticação IWA ou LDAP, cada máquina no portal altamente disponível exige um web adaptador (WebAdaptor1 e WebAdaptor2). O balanceador de carga (LoadBalancer) envia tráfego aos web adaptors, que equilibram as solicitações entre as duas máquinas do portal (Portal1 e Portal2). Qualquer comunicação das máquinas do ArcGIS Server para as máquinas do Portal for ArcGIS deve ignorar o desafio de autenticação na camada da web através do web adaptor. Portanto, o balanceador de carga está configurado para atender nas portas 7080 e 7443 e este tráfego é enviado diretamente para o portal nas portas 7080 ou 7443 através do privatePortalURL.

Como o acesso público ao portal não é necessário, o balanceador de carga pode ser usado para a URL de serviços e a URL de administração do site de hospedagem. O privatePortalURL é https://internalloadbalancer.example.com:7443/arcgis e as máquinas do site de hospedagem se comunicam com as máquinas do portal através dessa URL (as linhas laranja no diagrama). A URL da Organização é https://loadbalancer.example.com/portal e as URLs de Serviços e Administração para o site de hospedagem são https://loadbalancer.example.com/server .

Autenticação SAML ou ADFS com acesso público ao portal

Nesse cenário, os usuários autenticam usando Security Assertion Markup Language (SAML) ou Active Directory Federation Services (ADFS), mas alguns clientes que acessam a organização estão fora do firewall. Nesse caso, você precisa desabilitar o acesso administrativo às máquinas do ArcGIS Server de site do servidor de hospedagem por motivos de segurança. A seção abaixo descreve as duas configurações para fazer isso.

Anotação:

A utilização da autenticação de SAML ou ADFS no seu portal renderiza ele sem necessidade para configurar adaptadores da web com o portal. Embora você possa usar ArcGIS Web Adaptor com seu portal nos seguintes dois cenários, ele não adiciona nenhum benefício funcional para configuração.

Proteger um portal de acesso público utilizando regras configuradas no balanceador de carga

Diagrama de proteção a um portal de acesso público utilizando regras configuradas no balanceador de carga

Nesse cenário, os clientes se conectam através do alanceador de carga (LoadBalancer) fora do firewall (linha vermelha no diagrama), que envia o tráfego diretamente para as duas máquinas do portal (Portal1 e Portal2) nas portas 7443 e 7080 e as duas máquinas do GIS Server (HostingServer1 e HostingServer2) nas portas 6443 e 6080. As regras no balanceador de carga bloqueiam o acesso ao ArcGIS Server Administrator e URLs do ArcGIS Server Manager.

O balanceador de carga fora do firewall não pode comunicar pelas portas 6080, 6443, 7080 ou 7443. Outro balanceador de carga (InternalLoadBalancer) é configurado dentro do firewall para permitir a comunicação entre o portal e o servidor de hospedagem. O portal comunicará com o servidor de hospedagem utilizando a URL definido para URL da Administração durante a federação (linhas verdes no diagrama) e o servidor de hospedagem comunicará com o portal pelo privatePortaURL, (linhas laranjas no diagrama), então a comunicação não terá que passar pelo firewall. O balanceador de carga interno garante redundância se uma das máquinas do GIS Server ou máquinas do portal falhar.

O privatePortalURL neste cenário é https://internalloadbalancer.example.com:7443/arcgis. A URL de Administração do ArcGIS Server usada durante a federação é https://internalloadbalancer.example.com:6443/arcgis.

Proteger um portal de acesso público utilizando web adaptors no site do GIS Server

Portal altamente disponível acessado de fora do firewall utilizando autenticação SAML ou ADFS e web adaptors

Nesse cenário, os clientes se conectam através do balanceador de carga (LoadBalancer) fora do firewall (linha vermelha no diagrama), que envia o tráfego diretamente para as duas máquinas do portal (Portal1 e Portal2) nas portas 7443 e 7080 e envia o tráfego para dois web adaptors (WebAdaptor1 e Webadaptor2) que são configurados com as máquinas do ArcGIS Server (HostingServer1 e HostingServer2). Outro balanceador de carga (InternalLoadBalancer) gerencia o tráfego entre as máquinas do portal e o site do servidor de hospedagem e garante redundância se uma das máquinas do GIS Server ou máquinas do portal falhar.

Os clientes acessam o portal pelo balanceador de carga (LoadBalancer) https://loadbalancer.example.com/portal/home/, que envia tráfego para as duas máquinas do portal pelas portas 7080 e 7443. Já que o portal é configurado com autenticação de SAML ou ADFS, o provedor SAML ou ADFS autentica os usuários quando eles acessam o portal.

Os clientes podem acessar o site do servidor de hospedagem através do balanceador de carga (LoadBalancer) fora do firewall, que envia o tráfego para web adaptors do GIS Server (WebAdaptor1 and WebAdaptor2). Os web adaptors direcionam o tráfego para máquinas do GIS Server pelas portas 6080 e 6443.

As máquinas do ArcGIS Server se comunicam com o portal através do privatePortalURL (https://internalloadbalancer.example.com:7443/arcgis, as linhas laranjas no diagrama), então a comunicação não tem que passar pelo firewall. O site do servidor de hospedagem é federado ao portal usando https://loadbalancer.example.com/server da URL de Serviços. Esse tráfego passa pelos web adaptors WebAdaptor1 e WebAdaptor2, que são configurados para bloquear o acesso do administrador ao ArcGIS Server Manager e ArcGIS Server Administrator Directory. Um segundo balanceador de carga (InternalLoadBalancer) é usado para a URL de administração (https://internalloadbalancer.example.com:6443/arcgis, as linhas verdes no diagrama) definida durante a federação para fornecer redundância.