Обратный прокси-сервер – это компьютер, установленный в пределах пограничной сети (т.н. демилитаризованной зоны [DMZ] или промежуточной подсети), который обрабатывает запросы из Интернета и перенаправляет их на компьютеры внутренней сети. Перенаправление запросов от имени обратного прокси-сервера маскирует идентичность компьютеров за брандмауэром организации, что позволяет защитить внутренние компьютеры от атак из Интернета. На обратном прокси-сервере можно реализовать дополнительные функции безопасности, позволяющие еще больше защитить внутреннюю сеть от пользователей извне.
Добавление Portal for ArcGIS к обратному прокси-серверу
Перед добавлением Portal for ArcGIS к обратному прокси-серверу организации, необходимо выполнить следующие шаги:
- Настройте HTTPS (HTTP и HTTPS или только HTTPS) на обратном прокси-сервере. Для некоторых типов связи Portal for ArcGIS требуется протокол HTTPS. Обратитесь к документации к прокси-серверу, чтобы узнать о настройке HTTPS.
- Если имеется ArcGIS Server, интегрированный с порталом, необходимо отменить интеграцию (удалить) сервер до начала настройки. Подробные инструкции см. в разделе Удаление сайта ArcGIS Server с портала.
- Настройте ArcGIS Web Adaptor на работу с порталом. Для Portal for ArcGIS необходим ArcGIS Web Adaptor, это позволит обратному прокси-серверу правильно работать с порталом. Подробные инструкции см. в разделах по настройке IIS, Java (Windows) или Java (Linux).
После удаления интегрированного сервера и настройки ArcGIS Web Adaptor на работу с Portal for ArcGIS, ArcGIS Web Adaptor можно использовать с обратным прокси-сервером организации, добавив компоненты непосредственно в директивы прокси. Например, если вы используете Apache в качестве обратного прокси-сервера, вам потребуется добавить ArcGIS Web Adaptor в директивы ProxyPass в файле конфигурации веб-сервера Apache httpd.conf:
ProxyPass /arcgis https://webadaptor.domain.com/arcgis
ProxyPassReverse /arcgis https://webadaptor.domain.com/arcgisДирективы ProxyPass должны соответствовать имени ArcGIS Web Adaptor (/arcgis на примере выше). Если URL-адрес сайта заканчивается не строкой, принятой по умолчанию, /arcgis, введите используемое имя ArcGIS Web Adaptor (например, /myorg).
Убедитесь, что прокси-сервер поддерживает сжатие gzip и настроен на поддержку заголовка Accept-Encoding. Этот заголовок поддерживает сжатие ответов HTTP 1.1 с помощью gzip. Например, если заголовок разрешен, запрос загрузки вьюера карт возвратит в браузер сжатый ответ, имеющий объем, равный 1,4 Мб. Если же заголовок не разрешен или игнорируется, запрос возвратит в браузер несжатый ответ, имеющий объем, равный 6,8 Мб. Если скорость вашей сети невелика, вьюер карт может долго загружаться, если ответы не сжимаются. Рекомендуем разрешить заголовок в качестве части настройки вашего обратного прокси-сервера.
Задайте свойство портала WebContextURL. Это позволит Portal for ArcGIS построить корректные URL-адреса на все ресурсы, которые он направляет конечному пользователю. Чтобы изменить WebContextURL, сделайте следующее:
- Откройте веб-браузер и войдите в ArcGIS Portal Directory в качестве администратора своей организации. Адрес URL в формате https://portal.domain.com:7443/arcgis/portaladmin.
- Щелкните Система > /Свойства > Обновить свойства.
- В диалоговом окне Обновить свойства системы вставьте следующий JSON, заменив собственный URL-адрес обратного прокси или псевдоним DNS тем, который видят пользователи за пределами брандмауэра вашей организации.
{ "WebContextURL": "https://reverseproxy.domain.com/myorg" } - Щелкните Обновить свойства (Update Properties).
Теперь, когда настройка обратного прокси сервера с вашим порталом завершена, вы будете входить на свой портал через URL-адрес прокси сервера, а не URL-адрес ArcGIS Web Adaptor. Все, что вам будет доступно на веб-сайте портала или в ArcGIS Portal Directory, вы будете получать через URL обратного прокси-сервера.
Следующие административные задачи необходимо повторить, используя URL обратного прокси-сервера:
Если ранее вы добавили защищенные сервисы как элементы вашего портала, то исходные элементы необходимо удалить и добавить снова. Это необходимо сделать, потому что исходные элементы используют URL-адрес ArcGIS Web Adaptor, а не URL обратного прокси-сервера. Инструкции см. в разделе Подключение к защищенным сервисам (Connecting to secured services).