Экземпляры Amazon Elastic Compute Cloud (EC2) и Amazon Virtual Private Cloud (VPC) разрешают сетевой трафик только из источников и портов, заданных в группе безопасности экземпляра. Поэтому необходимо настроить правила для групп безопасности, соответствующие типам операций, которые вы будете выполнять с экземплярами Amazon. В данном разделе дается описание некоторых наиболее часто используемых настроек групп безопасности, которые можно настраивать для различных развертываний ArcGIS.
По умолчанию группы безопасности полностью заблокированы. Добавляя в группу безопасности новые правила, вы укажете тип разрешенного трафика, допустимые для этого трафика порты, а также компьютеры, с которых будут разрешены коммуникации. Порты, которые вы откроете, и тип трафика, который вам требуется разрешить, будут зависеть от того, какие действия вы будете выполнять с данным экземпляром.
Ниже предложены имена группы безопасности и правила, которые вы можете настроить для экземпляра, используя консоль управления Amazon Web Services (AWS) Management Console. Разрешенные порты и протоколы могут отличаться в зависимости от IT политики в вашей организации. Ниже предложены наиболее употребительные номера портов. Если в вашей организации есть IT-специалист, проконсультируйтесь с ним по поводу разработки наиболее подходящей стратегии безопасности для ваших экземпляров.
Экземпляры разработки
Подумайте о том, чтобы создать группу безопасности специально для экземпляров EC2 или VPC, которые будут использоваться для целей развертывания и тестирования. Такой тип группы разрешил бы следующие доступы:
- Доступ RDP через порт 3389 для вашего IP адреса или диапазона разрешенных IP адресов в пределах вашей организации (только Microsoft Windows).
Это позволит вам администрировать свой экземпляр через Windows Remote Desktop. Вы должны использовать обозначения Classless Inter-Domain Routing (CIDR) для указания диапазона IP адресов (или одного IP адреса), которым разрешено подключение. Например, 0.0.0.0/0 разрешает подключение каждому, а 92.23.32.51/32 разрешает подключение только определенному IP адресу. Проверьте у своего системного администратора, не требуется ли вам помощь в приобретении внешнего IP адреса для вашего компьютера.
- Доступ TCP через порт 22 для вашего IP адреса или диапазона разрешенных IP адресов в пределах вашей организации (только Linux).
Открытие порта 22 позволит вам работать с экземплярами Linux через SSH.
- Доступ TCP через порт 6080 или 6443 для каждого (если не используете Elastic Load Balancer) или для группы безопасности Elastic Load Balancer (если используете Elastic Load Balancer).
Порт 6080 используется для соединений по HTTP, а 6443 - по HTTPS с сайтами ArcGIS Server. Если перед вашим сайтом нет Elastic Load Balancer, то вам необходимо открыть порт 6080 или 6443 каждому, кто будет пользоваться вашими веб-сервисами ArcGIS Server. Если вы используете Elastic Load Balancer, то вам необходимо открыть порт 6080 или 6443 для группы безопасности Elastic Load Balancer (которую можно увидеть с помощью AWS Management Console и которая чаще всего имеет значение amazon-elb/amazon-elb-sg).
- Доступ с других компьютеров в этой группе.
Это требуется для компьютеров ArcGIS Server сайта и для компонентов портала ArcGIS Enterprise для связи между собой. Это также облегчает обмен файлами.
Экземпляры рабочей версии
Когда ваше приложение прошло стадии разработки и тестирования и готово к внедрению в производство, удаленный доступ рабочего стола рекомендуется отключить. Если возникнет какая-либо проблема и вам потребуется войти в компьютер, то вы сможете временно открыть себе доступ, изменив настройки группы безопасности. Группа ArcGIS Production разрешает следующие доступ:
- Доступ TCP через порт 6443 для диапазона IP-адресов (если не используется Elastic Load Balancer) или для группы безопасности Elastic Load Balancer (если используется Elastic Load Balancer).
- Доступ TCP через порт 7443 для диапазона IP-адресов.
- Доступ с других компьютеров в этой группе.
Защищенные экземпляры рабочей версии
Если вы захотите установить защищенное (зашифрованное) соединение со своим компьютером, то потребуется настройка на вашем сайте Elastic Load Balancer, который получает трафик через порт 443, т.е. порт, который используется для защищенных соединений через SSL. Затем настройте балансировщик нагрузки для направления трафика в порт 6443 для многокомпьютерных сайтов ArcGIS Server и в порт 7443 для порталов ArcGIS Enterprise. В группе безопасности откройте вышеуказанные порты для ArcGIS Production.
Часто используемые порты
Ниже приведены наиболее часто используемые порты, с которыми вам придется работать при создании групп безопасности. Некоторые из этих портов не потребуется на самом деле открывать; вместо этого вы можете принять решение предоставить полный взаимный доступ для компьютеров вашей группы безопасности. Если вы хотите разрешить доступ компьютерам, не участвующим в ваших группах безопасности (например, вашей офисной рабочей станции), то для этого вам придется открывать определенные номера портов.
| Порт | Общая цель |
|---|---|
22 | Подключения через SSH |
80 | Доступ по HTTP к веб-серверу IIS или к балансировке нагрузки |
443 | Доступ по HTTPS к веб-серверу IIS или к балансировке нагрузки |
445 | Файловое хранилище Windows |
3389 | Подключения через Windows Remote Desktop |
6080 | Доступ HTTP к ArcGIS Server |
6443 | Доступ HTTPS к ArcGIS Server |
7443 | Доступ HTTPS к Portal for ArcGIS |
2443 | Коммуникации ArcGIS Data Store* *Внешние клиенты не имеют прямого доступа к ArcGIS Data Store; подключения проходят через сайт ArcGIS Server, для которого создано хранилище данных. |
Windows Firewall включен на каждом экземпляре Windows, запущенным с помощью Esri Amazon Machine Image. Если вы установите стороннее приложение, которому требуются порты, отличные от перечисленных выше, необходимо убедиться, что Windows Firewall позволяет использовать эти порты.
Сведения о дополнительных портах, используемых компонентами ArcGIS Enterprise, см. на следующих страницах: