Экземпляры Amazon Elastic Compute Cloud (EC2) и Amazon Virtual Private Cloud (VPC) разрешают сетевой трафик только из источников и портов, заданных в группе безопасности экземпляра. Поэтому необходимо настроить правила для групп безопасности, соответствующие типам операций, которые вы будете выполнять с экземплярами Amazon.
Ниже предложены имена группы безопасности и правила, которые вы можете настроить для экземпляра, используя консоль управления Amazon Web Services (AWS) Management Console. Разрешенные порты и протоколы могут отличаться в зависимости от IT политики в вашей организации. Если в вашей организации есть IT-специалист, проконсультируйтесь с ним по поводу разработки наиболее подходящей стратегии безопасности для ваших экземпляров.
Подумайте о том, чтобы создать группу безопасности специально для экземпляров EC2 или VPC, которые будут использоваться для целей развертывания и тестирования. Такой тип группы разрешил бы следующие доступы:
-
Это позволит вам администрировать свой экземпляр через Windows Remote Desktop. Вы должны использовать обозначения Classless Inter-Domain Routing (CIDR) для указания диапазона IP адресов (или одного IP адреса), которым разрешено подключение.
-
Открытие порта 22 позволит вам работать с экземплярами Linux через SSH.
- Доступ TCP через порт 6080 или 6443 для каждого (если не используете Elastic Load Balancer) или для группы безопасности Elastic Load Balancer (если используете Elastic Load Balancer).
Порт 6080 используется для соединений по HTTP, а 6443 - по HTTPS с сайтами ArcGIS Server. Если перед вашим сайтом нет Elastic Load Balancer, то вам необходимо открыть порт 6080 или 6443 каждому, кто будет пользоваться вашими веб-сервисами ArcGIS Server. Если вы используете Elastic Load Balancer, то вам необходимо открыть порт 6080 или 6443 для группы безопасности Elastic Load Balancer (которую можно увидеть с помощью AWS Management Console и которая чаще всего имеет значение amazon-elb/amazon-elb-sg).
- Доступ с других компьютеров в этой группе.
Группа ArcGIS Production разрешает следующие доступ:
Если вы хотите разрешить доступ компьютерам, не участвующим в ваших группах безопасности (например, вашей офисной рабочей станции), то для этого вам придется открывать определенные номера портов.
| Подключения через SSH |
80 | Доступ по HTTP к веб-серверу IIS или к балансировке нагрузки |
443 | Доступ по HTTPS к веб-серверу IIS или к балансировке нагрузки |
445 |
|
|
|
|
|
6443 | Доступ по HTTP к ArcGIS Server |
7443 |
|
2443 |
|
Windows Firewall включен на каждом экземпляре Windows, запущенным с помощью Esri Amazon Machine Image. Если вы установите стороннее приложение, которому требуются порты, отличные от перечисленных выше, необходимо убедиться, что Windows Firewall позволяет использовать эти порты.
Сведения о дополнительных портах, используемых компонентами ArcGIS Enterprise, см. на следующих страницах: