Если вы планируете интегрировать свой сайт ArcGIS Server с порталом ArcGIS Enterprise, помните, что после этого способ администрирования сайта ArcGIS Server изменится. Основные отличия администрирования интегрированного сервера указаны ниже.
Отличия в системе безопасности
При интеграции сайта ArcGIS Server с порталом хранилище безопасности портала полностью управляет доступом к серверу. Это влияет на то, как будет выполняться доступ и администрирование интегрированного сервера.
Пользователи, роли и права доступа
При интеграции все пользователи, роли и права, которые вы заранее настроили для ArcGIS Server, больше не используются. Доступ к сервисам теперь определяется участниками, ролями и правами доступа, настроенными на портале.
Так же, как и в ArcGIS Server, в портале имеются уровни прав доступа пользователя, издателя и администратора. В портале также имеется роль обозревателя, у которой имеются очень ограниченные права доступа. На портале дополнительно есть пользовательская роль, рассматриваемая интегрированным сервером как роль пользователя. Следует настроить и проверить эти разрешения на портале, прежде чем открыть интегрированный сервер конечным пользователям.
Во время интеграции, существующие веб-сервисы ArcGIS Server автоматически создаются на портале в виде элементов. Эти элементы принадлежат администратору, который выполняет интеграцию. После интеграции принадлежность может быть переопределена между существующими пользователями портала как необходимо. Любые элементы или сервисы, добавленные на портал после интеграции, принадлежат исключительно создавшему их участнику.
При интеграции возможность изоляции доступа к серверу исключается. Например, любой пользователь, который является участником встроенной роли издателя, может публиковать данные на любом интегрированном сервере. Однако вы можете обновить настройки параметров безопасности интегрированного сервера, запретив административный и издательский доступ. Подробнее см. ниже, в разделе Детальное управление доступом к интегрированным серверам.
Роль обозревателя
Участники, которым назначена эта роль, могут подключаться и использовать сервисы ArcGIS Server. При подключении обозревателя к интегрированному серверу он сможете просмотреть и использовать все сервисы, доступные для него или группы, участником которой он является. Обозреватели видят настроенный веб-сайт портала, могут использовать карты, приложения, слои и инструменты; а также присоединяться к группам организации. У обозревателей нет прав доступа для создания, публикации или владения элементами.
Роль пользователя
Участники, которым назначена эта роль, могут подключаться и использовать сервисы ArcGIS Server. При подключении к интегрированному серверу в качестве пользователя, любой сервис, доступный для пользователя или группы, в которую он входит, может быть просмотрен и использован. Пользователи видят настроенный веб-сайт портала, могут использовать карты, приложения, слои и инструменты организации, могут присоединяться у группам, входящим в организацию. Пользователи также могут создавать карты и приложения, добавлять элементы, предоставлять общий доступ к ресурсам и создавать группы.
Роль издателя
Издатели могут только удалять и изменять сервисы, которые они сами создали на портале. Они не могут изменять или удалять сервисы других издателей. Однако издатели обладают правами пользователей и могут использовать любые слои, которые для них публикуют другие издатели.
Любой пользователь с правами издателя может публиковать данные на любом интегрированном сервере. Сервисы, опубликованные на интегрированных серверах, автоматически добавляются на портал в качестве элементов. Сервисы, опубликованные непосредственно на портале, отображаются на портале как элементы, и как сервисы на хост-сервере.
Роль администратора
Администраторы имеют все права пользователя и издателя, и доступ ко всем сервисам, размещенным на интегрированном сервере. Администраторы также имеют права для управления порталом и всеми его участниками. На портале должен быть по крайней мере один администратор. Однако ограничений на количество администраторов в организации нет. Например, если на портале зарегистрировано пять пользователей, то все они могут быть администраторами.
Пользовательская роль
Пользовательские роли включают определенный набор прав, заданный администратором. Например, участники с пользовательской ролью могут создавать ресурсы, но не могут создавать группы; они могут публиковать объекты, но не листы. Чтобы разрешить участникам публиковать сервисы на интегрированном сайте ArcGIS Server, этой роли необходимо присвоить общее право ресурса Публикация серверных слоев.
Если пользовательская роль создана с любыми административными правами доступа, ArcGIS Server предоставляет участникам с этой ролью ограниченные административные права. Сюда входят права на публикацию любых типов сервисов непосредственно на ArcGIS Server и возможность просмотра и доступа ко всем сервисам. Перед созданием пользовательской роли для любых участников, включающей административные права, подумайте о рисках, связанных с нарушением безопасности.
Детальное управление доступом к интегрированным серверам
Вы можете обновить интегрированный сервер, запретив административный и издательский доступ. После этого все администраторы портала по прежнему будут обладать на сервере административными правами. Участники портала с правами издателя по умолчанию не получают издательский доступ к серверу. Вместо этого, издательский доступ к серверу управляется группой [имя интегрированного сервера]_Publishers или элементом [имя интегрированного сервера]_Publishers.
Примечание:
Имена групп и элементов по умолчанию изменять нельзя.
Чтобы получить издательский доступ к серверу, участник портала должен быть либо участником группы [имя интегрированного сервера]_Publishers, либо участником группы, для которой открыт доступ к элементу [имя интегрированного сервера]_Publishers. Таким же образом, дополнительный административный доступ к серверу управляется группой [имя интегрированного сервера]_Administrators или элементом [имя интегрированного сервера]_Administrators. Чтобы получить административный доступ к серверу, участник портала должен быть либо участником этой группы, либо участником группы, у которой открыт доступ к этому элементу.
Детальное управление доступом настраивается в ArcGIS Portal Directory. После интеграции сервера с порталом, выполните следующие шаги, чтобы обновить сервер, включив это управление.
- Войдите в ArcGIS Portal Directory как участник портала с правами администратора.
URL-адрес Portal Directory выглядит так: https://portal.domain.com/arcgis/portaladmin.
- Перейдите к Интеграция > Серверы и щелкните на сервере, который вы хотите настроить.
- Щелкните Обновить.
- В ниспадающем меню Роль сервера выберите Интегрированный сервер с запретом публикации.
- Щелкните Обновить сервер.
Вы увидите группы [имя интегрированного сервера]_Administrators и [имя интегрированного сервера]_Publishers, а также соответствующие элементы на странице Мои ресурсы. Они будут принадлежать участнику портала, обновившему сервер.
Подключитесь к Server Manager
Вы можете подключиться к ArcGIS Server Manager только если ваша учетная запись на портале сопоставлена с ролью администратора или издателя. Вы не сможете войти в Server Manager используя учетную запись, для которой была определена роль пользователя или обозревателя. Вы также не сможете войти, используя учетную запись основного администратора с сайта. Когда вы подключаетесь, следует всегда использовать URL-адрес HTTPS и указывать полное доменное имя сервера:
- Если вы подключаетесь непосредственно к ArcGIS Server, URL-адрес имеет формат https://gisserver.domain.com:6443/arcgis/manager. Если сайт содержит несколько компьютеров, это может быть URL компьютера, указанный в ходе интегрирования сайта как Административный URL.
- Если вы подключаетесь через ArcGIS Web Adaptor, вы должны убедиться, что на ArcGIS Web Adaptorвключен административный доступ. URL-адрес для подключения имеет формат https://webadaptorhost.domain.com/webadaptorname/manager.
Если портал настроен с использованием встроенного хранилища идентификаций или протокола Lightweight Directory Access Protocol (LDAP), вам потребуется ввести имя пользователя и пароль вашей учетной записи на портале.
Изменение ярлыка Server Manager на рабочем столе
ArcGIS Server задает ярлык на рабочем столе для ArcGIS Server Manager. По умолчанию URL-адрес ярлыка имеет формат http://localhost:6080/arcgis/manager, что соответствует действующему пути, до тех пор, пока сервер не будет интегрирован с порталом ArcGIS Enterprise. Как уже упоминалось в предыдущем разделе, интегрированный сервер доступен по URL-адресу формата https://gisserver.domain.com:6443/arcgis/manager; это значит, что при использовании ярлыка с URL-адресом по умолчанию будет выведено сообщение об ошибке Invalid redirect_uri. Для обновления пути для ярлыка быстрого доступа к интегрированному серверу выполните следующие шаги:
- Найдите файл ярлыка быстрого доступа в папке <ArcGIS Server installation directory>/Support/Shortcuts.
- Откройте файл быстрого доступа в ArcGIS Server Manager в текстовом редакторе.
В файле должен содержаться следующий текст, хотя в выбранном вами браузере он может быть несколько другим:
[Desktop Entry] Comment=ArcGIS Server Manager Encoding=UTF-8 Exec=firefox localhost:6080/arcgis/manager Icon=web-browser Name=ArcGIS Server Manager Terminal=false Type=Application Keywords=arcgis;esri;
- Измените URL в строке Exec на следующий формат – https://gisserver.domain.com:6443/arcgis/manager.
- Сохраните изменения и выйдите из программы.
Теперь ярлык быстрого доступа будет открывать ArcGIS Server Manager с обновленным URL.
Подключение к серверу в ArcGIS Pro
Когда вы подключаетесь к порталу в ArcGIS Pro, вы можете выбрать интегрированный сервер при публикации. См. Управление подключениями к порталу из ArcGIS Pro и Введение в публикацию веб-слоёв в Справке ArcGIS Pro.
Подключение к ArcGIS Server Administrator Directory и Services Directory
При подключении к ArcGIS Server Administrator Directory может потребоваться указать токен портала. На странице входа имеются инструкции по получению этого токена. Дополнительную информацию см. в разделе Доступ к Administrator Directory на интегрированном сервере. Или вы можете войти, используя учетную запись основного администратора сайта сервера, если вы подключаетесь через порт 6080 или 6443.
При подключении к ArcGIS Server Services Directory вам не потребуется указывать токен портала. Вход на портал с использованием учетных данных администратора портала. Вы не сможете войти, используя учетную запись основного администратора сайта.
Поведение хост-сервера портала
Когда вы назначаете интегрированный сайт ArcGIS GIS Server в качестве хост-сервера портала, вы предоставляете издателям возможность создавать листы кэша карты, сервисы объектов и сервисы сцен (слои листов, слои объектов и слои сцен). Эти пользователи могут не иметь продуктов ArcGIS на их компьютерах; они могут просто публиковать сервисы, загружая шейп-файл или файл .csv на веб-сайт портала. Однако возможность публикации через ArcGIS Pro все еще сохраняется.
Сервисы, публикуемые непосредственно на портале, станут размещенными сервисами, и они помещаются в папке ArcGIS Server с названием Hosted на хост-сервере. Таким образом, вы можете видеть, какие сервисы являются хост-сервисами, а какие – нет.
Если вы удаляете элемент размещенного слоя на портале, сервис также удаляется с хост-сервера. Аналогично, если вы удалите элемент, который ссылается на сервис на интегрированном сервере, удаление элемента с портала приведет к удалению сервиса. Это работает для сервисов, опубликованных на интегрированном сервере и размещенных сервисов, опубликованных непосредственно на портале.
В следующей таблице приведен список поддерживаемых размещенных сервисов и их типов элементов:
Тип сервиса ArcGIS Server | Тип элемента портала |
---|---|
Кэшированный картографический сервис | |
Кешированный картографический сервис с сервисом пространственных объектов | |
Сервис объектов | |
Сервис изображений* | |
Сервис сцены | |
WFS сервис | |
Сервис векторных листов | |
Сервис Граф знаний** | Граф знаний |
*Сервис изображений, на основе которого работает размещенный слой изображений, запускается на сервере анализа растров или хост-сервере изображений портала, а не на хост-сервере портала.
**Сервис графа знаний, на который ссылается размещенный граф знаний, выполняется на сервере знаний портала, а не на хост-сервере портала.
При просмотре и редактировании свойств размещенных сервисов в Server Manager будет доступен только ограниченный набор возможностей и доступных операций ArcGIS Server. Например, некоторые сервисы не будут отображать информацию об количестве экземпляров в галерее сервисов или на вкладке Слияние сервисов в Server Manager.
Серверу необходимо достаточно свободного пространства, соответствующие ЦПУ и объем памяти, чтобы обеспечить нормальную работу размещенных сервисов. Проинструктируйте своих издателей, чтобы они понимали, как сервисы влияют на ресурсы на хост-сервере, и отслеживали показатели на компьютерах хост-сервера, чтобы избежать превышения емкости.
Рекомендации по использованию слоев листов и кэшированию
Слои карт представляют собой особый случай с точки зрения вычислительной мощности, потребляемой при решении одной большой задачи кэширования или нескольких более мелких задач. Публикуя кэшированный слой листов в крупном масштабе для большой области без разбора, один неопытный издатель может загрузить сервер таким большим объемом кэширования, что надолго займет все ресурсы портала.
Вы можете уменьшить влияние задач кэширования, если запустите сервис CachingTools в отдельном кластере ArcGIS Server, обособленно от других сервисов. Если это невозможно, можно уменьшить число экземпляров сервиса CachingTools, которые разрешается запускать одновременно, что позволит высвободить ЦПУ для обслуживания других сервисов.
Также можно ограничить число одновременно работающих заданий кэширования, уменьшив максимальное число экземпляров, разрешенных для сервиса CachingControllers. По умолчанию одновременно могут выполняться три задания.
Подробнее о распределении ресурсов сервера при кэшировании см. в разделе Распределение ресурсов сервера для кэширования.
Отмена интеграции сервера на портале
Внимание:
Вы можете отменить интеграцию сайта ArcGIS Server на портале, чтобы позволить им работать независимо. Однако отмена интеграции сайта ArcGIS Server имеет несколько значимых последствий, она не должна выполняться как часть обычного процесса устранения проблем. Отменить ее не просто, и она может иметь необратимые последствия. При удалении хост-сервера с портала ArcGIS Enterprise все существующие размещенные веб-слои перестанут работать. При добавлении хост-сервера обратно на портал размещенные сервисы не вернутся автоматически в рабочее состояние. Отменяйте интеграцию сервера, только если вы четко понимаете последствия.
Только сайты, которые заполняют ограниченное число ролей, могут работать как автономные сайты ArcGIS Server. Например, сайты ArcGIS GeoAnalytics Server и сайты ArcGIS Knowledge Server не могут функционировать как автономные сайты, и отмена их интеграции делает их непригодными для использования.
Для отмены интеграции необходимо выполнить следующие шаги:
- Удалите сервисы.
Если сервисы находятся на хост-сервере, вы должны удалить их. Если сервисы находятся на интегрированном сервере, который может действовать как автономный сайт ArcGIS Server, вы можете пропустить этот шаг.
- Если интегрированный сервер, который вы хотите удалить, не является хост-сервером, и сервисы, которые были опубликованы на этом интегрированном сервере, больше не нужны, вы можете войти в ArcGIS Server Manager как администратор и удалить эти сервисы.
- Если этот интегрированный сервер является хост-сервером, то произведите вход в веб-сайт портала и удалите размещенные веб-слои, которые были опубликованы на портале.
- Удалите сайт ArcGIS Server с портала; это произведет восстановление хранилища настроек безопасности ArcGIS Server до стандартных настроек, а также удалит все элементы портала, которые были созданы на основе сервисов интегрируемого сервера.
- Настройте систему безопасности ArcGIS Server для использования нужных хранилищ пользователей и ролей.