Skip To Content

Развертывание на одном компьютере с использованием обратного прокси-сервера

Обратный прокси-сервер выступает в качестве посредника для запросов клиентов, ищущих ресурсы на вашем сайте ArcGIS Server, добавляя дополнительные функции безопасности для развертывания сайта.

ArcGIS Web Adaptor - это программный компонент, который можно настроить на часто используемых серверах веб-приложений. Либо вы можете выбрать использование обратных прокси веб-серверов сторонних разработчиков.

ArcGIS Web Adaptor или обратный прокси-сервер другого разработчика, как правило, настраиваются на отдельном веб-сервере, хотя их можно установить вместе с ArcGIS Server.

Для клиентских приложений нет разницы между прямым доступом к ГИС-серверам и работой через прокси. В качестве администратора ArcGIS Server, вы можете выбрать использование обратного прокси-сервера по следующим причинам:

Сайт с одним компьютером и обратным прокси-сервером, установленном на выделенном веб-сервере
Сайт с одним компьютером и обратным прокси-сервером стороннего разработчика на отдельном веб-сервере

Доступ к ГИС-сервисами через стандартные порты

Если обратный прокси-сервер не используется, клиенты подключаются к ArcGIS Server напрямую через https://gisserver.domain.com:6443, если вы настроили HTTPS. Вы не можете поменять порты, используемые по умолчанию в ArcGIS Server. Если вы хотите, чтобы клиентские приложения использовали стандартный порт 443, требуется настроить доступ с обратным прокси и прямых клиентов через них. К примеру, можно настроить обратный прокси на http://proxy.domain.com/arcgis или на http://proxy.domain.com/myGIS.

Вынесение ArcGIS Server за брандмауэр организации

Если вы собираетесь делать общедоступными свои сервисы и приложения в Интернете, рекомендуется использовать настройку обратного прокси-сервера для выноса ArcGIS Server за брандмауэр организации. В такой конфигурации входящие запросы из Интернета проходят через брандмауэр, который блокирует все порты, кроме 443. Обратный прокси веб-сервер получает входящий запрос, передает его к ArcGIS Server через другой брандмауэр по порту 6443 и посылает ответ обратно клиенту. На следующей диаграмме показано, как обратный прокси-сервер будет работать во внешней сети, помогая вам взаимодействовать со своей безопасной сетью.

Подключение существующего обратного прокси к

Для изучения вопросов интеграции обратного прокси-сервера с ArcGIS Server см. раздел Использование обратного прокси-сервера с ArcGIS Server.

Блокировка административного доступа к своему сайту

Для блокировки определенных ресурсов вашего сайта вы можете воспользоваться обратным прокси-сервером. Например, можно настроить прокси на блокировку доступа к ArcGIS Server Manager и ArcGIS Server Administrator Directory. Это может быть полезным, в частности, при размещении сервисов ArcGIS Server в Интернете.

При использовании ArcGIS Web Adaptor, отключите административный доступ к своему сайту, выполнив инструкции из раздела Настройка Web Adaptor после установки. При использовании обратного прокси-сервера стороннего разработчика, обратитесь к его документации, чтобы блокировать доступ для всех запросов, которые пытаются подключиться к ArcGIS Server Manager (proxy.domain.com/arcgis/manager/) или ArcGIS Server Administrator Directory (proxy.domain.com/arcgis/admin/).

В то время как административный доступ через обратный прокси будет блокирован, он будет по-прежнему работать в случае прямого подключения к ArcGIS Server через используемый по умолчанию порт 6443. Для контроля доступа к портам следует использовать брандмауэры.

Использование возможностей собственного веб-сервера

Веб-серверы поддерживают много возможностей, которые вы сможете выгодно использовать при развертывании ArcGIS Server. Публикуя свои ГИС-сервисы через ваш обратный прокси-сервер, вы можете воспользоваться ведением журнала, кэшированием и настройками безопасности своего веб-сервера.

  • Аутентификация веб-уровня: По умолчанию, ArcGIS Server использует аутентификацию на основе токенов (часто называемую аутентификацией на основе токенов ArcGIS или аутентификацией ГИС-уровня). Либо вы можете настроить аутентификацию веб-уровня в ArcGIS Server. Этот способ позволит ArcGIS Server передать аутентификацию вашему веб-серверу. К примеру, можно использовать простую HTTP-аутентификацию, аутентификацию сертификатами клиентов и другие стандартные методы аутентификации. Если вам требуется аутентификация веб-уровня, используйте ArcGIS Web Adaptor. Аутентификация веб-уровня недоступна при работе через обратный прокси-сервер стороннего разработчика.
  • Ведение журнала: журналы ArcGIS Server содержат информацию о сервисах ArcGIS Server, например, сведения о вызванной операции, о времени выполнения запросов ArcGIS Server, а также о предупреждениях и ошибках вашего ArcGIS Server. Вы можете дополнить эту информацию данными журналов веб-сервера, содержащими детали, которые могут отсутствовать в журналах ArcGIS Server, например, IP-адрес, с которого были сделаны запросы, агент пользователя, источник ссылки и т.д.
  • Другие возможности: большинство веб-серверов позволяют управлять запросами и ответами на них. Например, вы можете активировать правила фильтрации входящих запросов, блокировать доступ с конкретных IP-адресов или доменных имен и т.д.

Краткая информация

ArcGIS Web Adaptor или обратный прокси-сервер стороннего разработчика – отличное дополнение к развертываниям ArcGIS Server на одном компьютере. Оба обеспечивают дополнительные возможности обеспечения безопасности. Настоятельно рекомендуем вам использовать один из указанных выше вариантов для работы с ГИС-сервисами в Интернете, а также, в ряде случаев, и для развертываний в интранете – в зависимости от требований безопасности.

Преимущества

Недостатки

  • Использование обратного прокси-сервера может усложнить запросы к сервисам вашего ArcGIS Server. Особенно это проявляется при использовании аутентификации веб-уровня для больших и сложных специфических для организации хранилищ идентификации.
  • Не слишком доступны. ArcGIS Server и обратный прокси-сервер будут источниками отказа, если хотя бы один из них перейдет в автономный режим. Для получения подробной информации см. раздел об Развертывании высокой доступности с одним компьютером (active-passive).