Экземпляры Amazon Elastic Compute Cloud (EC2) и Amazon Virtual Private Cloud (VPC) разрешают сетевой трафик только из источников и портов, заданных в группе безопасности экземпляра. Поэтому вы должны настроить правила для групп безопасности, соответствующие тому, как вы будете использовать свои экземпляры. На этой странице описаны несколько общих параметров группы безопасности, которые вы можете настроить для различных развертываний ArcGIS.
По умолчанию группы безопасности полностью заблокированы. Вы можете добавить правила в группу безопасности, чтобы указать тип разрешенного трафика, разрешенные порты и компьютеры, с которых принимается связь. Открываемые вами порты и тип трафика, который вы разрешаете, зависят от того, что вы делаете с экземпляром.
Ниже предложены имена группы безопасности и правила, которые вы можете настроить для экземпляра, используя консоль управления Amazon Web Services (AWS) Management Console. Разрешенные порты и протоколы зависят от политик вашей организации в области информационных технологий (ИТ). Ниже предложены наиболее употребительные номера портов. Если в вашей организации есть ИТ-специалист, проконсультируйтесь с ним, чтобы разработать наилучшую стратегию безопасности для ваших экземпляров.
Экземпляры разработки
Подумайте о том, чтобы создать группу безопасности специально для экземпляров EC2 или VPC, которые будут использоваться для целей развертывания и тестирования. Такой тип группы разрешил бы следующие доступы:
- Доступ RDP через порт 3389 для вашего IP адреса или диапазона разрешенных IP адресов в пределах вашей организации (только Microsoft Windows).
Это позволит вам администрировать свой экземпляр через Windows Remote Desktop. Вы должны использовать обозначения Classless Inter-Domain Routing (CIDR) для указания диапазона IP адресов (или одного IP адреса), которым разрешено подключение. Например, 0.0.0.0/0 разрешает подключение каждому, а 92.23.32.51/32 разрешает подключение только определенному IP адресу. Проверьте у своего системного администратора, не требуется ли вам помощь в приобретении внешнего IP адреса для вашего компьютера.
- Доступ TCP через порт 22 для вашего IP адреса или диапазона разрешенных IP адресов в пределах вашей организации (только Linux).
Открытие порта 22 позволит вам работать с экземплярами Linux через SSH.
- Доступ TCP через порт 6080 или 6443 для каждого (если не используете Elastic Load Balancer) или для группы безопасности Elastic Load Balancer (если используете Elastic Load Balancer).
Порт 6080 используется для соединений по HTTP, а 6443 - по HTTPS с сайтами ArcGIS Server. Если перед вашим сайтом нет Elastic Load Balancer, то вам необходимо открыть порт 6080 или 6443 каждому, кто будет пользоваться вашими веб-сервисами ArcGIS Server. Если вы используете Elastic Load Balancer, то вам необходимо открыть порт 6080 или 6443 для группы безопасности Elastic Load Balancer (которую можно увидеть с помощью AWS Management Console и которая чаще всего имеет значение amazon-elb/amazon-elb-sg).
- Доступ с других компьютеров в этой группе.
Это требуется для компьютеров ArcGIS Server сайта и для компонентов портала ArcGIS Enterprise для связи между собой. Это также облегчает обмен файлами.
Экземпляры рабочей версии
Когда ваше приложение прошло стадии разработки и тестирования и готово к внедрению в производство, удаленный доступ рабочего стола рекомендуется отключить. Если возникнет какая-либо проблема и вам потребуется войти в компьютер, то вы сможете временно открыть себе доступ, изменив настройки группы безопасности. Группа ArcGIS Production разрешает следующие доступ:
- Доступ TCP через порт 6443 для диапазона IP-адресов (если не используется Elastic Load Balancer) или для группы безопасности Elastic Load Balancer (если используется Elastic Load Balancer).
- Доступ TCP через порт 7443 для диапазона IP-адресов.
- Доступ с других компьютеров в этой группе.
Защищенные экземпляры рабочей версии
Чтобы требовать зашифрованной связи с вашим компьютером, вы должны настроить Elastic Load Balancer на своем сайте для получения трафика через порт 443, который обычно используется для зашифрованной связи через SSL. Затем настройте балансировщик нагрузки для направления трафика в порт 6443 для многокомпьютерных сайтов ArcGIS Server и в порт 7443 для порталов ArcGIS Enterprise. В группе безопасности откройте вышеуказанные порты для ArcGIS Production.
Часто используемые порты
Ниже приведены наиболее часто используемые порты, с которыми вам придется работать при создании групп безопасности. Некоторые из этих портов не потребуется на самом деле открывать; скорее, вы можете предоставить машинам в вашей группе безопасности полный доступ друг к другу. Чтобы разрешить доступ с компьютеров, не входящих в ваши группы безопасности (например, с вашей настольной рабочей станции в офисе), вы должны открыть определенные номера портов.
| Порт | Общая цель |
|---|---|
22 | Подключения через SSH |
80 | Доступ по HTTP к веб-серверу IIS или к балансировщику нагрузки |
443 | Доступ по HTTPS к веб-серверу IIS или к балансировщику нагрузки |
445 | Файловое хранилище Windows |
3389 | Подключения через Windows Remote Desktop |
6080 | Доступ по HTTP к ArcGIS Server |
6443 | Доступ по HTTP к ArcGIS Server |
7443 | Доступ по HTTP к Portal for ArcGIS |
2443 | Коммуникация с ArcGIS Data Store* *Внешние клиенты не имеют прямого доступа к ArcGIS Data Store; подключения проходят через сайт ArcGIS Server, для которого создано хранилище данных. |
Брандмауэр Windows включен на любом экземпляре Windows, который вы запускаете с помощью инструментов развертывания ArcGIS Enterprise on Amazon Web Services. Если вы установите стороннее приложение, которому требуются порты, отличные от перечисленных выше, необходимо убедиться, что Windows Firewall позволяет использовать эти порты.
Ссылки на информацию о портах для каждого компонента ArcGIS Enterprise см. в Системных требованиях ArcGIS Enterprise.