通过基础 ArcGIS Enterprise 部署,可以使用两个选项来添加 ArcGIS GeoEvent Server 以配置基础 ArcGIS GeoEvent Server 部署 - 您可以在单机上安装包括 GeoEvent Server 在内的所有软件组件,也可以在第二台计算机上安装用于实时事件处理的组件。
管理员可以使用以下部署清单来检查与多机部署相关的特定可配置元素。 在这种模式下,基础 ArcGIS Enterprise 部署和基础 GeoEvent Server 部署均部署在单独的计算机上。 在清单中介绍了管理员在部署软件组件时必须查看的一些最佳做法和常用设置。
下面提供的信息使用特定于 Windows 环境的信息和实用程序。 在 Linux 上进行部署时将需要类似的实用程序,Linux 管理员熟悉这些实用程序。
入门
必须安装基础 ArcGIS Enterprise 部署的软件组件。 必须创建并配置 ArcGIS Enterprise 门户站点,以使主管理员可以登录到门户的管理 API。 必须创建此部署的 ArcGIS Server 站点,并且您必须能够登录到服务器的管理 API。 此时,允许 ArcGIS Server 尚未配置为 Enterprise 门户的托管服务器,或尚未与 Enterprise 门户联合。 此清单将在创建和配置 SSL 证书、检查软件许可和配置托管服务器的地理数据库之后,解决执行该操作所需的步骤。
必须在第二台计算机上安装基础 ArcGIS GeoEvent Server 部署的软件组件。 必须创建此部署的 ArcGIS Server 站点,并且您必须能够登录到服务器的管理 API。 在使用托管地理数据库对其进行配置之前,不能使用该服务器发布要素服务,您稍后将进行此操作。 如果 ArcGIS GeoEvent Gateway 和 ArcGIS GeoEvent Server 服务正在运行,请将其停止,这样 GeoEvent Server 启动时将查询其关联的 ArcGIS Server 实例并发现您将在以下步骤中配置的 SSL 安全证书配置。
为 ArcGIS Enterprise 计算机创建域证书
基础 ArcGIS Enterprise 部署的 Portal for ArcGIS 和 ArcGIS Server 组件均必须已配置 SSL 证书,以使应用程序能够信任来自服务器计算机和 Web 服务应用程序的响应。 请勿使用作为默认值包含在内的自签名证书。
登录到 ArcGIS Enterprise 计算机。 在 Windows 上,搜索管理计算机证书,然后打开 Microsoft 管理控制台。 使用该应用程序创建新的域证书。 建议您使用由网络管理员建立的 Active Directory 注册策略创建证书。
您创建的证书必须同时指定通用名称和主题备选 DNS 名称。 在指定证书参数时,建议您使用服务器计算机的完全限定名称(同时指定主机名和域后缀)。 证书的应用程序策略必须为 ArcGIS Enterprise 计算机提供服务器身份验证和客户端身份验证。
成功注册域证书后,将证书同时导出为 PFX 证书文件和 CER 证书文件。 您稍后将使用它们来配置 ArcGIS Enterprise 软件组件。 PFX 证书文件必须包含计算机的私钥,以及证书路径中的所有证书,以使其可用作 Web 服务器的证书。 CER 证书文件不得包含计算机的私钥,也不必包含整个证书路径,因为它将用作中间证书以在域中的计算机之间建立信任。
为 GeoEvent Server 计算机创建域证书
登录到 GeoEvent Server 计算机,使用 Microsoft 管理控制台应用程序来创建新的域证书,以对该第二台计算机进行身份验证。 请勿使用作为默认值包含在内的自签名证书对 ArcGIS Server 或 GeoEvent Server 组件进行身份验证。 与以前一样,创建的证书必须指定计算机的完全限定名称作为证书的通用名称和主题备选 DNS 名称。 成功注册第二个域证书后,您必须导出证书文件,以供以后对两台计算机上所安装的 ArcGIS Enterprise 软件组件进行配置时使用。
导出 PFX 证书文件和 CER 证书文件。 与以前一样,PFX 证书文件必须包含计算机的私钥,以及证书路径中的所有证书,以使其可用作 Web 服务器的证书。 CER 证书文件不得包含计算机的私钥,也不必包含整个证书路径,因为它将仅用于在 ArcGIS Enterprise 和 GeoEvent Server 计算机之间建立信任。
将每台服务器计算机的 SSL 证书绑定到 HTTPS
在 Windows 上,使用 Internet 信息服务 (IIS) 管理器应用程序编辑默认网站的证书绑定。
注:
如果 IIS 应用程序不可用,请使用 ArcGIS Web Adaptor 安装向导为 Web 服务器角色配置先决条件。 此时不需要完成 ArcGIS Web Adaptor 的安装和配置;您只需要授予安装程序权限即可为服务器计算机配置 Web 服务器角色。
接下来,添加或编辑现有的 HTTPS 协议,然后选择您为此服务器创建并注册的域证书。 对于系统架构中的两台服务器计算机,您将需要执行该操作两次,一次是在 ArcGIS Enterprise 计算机上,另一次是在 GeoEvent Server 计算机上。
在 ArcGIS Enterprise 计算机上配置 Web 服务器 SSL 证书
在 ArcGIS Enterprise 计算机上登录到 ArcGIS Enterprise 门户的管理 API。
- 使用管理 API 将 ArcGIS Enterprise 计算机的 PFX 证书文件和 GeoEvent Server 计算机的 CER 证书文件导入 Portal for ArcGIS 组件。 单击首页 > 安全性 > SSLCertificates,然后单击导入现有服务器证书以导入 ArcGIS Enterprise 计算机的 PFX 证书文件。
- 接下来,选择导入根证书或中间证书以导入 GeoEvent Server 计算机的 CER 证书文件。 在导入证书时,建议使用每台计算机的完全限定名称作为证书的别名,以避免对于哪个证书对哪台计算机进行身份验证产生混淆。
- 导入两个证书文件后,更新 Enterprise 门户的证书配置,以将 Web 服务器 SSL 证书从其默认值(例如,门户)更改为您分配给 ArcGIS Enterprise 服务器的 PFX 证书的别名。 Enterprise 门户将重新启动,这可能需要花费几分钟时间。
接下来,仍在 ArcGIS Enterprise 计算机上,登录到 ArcGIS Server 管理 API。
- 使用 ArcGIS Server 管理 API 重复上述步骤,以将刚添加到 Enterprise 门户中的相同证书文件导入 ArcGIS Server 组件。 确保在 ArcGIS Enterprise 计算机上执行此操作。
- 与以前一样,使用导入现有服务器证书选项导入 ArcGIS Enterprise 计算机的 PFX。 使用导入根证书或中间证书选项导入 GeoEvent Server 计算机的 CER。
- 导入两个证书文件后,编辑 ArcGIS Server 计算机的证书配置,以将 Web 服务器 SSL 证书从其默认值(例如,selfsignedcertificate)更改为您分配给 ArcGIS Enterprise 服务器的 PFX 证书的别名。 ArcGIS Server 组件将重新启动,这可能需要花费几分钟时间。
最后,注销 ArcGIS Enterprise 管理 API,清除浏览器的缓存,然后打开一个新的浏览器窗口。
- 现在,您可以加载 Enterprise 门户内容管理器和 ArcGIS Server Manager,并且 Web 浏览器不会指示它无法建立对两个 Web 应用程序的信任。
- 您可以单击 Web 浏览器上的锁定按钮,确认连接是安全的,并查看用于验证服务器 Web 应用程序的证书的详细信息。
- 所要使用的证书必须是 PFX 文件,而该文件应具有服务器的私钥和完整的证书路径,以使其可以在您的企业域中用作 Web 服务器的证书。
在 GeoEvent Server 计算机上配置 Web 服务器 SSL 证书
在 GeoEvent Server 计算机上登录到 ArcGIS Server 管理 API。
- 使用管理 API 将 GeoEvent Server 计算机的 PFX 证书文件和 ArcGIS Enterprise 计算机的 CER 证书文件导入 ArcGIS Server 组件。 使用导入现有服务器证书选项来导入 GeoEvent Server 计算机的 PFX 证书文件。 使用导入根证书或中间证书选项来导入 ArcGIS Enterprise 计算机的 CER 证书文件。
- 导入两个证书文件后,编辑 ArcGIS Server 证书配置,以将 Web 服务器 SSL 证书从其默认值(例如,selfsignedcertificate)更改为您分配给 GeoEvent Server 计算机的 PFX 证书的别名。 保存对 Web 服务器证书配置的编辑后,ArcGIS Server 组件将重新启动。
- 在 ArcGIS Server 服务重新启动后,重新启动 ArcGIS GeoEvent Gateway 和 ArcGIS GeoEvent Server 服务。 这对于允许 GeoEvent Server 发现并应用对与其相关联的 ArcGIS Server 计算机的安全配置所做的更改非常必要。 建议您先重新启动 ArcGIS GeoEvent Gateway 并待其达到运行状态后,再重新启动 ArcGIS GeoEvent Server 服务。 重新启动这些服务可能需要花费几分钟时间。
最后,注销 ArcGIS Server 管理 API,清除浏览器的缓存,然后打开一个新的浏览器窗口。 在 GeoEvent Server 计算机上启动 Server Manager,并可以看到 Web 浏览器信任 Web 应用程序。 如果您在 Web 浏览器中单击锁定按钮,则可以确认连接是安全的,并可以查看证书的详细信息。 验证用于对 Web 应用程序进行身份验证的证书是 GeoEvent Server 计算机的 PFX。
已导入至 GeoEvent Server 计算机上 ArcGIS Server 的 ArcGIS Enterprise 计算机的 CER 证书文件可以在 GeoEvent Server 和从 ArcGIS Enterprise 计算机返回的响应之间建立信任,了解这一点非常重要。 在 Web 浏览器中,这可能不会立即显现出来,但是这对于后端上的服务器操作至关重要。 GeoEvent Server 需要信任 Enterprise 门户的托管服务器、Enterprise 门户或注册到 Enterprise 门户托管服务器的时空大数据存储。 必须信任 GeoEvent Server 对在另一台计算机上运行的组件提出的请求做出的响应,GeoEvent Server 才能正常工作。
在 GeoEvent Server 计算机上配置 ArcGIS Data Store
在使用 ArcGIS GeoEvent Manager 在 GeoEvent Server 计算机上发布要素服务之前,非联合的 ArcGIS Server 必须将关系数据存储配置为自己的托管地理数据库。
在 GeoEvent Server 计算机上的 Web 浏览器中打开 https://machine-name.domain:2443/arcgis/datastore。 Web 浏览器可能会再次警告您 Data Store 安装后向导不受信任;忽略并继续打开安装向导。 提供凭据以允许安装后向导访问 ArcGIS Server 管理 API,然后配置或验证关系数据存储类型是否已配置并已注册到 GeoEvent Server 计算机的 ArcGIS Server。 您还可以登录到该计算机上的 Server Manager,并在查看服务器的数据存储时验证关系数据库是否已列出,以及数据库连接是否有效。
注:
不要求将运行 GeoEvent Server 的 ArcGIS Server 与 Enterprise 门户联合。 可以与 Esri 技术顾问讨论 GeoEvent Server 部署联合的优缺点。
配置 ArcGIS Enterprise 托管服务器
在 Web 浏览器中,登录到 Enterprise 门户的内容管理器,然后单击设置。 单击服务器,然后将安装在 ArcGIS Enterprise 计算机上的 GIS 服务器添加为联合服务器。 您必须已经将 ArcGIS Web Adaptor 配置为充当服务器 Web 适配器,以便能够提供服务 URL 和管理 URL。 添加 GIS 服务器后,对其进行验证,然后将该服务器指定为 Enterprise 门户的托管服务器。
确认 ArcGIS Enterprise 托管服务器的角色和许可
在 ArcGIS Enterprise 计算机上的 GIS 服务器已联合并配置为 Enterprise 门户托管服务器后,使用 Enterprise 门户管理员凭据登录到 Server Manager。 您可以通过为托管服务器配置的 Web 适配器登录(通常位于 https://machine-name.domain/server/manager),并验证管理服务页面上是否列出了 SampleWorldCities 地图服务。 ArcGIS Pro 必须被指定为示例服务的创作应用程序。 这表明该服务器的角色是支持 Enterprise 门户作为托管服务器的 GIS 服务器。
必须使用标准版或高级版许可将 ArcGIS Enterprise 计算机上的 ArcGIS Server 组件许可为 GIS Server。 单击站点 > 软件授权,然后验证 ArcGIS GIS Server Standard 或 ArcGIS GIS Server Advanced 是否被列为服务器的角色。 这表示您可以使用 ArcGIS Pro 等应用程序将新的托管要素图层发布到此 GIS 服务器。
确认 GeoEvent Server 计算机上的 ArcGIS Server 角色和许可
部署在 GeoEvent Server 计算机上的 ArcGIS Server 必须被许可为 GeoEvent Server。 使用 ArcGIS Server 站点管理员的凭据登录到 GeoEvent Server 计算机上的 Server Manager。 请记住,此 ArcGIS Server 不与 Enterprise 门户联合,因此您不会在登录到 GeoEvent Server 计算机的 Server Manager 时使用 Enterprise 门户管理员凭据。 假设已使用 GeoEvent Server 许可为此 ArcGIS Server 配置了许可,Server Manager 中的管理服务页面将不会列出 SampleWorldCities 地图服务。 仅当 ArcGIS Server 被许可为 GIS Server 角色时,示例服务才会显示。
单击站点 > 软件授权,并验证 ArcGIS GeoEvent Server 是否列在服务器角色下方。 如果这是列出的唯一服务器角色,则该服务器的角色不是 GIS Server。
注:
如果 ArcGIS Server 仅具有 GeoEvent Server 许可角色的许可,您将无法在此服务器上发布任意类型的服务。 为了能够从任意客户端发布服务(包括 GeoEvent Manager),ArcGIS Server 必须具有 GIS Server 许可角色的许可。
注:
每个 ArcGIS Server 实例维护自己的托管企业级地理数据库的部署具有优点和缺点。 例如,您可以采用一些策略,例如,将 GeoEvent Server 所使用的要素服务保留在此服务器上,而在 Enterprise 门户的托管服务器上将支持 ArcGIS Enterprise 托管要素图层的要素服务分开保留。 此类策略可用于将实时要素服务与那些支持 Web 地图和仪表盘的要素服务(具有使用更传统的要素编辑工作流编辑的相对静态数据)明确区分开来。 您可以与 Esri 技术顾问讨论适用于组织的最佳选项。
登录到 GeoEvent Server 计算机上的 GeoEvent Manager
之前,在 GeoEvent Server 计算机上完成了 Web 服务器 SSL 证书配置后,您就有机会重新启动 ArcGIS GeoEvent Gateway 和 ArcGIS GeoEvent Server 服务。 GeoEvent Server 在启动时已找到在其下运行的服务器组件所使用的证书,并将它们合并到自己的证书存储中。 默认情况下,通过采用服务器的证书 GeoEvent Server,将信任来自其关联的 ArcGIS Server 的响应。
打开 GeoEvent Manager 计算机上的 Web 浏览器并启动 GeoEvent Server(通常位于 https://machine-name.domain:6143/geoevent/manager)。 Web 浏览器必须指示连接是安全的。 如果单击 Web 浏览器中的锁定按钮,则可以选择查看将用于验证服务器 Web 应用程序的证书的详细信息,并核实它是否与 Server Manager 所使用的证书相同,即证书具有 GeoEvent Server 计算机私钥及使其可在企业域中用作 Web 服务器证书的完整证书路径。
延长 ArcGIS Server 短期令牌的超时时间
运行 GeoEvent Server 的 ArcGIS Server 实例未与 Enterprise 门户联合。 这意味着您将不会从单点登录中受益(在单点登录中,可自动更新您继续使用 GeoEvent Manager 的授权)。 当您使用 ArcGIS Server 管理员凭据登录到 GeoEvent Manager 时,系统将为您的会话分配一个短期令牌。 该令牌过期后,系统将提示您重新登录到 GeoEvent Manager。
为了防止经常遇到更新您的登录的问题,您可以更改 ArcGIS Server 短期令牌的到期时间。 登录到 Server Manager,然后单击安全性 > 设置。 单击以编辑短期令牌的使用期限值,将其默认的 60 分钟改为比 1440 分钟更长的值。 这将延长短期令牌的使用期限,因此您不必频繁登录到 GeoEvent Manager。
配置 GeoEvent Server 默认服务器连接以包括凭据
每个 GeoEvent Server 配置均包括一个默认服务器连接。 此注册的服务器连接在 GeoEvent Manager 中称为数据存储。
在 GeoEvent Manager 中,单击站点 > GeoEvent > 数据存储,然后验证默认服务器连接是否有效。 这表示可以访问服务器的 ArcGIS REST 服务目录,并且可以发现公开可用的服务。
注:
在非联合部署中,默认服务器连接将是与正在运行 GeoEvent Server 的本地 ArcGIS Server 的 ArcGIS Server 类型连接。 如果您选择将 GeoEvent Server 计算机的 ArcGIS Server 与 Enterprise 门户联合,则 GeoEvent Server 计算机的默认服务器连接将更改为 ArcGIS Enterprise 类型连接,并将需要凭据进行验证。
这是非联合配置,因此默认服务器连接不需要凭据进行验证。 但是,最佳做法是始终使用管理用户的凭据配置服务器连接,以便您可以使用默认服务器连接来执行管理任务,例如发布要素服务。
单击以编辑默认服务器连接,然后选中复选框以使用凭据。 提供您希望 GeoEvent Server 发现和使用其要素服务的管理用户的用户名和密码。
有关使用 ArcGIS Server 主站点管理员 (PSA) 凭据的注意事项
默认服务器连接可以在非联合部署中使用 ArcGIS Server 主站点管理员 (PSA) 凭据。 这是最简单的选项,也是站点管理员经常选择的选项。 缺点是,每次 GeoEvent Server 搜寻 ArcGIS REST 服务目录时,它都会发现并查询管理用户可以访问的每个地图和要素服务。 如果发布了大量 Web 服务,则为发现每个服务的所有图层和图层属性而进行的查询可能会花费大量时间。
建议您通过指定 ArcGIS Server 管理用户使其拥有尽可能少的地图和要素服务,并使用此用户的凭据配置默认服务器连接,从而限制 GeoEvent Server 部署可以使用的 Web 服务的数量。 这样可以确保快速发现服务并且最大程度地减少 GeoEvent Server 的运行中断。 导入 GeoEvent 定义、从要素图层导入地理围栏、配置输入以轮询要素服务并获取要素记录,或使用处理器来丰富事件记录(具有包含在要素图层中的记录)等任务,均使用默认服务器连接并需要尽快完成其服务发现。
设置 GeoEvent Server 默认服务器连接的发现率
在 GeoEvent Server 中,可以根据您的要求设置默认服务器连接执行服务发现的频率。 将发现率设置为较小值,以确保 GeoEvent Server 了解现有的 Web 服务通常会适得其反。 它会强制 GeoEvent Server 频繁返回 ArcGIS REST 服务目录,并在刷新所有已知地图和要素服务的信息缓存时对目录执行完全爬网。 这会花费时间并消耗系统资源(例如 CPU 和网络),而这些资源可以更好地分配给数据的实时获取、改编、处理和传播。 可以说,甚至频繁的发现率(例如 5 分钟)也不够快,尤其在您刚刚发布了新要素并且想要立即使用它的情况下。
或者,考虑将注册到 GeoEvent Server 的服务器连接的发现率设置为一个更大的值,例如 1440 分钟,以便每天只对服务目录进行一次完全爬网。 每当重新启动 ArcGIS GeoEvent Server 服务时,服务缓存也将刷新。 您也可以通过在 GeoEvent Manager 中单击站点 > GeoEvent > 数据存储来强制服务器连接刷新其缓存。