您的门户中使用的身份验证方法以及您是否允许从防火墙外部对其进行访问将影响高可用性 ArcGIS Enterprise 的实施方式。
以下内容适用于本主题中描述的所有方案:
- 门户计算机(图中的 p1 和 p2)将内容存储在同一目录中,该目录已放置在高可用性文件服务器上。
- 托管服务器中的 GIS Server 计算机(s1 和 s2)共享服务器目录和配置存储,这些服务器目录和配置存储已放置在高可用性文件服务器上。
- 由主机 (ds1) 和备用计算机 (ds2) 组成的高可用性关系数据存储已注册到托管服务器上。ArcGIS Data Store 具有内置故障转移机制,因此,如果主机出现故障,备用关系数据存储将成为主数据存储计算机。数据存储将对 GIS Server 计算机注册站点的条件进行检查,因此您可以通过 GIS Server 计算机的 URL 来配置数据存储。
以下部分介绍了客户端/门户通信和身份验证协议的差异。
内置用户,客户端可通过端口 80 和 443 访问门户
在这种情况下,门户身份验证将使用内置用户,且客户端(显示在图的顶部)与门户之间的所有通信都将在防火墙内进行。
在以上示例中,客户端使用 URL https://<lb>.<domain>.com/<context>/home/ 通过负载均衡器访问门户网站,且可通过 https://<lb>.<domain>.com/<context>/rest 访问 ArcGIS Server REST 目录。高可用性门户(两台 Portal for ArcGIS 计算机,p1 和 p2)通过 ArcGIS Server 管理员目录 URL (https://<lb>.<domain>.com/<context>/admin) 与其托管服务器(高可用性 GIS Server 站点)进行通信。托管服务器站点中的计算机(s1 和 s2)通过私有门户 URL (https://<lb>.<domain>.com/<context>) 进行通信。ArcGIS Server 管理员目录 URL 和私有门户 URL 均通过负载均衡器 (lb) 来计算冗余。如果一台 Portal for ArcGIS 计算机出现故障或无法访问,托管服务器仍可与其余门户计算机保持通信,这是因为负载均衡器会将流量引入到其余计算机中。同样,如果一台托管服务器计算机出现故障或无法访问,则负载均衡器会将流量从门户引入到其余 GIS Server 计算机中。
对门户具有公开访问权限的内置用户
在这种情况下,门户身份验证将使用内置用户,且至少一些客户端将通过防火墙访问门户。需要禁用防火墙外部的管理访问权限。
客户端通过防火墙外部的负载均衡器 (lb) 访问门户网站和 ArcGIS Server REST 端点。门户通过 ArcGIS Server 管理员目录 URL 与托管服务器进行通信,该目录 URL(https://<lb2>.<domain>.com:6443/arcgis,图中的绿线)经过防火墙内的第二个负载均衡器 (lb2)。托管服务器通过私有门户 URL 与门户进行通信,该私有门户 URL(https://<lb2>.<domain>.com:7443/arcgis,图中的黄线)也经过 lb2,因此通信无需通过防火墙。如果一台门户计算机出现故障,托管服务器仍可与其余门户计算机保持通信,这是因为 lb2 会向其余门户计算机发送请求。同样,如果一台 GIS Server 计算机出现故障,lb2 会将流量从门户引入到其余 GIS Server 计算机中。
从防火墙外部的客户端直接访问 GIS Server 站点时也会经过防火墙外部的负载均衡器 (lb)。
通过在防火墙外部的负载均衡器 (lb) 上设置规则,可以阻止管理员对 ArcGIS Server 管理员目录和 ArcGIS Server Manager 的访问。
使用内部客户端访问的 IWA 或 LDAP 身份验证
在这种情况下,门户用户使用集成 Windows 身份验证 (IWA) 或轻量级目录访问协议 (LDAP) 身份验证进行身份验证,且所有访问门户的客户端均在防火墙内。
当不需要对门户进行公开访问,但客户端将使用 IWA 或 LDAP 身份验证对门户进行身份验证时,高可用性门户中的每台计算机都需要一个 Web Adaptor(wa1 和 wa2)。负载均衡器 (lb) 将流量发送到 Web Adaptor,然后均衡两个门户计算机(p1 和 p2)之间的请求。从托管服务器到门户的任何通信都必须通过 Web Adaptor 绕过 Web 层的身份验证质询。因此,将负载均衡器配置为监听端口 7080 和 7443,并通过私有门户 URL 将流量直接发送到端口 7080 或 7443 上的门户。
由于不需要对门户进行公开访问,因此负载均衡器可用于公共 URL 以及内部管理员 URL。私有门户 URL 为 https://<lb>.<domain>.com:7443/arcgis。所有其他 URL 均为 https://<lb>.<domain>.com/<context>。
对门户公共访问的 SAML 或 ADFS 身份验证
在这种情况下,门户用户使用安全声明标记语言 (SAML) 或 Active Directory 联合身份验证服务 (ADFS) 进行身份验证,但是访问该门户的某些客户端位于防火墙外部。在这种情况下,您需要禁用对托管服务器的 GIS Server 计算机的管理员访问权限来保护服务。您有两种选择可达到此目的,如下两部分所述。
使用负载均衡器中设置的规则保护公开访问的门户
在这种情况下,客户端通过防火墙外的负载均衡器 (lb) 进行连接(图中的红线),该负载均衡器将流量直接发送到端口 7443 和 7080上 的两台门户计算机(p1 和 p2)以及端口 6443 和 6080 上的两台 GIS Server 计算机(s1 和 s2)。负载均衡器内的规则用于阻止对 ArcGIS Server 管理员目录 URL 和 ArcGIS 门户目录的访问。
由于负载均衡器在防火墙外,因此无法通过端口 6080、6443、7080 或 7443 进行通信。因此,在防火墙内配置另一个负载平衡器 (lb2) 以处理门户与托管服务器之间的通信。门户将使用在联合过程中为管理 URL 定义的 URL(图中的绿线)与托管服务器进行通信,而托管服务器将通过私有门户 URL(图中的黄线)与门户进行通信,因此通信无需通过防火墙。如果一台 GIS Server 计算机或一台门户计算机出现故障,则 Lb2 可确保冗余。
在这种情况下,私有门户 URL 为 https://<lb2>.<domain>.com:7443/arcgis。ArcGIS Server 管理员目录 URL 为 https://<lb2>.<domain>.com:6443/arcgis/admin。
使用 GIS Server 站点的 Web Adaptor 保护公开访问的门户
在这种情况下,客户端通过防火墙外的负载均衡器 (lb) 进行连接(图中的红线),从而将流量直接发送到端口 7443 和 7080上 的两台门户计算机(p1 和 p2)以及使用 GIS Server 计算机(s1 和 s2)配置的两个 Web Adaptor(wa1 和 wa2)。另一个负载均衡器 (lb2) 可处理门户与门户托管服务器之间的流量,且当一台 GIS Server 计算机或一台门户计算机出现故障时可确保冗余。
客户端通过负载均衡器 (lb1) https://<lb1>.<domain>.com/<context>/home/ 访问门户,从而通过端口 7080 和 7443 将流量发送至两台门户计算机。由于门户配置了 SAML 或 ADFS 身份验证,因此 SAML 或 ADFS 提供商在其访问门户时对用户进行身份验证。
客户端可以通过防火墙外的负载均衡器 (lb1) 访问 GIS Server 站点,从而将流量发送至 GIS Server Web Adaptor(wa1 和 wa2)。Web Adaptor 通过端口 6080 和 6443 将流量转发到 GIS Server 计算机中。
GIS Server 站点通过私有门户 URL(https://<lb2>.<domain>.com:7443/arcgis,图中的黄线)与门户进行通信,因此通信无需通过防火墙。使用服务 URL 的 lb 将 GIS Server 站点联合到门户中。此流量经过 Web Adaptor wa1 和 wa2,可将其配置为阻止管理员对 ArcGIS Server Manager 和 ArcGIS Server 管理员目录的访问。第二个负载均衡器 (lb2) 用于 ArcGIS Server 管理员目录访问 ( https://<lb2>.<domain>.com:6443/arcgis) 以提供冗余(图中的绿线)。