Skip To Content

高可用性 ArcGIS Enterprise 的部署案例

您在组织中使用的身份验证方法以及是否允许从防火墙外部对其进行访问将有助于您确定高可用性 ArcGIS Enterprise 的部署方式。

以下内容适用于本主题中描述的所有方案:

  • 门户计算机(Portal1 和 Portal2)将内容存储在同一目录中,该目录已放置在高可用性文件服务器上。
  • 托管服务器站点中的 GIS Server 计算机(HostingServer1 和 HostingServer2)将共享相同的服务器目录和配置存储,这些服务器目录和配置存储已放置在高可用性文件服务器上。
  • 由主机 (DataStore1) 和备用计算机 (DataStore2) 组成的高可用性关系数据存储已注册到托管服务器上。 ArcGIS Data Store 具有内置故障转移机制,因此,如果主机出现故障,备用关系数据存储将成为主数据存储计算机。 数据存储将对 ArcGIS Server 计算机注册站点的条件进行检查,因此您可以通过 ArcGIS Server 计算机的 URL 来配置数据存储。
  • Portal for ArcGISArcGIS Server 启用 HTTPS 和 HTTP。 如果对所有组件禁用 HTTP,则可以从示例中删除 HTTP 端口(80、6080 和 7080)。 管理 URL 需要 HTTPS 通信。
  • 对于涉及负载均衡器的架构,已配置运行状况检查以确定后端目标的可用性并使用循环算法平衡流量。 虽然图中示例使用了托管 loadbalancer.example.cominternalloadbalancer.example.com,不过可以将其替换为通过内部或外部 DNS 服务器分配给任一组件的 DNS 别名。

以下部分介绍了客户端门户通信和身份验证协议的差异。 有关高可用性部署中使用的 URL 的更多信息,请参阅高可用性 ArcGIS Enterprise

内置用户和客户端可通过端口 80 和 443 访问门户

在这种情况下,门户身份验证将使用内置用户,且客户端(显示在图的顶部)与门户之间的所有通信都将在防火墙内进行。

使用内置用户身份验证且没有公共访问门户权限的高可用性部署

在示例中,客户端使用负载均衡器通过组织 URL(在本例中为 https://loadbalancer.example.com/portal/home/)访问组织,且可通过 https://loadbalancer.example.com/server/rest/services 访问 ArcGIS Server 站点的 REST 目录。 高可用性门户(两台 Portal for ArcGIS 计算机,Portal1 和 Portal2)通过联合期间定义的管理 URL (https://loadbalancer.example.com/server/admin) 与其高可用性托管服务器站点进行通信。 托管服务器站点(HostingServer1 和 HostingServer2)中的计算机使用门户系统属性中定义的 privatePortalURL 通过与客户端 (https://loadbalancer.example.com/portal) 相同的端点与门户通信。 ArcGIS Server 管理员目录 URL 和 privatePortalURL 都通过负载均衡器 (LoadBalancer) 来解决冗余问题。 如果一台 Portal for ArcGIS 计算机出现故障或无法访问,托管服务器仍可与其余计算机保持通信,这是因为负载均衡器会将流量引入到该计算机中。 同样,如果一台托管服务器计算机出现故障或无法访问,则负载均衡器会将流量从 Portal for ArcGIS 计算机引入到其余 ArcGIS Server 计算机中。

对门户具有公开访问权限的内置用户

在这种情况下,门户身份验证将使用内置用户,且至少一些客户端将从防火墙外部访问门户。 应该禁用防火墙外部的管理访问权限。

在防火墙后面通过内置帐户访问的的高可用性门户

客户端要通过防火墙外的负载均衡器 (LoadBalancer) 访问组织和 ArcGIS Server REST 端点,通常是使用分配给 loadbalancer.example.com DNS 别名。 门户通过防火墙内的第二个负载均衡器 (InternalLoadBalancer) 与托管服务器站点通信(https://internalloadbalancer.example.com:6443/arcgis 图中的绿线)。 托管服务器通过 privateportalURL 与门户通信,该 URL 同样会经过 InternalLoadBalancer(https://internalloadbalancer.example.com:7443/arcgis 图中的橙线),因此通信不必通过防火墙。 如果一台门户计算机出现故障,托管服务器仍可与其余门户计算机保持通信,这是因为内部负载均衡器会向其余门户计算机发送请求。 同样,如果一台 GIS Server 计算机出现故障或无法访问,则内部负载均衡器会将流量从门户引入到其余 GIS Server 计算机中。

从防火墙外部的客户端直接访问 GIS Server 站点时也会经过防火墙外部的负载均衡器 (LoadBalancer)(图中的红线)。

通过在防火墙外部的负载均衡器 (LoadBalancer) 上设置规则,可以阻止管理员对 ArcGIS Server 管理员目录和 ArcGIS Server Manager 的访问。

使用内部客户端访问的 IWA 或 LDAP 身份验证

在这种情况下,门户用户使用集成 Windows 身份验证 (IWA) 或轻量级目录访问协议 (LDAP) 身份验证进行身份验证,且所有访问门户的客户端均在防火墙内。

使用 IWA 或 LDAP 身份验证且无法从防火墙外部访问门户的高可用性门户

当不需要对门户进行公开访问,但客户端将使用 IWA 或 LDAP 身份验证对门户进行身份验证时,高可用性门户中的每台计算机都需要一个 Web Adaptor(WebAdaptor1 和 WebAdaptor2)。 负载均衡器 (LoadBalancer) 将流量发送到 Web Adaptor,然后均衡两个门户计算机(Portal1 和 Portal2)之间的请求。 从 ArcGIS Server 计算机到 Portal for ArcGIS 计算机的任何通信都必须通过 Web Adaptor 绕过 Web 层的身份验证质询。 因此,将负载均衡器配置为监听端口 7080 和 7443,并通过私有门户 URL 将流量直接发送到端口 7080 或 7443 上的门户。

由于不需要对门户进行公共访问,因此负载均衡器可用于托管站点的服务 URL 和管理 URL。 privatePortalURL 是 https://internalloadbalancer.example.com:7443/arcgis,托管站点计算机通过此 URL 与门户计算机通信(图中的橙线)。 组织 URL 是 https://loadbalancer.example.com/portal,托管站点的服务和管理 URL 都是 https://loadbalancer.example.com/server

对门户公共访问的 SAML 或 ADFS 身份验证

在此方案中,用户使用安全声明标记语言 (SAML) 或 Active Directory 联合身份验证服务 (ADFS) 进行身份验证,但一些访问组织的客户端位于防火墙之外。 在这种情况下,出于安全考虑,您需要禁用对托管服务器站点的 ArcGIS Server 计算机的管理员访问权限。 以下部分介绍了完成上述操作的两种配置。

注:

可使用 SAML 或 ADFS 身份验证,因为门户认为没有必要配置 web adaptors。 在以下两种场景中,可在门户中使用 ArcGIS Web Adaptor,这不会对配置带来功能上的益处。

使用负载均衡器中设置的规则保护公开访问的门户

使用负载均衡器中设置的规则保护公开访问的门户的示意图

在此方案中,客户端通过防火墙外的负载均衡器 (LoadBalancer) 进行连接(图中红线),均衡器可将流量直接发送到两台门户计算机(Portal1 和 Portal2)的 7443 和 7080 端口以及两台 GIS Server 计算机(HostingServer1 和 HostingServer2)的 6443 和 6080 端口。 负载均衡器中的规则会阻止对 ArcGIS Server 管理员 URL 和 ArcGIS Server Manager URL 的访问。

由于负载均衡器在防火墙外,因此无法通过端口 6080、6443、7080 或 7443 进行通信。 在防火墙内配置另一个负载均衡器 (InternalLoadBalancer) 以启用门户与托管服务器之间的通信。 门户将使用在联合过程中为管理 URL 定义的 URL(图中的绿线)与托管服务器进行通信,而托管服务器将通过私有门户 URL(图中的橙线)与门户进行通信,因此通信无需通过防火墙。 如果其中一台 GIS Server 计算机或门户计算机发生故障,内部负载均衡器可确保冗余。

此方案中的 privatePortalURL 是 https://internalloadbalancer.example.com:7443/arcgis。 联合期间使用的 ArcGIS Server 站点管理 URL 是 https://internalloadbalancer.example.com:6443/arcgis

使用 GIS Server 站点的 Web Adaptor 保护公开访问的门户

使用 SAML 或 ADFS 身份验证和 Web Adaptor 从防火墙外部访问高可用性门户

此方案中,客户端通过防火墙外的负载均衡器 (LoadBalancer) 进行连接(图中的红线),从而将流量直接发送到端口 7443 和 7080上 的两台门户计算机(Portal1 和 Portal2)以及使用 ArcGIS Server 计算机(HostingServer1 和 HostingServer2)配置的两个 Web Adaptor(WebAdaptor1 和 Webadaptor2)。 另一个负载均衡器 (InternalLoadBalancer) 可管理门户计算机与托管服务器站点之间的流量,且当一台 GIS Server 计算机或门户计算机出现故障时可确保冗余。

客户端通过负载均衡器 (LoadBalancer) https://loadbalancer.example.com/portal/home/ 访问门户,从而通过端口 7080 和 7443 将流量发送至两台门户计算机。 由于门户配置了 SAML 或 ADFS 身份验证,因此 SAML 或 ADFS 提供商在其访问门户时对用户进行身份验证。

客户端可以通过防火墙外的负载均衡器 (LoadBalancer) 访问托管服务器站点,该负载均衡器将流量发送到 GIS Server Web Adaptor(WebAdaptor1 和 WebAdaptor2)。 Web Adaptor 通过端口 6080 和 6443 将流量转发到 GIS Server 计算机中。

ArcGIS Server 计算机通过 privatePortalURL(https://internalloadbalancer.example.com:7443/arcgis 图中橙线)与门户通信,因此通信不必通过防火墙。 使用服务 URL https://loadbalancer.example.com/server 将托管服务器站点联合到门户中。 此流量经过两个 Web Adaptor(WebAdaptor1 和 WebAdaptor2),二者可将其配置为阻止管理员对 ArcGIS Server Manager 和 ArcGIS Server 管理员目录的访问。 第二个负载均衡器 (InternalLoadBalancer) 用于在联合期间定义的管理 URL(https://internalloadbalancer.example.com:6443/arcgis 图中的绿线)以提供冗余。