常见安全组配置
在本主题中
Amazon 弹性计算云 (EC2) 实例仅允许来自其安全组中定义的来源和端口的网络流量。使用 Amazon EC2 时,您需要建立若干个与将对 EC2 实例执行的操作类型相对应的安全组。本主题描述了用于配置不同 ArcGIS Server 部署的一些常见安全组。
默认情况下,安全组处于完全锁定状态。通过向安全组中添加规则,可指定允许的流量类型、允许其通过的端口,以及从中接收通信的源计算机。决定打开的端口和需要允许的流量类型取决于您对实例执行的操作。
以下是建议的安全组名称和规则,您可在 AWS 管理控制台中对其进行配置。根据组织的 IT 策略,允许的端口和协议会有所不同。以下建议使用的是最常见的端口号。如果您的组织中有 IT 专家,请考虑咨询他(她)以设计和制定 EC2 实例的最佳安全策略。
ArcGIS Server 开发
考虑专为正用于开发和测试的 EC2 实例创建安全组。此类型的组允许以下访问:
- RDP 通过 3389 端口访问您的 IP 地址或者您组织内一系列已批准的 IP 地址(仅限于 Windows)。这样便可通过 Windows 远程桌面管理您的 EC2 实例。您必须使用无类域间路由 (CIDR) 记法来指定可建立连接的多个 IP 地址(或一个 IP 地址)。例如,0.0.0.0/0 允许所有人连接,而 92.23.32.51/32 仅允许一个特定 IP 地址进行连接。如需获取本地计算机的面向外部的 IP 地址,请联系系统管理员。
- TCP 通过 22 端口访问您的 IP 地址或您的组织内一系列已批准的 IP 地址(仅限于 Linux)。打开端口 22 使您能够通过 SSH 使用 Linux 实例。
- TCP 通过 6080 端口可访问任何人(如未使用弹性负载均衡器)或弹性负载均衡器的安全组(如使用弹性负载均衡器)。端口 6080 用于与 ArcGIS Server 进行通信。如果未将弹性负载均衡器置于您的站点之前,则需要为将使用 ArcGIS Server Web 服务的任何人开放 6080 端口。如果正在使用弹性负载均衡器,则需要为弹性负载均衡器的安全组(可通过 AWS 管理控制台找到,并且最可能是一个值,如 amazon-elb/amazon-elb-sg)开放 6080 端口。
- 从该组中的其他计算机进行访问。需要执行此操作以使 GIS 服务器计算机能够互相进行通信。同时便于共享文件。可通过选择所有 ICMP 规则类型添加规则以允许此类访问,在来源对话框中输入安全组 ID(例如,sg-xxxxxxxx),并单击添加规则,从而添加允许这种访问类型的规则。当使用此方法时,该组中的计算机会通过所有端口和协议互相进行通信。
ArcGIS Server Production
开发和测试应用程序后,在其迁移到生产层之前,最好禁用远程桌面访问。如果出现问题导致需登录计算机,您可临时更改安全组配置以便访问。ArcGIS Server 生产组允许以下访问:
- TCP 通过 6080 端口可访问任何人(如未使用弹性负载均衡器)或弹性负载均衡器安全组(如使用弹性负载均衡器)
- 从该组中的其他计算机进行访问
ArcGIS Server 生产安全
如果需要与计算机进行加密通信,应在站点上配置一个通过端口 443 接收流量的弹性负载均衡器。该端口通常用于通过 SSL 进行加密通信。然后,配置该负载均衡器以将流量转发到端口 6443。在安全组中,为 ArcGIS Server 生产打开上述端口。
企业级地理数据库
如果选择将企业级地理数据库部署在一个与 ArcGIS Server 实例相隔离的实例上,您可专为该企业级地理数据库配置安全组以允许以下操作:
- TCP 通过端口 22 (Linux) 访问您的 IP 地址或您组织内已批准的一系列 IP 地址您至少需要与计算机进行一次远程连接以更改 PostgreSQL 的默认密码。然后,如有必要,可从安全组删除此远程访问规则。
- RDP 通过端口 3389 (Windows) 访问如果要与 SQL Server 或 SQL Server Express 实例进行远程连接,可添加此规则(例如,添加用户或附加地理数据库),并在完成时将其删除。
- 从 ArcGIS server 安全组中的计算机进行访问这可使运行 ArcGIS for Server 的实例能够查看企业级地理数据库实例。如果计算机不包含在连接地理数据库所需的安全组中,则需显式打开端口 5432 以与 PostgreSQL 进行通信。
常用端口
以下是创建安全组时可能用到的一些最常见的端口。其中有些端口无需显式打开,而是您可以决定授予安全组中的计算机相互访问的完整权限。如果希望允许来自安全组以外的计算机(例如,办公中的台式工作站)的访问,则需要打开特定端口号。
端口 | 常见用途 |
---|---|
80 | 通过 HTTP 访问 IS Web 服务器或负载均衡器 |
443 | 通过 HTTPS 访问 IIS Web 服务器或负载均衡器 |
445 | Windows 文件共享 |
1433 | 连接 Microsoft SQL Server |
3389 | 连接 Windows 远程桌面 |
5432 | 连接 PostgreSQL |
6080 | 通过 HTTP 访问 ArcGIS Server |
6443 | 通过 HTTPS 访问 ArcGIS Server |
任何使用 Esri 提供的 AMI 启动的实例均启用了 Windows 防火墙,包括使用云构建器构建的站点。如果安装需使用上表未列出的端口的第三方应用程序,请将 Windows 防火墙配置为允许使用该端口。