Amazon 提供了若干个安全组,使您能够指定可以连接到 EC2 实例的用户。当您使用 Esri 提供的 ArcGIS Server Cloud Builder on Amazon Web Services 或 CloudFormation 模板构建站点时,将为您创建一个安全组并授予 HTTP 访问权限。然而,如果您打算使用远程桌面连接或 SSH 来处理 EC2 实例,就必须添加一些用于允许这些连接类型的规则。
提示:
如果您正在构建站点,且 Cloud Builder 检测到您已拥有名为 arcgis-<site name> 的安全组,则 Cloud Builder 将应用该安全组,而不是创建新的安全组。此行为意味着您有可能在构建站点前就可以创建并配置安全组,如下文所述。
如果要使用 Amazon Web Services (AWS) 管理控制台手动构建站点,则必须自行创建安全组并添加远程桌面和 SSH 规则。此外,为了让用户能够访问您的 Web 服务,还必须添加一个 HTTP 访问规则。最后,需要允许安全组中的所有实例相互访问。下面的步骤描述了此过程。
- 登录 AWS 管理控制台并显示托管您站点的 EC2 区域的页面。
- 在左窗格上,单击安全组。
- 单击要修改的安全组旁边的复选框,然后单击入站选项卡检查允许的连接列表。
- 单击编辑更改允许的入站连接列表。
随即打开编辑入站规则对话框。
- 单击添加规则。
新行会添加到入站规则的底部。
- 如果您正在使用 Windows 实例,请使用下拉列表和文本框以添加 RDP 作为允许的连接。这将开放 3389 端口。您还需要使用无类别域际路由选择 (CIDR) 表示法提供允许建立此连接的一系列 IP 地址。例如,0.0.0.0/0 允许所有人连接(出于安全原因不建议使用),而 92.23.32.51/32 仅允许一个特定 IP 地址进行连接。
- 如果您正在使用 Linux 实例,请使用下拉列表和文本框创建一个新的自定义 TCP 规则,允许通过已认可的一个或一系列 IP 地址访问 22 端口。这就允许您通过 SSH 与实例进行交互。
- 单击添加规则,然后添加端口为 6080 的自定义 TCP 规则作为允许的连接。还可以指定允许建立此连接的一系列 IP 地址。
- 如果要使用加密连接,则单击添加规则并添加端口为 6443 的自定义 TCP 规则作为允许的连接。还可以指定允许建立此连接的一系列 IP 地址。
- 单击添加规则添加一条规则来允许组内所有 EC2 实例具有相互访问的完整权限。为此,请选择所有 ICMP。然后,在源文本框中,输入当前正在编辑的安全组的组 ID(例如,sg-xxxxxxxx)。
如果不知道安全组 ID,则可切换回详细信息选项卡进行查看,但是注意如果您尚未单击保存,则将清除您设置的其他规则。
- 如果您尚未执行此操作,请单击保存。您的规则更改将立即生效。
注:
如果使用 ArcGIS Server Cloud Builder on Amazon Web Services 或 Esri 提供的 CloudFormation 模板构建站点,将自动添加后续三个规则。可单击应用规则更改,随即无需继续其余步骤。
要了解有关安全规则及其调整时间的详细信息,请参阅常见安全组配置。