Skip To Content

常见安全组配置

Amazon Elastic Compute Cloud (EC2)Amazon Virtual Private Cloud (VPC) 实例仅允许来自其安全组中定义的来源和端口的网络流量。因此,您需要为与将对 Amazon 实例执行的操作类型相对应的安全组配置规则。本主题描述了用于配置不同 ArcGIS 部署的一些常见安全组设置。

默认情况下,安全组处于完全锁定状态。通过向安全组中添加规则,可指定允许的流量类型、允许其通过的端口,以及从中接收通信的源计算机。决定打开的端口和需要允许的流量类型取决于您对实例执行的操作。

以下是建议的安全组名称和规则,您可在 Amazon Web Services (AWS) Management Console 中针对实例进行配置。根据组织的信息技术 (IT) 策略,允许的端口和协议会有所不同。以下建议使用的是最常见的端口号。如果您的组织中有 IT 专家,请咨询他(她)以设计和制定实例的最佳安全策略。

开发实例

考虑专为用于开发和测试的 EC2VPC 实例创建安全组。此类型的组允许以下访问:

  • 远程桌面协议 (RDP) 通过 3389 端口访问您的 IP 地址或者您组织内一系列已批准的 IP 地址(仅限于 Microsoft Windows)。

    这样便可通过 Windows 远程桌面管理您的实例。您必须使用无类域间路由 (CIDR) 记法来指定可建立连接的多个 IP 地址(或一个 IP 地址)。例如,0.0.0.0/0 允许所有人连接,而 92.23.32.51/32 仅允许一个特定 IP 地址进行连接。如果需要帮助以获取本地计算机的对外 IP 地址,请联系您的系统管理员。

  • TCP 通过 22 端口访问您的 IP 地址或者您组织内一系列已批准的 IP 地址(仅限于 Linux)。

    您可以打开端口 22,以通过 SSH 使用 Linux 实例。

  • TCP 可通过 6080 或 6443 端口访问任何人(如未使用弹性负载均衡器)或弹性负载均衡器安全组(如使用弹性负载均衡器)。

    端口 6080 和 6443 分别用于与 ArcGIS Server 站点的 HTTP 和 HTTPS 通信。如果未将弹性负载均衡器置于您的站点之前,则需要为将使用开发 ArcGIS Server Web 服务的任何人开放 6080 或 6443 端口。如果正在使用弹性负载均衡器,则需要为弹性负载均衡器的安全组(可通过 AWS Management Console 找到,并且最可能是一个值,如 amazon-elb/amazon-elb-sg)开放 6080 或 6443 端口。

  • 从该组中的其他计算机进行访问。

    这是站点中的 ArcGIS Server 计算机相互通信以及 ArcGIS Enterprise 门户的组件相互通信的必需操作。同时便于共享文件。

生产实例

开发和测试应用程序后,在其迁移到生产层之前,最好禁用远程桌面访问。如果出现问题导致需登录计算机,您可临时更改安全组配置以便访问。ArcGIS 生产组允许以下访问:

  • TCP 可通过 6443 端口访问一系列 IP 地址(如未使用弹性负载均衡器)或弹性负载均衡器安全组(如使用弹性负载均衡器)
  • TCP 可通过 7443 端口访问一系列 IP 地址。
  • 从该组中的其他计算机进行访问。

安全生产实例

如果需要与计算机进行加密通信,应在站点上配置一个通过端口 443 接收流量的弹性负载均衡器。该端口通常用于通过 SSL 进行加密通信。然后配置负载均衡器,以将流量转发到端口 6443(适用于多机 ArcGIS Server 站点)或端口 7443(适用于 ArcGIS Enterprise 门户)。在安全组中,为 ArcGIS 生产打开上述端口。

常用端口

以下是创建安全组时可能用到的一些最常见的端口。其中有些端口无需显式打开,而是您可以决定授予安全组中的计算机相互访问的完整权限。如果希望允许来自安全组以外的计算机(例如,办公中的台式工作站)的访问,则需要打开特定端口号。

端口常见用途

22

通过 SSH 连接

80

通过 HTTP 访问 IIS Web 服务器或负载均衡器

443

通过 HTTPS 访问 IIS Web 服务器或负载均衡器

445

Windows 文件共享

3389

通过 Windows 远程桌面连接

6080

通过 HTTP 访问 ArcGIS Server

6443

通过 HTTPS 访问 ArcGIS Server

7443

通过 HTTPS 访问 Portal for ArcGIS

2443

ArcGIS Data Store 通信*

*外部客户端无法直接访问 ArcGIS Data Store;可通过为其创建数据存储的 ArcGIS Server 站点进行连接。

任何使用 Esri Amazon Machine Image 启动的 Windows 实例均启用了 Windows 防火墙。如果安装的第三方应用程序需使用上表未列出的端口,请将 Windows 防火墙配置为允许使用该端口。

有关 ArcGIS Enterprise 组件使用的其他端口的信息,请参阅以下页面: