反向代理服务器充当寻求 ArcGIS Server 站点资源并将额外的安全功能添加到站点部署的客户端请求中介。
ArcGIS Web Adaptor 是一个软件组件,您可以在大多数常见 web 应用程序服务器中对其进行配置。或者,您可以选择利用其他第三方反向代理 web 服务器。
ArcGIS Web Adaptor 或第三方反向代理服务器通常在单独的 web 服务器计算机上进行配置,尽管也可以通过 ArcGIS Server 将其定位于同一点。
对于客户端应用程序而言,直接访问 GIS 服务和通过代理进行访问没有差别。但是,作为 ArcGIS Server 管理员,您可能会出于以下的一个或多个原因使用反向代理服务器:
通过标准端口访问 GIS 服务
如果不使用反向代理服务器,则客户端将通过 https://gisserver.domain.com:6443 直接连接到 ArcGIS Server(如果已配置 HTTPS)。您无法更改 ArcGIS Server 使用的默认端口。如果希望客户端应用程序使用对应的标准端口 443,则需要配置反向代理和直接客户端以访问服务。例如,您可以在 http://proxy.domain.com/arcgis 或 http://proxy.domain.com/myGIS 配置反向代理。
在组织的防火墙后面隔离 ArcGIS Server
如果希望服务和应用程序在 Internet 公开可用,则建议使用反向代理 web 服务器配置在组织的防火墙后面隔离 ArcGIS Server。在该配置中,从 Internet 接收的请求将通过冻结所有端口(除 443 之外)的防火墙。您的反向代理 web 服务器收到请求,使用端口 6443 将其通过其他防火墙传递至 ArcGIS Server,然后将响应发送回客户端。下图显示反向代理服务器如何位于外围网络中帮助您控制安全的内部网络访问。
要了解如何将反向代理服务器集成到 ArcGIS Server,请参阅将反向代理服务器与 ArcGIS Server 结合使用。
冻结对站点的管理权限
反向代理服务器可用于冻结对站点中特定资源的访问权限。例如,可配置反向代理以冻结对 ArcGIS Server Manager 和 ArcGIS Server 管理员目录的访问权限。这是一种很好的做法,尤其是在为 Internet 提供 ArcGIS Server 服务的情况下。
使用 ArcGIS Web Adaptor 时,根据安装后配置 Web Adaptor 中的说明禁用对站点的管理权限。 如果要使用第三方反向代理服务器,则参阅其特定文档以冻结对所有尝试访问 ArcGIS Server Manager (proxy.domain.com/arcgis/manager/) 或 ArcGIS Server 管理员目录 (proxy.domain.com/arcgis/admin/) 的请求的访问权限。
尽管通过反向代理访问站点时将冻结管理权限,但通过其默认端口 (6443) 直接访问 ArcGIS Server 时,仍然可以使用管理权限。应适当使用防火墙来控制可在何处访问这些端口。
在您自己的 web 服务器中使用功能
Web 服务器的很多功能都可能要用作 ArcGIS Server 部署的一部分。通过反向代理服务器共享 GIS 服务,使您可以使用 web 服务器的登录、缓存和安全功能。
- Web 层身份验证: 默认情况下,ArcGIS Server 使用基于令牌的身份验证(通常称为 ArcGIS 基于令牌或 GIS 层身份验证)。或者,您可以选择配置包含 web 层身份验证的 ArcGIS Server。通过该方法可使 ArcGIS Server 将身份验证委托给您自己的 web 服务器。例如,您可以使用 HTTP basic、使用客户端证书的身份验证以及其他标准身份验证方法。 如果需要 web 层身份验证,则必须使用 ArcGIS Web Adaptor。通过第三方反向代理 web 服务器无法使用 Web 层身份验证。
- 记录:ArcGIS Server 日志包含 ArcGIS Server 服务的特定信息,例如调用了哪种操作、ArcGIS Server 调用的执行时间以及在 ArcGIS Server 中触发的警告和错误。可通过 web 服务器中的日志来补充该信息,这些日志可提供 ArcGIS Server 日志中不存在的详细信息,例如发出请求的 IP 地址、用户代理、引用网址等等。
- 其他功能: 大多数 web 服务器均可提供用于严格控制请求和响应的选项。例如,可将过滤规则应用于收到的请求、冻结特定 IP 地址或域名的访问权限等等。
汇总
ArcGIS Web Adaptor 或第三方反向代理服务器是对 ArcGIS Server 单机部署的良好补充。两者皆提供附加安全功能。如果计划为 Internet 提供 GIS 服务,则强烈建议使用上述的其中一种,根据安全要求,甚至对于 intranet 部署也有必要使用。
优点
- 通过额外的安全级别来补充单机部署。
缺点
- 使用反向代理服务器有可能增加 ArcGIS Server 服务请求的开销。针对大型且复杂 (嵌套组或联合组) 的企业标识存储使用 web 层身份验证时尤其如此。
- 不具备高可用性; 如果 ArcGIS Server 计算机和反向代理服务器中的任何一个离线,则其就是单点故障。有关详细信息,请参阅单机高可用性 (主动 - 被动) 部署。