Mehr

Arcgis Server 10.1: Workflow/Setup für sichere Inhalte?


Wir haben einen Server, der die Ports 80 und 6080 zur Außenwelt offen hat – und wahrscheinlich auch Port 443. Aber Port 6643 – der sichere Standardport für ArcGIS Server ist nicht nach außen geöffnet. Der Server verfügt auch über einen funktionierenden Web Adapter für Port 80-basierte Aufrufe an Dienste. Dies ist ein Windows 2008-Server.

Mein Vorgesetzter wollte, dass ich dringend ein SSL-Zertifikat installiere; Daher habe ich sowohl HTTPS/HTTP auf dem Server aktiviert als auch eine .csr-Datei erstellt und an unsere IT-Mitarbeiter gesendet, damit sie ein von der CA ausgestelltes SSL-Zertifikat erhalten. Aber im Moment können wir zumindest innerhalb des Netzwerks die Sicherheitswarnung und die Browser-Ausnahmeoption sehen.

Aber laut diesem: https://geonet.esri.com/thread/61639 sollten wir das von der CA ausgestellte SSL nicht auf unserem Server installieren? Wenn nicht, wie kann man Inhalte schützen? Nehmen wir an, wenn Anwendungen auf Dienste zugreifen und sich an Port 6080 oder 80 anmelden, bleiben sie nicht sicher. Wir benötigen also ein echtes SSL-Zertifikat auf dem Bild. Aber wie?

Dies ist das erste Mal, dass ich mich mit dem SSL-Layer von ArcGIS Server beschäftige, und daher entschuldige ich mich, wenn ich weit weg bin. Versuche nur zu verstehen.


Hier ist, was wir am Ende tun:

1) Ein SSL-Zertifikat auf unserem ArcGIS 10.x-Server gemäß den Online-Anweisungen von ESRI installiert. Wir haben sowohl den https/http-Zugriff aktiviert.

2) Wir haben unsere Netzwerkabteilung Port 6443 nach außen geöffnet; wir hätten den Port 443 von IIS verwendet, aber das uns ausgestellte Zertifikat war nicht im .pfx-Format.

3) Wir werden sichere Inhalte über … Endpunkte bereitstellen.

HTH


Lesen Sie vor dem Upgrade die folgenden Informationen sorgfältig durch. Sehen Sie sich die vollständige Liste der häufig gestellten Fragen zum Upgrade von ArcGIS Server an.

  • Wenn Sie auf 10.7 aktualisieren, müssen Sie Ihre Software mit einer neuen Autorisierungsdatei für 10.7 erneut autorisieren. Sie können in My Esri auf Ihre neuen Autorisierungsdateien zugreifen.
  • Wenn Sie von 10.2 oder höher aktualisieren, wird beim Ausführen des 10.7-Setups Ihr ArcGIS-Server automatisch auf 10.7 aktualisiert. Es ist nicht erforderlich, jede zuvor veröffentlichte Version nacheinander abzurufen und zu installieren oder Ihre vorherige Version von ArcGIS Server zu deinstallieren.
  • Wenn Sie ein Upgrade von 10.1 durchführen, wird ein direktes Upgrade nicht unterstützt. Um von 10.1 zu aktualisieren, müssen Sie Folgendes tun:
    1. Deinstallieren Sie die 10.1-Software.
    2. Installieren Sie eine Zwischenversion, z. B. 10.5 , um Ihren 10.1-Konfigurationsspeicher und Ihre Serververzeichnisse zu aktualisieren.
    3. Installieren Sie ArcGIS Server 10.7, um Ihre Site von der Zwischenversion zu aktualisieren.
  • Damit Ihr ArcGIS Enterprise-Portal funktioniert, muss es dieselbe Version wie Ihr Hosting-Server aufweisen. Außerdem müssen Sie Ihre Web Adaptor-Instanzen in derselben Version wie ArcGIS Server neu installieren.
  • Die empfohlene Reihenfolge für das Upgrade Ihrer 10.7-Bereitstellung ist die folgende:
  • Aktualisieren Sie ArcGIS Server (aktualisieren Sie zuerst den Hosting-Server, dann alle anderen Server) (Aktualisieren Sie zuerst den primären Server, dann den Stand-by)
  • Wenn Sie über eine ArcGIS Server-Site mit mehreren Computern verfügen, müssen Sie jeden Computer in der Site auf Version 10.7 aktualisieren. Es wird empfohlen, jeden ArcGIS Server-Computer nacheinander zu aktualisieren, dh warten Sie, bis der erste Computer aktualisiert ist, bevor Sie das Upgrade auf den nächsten anwenden. Jeder ArcGIS Server-Computer in der Site muss dieselbe Versionsnummer aufweisen und genau gleich lizenziert sein.
  • Wenn Sie bereits eine Enterprise-Geodatabase als verwaltete Datenbank für Ihren Hosting-Server konfiguriert haben und auf 10.7 aktualisieren, müssen Sie einige zusätzliche Schritte ausführen. Nachdem Sie ArcGIS Server aktualisiert haben, müssen Sie die Enterprise-Geodatabase als Datenbank registrieren (im Gegensatz zu einer verwalteten Datenbank). Installieren Sie dann ArcGIS Data Store und registrieren Sie ihn als relationalen Data Store. Dadurch wird ArcGIS Data Store als verwaltete Datenbank Ihres Hosting-Servers konfiguriert.
  • Die Version Ihres ArcGIS Enterprise-Portals muss mit der Version des Hosting-Servers, eines beliebigen GeoAnalytics-Servers, eines beliebigen GeoEvent-Servers und eines damit verbundenen Raster Analytics-Servers übereinstimmen. Ein 10.6-Portal funktioniert jedoch mit jedem anderen Server mit föderierten Datenbanken ab Version 10.5. Beispielsweise können ein 10.5 GIS-Server (der nicht der Hosting-Server ist) und ein 10.5.1 Business Analyst Server mit einem 10.6-Portal verbunden werden, solange der Hosting-Server Version 10.6 aufweist.
  • Wenn Sie über eine ArcGIS GeoAnalytics Server-Site mit mehreren Computern verfügen, befolgen Sie beim Upgrade die zusätzlichen Schritte in diesem Abschnitt.
  • Wenn Sie Ihre ArcGIS Server-Site vor dem Upgrade sichern, können Sie die Sicherung verwenden, wenn Sie ein Rollback auf die vorherige Version benötigen. Schritte zum Sichern Ihrer ArcGIS Server-Site vor dem Upgrade finden Sie unter Sichern und Wiederherstellen Ihrer ArcGIS Server-Site-Konfiguration
  • Trennen Sie keine Server, die mit einem Portal verbunden sind, wenn Sie ein Upgrade Ihrer Bereitstellung durchführen. Dies wirkt sich nachteilig auf Ihre Portalbereitstellung aus, da Benutzer nicht auf ArcGIS Server-Services im Portal zugreifen, diese freigeben oder verwenden können.
  • Wenn sich Ihre Site im schreibgeschützten Modus befindet, wird der Site-Modus beim Upgrade auf bearbeitbar gesetzt. Nachdem alle Computer Ihrer Site erfolgreich aktualisiert wurden, bleibt die Site im bearbeitbaren Modus. Sie können nach Abschluss des Upgrades wieder in den schreibgeschützten Modus wechseln.
  • Der SQL Server-basierte Identitätsspeicher 10.0 ist ab 10.5 veraltet. Ihre Site wird geändert, um einen integrierten Benutzer- und Gruppenspeicher zu verwenden, wenn Sie auf 10.7 aktualisieren und zuvor einen SQL Server-basierten Identitätsspeicher verwendet haben.
  • Stellen Sie vor dem Upgrade Ihrer ArcGIS Server-Site sicher, dass alle von Ihnen verwendeten Datenbanken von der aktualisierten ArcGIS Server-Version unterstützt werden. Weitere Informationen finden Sie im entsprechenden Thema zu den Anforderungen für relationale Datenbankverwaltungssysteme unten:

Konfigurieren einer replizierten ArcGIS Enterprise-Bereitstellung in AWS mit dem WebGIS DR Tool

Viele Organisationen haben ihre Bereitstellungen von ArcGIS Enterprise in der Cloud installiert und konfiguriert und müssen Notfallwiederherstellungspläne einbeziehen, um im Falle eines Ausfalls oder einer Katastrophe die geringste Ausfallzeit zu gewährleisten. Es gibt verschiedene Optionen, aus denen Unternehmen wählen können, um ein Notfallwiederherstellungsszenario zu planen. In diesem Blogbeitrag werde ich die Schritte zum Replizieren einer primären Enterprise-Bereitstellung speziell in AWS auf eine warme, geografisch redundante Standby-Site mit dem WebGIS DR Utility durchgehen.

Ein Großteil dieses Workflows wurde von meinen Kollegen für lokale Bereitstellungen in einem anderen Blogbeitrag ausführlich behandelt – Migrieren auf einen neuen Computer in ArcGIS Enterprise mit dem WebGIS DR-Tool. Der allgemeine Arbeitsablauf für unser Szenario ist den lokalen Bereitstellungen sehr ähnlich, mit einigen zusätzlichen Schritten unter Verwendung von AWS-Services * – Application Load Balancer (ALB), Route 53 und S3-Buckets – sowie dem Ausschluss der Verwendung von etchost-Dateieinträgen in EC2-Instanzen. Bitte lesen Sie den obigen Blogbeitrag, um den gesamten Workflow und die Voraussetzungen zu verstehen, bevor Sie mit diesem Workflow fortfahren, da er Informationen enthält, die in diesem Beitrag nicht behandelt werden.

* Ich gehe davon aus, dass die Leser bereits Erfahrung mit AWS und seinen oben genannten Diensten haben.

Nehmen wir an, wir möchten eine replizierte und geografisch redundante Bereitstellung mit mehreren Computern mit den folgenden Komponenten, die in AWS in den Regionen USA Ost und USA West eingerichtet sind:

  • Portal für ArcGIS
  • ArcGIS-Hosting-Server
  • ArcGIS Data Store
  • ArcGIS Geocode-Server

Route 53 ist ein skalierbares Domain Name System (DNS), das eine Kombination aus öffentlichen und privaten gehosteten Zonen verwendet, bei denen es sich um Container für Datensätze darüber handelt, wie Sie den Datenverkehr für eine bestimmte Domäne weiterleiten möchten. Öffentliche gehostete Zonen werden verwendet, um Datenverkehr im Internet zu routen, während private gehostete Zonen verwendet werden, um Datenverkehr innerhalb einer Amazon VPC weiterzuleiten. Der folgende Workflow verwendet beide Arten von gehosteten Zonen mit überlappenden Namespaces. Daher gilt in unserem Szenario, wenn wir bei einer EC2-Instance in einer VPC angemeldet sind, die einer privaten gehosteten Zone zugeordnet ist:

  • Der Resolver wertet aus, ob der Name der privat gehosteten Zone mit dem Domänennamen in der Anfrage übereinstimmt. Wenn keine Übereinstimmung vorliegt, leitet der Resolver die Anfrage an einen öffentlichen DNS-Resolver weiter.
  • Wenn der Domänenname der Anfrage übereinstimmt, wird die gehostete Zone nach einem Eintrag durchsucht, der mit dem Domänennamen übereinstimmt. Wenn in der entsprechenden privaten gehosteten Zone kein Eintrag vorhanden ist, leitet der Resolver die Anfrage nicht an einen öffentlichen DNS-Resolver weiter, sondern gibt eine nicht vorhandene Domäne (NXDOMAIN) an den Client zurück.

Diese letzte Kugel ist sehr wichtig! Wenn Sie andere Anwendungen in derselben VPC haben und eine private gehostete Zone einrichten, stellen Sie bitte sicher, dass Sie Datensätze für diese Anwendungen hinzufügen, damit diese Anwendungen vollständig betriebsbereit bleiben.

Bevor wir mit der Bereitstellung von ArcGIS Enterprise fortfahren, müssen wir die folgenden Aufgaben mit den oben genannten AWS-Services ausführen, um ein konsistentes DNS über die primären und Standby-Sites hinweg aufrechtzuerhalten:

  1. Erstellen Sie in beiden Regionen eine ALB, die den Datenverkehr für die ArcGIS Enterprise-Bereitstellungen verwaltet. Ein paar Dinge zu beachten:
    1. Stellen Sie sicher, dass Sie das entsprechende Zertifikat aus der öffentlichen Domäne anhängen, die in Route 53 registriert ist.
    2. Bei der Konfiguration eines neuen Load Balancers muss eine Zielgruppe angelegt werden. Erstellen Sie jetzt eine Zielgruppe für das Portal. Es muss für keine Ziele mit dieser Zielgruppe registriert werden.
    1. Erstellen Sie mithilfe von CNAME-Typen zwei identische Recordsets für jeden der Load Balancer. Hier ist eines zu beachten:
      1. Die Verwendung mehrerer Datensatzgruppen mit der gewichteten Routing-Richtlinie ist keine Voraussetzung, sondern eher eine Frage der Präferenz. Es ist möglich, nur einen Datensatz zu verwenden und den ALB-Wert zu ersetzen, wenn der Wechsel erforderlich ist.
      1. Weisen Sie der primären Site eine Gewichtung von 100 zu.
      2. Weisen Sie der Standby-Site eine Gewichtung von 0 zu.
      1. Hängen Sie die private gehostete Zone an die VPC an, die Ihrer ALB während der Erstellung zugewiesen wurde.
      1. Erstellen Sie einen identischen Datensatz, der dem in der öffentlich gehosteten Zone erstellten entspricht.
      2. TTL kann als Standardwert von 300 Sekunden bleiben.
      3. Die Routing-Richtlinie kann der Standardwert von Simple bleiben.

      Die letzten beiden Schritte dieses Prozesses vor der Bereitstellung sind für den Erfolg des Dienstprogramms WebGIS DR von entscheidender Bedeutung. Wenn die beiden privaten gehosteten Zonen mit identischen Domänennamen und Datensatzsätzen vorhanden sind, die den Datensatzsätzen in der öffentlich gehosteten Zone entsprechen, können Sie identische ArcGIS Enterprise-Bereitstellungen konfigurieren. Darüber hinaus bleiben die Bereitstellungen in einem betriebsbereiten Zustand, um konsistente Backups und Wiederherstellungen auf den entsprechenden Systemen ohne Probleme durchzuführen, da sie sich in separaten Regionen und VPCs befinden.

      ArcGIS Enterprise-Bereitstellung

      Es ist endlich an der Zeit, die Komponenten unserer Architektur auf EC2-Instances bereitzustellen (für jede Region wiederholen):

      1. Führen Sie zum Einrichten der Basisbereitstellung (Portal for ArcGIS, ArcGIS Hosting Server und ArcGIS Data Store) die Schritte 1 bis 20 aus unserer Dokumentation zur Bereitstellung von Portal for ArcGIS auf AWS aus, das Amazon Machine Images (AMIs) von Esri verwendet.
        1. Stellen Sie sicher, dass Sie die EC2-Instances derselben VPC und Sicherheitsgruppe wie die ALB zuweisen.
        1. Und das Einbinden meines Hosting-Servers (oder eines anderen) würde so aussehen (die Administrator-URL kann je nach der Ebene der administrativen Zugriffseinstellungen auf dem Web Adaptor variieren):

        Wir haben jetzt in jeder Region zwei identische und voll funktionsfähige ArcGIS Enterprise-Bereitstellungen. Die Bereitstellung mit einer gewichteten Richtlinie von 100 in der öffentlich gehosteten Zone ist über das Internet zugänglich und fungiert als primärer Standort, während die andere Bereitstellung (mit einer gewichteten Richtlinie von 0) in der öffentlich gehosteten Zone nur innerhalb ihrer eigenen zugänglich sein kann VPC und fungiert als Standby-Site.

        Nachdem wir nun unsere primären und Standby-Standorte haben, müssen wir zwei replizierende S3-Buckets in den entsprechenden Regionen einrichten, um eine vollständig replizierte und geografisch redundante Bereitstellung für ein Notfallwiederherstellungsszenario vorzubereiten.

        Erstellen Sie in Amazon S3 zwei Buckets mit leicht erkennbaren Namenskonventionen wie den folgenden:

        Aktivieren Sie im zweiten Schritt des Erstellungsprozesses für jeden Bucket unter Optionen konfigurieren das Kontrollkästchen unter Versionierung. Dies ist eine Voraussetzung, um die regionenübergreifende Replikation zu aktivieren. Nachdem die Buckets erstellt wurden, wählen Sie den Bucket aus, der vom primären Standort verwendet wird, navigieren Sie auf der Registerkarte Verwaltung zu Replikation und wählen Sie Erste Schritte aus. Wir können die Standardeinstellungen für alle Einstellungen während dieses Vorgangs beibehalten. Wir müssen nur sicherstellen, dass wir unseren angegebenen Standby-Site-Bucket für das Ziel auswählen.

        Amazon S3 bietet eine auswählbare Option (siehe Screenshot oben) namens S3 Replication Time Control, die 99,99 % der neuen Objekte innerhalb von 15 Minuten repliziert. Dies kann eine wertvolle Option für Organisationen mit umfangreichen ArcGIS Enterprise-Bereitstellungen mit vielen Inhalten sein, die nur minimale Ausfallzeiten benötigen. In meinen Tests habe ich festgestellt, dass die Replikation ohne diese Option schnell ist, vorausgesetzt, meine Backups liefen um 5-6 GB, was sich auf

        300 gehostete Services und ein Geocode-Service (und seine Daten), die auf ArcGIS Server kopiert wurden.

        Wir sind jetzt in der Lage, Backups der primären Site zu erstellen und die Standby-Site aus diesen Backups wiederherzustellen.

        1. Erstellen Sie eine Sicherung mit dem WebGIS DR-Tool Ihrer primären Site auf der Instanz, auf der Portal installiert ist. Stellen Sie sicher, dass Sie in der Eigenschaftendatei auf den entsprechenden S3-Bucket verweisen (sollte sich in derselben Region wie der primäre Standort befinden). Die Sicherung wird in den S3-Bucket in der anderen Region repliziert.
        2. Stellen Sie die replizierte Sicherung mit dem DR-Tool auf der Standby-Instanz wieder her, auf der Portal installiert ist. Achten Sie auf den entsprechenden S3-Bucket in der Eigenschaftendatei.

        Dies ist die endgültige Architektur und der endgültige Workflow:

        Im Katastrophenfall haben wir jetzt die Möglichkeit, zu unserer warmen Standby-Bereitstellung überzuwechseln, indem wir einfach die Werte der gewichteten Richtlinien der Datensatzsätze in unserer öffentlich gehosteten Zone mit Ausfallzeiten abhängig von der TTL der Route 53 umschalten Rekord aufgestellt. * Abhängig von der Länge der Ausfallzeit für die ursprüngliche Hot-Site müssen Sie außerdem möglicherweise ändern, wie Ihre Backups und Wiederherstellungen in den beiden Umgebungen gehandhabt werden, damit alle neuen Elemente, die auf der neuen Hot-Site erstellt wurden, beibehalten werden können, wenn Ihre ursprünglichen Daten Zentrum wird wiederhergestellt.

        * Es sollte stark betont werden, dass dieser Workflow mit dem WebGIS DR-Tool nicht als hochverfügbare ArcGIS Enterprise-Bereitstellung betrachtet wird. Das „Failover“ kann in diesem Szenario schnell sein, aber die Standby-Bereitstellung verfügt nur über Inhalte aus der letzten WebGIS DR-Sicherung/Wiederherstellung. Bitte lesen Sie unsere Dokumentation zum Konfigurieren eines hochverfügbaren ArcGIS Enterprise.

        Da beide Bereitstellungen ebenfalls identisch sind, sollte es keine Probleme mit Diensten geben, die in andere Geschäftssysteme integriert sind. Am wichtigsten ist, dass dieser gesamte Workflow – das Ausführen von WebGIS DR-Backups und -Wiederherstellungen, DNS-Umschaltung sowie das Erkennen, wer zu einem bestimmten Zeitpunkt als primärer Standort agiert – vollständig skriptgesteuert und automatisiert werden kann, um sicherzustellen, dass geschäftskritische Systeme betriebsbereit bleiben.