أكثر

Arcgis Server 10.1: سير العمل / الإعداد للمحتوى الآمن؟


لدينا خادم يحتوي على منفذي 80 و 6080 مفتوحين للعالم الخارجي - وربما منفذ 443 أيضًا. لكن المنفذ 6643 - المنفذ الآمن الافتراضي لـ ArcGIS Server ليس مفتوحًا للخارج. يحتوي الخادم أيضًا على Web Adaptor يعمل للمكالمات القائمة على المنفذ 80 للخدمات. هذا هو Windows 2008 Server.

أراد مني مشرفي تثبيت شهادة SSL على أساس عاجل ؛ لذا فقد قمت بتمكين كل من HTTPS / HTTP على الخادم وقمت أيضًا بإنشاء وإرسال ملف .csr إلى فريق تكنولوجيا المعلومات لدينا حتى يحصلوا على شهادة SSL صادرة عن CA. ولكن في الوقت الحالي على الأقل يمكننا ، داخل الشبكة ، الوصول حتى مع رؤية تحذير الأمان وخيار استثناء المتصفح.

ولكن ، وفقًا لهذا: https://geonet.esri.com/thread/61639 ، لا ينبغي لنا تثبيت SSL الصادر عن CA على خادمنا؟ إذا لم يكن كذلك فكيف تحمي المحتوى؟ لنفترض أنه إذا كانت هناك تطبيقات تصل إلى الخدمات وتسجيلات الدخول إلى المنفذ 6080 أو 80 ، فإنها تظل غير آمنة. لذلك سنحتاج إلى شهادة SSL أصلية في الصورة. ولكن كيف؟

هذه هي المرة الأولى التي أتعامل فيها مع طبقة SSL الخاصة بـ ArcGIS Server ولذا اعتذاري إذا كنت بعيدًا. فقط أحاول أن أفهم.


إليكم ما ننتهي بفعله:

1) تثبيت شهادة SSL على خادم ArcGIS 10.x ، وفقًا لإرشادات ESRI عبر الإنترنت. لقد قمنا بتمكين الوصول إلى كل من https / http.

2) لقد فتح قسم الشبكة لدينا منفذ 6443 للخارج ؛ كنا سنستخدم منفذ IIS 443 لكن الشهادة التي تم إصدارها لنا لم تكن بتنسيق .pfx.

3) سنقدم محتوى آمنًا من خلال… نقاط النهاية.

HTH


قبل الترقية ، راجع المعلومات التالية بعناية. راجع القائمة الكاملة للأسئلة المتداولة لترقية ArcGIS Server.

  • إذا كنت تقوم بالترقية إلى الإصدار 10.7 ، فستحتاج إلى إعادة مصادقة البرنامج الخاص بك بملف تفويض جديد لـ 10.7. يمكنك الوصول إلى ملفات التفويض الجديدة الخاصة بك في My Esri.
  • إذا كنت تقوم بالترقية من الإصدار 10.2 أو إصدار أحدث ، فسيؤدي تشغيل الإعداد 10.7 إلى ترقية ArcGIS Server تلقائيًا إلى الإصدار 10.7. ليست هناك حاجة للحصول على كل إصدار تم إصداره مسبقًا وتثبيته بالتسلسل ، أو لإلغاء تثبيت الإصدار السابق من ArcGIS Server.
  • إذا كنت تقوم بالترقية من الإصدار 10.1 ، فلن يتم دعم الترقية الموضعية. للترقية من الإصدار 10.1 ، يجب عليك القيام بما يلي:
    1. قم بإلغاء تثبيت برنامج 10.1.
    2. قم بتثبيت إصدار مؤقت ، مثل 10.5 ، لترقية مخزن التكوين 10.1 ودلائل الخادم.
    3. قم بتثبيت ArcGIS Server 10.7 لترقية موقعك من الإصدار المؤقت.
  • لكي تعمل بوابة ArcGIS Enterprise الإلكترونية ، يجب أن تكون هي نفس إصدار خادم الاستضافة. تحتاج أيضًا إلى إعادة تثبيت مثيلات Web Adaptor الخاصة بك إلى نفس إصدار ArcGIS Server.
  • الترتيب الموصى به لترقية نشر 10.7 الخاص بك هو كما يلي:
  • ترقية ArcGIS Server (قم بتحديث خادم الاستضافة أولاً ، ثم أي خوادم أخرى) (قم بالترقية الأساسية أولاً ، ثم الاستعداد)
  • إذا كان لديك موقع ArcGIS Server متعدد الأجهزة ، فستحتاج إلى ترقية كل جهاز في الموقع إلى الإصدار 10.7. يوصى بترقية كل جهاز ArcGIS Server بشكل تسلسلي أي الانتظار حتى تتم ترقية الجهاز الأول قبل تطبيق الترقية على الجهاز التالي. يجب أن يكون كل جهاز ArcGIS Server في الموقع برقم الإصدار نفسه وأن يكون مرخصًا تمامًا.
  • إذا قمت بالفعل بتكوين قاعدة بيانات جغرافية مؤسسية كقاعدة بيانات مُدارة لخادم الاستضافة لديك وتقوم بالترقية إلى الإصدار 10.7 ، فستحتاج إلى إجراء بعض الخطوات الإضافية. بمجرد ترقية ArcGIS Server ، ستحتاج إلى تسجيل قاعدة البيانات الجغرافية للمؤسسة كقاعدة بيانات (على عكس قاعدة البيانات المُدارة). بعد ذلك ، قم بتثبيت ArcGIS Data Store وقم بتسجيله كمخزن بيانات ارتباط. سيؤدي هذا إلى تكوين ArcGIS Data Store كقاعدة بيانات مُدارة لخادم الاستضافة.
  • يجب أن يتطابق إصدار بوابة ArcGIS Enterprise الإلكترونية مع إصدار خادم الاستضافة وأي خادم GeoAnalytics وأي خادم GeoEvent وأي خادم Raster Analytics متحد معه. ومع ذلك ، ستعمل البوابة الإلكترونية 10.6 مع أي خادم موحد آخر في الإصدار 10.5 أو أحدث. على سبيل المثال ، يمكن توحيد 10.5 GIS Server (ليس خادم الاستضافة) وخادم محلل الأعمال 10.5.1 مع مدخل 10.6 طالما أن خادم الاستضافة في الإصدار 10.6.
  • إذا كان لديك موقع ArcGIS GeoAnalytics Server متعدد الأجهزة ، فاتبع الخطوات الإضافية في هذا القسم عند الترقية.
  • إذا قمت بنسخ موقع ArcGIS Server احتياطيًا قبل الترقية ، يمكنك استخدام النسخة الاحتياطية إذا كنت بحاجة إلى التراجع إلى الإصدار السابق. للحصول على خطوات حول كيفية نسخ موقع ArcGIS Server احتياطيًا قبل الترقية ، راجع النسخ الاحتياطي واستعادة تكوين موقع ArcGIS Server
  • لا تقم بإلغاء اتحاد أي خادم متحد مع البوابة الإلكترونية عند ترقية النشر الخاص بك. يؤثر هذا سلبًا على نشر البوابة الإلكترونية ، حيث لن يتمكن المستخدمون من الوصول إلى خدمات ArcGIS Server أو مشاركتها أو استخدامها في البوابة الإلكترونية.
  • إذا كان موقعك في وضع القراءة فقط ، فسيتم تعيين وضع الموقع على قابل للتحرير عند الترقية. بعد ترقية جميع الأجهزة الموجودة في موقعك بنجاح ، سيظل الموقع في وضع قابل للتحرير. يمكنك العودة إلى وضع القراءة فقط بمجرد اكتمال الترقية.
  • تم إهمال مخزن الهوية الذي يستند إلى 10.0 SQL Server اعتبارًا من 10.5. سيتم تغيير موقعك لاستخدام مخزن مضمن للمستخدم والمجموعة إذا قمت بالترقية إلى الإصدار 10.7 واستخدمت مسبقًا مخزن هوية يستند إلى SQL Server.
  • قبل ترقية موقع ArcGIS Server ، تأكد من دعم أي قواعد بيانات تستخدمها في إصدار ArcGIS Server الذي تمت ترقيته. راجع موضوع متطلبات أنظمة إدارة قواعد البيانات العلائقية ذات الصلة أدناه للحصول على التفاصيل:

قم بتكوين نشر ArcGIS Enterprise المكرر في AWS باستخدام أداة WebGIS DR

قامت العديد من المؤسسات بتثبيت وتكوين عمليات النشر الخاصة بها لـ ArcGIS Enterprise في السحابة ومطلوب منها دمج خطط التعافي من الكوارث لضمان أقل قدر من التعطل في حالة الفشل أو الكارثة. هناك العديد من الخيارات المتاحة للمؤسسات للاختيار من بينها للتخطيط لسيناريو التعافي من الكوارث. لأغراض منشور المدونة هذا ، سأنتقل عبر الخطوات الخاصة بتكرار نشر Enterprise الأساسي على وجه التحديد في AWS إلى موقع احتياطي دافئ ومتكرر جغرافيًا باستخدام WebGIS DR Utility.

تمت تغطية الكثير من سير العمل هذا بشكل مكثف من قبل زملائي لعمليات النشر المحلية في منشور مدونة آخر - الترحيل إلى جهاز جديد في ArcGIS Enterprise باستخدام أداة WebGIS DR. يتشابه سير العمل العام للسيناريو الخاص بنا إلى حد كبير مع عمليات النشر في أماكن العمل مع بعض الخطوات المضافة باستخدام خدمات AWS * - Application Load Balancer (ALB) و Route 53 و S3 - بالإضافة إلى استبعاد استخدام etc / إدخالات الملف المضيف في حالات EC2. يرجى قراءة منشور المدونة أعلاه لفهم سير العمل العام والمتطلبات الأساسية قبل متابعة سير العمل هذا ، حيث سيحتوي على معلومات لم يتم تناولها في هذا المنشور.

* سأفترض أن القراء سيكون لديهم بعض الخبرة السابقة مع AWS وخدماتها المذكورة أعلاه.

لنفترض أننا نريد نشر أجهزة متعددة مكررة ومتكررة جغرافيًا مع إعداد المكونات التالية في AWS في منطقتي شرق الولايات المتحدة وغرب الولايات المتحدة:

  • Portal for ArcGIS
  • خادم استضافة ArcGIS
  • مخزن بيانات ArcGIS
  • ArcGIS Geocode Server

الطريق 53 هو نظام اسم مجال قابل للتطوير (DNS) يستخدم مجموعة من المناطق المستضافة العامة والخاصة ، وهي حاويات للسجلات حول الطريقة التي تريد بها توجيه حركة المرور إلى مجال معين. تُستخدم المناطق المستضافة العامة لتوجيه حركة المرور على الإنترنت ، بينما تُستخدم المناطق المستضافة الخاصة لتوجيه حركة المرور داخل Amazon VPC. سيستخدم سير العمل التالي كلا النوعين من المناطق المستضافة ذات مساحات الأسماء المتداخلة. لذلك ، في السيناريو الخاص بنا عندما نقوم بتسجيل الدخول إلى مثيل EC2 في VPC المرتبط بمنطقة مستضافة خاصة:

  • سيقوم المحلل بتقييم ما إذا كان اسم المنطقة المستضافة الخاصة يطابق اسم المجال في الطلب. إذا لم يكن هناك تطابق ، فسيقوم المحلل بإعادة توجيه الطلب إلى محلل DNS عام.
  • إذا كان هناك تطابق في اسم المجال الخاص بالطلب ، يتم البحث في المنطقة المستضافة عن سجل يطابق اسم المجال. إذا لم يكن هناك سجل في المنطقة المستضافة الخاصة المطابقة ، فلن يقوم المحلل بإعادة توجيه الطلب إلى محلل DNS عام ، ولكنه سيعيد مجالًا غير موجود (NXDOMAIN) إلى العميل.

الرصاصة الأخيرة مهمة جدًا! إذا كانت لديك تطبيقات أخرى في نفس VPC وقمت بإعداد منطقة مستضافة خاصة ، فالرجاء التأكد من إضافة سجلات لتلك التطبيقات بحيث تظل هذه التطبيقات جاهزة للعمل بشكل كامل.

قبل متابعة نشر ArcGIS Enterprise ، نحتاج إلى إكمال المهام التالية باستخدام خدمات AWS المذكورة أعلاه من أجل الحفاظ على DNS ثابت عبر المواقع الأساسية والبديلة:

  1. قم بإنشاء ALB في كلتا المنطقتين والتي ستدير حركة المرور لعمليات نشر ArcGIS Enterprise. هناك عدد قليل من الأشياء ملاحظة:
    1. تأكد من إرفاق الشهادة المناسبة من المجال العام المسجلة في الطريق 53.
    2. يجب إنشاء مجموعة مستهدفة عند تكوين موازن تحميل جديد. قم بإنشاء مجموعة مستهدفة لـ Portal في هذا الوقت. لا تحتاج إلى أن تكون مسجلة في أي أهداف مع هذه المجموعة المستهدفة.
    1. قم بإنشاء مجموعتي سجلات متطابقتين لكل من موازين التحميل باستخدام أنواع CNAME. شيء واحد يجب ملاحظته هنا:
      1. إن وجود مجموعات سجلات متعددة باستخدام سياسة التوجيه الموزون ليس مطلبًا بل هو بالأحرى مسألة تفضيل. من الممكن الحصول على مجموعة سجلات واحدة فقط واستبدال قيمة ALB عند الحاجة إلى التبديل.
      1. قم بتعيين وزن 100 للموقع الأساسي.
      2. قم بتعيين وزن 0 لموقع الاستعداد.
      1. قم بإرفاق المنطقة المستضافة الخاصة بـ VPC المخصص لـ ALB الخاص بك أثناء وقت الإنشاء.
      1. قم بإنشاء مجموعة سجلات متطابقة لمطابقة المجموعة التي تم إنشاؤها في المنطقة المستضافة العامة.
      2. يمكن أن تظل TTL كقيمة افتراضية تبلغ 300 ثانية.
      3. يمكن أن يظل نهج التوجيه هو القيمة الافتراضية لـ Simple.

      تعتبر الخطوتان الأخيرتان من عملية النشر المسبق هذه حيوية لنجاح الأداة المساعدة WebGIS DR. يضمن وجود منطقتين مستضافتين خاصتين بأسماء مجال متطابقة ومجموعات السجلات التي تطابق مجموعات السجلات في المنطقة المستضافة العامة القدرة على تكوين عمليات نشر ArcGIS Enterprise المتطابقة. بالإضافة إلى ذلك ، ستبقى عمليات النشر في حالة تشغيلية لإجراء نسخ احتياطية متسقة واستعادة الأنظمة المناسبة دون مشكلة بسبب كونها في مناطق منفصلة و VPCs.

      نشر ArcGIS Enterprise

      لقد حان الوقت أخيرًا لنشر مكونات بنيتنا في مثيلات EC2 (كرر لكل منطقة):

      1. لإعداد النشر الأساسي (Portal for ArcGIS و ArcGIS Hosting Server و ArcGIS Data Store) ، اتبع الخطوات 1-20 من وثائقنا حول نشر Portal for ArcGIS على AWS ، والتي تستخدم Esri's Amazon Machine Images (AMIs).
        1. تأكد من تعيين مثيلات EC2 لنفس VPC ومجموعة الأمان مثل ALB.
        1. وتوحيد خادم الاستضافة الخاص بي (أو أي خادم آخر) سيبدو هكذا (قد يختلف عنوان URL الخاص بالمسؤول اعتمادًا على مستوى إعداد الوصول الإداري الموجود على محول الويب):

        لدينا الآن عمليتا نشر ArcGIS Enterprise متطابقتان وعمليتان بالكامل في كل منطقة. سيتم الوصول إلى النشر الذي يحتوي على سياسة مرجحة 100 في المنطقة المستضافة العامة عبر الإنترنت وسيكون بمثابة الموقع الأساسي ، بينما لا يمكن الوصول إلى النشر الآخر (مع السياسة الموزونة 0) في المنطقة المستضافة العامة إلا من داخل المنطقة المستضافة العامة VPC والعمل كموقع الاستعداد.

        الآن بعد أن أصبح لدينا مواقعنا الأساسية والاحتياطية ، يتعين علينا إعداد حاويتين متماثلتين S3 في المناطق المناسبة للحصول على نشر مكرر بالكامل ومتكرر جغرافيًا جاهزًا لسيناريو التعافي من الكوارث.

        في Amazon S3 ، أنشئ حاويتين باستخدام اصطلاحات تسمية يسهل التعرف عليها ، مثل ما يلي:

        في الخطوة الثانية من عملية الإنشاء لكل مجموعة ضمن خيارات التكوين ، حدد المربع الموجود ضمن تعيين الإصدار. هذا مطلب لتمكين النسخ المتماثل عبر المناطق. بمجرد إنشاء الحاويات ، حدد الحاوية التي سيستخدمها الموقع الأساسي وانتقل إلى النسخ المتماثل ضمن علامة التبويب الإدارة وحدد البدء. يمكننا ترك الإعدادات الافتراضية محددة لجميع الإعدادات خلال هذه العملية. نحتاج فقط للتأكد من أننا نختار حاوية الموقع الاحتياطية المخصصة للوجهة.

        يوفر Amazon S3 خيارًا قابلاً للتحديد (يظهر في لقطة الشاشة أعلاه) يسمى S3 Replication Time Control ، والذي سيعيد نسخ 99.99٪ من الكائنات الجديدة في غضون 15 دقيقة. قد يكون هذا خيارًا قيمًا للمؤسسات التي لديها عمليات نشر ArcGIS Enterprise واسعة النطاق مع الكثير من المحتوى الذي يحتاج إلى أقل وقت تعطل. في الاختبارات التي أجريتها ، وجدت أن النسخ المتماثل يكون سريعًا بدون تحديد هذا الخيار ، ومنحت النسخ الاحتياطية الخاصة بي حوالي 5-6 جيجا بايت ، وهو ما يعادل

        300 خدمة مستضافة وخدمة التكويد الجغرافي (وبياناتها) تم نسخها إلى ArcGIS Server.

        نحن الآن قادرون على إنشاء نسخ احتياطية للموقع الأساسي واستعادة موقع الاستعداد من النسخ الاحتياطية المذكورة.

        1. قم بإنشاء نسخة احتياطية باستخدام أداة WebGIS DR لموقعك الأساسي على المثيل حيث تم تثبيت Portal. تأكد من الإشارة إلى حاوية S3 المناسبة (يجب أن تكون موجودة في نفس المنطقة مثل الموقع الأساسي) في ملف الخصائص. سيتم نسخ النسخة الاحتياطية إلى حاوية S3 في المنطقة الأخرى.
        2. قم باستعادة النسخة الاحتياطية المنسوخة بأداة DR على النسخة الاحتياطية حيث تم تثبيت Portal. ضع في اعتبارك حاوية S3 المناسبة في ملف الخصائص.

        هذه هي البنية النهائية وسير العمل:

        في حالة وقوع كارثة ، لدينا الآن القدرة على "تجاوز الفشل" لنشرنا الدافئ والاحتياطي من خلال تبديل قيم السياسات المرجحة لمجموعات السجلات في منطقتنا المستضافة العامة مع وقت تعطل يعتمد على مدة البقاء (TTL) للطريق 53 مجموعة قياسية. * بالإضافة إلى ذلك ، اعتمادًا على طول فترة التعطل للموقع الساخن الأصلي ، قد تحتاج إلى تعديل كيفية التعامل مع النسخ الاحتياطية والاستعادة في البيئتين ، بحيث يمكن الاحتفاظ بأي عناصر جديدة تم إنشاؤها في الموقع الساخن الجديد عندما تكون بياناتك الأصلية تمت استعادة المركز.

        * يجب التأكيد بشدة على أن سير العمل هذا باستخدام أداة WebGIS DR لا يعتبر نشر ArcGIS Enterprise متاحًا بدرجة كبيرة. قد يكون "تجاوز الفشل" سريعًا في هذا السيناريو ، ولكن النشر الاحتياطي لن يكون متاحًا إلا من آخر نسخة احتياطية / استعادة WebGIS DR. يرجى الاطلاع على وثائقنا الخاصة بتكوين ArcGIS Enterprise المتاح بشكل كبير.

        نظرًا لأن عمليتي النشر متطابقتان أيضًا ، فلا ينبغي أن تكون هناك مشكلات في الخدمات المدمجة في أنظمة الأعمال الأخرى. الأهم من ذلك ، أن سير العمل بأكمله - تشغيل النسخ الاحتياطية لـ WebGIS DR واستعادته ، وتبديل DNS ، بالإضافة إلى اكتشاف من يعمل كموقع أساسي في أي لحظة - يمكن كتابته وأتمتة بالكامل ، مما يضمن بقاء الأنظمة المهمة للمهمة قيد التشغيل.


        شاهد الفيديو: ArcGIS Server-installatie op virtuele machine hele video (شهر اكتوبر 2021).