背景介紹
ArcGIS Enterprise要求對外以443和80端口的方式提供,然而,實際場景下,我們遇到一些用戶由於安全策略和行政管理等各種原因,無法對外網開放80和443端口。針對這種場景,本篇探討了基於squid正向代理在不對外暴露80和443端口的情況下實現對內網環境中ArcGIS Enterprise的訪問。
整體部署架構圖
環境配置概要
客戶端:192.168.100.83
代理服務器(gissquid.esri.com):192.168.220.173
192.168.17.138
ArcGIS Enterprise(gisportal.esri.com): 192.168.17.139
備註:
1)爲確保測試的準確性,客戶端位於公司的100網段。客戶端192.168.100.83和代理服務器的192.168.220.173相互可以訪問
2)代理服務器僅暴露22和3128端口
3)考慮配置簡單,內網環境下ArcGIS Enterprise機器本身防火牆不啓用
代理服務器的安裝和配置
4.1 安裝squid
Redhat的系統光盤中自帶了squid的安裝包,配置本地yum源後,直接安裝即可。
4.2 修改sysctl.conf文件,開啓包轉發
vi /etc/sysctl.conf
運行sysctl -p配置即時生效
4.3 修改 squid配置文件
vi /etc/squid/squid.conf
# And finally allow all other access to this proxy
http_access allow all
# Squid normally listens to port 3128, please modify it if needed
http_port 192.168.220.173:3128
# set the cache memory
cache_mem 2048 MB
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 2048 16 256
4.4 在代理服務器上僅新增開啓3128端口
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT運行service iptables restart以即時生效。
4.5 修改hosts文件,添加代理服務器的ip和機器名的映射關係
192.168.220.173 gissquid.esri.com gissquid4.6 根據配置文件重建緩存
squid -z
4.7 啓動squid
運行squid 或/usr/sbin/squid啓動。
客戶端代理服務器設置和訪問測試
5.1 在客戶端機器上如下配置
5.2 通過訪問ArcGIS Enterprise所在機器上的Portal地址檢查發佈的服務
總結
通過上述配置,實現了在無法對外提供80和443的情況下對內網環境中ArcGIS Enterprise的正常訪問,解決了個別用戶的疑難問題。當然,弊端也是顯而易見的,所有訪問Portal的用戶都需要在瀏覽器中設置正向代理服務器。