はじめに
GIS は、コンピューターが空間機能を提供するという課題に取り組んで以来、急速に進化してきました。 GIS がマップ作成プラットフォームから Location Intelligence プラットフォームに進化すると、ビジネスの成功に必要なソリューションをホストするために利用されるため、堅牢性、信頼性、柔軟性に優れたシステムを構築する必要が生じます。 GIS は、従来のデータ センター内で実行されているサーバー、クラウド、モバイルおよび IoT デバイスからどこでも実行されています。このような多様な環境をサポートすると、独特の構築する上での課題が生じ、GIS を設計するための体系的なアプローチが必要になります。
アーキテクチャの設計
Esri システム アーキテクチャの設計は、複数の層、つまりクライアント/アプリケーション層、プレゼンテーション層、サービス層、サポート層、およびデータ層を中心とした従来のアーキテクチャ パターンに基づいています。以下の論理アーキテクチャの例に示すように、各層は Esri 製品およびソリューション コンポーネントと連携しています。このブログ シリーズでは、体系的なアプローチに従って、今日のビジネスとロケーション インテリジェンスのニーズを満たす最新の GIS プラットフォームの構築をサポートするさまざまなアーキテクチャ層とそれに関連するソリューション コンポーネントを検討します。
セキュリティ
セキュリティは、エンタープライズ アーキテクチャの設計プロセスにおいて大きな役割を果たします。セキュリティ ポリシーは組織によって異なり、それらの要件と制約を満たすには異なる導入パターンが必要です。このブログでは、より一般的なセキュリティ制約のいくつかに対処し、それらを満たすための展開パターンを提案します。
これは、利用可能なすべてのセキュリティ要件とセキュリティ アーキテクチャ パターンの完全なリストではありません。
このブログでは、ArcGIS Enterprise で保護されたリソースを外部クライアント、つまり、DMZ 経由で組織内部ネットワークの外部にアクセスする必要があるシステムに公開するためのアーキテクチャ パターンに焦点を当てます。 VPN を使用しない現場作業者のアクセスをサポートします。
どのパターンを使用するかの決定に関与する追加の考慮事項がありますが、このブログでは取り上げません。たとえば、リソースの数などです。ハードウェア、ライセンス、スタッフがパターンごとに必要になります。 このブログでは、アーキテクチャパターンのセキュリティ側に焦点を絞り、簡素化するために、すべてのアーキテクチャは高可用性ではありませんが、パターン自体を変更することなく、各アーキテクチャを高可用性のアーキテクチャに調整することができます。
DMZリバースプロキシ
DMZ でリバース プロキシを使用する、最も一般的な外部向け ArcGIS Enterprise システム配置パターンから始めましょう。
このパターンでは、すべての ArcGIS Enterprise コンポーネントは、内部ネットワーク、ファイアウォールの背後、およびリバース プロキシ (F5 や NetScaler などの商用リバース プロキシ、Nginx や HAProxy などのオープンソース リバース プロキシ、またはArcGIS Web Adaptor の 2 番目のセット) は DMZ に配置され、外部リクエストを ArcGIS Enterprise に渡します。
ArcGIS Enterprise ポータルは、パブリック ポータル URL (Web コンテキスト URL) に対して 1 つの DNS のみをサポートし、外部アクセスをサポートするために、ポータルの Web コンテキスト URL に対して外部で解決可能な DNS 名をサポートします。 https://gis.company.com/portal を使用する必要があります。
ほとんどの場合、上記のパターンには分割ドメイン ネーム システム (分割 DNS) の実装が含まれます。つまり、ArcGIS Enterprise DNS (例: gis.company.com) への内部リクエストは内部 Web アダプターのコンピューター IP に解決されるため、内部ユーザーはファイアウォールの内側に留まり、ArcGIS Enterprise DNS への外部リクエストは DMZ リバース プロキシ IP に解決されます。
ArcGIS Enterprise の配置パターンを理解することで、セキュリティに配慮した設計を進めていくことが可能になります。GIS活用の中でのDX推進のヒントにしてみてください。
参考
- Architecting your GIS
- Deployment Patterns for Exposing ArcGIS Enterprise Secured Services to External Users
本記事の内容に関して具体的なご相談につきましては、お問い合わせよりご連絡ください。