Apache Reverse Proxy |
  
|
Apache Reverse Proxy |
|
Ein bewährtes Verfahren zur Absicherung Ihrer WebOffice 10.2 SP3 Applikation bei der Bereitstellung im Internet ist die Verwendung eines Reverse Proxy Web Server. Die Reverse Proxy Architektur erlaubt es Intranet und Internet Dienste unter Verwendung von nur einer Server Installation laufen zu lassen. Dies reduziert die TCO (Total Cost of Ownership) signifikant (im Vergleich zur Verdoppelung der Server und Software Infrastruktur).
Architektur eines Reverse Proxy
Hinweis: WebOffice 10.2 SP3 ist für Apache Reverse Proxy zertifiziert.
Hinweis: Apache Tomcat Connector (wird zum Umleiten von HTTP Port 80 Requests von IIS zu Apache Tomcat verwendet) unterstützt keine Weiterleitung von bestimmten HTTP Header Informationen, die für eine korrekte Reverse-Proxy-Funktion benötigt wird. Daher besteht keine Verwendung von Apache Tomcat Connector beim Arbeiten mit Apache Reverse Proxy und spezifischen HTTP Header Attributen.
Um mit Apache Reverse Proxy zu arbeiten, muss die Konfigurationsdatei httpd.conf (in <Apache Installations-Pfad>/conf) angepasst werden. Es ist notwendig, dass Apache Reverse Proxy einen bestimmten Header (syn_urlmap) übermittelt, damit WebOffice 10.2 SP3 die URL neu belegen kann.
Der erste Schritt ist das Laden des Moduls mod_headers:
| • | öffnen der Datei httpd.conf |
| • | Entfernen Sie die Kommentierung der Zeile (2x): LoadModule headers_module modules/mod_headers.so |
Der zweite Schritt ist, die Applikations- und Redirectpfade zu konfigurieren. Neben dem Applikationspfad ist es notwendig jeden Pfad, der von WebOffice 10.2 SP3 oder ArcGIS 10.2 for Server abgerufen wird, bereitzustellen, z.B. der Pfad zum ArcGIS-Output-Verzeichnis.
<Location /WebOffice>
ProxyPass http://<SERVERNAME_intern>:8080/WebOffice/
ProxyPassReverse http://<SERVERNAME_intern>:8080/WebOffice/
RequestHeader set syn_urlmap http://<SERVERNAME_intern>:8080/WebOffice;http(s)://<SERVERNAME_extern>/WebOffice|
http://<SERVERNAME_intern>:6080/arcgisoutput;http(s)://<SERVERNAME_extern>/arcgisoutput|
http://<SERVERNAME_intern>:6080/arcgiscache;http(s)://<SERVERNAME_extern>/arcgiscache|
http://<SERVERNAME_intern>:6080/arcgis;http(s)://<SERVERNAME_extern>/arcgis|
/WebOffice_intern;/WebOffice_extern
</Location>
<Location /arcgisoutput>
ProxyPass http://<SERVERNAME_intern>:6080/arcgisoutput/
ProxyPassReverse http://<SERVERNAME_intern>:6080/arcgisoutput/
</Location>
<Location /arcgiscache>
ProxyPass http://<SERVERNAME_intern>:6080/arcgiscache/
ProxyPassReverse http://<SERVERNAME_intern>:6080/arcgiscache/
</Location>
<Location /arcgis>
ProxyPass http://<SERVERNAME_intern>:6080/arcgis/
ProxyPassReverse http://<SERVERNAME_intern>:6080/arcgis/
</Location>
Hinweis: Beim Mapping der Pfade benutzten Sie beide Pfade, also absolute und relative Pfade. Achten Sie darauf, dass das Mapping der relativen Pfade am Ende von syn_urlmap ist.
Hinweis: Bei Verwendung verschiedener GIS-Server müssen unterschiedliche Ordnernamen für arcgiscache und arcgisoutput Verzeichnisse bereitgestellt werden. Z.B. arcgiscache1 auf einem GIS-Server, arcgiscache2 am anderen GIS-Server.
Hinweis: Für WebOffice extract server ist ein virtuelles Verzeichnis im IIS (Internetinformationsdienste) konfiguriert, welches standardmäßig unter Port 80 läuft. Deshalb sollte der Port :8080 nicht in der URL spezifiziert werden.
Hinweis: Es ist immer sinnvoll den Zugang auf bestimmte Seiten wie SynAdmin oder bestimmte jsp Dateien zu beschränken, verwenden Sie deshalb z.B. ProxyPass /WebOffice/synadmin. Beschränken Sie nicht externalcall.jsp.
Hinweis: Beachten Sie die GZIP filter.
Hinweis: Beachten Sie die Explizit unterstützte Szenarien mit https.