Services über IP-Filter sichern

enaio® 11.10 »

Sie können konfigurieren, welche eingehenden IP-Adressen auf die Services zugreifen dürfen, indem Sie IP-Filter in der Services-Konfiguration angeben. Die Standardeinstellung erlaubt den Zugriff auf alle Services von allen IP-Adressen: trusted.ipPattern: .*

Sie können Konfigurationen für einzelne Services erstellen und Konfigurationen für alle Services, für die keine eigenen Konfigurationen erstellt sind.

Sie können ebenfalls konfigurieren, welche eingehenden IP-Adressen auf die aktiven Management-Endpunkte zugreifen dürfen. Die Standardeinstellung erlaubt den Zugriff von allen IP-Adressen: management.trusted.ipPattern: .*

Sie können auch für Management-Endpunkte Konfigurationen für einzelne Services erstellen und Konfigurationen für alle Services, für die keine eigenen Konfigurationen erstellt sind.

IP-Filter für Services

IP-Filter für alle Services konfigurieren Sie über die Datei …\services\service-manager\config\application-prod.yml.

IP-Filter für einzelne Services konfigurieren Sie über die jeweilige Datei …\services\service-manager\config\<service>-prod.yml. Diese haben Vorrang vor Konfigurationen in der application-prod.yml. Die Konfiguration erfolgt analog über den Parameter trusted.ipPattern.

Um einen Filter für den Zugriff auf Services zu konfigurieren, gehen Sie wie folgt vor.

  1. Öffnen Sie die Datei …\services\service-manager\config\application-prod.yml.
    Für einzelne Services öffnen Sie die jeweilige Datei <service>-prod.yml.
  2. Ordnen Sie dem Parameter trusted.ipPattern die gewünschten IP-Adressen zu.

  3. Speichern Sie die Konfigurationsdatei und starten Sie enaio® service-manager neu.
    Für einzelne Services starten Sie danach den konfigurierten Service neu.

Bei einer Liste von Adressen müssen IP-Adressen immer in Klammern gesetzt werden. Das Trennzeichen zwischen Adressen ist das Pipe-Zeichen '|'.

Da es sich um eine Regular Expression handelt, sollten Punkte in IP-Adressen mit '\' maskiert werden, Doppelpunkte in IPv6-Adressen nicht.

Beispiele

Erlaubter Zugriff Beispiel-Konfiguration
Von allen IP-Adressen .*
Von angegebenen Adressen (10\.10\.10\.10)|(10\.10\.10\.11)| ... (10\.10\.10\.1x)
Von Adressbereichen (10\.10.*)|(192\.168\.[0-9]{1,3}\.[0-9]{1,3})|(172\.[16-32]\.[0-9]{1,3}\.[0-9]{1,3})

Falls IP-Filter für alle Services konfiguriert werden, dann müssen in der Regel folgende Adressen erlaubt werden:

  • 127.0.0.1 und 0:0:0:0:0:0:0:1 (localhost-Repräsentation in IPv4 und IPv6)

    Die Microservices werden mit der IP-Adresse '127.0.0.1' installiert. Diese Adresse muss angegeben werden, damit sie miteinander verbunden sind. Falls in Konfigurationsdateien von Micorservices IP-Adressen geändert wurden, dann müssen auch diese erlaubt werden.

  • Adressen aller Microservice-Installationen
  • Adressen aller Dienste

    enaio® gateway, enaio® appconnector und die Anzeigedienste

  • Adressen aller enaio® server
  • Adresse von Elasticsearch
  • Adresse von Abbyy FineReader

Management-Endpunkte

Aktive Management-Endpunkte

Für jeden Service sind Standard-Management-Endpunkte aktiviert und ist der Zugriff auf diese von allen IP-Adressen erlaubt.

Aus technischen und Sicherheitsgründen sind für Services unterschiedliche Management-Endpunkte aktiviert. Über enaio® service-manager können Sie für jeden Service über die Umgebungskonfiguration einsehen, welche Management-Endpunkte aktiviert sind.

IP-Filter für Management-Endpunkte

Den Zugriff auf die aktiven Management-Endpunkte aller Services konfigurieren Sie über die Datei …\services\service-manager\config\application-prod.yml.

Den Zugriff auf die aktiven Management-Endpunkte für einzelne Services konfigurieren Sie über die jeweilige Datei …\services\service-manager\config\<service>-prod.yml. Diese haben Vorrang vor Konfigurationen über die application-prod.yml.

Ordnen Sie dem Parameter management.trusted.ipPattern die gewünschten IP-Adressen zu.

Falls Management-Filter konfiguriert sind, dann muss die Adresse von enaio® service-manager erlaubt werden.

Der Zugriff auf die Management-Endpunkte ist nur erlaubt, wenn auch der Zugriff auf die Services erlaubt ist.