Services über IP-Filter sichern
Sie können konfigurieren, welche eingehenden IP-Adressen auf die Services zugreifen dürfen, indem Sie IP-Filter in der Services-Konfiguration angeben. Die Standardeinstellung erlaubt den Zugriff auf alle Services von allen IP-Adressen: trusted.ipPattern: .*
Sie können Konfigurationen für einzelne Services erstellen und Konfigurationen für alle Services, für die keine eigenen Konfigurationen erstellt sind.
Sie können ebenfalls konfigurieren, welche eingehenden IP-Adressen auf die aktiven Management-Endpunkte zugreifen dürfen. Die Standardeinstellung erlaubt den Zugriff von allen IP-Adressen: management.trusted.ipPattern: .*
Sie können auch für Management-Endpunkte Konfigurationen für einzelne Services erstellen und Konfigurationen für alle Services, für die keine eigenen Konfigurationen erstellt sind.
IP-Filter für Services
IP-Filter für alle Services konfigurieren Sie über die Datei …\services\service-manager\config\application-prod.yml.
IP-Filter für einzelne Services konfigurieren Sie über die jeweilige Datei …\services\service-manager\config\<service>-prod.yml. Diese haben Vorrang vor Konfigurationen in der application-prod.yml. Die Konfiguration erfolgt analog über den Parameter trusted.ipPattern
.
Um einen Filter für den Zugriff auf Services zu konfigurieren, gehen Sie wie folgt vor.
- Öffnen Sie die Datei …\services\service-manager\config\application-prod.yml.
Für einzelne Services öffnen Sie die jeweilige Datei <service>-prod.yml. -
Ordnen Sie dem Parameter
trusted.ipPattern
die gewünschten IP-Adressen zu. - Speichern Sie die Konfigurationsdatei und starten Sie enaio® service-manager neu.
Für einzelne Services starten Sie danach den konfigurierten Service neu.
Bei einer Liste von Adressen müssen IP-Adressen immer in Klammern gesetzt werden. Das Trennzeichen zwischen Adressen ist das Pipe-Zeichen '|'.
Da es sich um eine Regular Expression handelt, sollten Punkte in IP-Adressen mit '\' maskiert werden, Doppelpunkte in IPv6-Adressen nicht.
Beispiele
Erlaubter Zugriff | Beispiel-Konfiguration |
---|---|
Von allen IP-Adressen | .* |
Von angegebenen Adressen | (10\.10\.10\.10)|(10\.10\.10\.11)| ... (10\.10\.10\.1x) |
Von Adressbereichen | (10\.10.*)|(192\.168\.[0-9]{1,3}\.[0-9]{1,3})|(172\.[16-32]\.[0-9]{1,3}\.[0-9]{1,3}) |
Falls IP-Filter für alle Services konfiguriert werden, dann müssen in der Regel folgende Adressen erlaubt werden:
- 127.0.0.1 und 0:0:0:0:0:0:0:1 (localhost-Repräsentation in IPv4 und IPv6)
Die Microservices werden mit der IP-Adresse '127.0.0.1' installiert. Diese Adresse muss angegeben werden, damit sie miteinander verbunden sind. Falls in Konfigurationsdateien von Micorservices IP-Adressen geändert wurden, dann müssen auch diese erlaubt werden.
- Adressen aller Microservice-Installationen
- Adressen aller Dienste
enaio® gateway, enaio® appconnector und die Anzeigedienste
- Adressen aller enaio® server
- Adresse von Elasticsearch
- Adresse von Abbyy FineReader
Management-Endpunkte
Aktive Management-Endpunkte
Für jeden Service sind Standard-Management-Endpunkte aktiviert und ist der Zugriff auf diese von allen IP-Adressen erlaubt.
Aus technischen und Sicherheitsgründen sind für Services unterschiedliche Management-Endpunkte aktiviert. Über enaio® service-manager können Sie für jeden Service über die Umgebungskonfiguration einsehen, welche Management-Endpunkte aktiviert sind.
IP-Filter für Management-Endpunkte
Den Zugriff auf die aktiven Management-Endpunkte aller Services konfigurieren Sie über die Datei …\services\service-manager\config\application-prod.yml.
Den Zugriff auf die aktiven Management-Endpunkte für einzelne Services konfigurieren Sie über die jeweilige Datei …\services\service-manager\config\<service>-prod.yml. Diese haben Vorrang vor Konfigurationen über die application-prod.yml.
Ordnen Sie dem Parameter management.trusted.ipPattern
die gewünschten IP-Adressen zu.
Falls Management-Filter konfiguriert sind, dann muss die Adresse von enaio® service-manager erlaubt werden.
Der Zugriff auf die Management-Endpunkte ist nur erlaubt, wenn auch der Zugriff auf die Services erlaubt ist.