Aktive Firewall - Freischalten von Internetdiensten für edoc platform (On-Premises)
Sie können bei Bedarf die Kommunikation von edoc platform (On-Premises) mit dem Internet mithilfe einer Firewall einschränken. Wenn Sie jedoch die Kommunikation zwischen den Anwendungen mit einer Firewall einschränken, müssen Sie sicherstellen, dass bestimmte Dienste immer erreichbar sind. Zu diesem Zweck müssen Sie die entsprechenden Ports in Ihrer Systemumgebung freischalten.
Es ist zum Verständnis hilfreich, Basiswissen zu Kubernetes zu haben. Außerdem gibt es Verweise zu englischsprachigen Artikeln im Internet, um weitere Details zu vertiefen.
Erfahren Sie in diesem Artikel, um welche Dienste (URLs) es sich handelt und welche Ports Sie unbedingt in der Firewall freischalten müssen.
Gut zu wissen
Teilweise finden Sie in den Tabellen URLs, die von regulären Betriebssystemupdates stammen. Die Verantwortung für diese Dienste und URLs liegt vollständig bei Ihnen. Die URLs zu den Diensten können sich jederzeit ändern. edoc übernimmt daher keine Verantwortung für die Vollständigkeit der Auflistung.
Kommunikation zur zentralen Verwaltungsplattform edoc system control
URL | Port | Beschreibung und Zweck | Zuletzt geprüft |
|---|---|---|---|
https://sc.edoc.de | 443 | Ist die zentrale SaaS-Plattform zur Verwaltung von edoc platform. Die Domäne wird per DNS zu edoc-mission-control.northeurope.cloudapp.azure.com aufgelöst. | 29.11.2024 |
Installieren und Aktualisieren von edoc agent
URL | Port | Beschreibung und Zweck | Zuletzt geprüft |
|---|---|---|---|
https://dev.azure.com | 443 | Ist das Git-Repository für den Programmcode von edoc agent. | 06.12.2024 |
https://getcomposer.org | 443 | Dient zum Installieren und Updaten des Tools Composer für die Installation von Abhängigkeiten und/oder Drittanbieterpaketen im PHP-Bereich. Weitere Informationen finden Sie hier: https://getcomposer.org/download/ Wie vom Anbieter gewünscht, stellen wir das Installationsskript nicht selbst zur Verfügung, sondern beziehen immer das neuste Skript über den offiziellen Downloadweg. | 06.12.2024 |
https://api.github.com https://codeload.github.com | 443 | Dient zum Downloaden von Drittanbieterpaketen für PHP-Abhängigkeiten (Composer) von edoc agent. | 06.12.2024 |
Downloaden von Container-Images
Wir verwenden Azure Container Registry als Speicherort für unsere Container-Images. Wenn Sie eine Freischaltung auf IP-Basis benötigen, nutzen Sie als Referenz die Auflistung der Azure IP Ranges.
Weitere Informationen zum Zugriff auf Azure Container Registry hinter einer Firewall finden Sie auf der Microsoft Learn-Webseite unter: Firewall Access Rules to access an Azure Container Registry - Azure Container Registry
URL | Port | Beschreibung und Zweck | Zuletzt geprüft |
|---|---|---|---|
https://edochub.azurecr.io | 443 | Ist Azure Container Registry von edoc zum Downloaden der Images von Anwendungen. IP-abhängig von der Region Ihres On-Premises-Servers: In Deutschland wird die Domäne zu neu.fe.azcr.io oder zu neu-acr-reg.trafficmanager.net weitergeleitet. | 09.12.2024 |
https://*.blob.core.windows.net | 443 | Aktuell (bisher noch in Nutzung): Ist der Speicherort der Azure Container Registry von edoc zum Downloaden der Images von edoc-Anwendungen. | 09.12.2024 |
https://edochub.northeurope.data.azurecr.io | 443 | Zukünftig (aktuell noch nicht im Einsatz): Ist der Speicherort der Azure Container Registry von edoc zum Downloaden der Images von edoc-Anwendungen. | 06.01.2025 |
Abrufen von Community Container-Images von Kubernetes
Achtung
Wir verwenden die Community Images aus der Standardregistrierung von Kubernetes (siehe auch Standardvorlage "registry.k8s.io" in Kubernetes).
Beim Abrufen der Images werden je nach Standort des Servers unterschiedliche Domänen (GCP/AWS) verwendet.
Weitere Informationen finden Sie hier:
URL | Port | Beschreibung und Zweck | Zuletzt geprüft |
https://k8s.gcr.io https://googlecode.l.googleusercontent.com | 443 | Dient zum Downloaden von standardmäßigen Community Kubernetes-Images, wie z.B. coredns oder pause. URL wird ersetzt durch http://registry.k8s.io. | 10.12.2024 |
https://registry.k8s.io + unterschiedliche je nach Zeitpunkt und Standort, z.B. https://*.cloudfront.net | 443 | Dient zum Downloaden von standardmäßigen Community Kubernetes-Images, wie z.B. coredns oder pause. | 10.12.2024 |
https://registry-1.docker.io https://auth.docker.io https://production.cloudflare.docker.com | 443 | Dient zum Downloaden von standardmäßigen Community Kubernetes-Images, wie z.B. calico/cni, calico/pod2daemon-flexvol oder calico/node über die Docker Registry (docker hub). | 10.12.2024 |
Generieren von TLS-Zertifikaten mit Let’s Encrypt
Falls Sie den Server mit einem kostenlosen Zertifikat von Let’s Encrypt ausstatten möchten, muss die URL acme-v02.api.letsencrypt.org erreichbar sein. Sie müssen außerdem sicherstellen, dass der Server auf Port 80 und 443 von extern erreichbar ist.
Installieren von Betriebssystempaketen
Gut zu wissen
Wenn Sie auf Ihrem Server individuelle Paketquellen eingerichtet haben, ist die folgende Auflistung bis auf das PPA ppa:ondrej/php für Sie irrelevant.
URL | Port | Beschreibung und Zweck | Zuletzt geprüft |
|---|---|---|---|
https://api.snapcraft.io | 443 | Dient zum Downloaden des Snap-Pakets MicroK8s. | 28.01.2025 |
https://*.cdn.snapcraftcontent.com | 443 | Dient zum Downloaden des Snap-Pakets MicroK8s. | 28.01.2025 |
https://api.launchpad.net | 443 | Ist das installierte PPA ppa:ondrej/php, um aktuelle PHP-Pakete zu installieren. | 10.12.2024 |
https://ppa.launchpadcontent.net | 443 | Dient zum Downloaden von PHP-Paketen über das PPA ppa:ondrej/php. | 10.12.2024 |
http://de.archive.ubuntu.com | 80 | Dient zum Abrufen von Betriebssystempaketen. | 10.12.2024 |
http://archive.ubuntu.com | 80 | Dient zum Abrufen von Betriebssystempaketen. | 10.12.2024 |
https://changelogs.ubuntu.com | 443 | Dient zum Abrufen von Changelogs zu Betriebssystempaketen (optional). | 10.12.2024 |
https://keyserver.ubuntu.com | 443 | Dient zum Abrufen von Betriebssystempaketen. | 10.12.2024 |
https://security.ubuntu.com | 443 | Dient zum Abrufen von Betriebssystempaketen. | 10.12.2024 |
Bereitstellen der VM über Microsoft Azure
Wenn Sie die VM über Microsoft Azure bereitstellen, müssen Sie die Kommunikation zwischen den Diensten für bestimmte URLs und Ports freigeben.
URL | Port | Beschreibung und Zweck |
|---|---|---|
https://packages.microsoft.com | 443 | Dient zum Downloaden von Microsoft-Paketen. |
http://azure.archive.ubuntu.com | 80 | Dient zum Downloaden von Ubuntu-APT-Paketen. |