Konfigurieren von Instanzparametern
Auf der FlowForce Server Setup-Seite können Sie verschiedene Netzwerkeinstellungen, wie die Schnittstellen und Ports, an denen FlowForce Server und FlowForce Web Server empfangsbereit sein sollen, einstellen. Die auf der Seite "Instanzparameter" definierten Parameter stammen aus den folgenden Konfigurationsdateien:
•flowforce.ini
•flowforceweb.ini
Wenn Sie Parameter auf der Seite "Instanzparameter" ändern, wird die entsprechende INI-Datei aktualisiert. Um Zugriff auf die Instanzparameter zu erhalten, klicken Sie auf der Setup-Seite auf Parameter konfigurieren. In den unten stehenden Abbildungen sind die Instanzparameter für FlowForce Server bzw. FlowForce Web Server dargestellt.
Es stehen die folgenden Parameter zur Verfügung.
Netzwerk-Port-Bindings
In diesem Abschnitt können Sie die Port-Bindings für FlowForce Server und FlowForce Web Server konfigurieren. Mit Port-Bindings wird der Vorgang bezeichnet, bei dem eine Netzwerk-Applikation an einen bestimmten Netzwerk-Port und eine IP-Adresse gebunden wird, um für eingehende Verbindungen empfangsbereit zu sein. Sie können Bindings nach Bedarf hinzufügen, neu ordnen und entfernen.
In der folgenden Tabelle werden die Binding-Parameter beschrieben, die Sie konfigurieren können.
Parameter | Beschreibung |
|---|---|
Name | Bezieht sich auf den Abschnittsnamen in der INI-Datei. Der Name muss mit Listen beginnen und kann im Anschluss daran ein beliebiges Suffix haben. Der Name muss in der Liste eindeutig sein.
|
Aktiviert | Wenn dieses Kontrollkästchen ausgewählt ist, ist das Binding aktiv. Wenn das Kontrollkästchen leer ist, ist das Binding deaktiviert, doch bleiben seine Einstellungen in der Liste gespeichert.
|
Mit Hilfe dieses Parameters können Sie das Binding nur auf die Verwaltungs-Benutzeroberfläche (FlowForce Web Server) oder nur auf Dienste einschränken. Sie können das Bindung auch ohne Einschränkungen belassen (Beides).
Wenn das Schnittstellen-Binding nur auf Dienste oder nur auf die Verwaltungs-Benutzeroberfläche eingeschränkt ist, verursachen andere Requests an dieses Schnittstellen-Binding den HTTP-Fehler 404.
| |
Protokoll | Sie haben die Wahl zwischen HTTP (unverschlüsselt) und HTTPS (verschlüsselt). Wenn Sie HTTPS auswählen, müssen Sie die entsprechenden HTTPS-Zertifikate bereitstellen (siehe HTTPS-Zertifikat weiter unten).
|
Bindungsadresse | Mit der Bindungsadresse wird die Netzwerk-Schnittstelle (IP-Adresse) an der der Dienst empfangsbereit sein soll, definiert. Sie können festlegen, dass der Dienst an allen Schnittstellen, dem lokalen Host oder an einer bestimmten IP-Adresse (Option andere) empfangsbereit sein soll.
Wenn die Bindungsadresse (Schnittstelle) nicht lokal ist, müssen Sie eventuell die Firewall des Betriebssystems so konfigurieren, dass diese einen Zugriff über den designierten Port gestattet.
|
Port | Im Feld Port wird die Netzwerk-Port-Nummer, an der FlowForce Web Server/FlowForce Server empfangsbereit sein soll, festgelegt (z.B. 4647).
|
Host-Name | Definiert den Namen des Server-Rechners, wie er anderen Rechnern im Netzwerk angezeigt wird. Wenn der Name leer ist, ermittelt der Server automatisch einen entsprechenden Host-Namen.
Diese Einstellung ist relevant, wenn die Bindungsadresse nicht lokal (127.0.0.1) ist. Beim Namen kann es sich je nach Netzwerkkonfiguration um einen einfachen Hostnamen (z.B. Hostname) oder einen vollständig qualifizierten Domain-Namen (z.B. Hostname.Beispiel.org) handeln.
Der Hostname wird für folgende Zwecke verwendet:
•Herstellen einer Verbindung von anderen Rechnern oder Clients zum Server •Ausführung von Diensten von der Benutzeroberfläche aus •Validierung von SSL-Zertifikaten (wenn HTTPS aktiviert ist, muss der Hostname mit dem "Common Name" des Zertifikats übereinstimmen) •Kommunikation zwischen FlowForce Web Server und FlowForce Server über HTTPS •Altova ServiceController* unter Windows •Generierung von anklickbaren Links auf der Web-Benutzeroberfläche für aus Webservices bereitgestellte Aufträge
*Altova ServiceController ist eine Applikation, über die Sie Altova-Dienste auf Windows-Systemen jederzeit starten, beenden und konfigurieren können.
|
Verschiedene Binding-Konfigurationen
Unten finden Sie eine Beschreibung möglicher Binding-Konfigurationen
FlowForce Server
Anforderung an die Verwaltungs-Benutzeroberfläche:
•Der Zugriff auf die Verwaltungs-Benutzeroberfläche muss über mindestens einen Port gestattet werden (nur auf die Verwaltungs-Benutzeroberfläche eingeschränkt oder ohne Einschränkung), damit die Funktionen der FlowForce Web-Benutzeroberfläche korrekt funktionieren.
•Es wird nur ein Port benötigt, damit die Web-Benutzeroberfläche funktioniert; zusätzliche Ports für die Verwaltungs-Benutzeroberfläche sind nicht erforderlich.
•Wenn nur ein Port verwendet wird, konfigurieren Sie das Binding so, dass es sowohl für die Web-Benutzeroberfläche als auch für Dienste verwendet wird.
•Sie haben die Wahl zwischen HTTP und HTTPS.
Optionale Ports nur für Dienste:
•Sie können zusätzliche Ports hinzufügen, die nur auf Dienste beschränkt sind, d.h. Benutzer können nur Aufträge aufrufen, die über Ihre Service-URLs als Webservices bereitgestellt wurden. In der Abbildung unten sehen Sie ein Beispiel dafür:
•Sie können wählen, ob für einen nur für Dienste freigeschalteten Port HTTP oder HTTPs verwendet werden soll.
•Sie können, falls nötig, zwei Port-Bindings definieren: einen für HTTP und einen für HTTPS.
Ein Port nur für Dienste hat die folgenden Vorteile:
•Verbesserte Sicherheit: Verringert das Risiko, dass die Web-Benutzeroberfläche und Verwaltungsfunktionen im Netzwerk verfügbar sind.
•Kontrollierter externer Zugriff: Sie können dadurch einen Port ohne Sicherheitsrisiko für externe Clients oder für Netzwerke freigeben, damit diese Dienste aufrufen können, ohne die Konfiguration geändert werden kann.
FlowForce Web Server
Anforderung an die Web-Benutzeroberfläche:
•Für die Web-Benutzeroberfläche wird mindestens ein Port-Binding benötigt.
•Sie haben die Wahl zwischen HTTP und HTTPS.
Optionale zusätzliche Ports:
•Sie können, falls nötig, zwei Port-Bindings definieren: einen für HTTP und einen für HTTPS.
HTTPS-Zertifikat
Wenn Sie im Abschnitt Netzwerk-Port-Bindings HTTPS auswählen, müssen Sie die folgenden Dateien bereitstellen:
•Zertifikatdatei: Das Server-Zertifikat im PEM-Format.
•Private Key-Datei: Die Private Key-Datei für das Zertifikat im PEM-Format. Der Schlüssel (key) darf nicht verschlüsselt sein.
Eventuell müssen Sie auch die Zertifikatskettendatei bereitstellen (optional): eine Datei, die alle in einer einzigen Datei zusammengefassten Zwischenzertifikate im PEM-Format enthält.
Sie können für HTTPS-Requests den Strict-Transport-Security (HSTS) Response Header definieren, was das Risiko, dass sensible Daten abgefangen oder manipuliert werden, verringert. Es stehen die folgenden Optionen zur Verfügung:
•Browser zwingen, mit dem FlowForce-Hostnamen nur HTTPS zu verwenden: Es wird der Header Strict-Transport-Security: max-age=31536000 hinzugefügt, wodurch der Browser angewiesen wird, für die nächsten 31.536.000 Sekunden (ungefähr ein Jahr lang) ausschließlich HTTPS für diesen Hostnamen zu verwenden. Sobald der Browser diesen Header empfangen hat, lehnt er HTTP-Verbindungen zu diesem Hostnamen ab.
•Browser die Verwendung von HTTP mit dem FlowForce-Hostnamen gestatten: Es wird der Header Strict-Transport-Security: max-age=0 hinzugefügt, wodurch der Browser angewiesen wird, nicht mehr zwingend HTTPS für diesen Hostnamen zu verwenden. Dadurch werden etwaige bestehende HTTP Strict Transport Security-Regeln für den Hostnamen entfernt, wodurch HTTP-Verbindungen wieder zugelassen werden.
•Nicht zwingen, nur HTTPS zu verwenden: Es wird kein Strict-Transport-Security-Header gesendet. Der Browser behält seinen aktuellen HSTS-Status für diesen Hostnamen bei. Wenn der Browser zuvor z.B. einen HSTS Header empfangen hat, wird weiterhin die Verwendung von HTTPS erzwungen, bis max-age abgelaufen ist.
Achtung HSTS-Einstellungen werden vom Browser im Cache gespeichert. Selbst wenn Sie die Einstellung Browser zwingen, mit dem FlowForce-Hostnamen nur HTTPS zu verwenden geändert haben, verwendet der Browser diese Einstellungen eventuell solange weiter, bis der max-age-Zeitraum abgelaufen ist.
Um dieses Verhalten sofort zurückzusetzen, wählen Sie Browser die Verwendung von HTTP mit dem FlowForce-Hostnamen gestatten und laden Sie die Seite neu, damit der Browser den aktualisierten Header empfängt. |
Sie können Dateien über die Schaltfläche Auf dem Server suchen auswählen. Das Dialogfeld enthält neben der Dateiauswahl Informationen darüber, welche Dateien Sie auswählen sollen.
In diesem Abschnitt können Sie einen Cluster-Modus für diese FlowForce-Instanz auswählen. Ein Cluster repräsentiert mehrere auf verschiedenen Rechnern ausgeführte Instanzen von FlowForce Server, die miteinander kommunizieren, um Aufträge parallel auszuführen. Ein Cluster besteht aus einem einzigen Master FlowForce Server und einem oder mehreren Workern. Es stehen die folgenden Optionen zur Auswahl:
•Standalone: FlowForce Server wird als Einzelinstanz ohne einen Cluster ausgeführt.
•Worker: In diesem Modus kann die Instanz nur vom Master zugewiesene Aufträge ausführen. Bei seiner ersten Anmeldung wird ein Benutzer mit dem Recht Cluster verwalten zur Seite "Cluster-Verwaltung" weitergeleitet, wo er einen Request, sich mit dem Master zu verbinden, senden kann (siehe Betrieb im Worker-Modus).
•Master: Im Master-Modus wertet FlowForce Server die Auftrags-Trigger-Bedingungen ständig aus und stellt die FlowForce-Dienstoberfläche bereit. Der Master kennt die Worker-Rechner im selben Cluster und kann so konfiguriert werden, dass er diesen Auftragsinstanzen zuweist, damit diese Auftragsinstanzen entweder zusätzlich zum Master oder anstelle des Masters verarbeiten.
So schalten Sie die Instanz in den Master-Modus (Abbildung unten):
1.Aktivieren Sie das Kontrollkästchen Aktiviert.
2.Definieren Sie die Bindungsadresse und den Port. Der Port wird für die Kommunikation zwischen dem Master und dem Worker verwendet und darf nicht derselbe sein, der vom FlowForce Server- und FlowForce Web Server-Dienst verwendet wird. Siehe auch Betrieb im Master-Modus.
FlowForce Server-Verbindung (nur FlowForce Web)
Mit Hilfe dieser Einstellung können Sie auswählen, welches Binding für die Kommunikation zwischen FlowForce Web Server und FlowForce Server verwendet werden soll. Port-Binding muss aktiviert sein und darf nicht auf "Nur Dienste" beschränkt sein.
Bei HTTPS-Verbindungen können Sie in dieser Einstellung auswählen, wie das FlowForce-Zertifikat überprüft werden soll (Abbildung unten).
•Anhand des System-Zertifikatspeichers überprüfen (Standardverhalten): Das Zertifikat oder die Zertifizierungsstelle, die das Zertifikat signiert haben, müssen im System-Zertifikatspeicher vorhanden sein.
•Anhand der für FlowForce Server definierten Zertifikatdatei überprüfen: FlowForce Server überprüft, ob das bei der Verbindungsherstellung verwendete Zertifikat mit dem im Feld Zertifikatdatei des Abschnitts HTTPS-Zertifikat definierten übereinstimmt.
Einstellungen (nur FlowForce Web)
Sie können die Standardzeitzone für Trigger definieren. Wenn Sie einen neuen Trigger hinzufügen, wird die Zeitzone in den Parametern des Triggers vorausgefüllt. Die Standardzeitzone kann auch über die Seite Verwaltung festgelegt werden.
Nächster Schritt
Nachdem Sie die Netzwerkeinstellungen und andere Parameter definiert haben, klicken Sie auf Änderungen speichern oder auf Speichern und auf laufende Dienste anwenden. Dadurch werden Sie zur Haupt-Setup-Seite umgeleitet. Als nächstes werden nun die Dienste installiert.