Настройка облачного соединения для защищенных сред или прокси-серверов

PrintFactory использует службу LicenseServer для подключения к своей облачной инфраструктуре. LicenseServer действует как прокси для всех приложений. Благодаря этому нет необходимости в доступе к Интернету на производственном этаже, если только LicenseServer доступен для приложений.

Необходимые соединения
Для установления двусторонней связи между локальными и облачными приложениями LicenseServer ожидает доступ к следующим серверам и портам:

Внешние соединения (от прокси):

• api.aurelon.com, порт 443 (https)

• app.aurelon.com, порт 443 (https)

• order.aurelon.com, порт 443 (https)

• connect.aurelon.com, порт 27499 (wss)

• notification.aurelon.com, порт 27489 (wss)

Software Manager проверит, могут ли быть установлены соединения, используя LicenseServer. Зеленая галочка слева показывает, может ли Software Manager (и все другие локальные приложения) достичь прокси-сервера LicenseServer, а правая галочка показывает, может ли LicenseServer подключиться к облачным приложениям. Зеленая галочка означает успешную двустороннюю связь, желтая галочка означает, что разрешено отправлять данные в облако, но невозможно получить информацию обратно. Последнее указывает на блокировку WebSocket-соединения (connect.aurelon.com).

Если правая галочка желтого цвета, это означает, что не все соединения были успешно установлены. Чтобы узнать, что именно не удается, наведите указатель мыши на галочку, и появится подсказка с подробной информацией о каждом соединении.

Общая практика
Обычно LicenseServer устанавливается в защищенной среде, контролируемой IT-отделом. LicenseServer устанавливается на пограничном сервере, а брандмауэр настраивается таким образом, чтобы разрешить доступ только к вышеупомянутым серверам через интерфейс, который подключается к Интернету, и разрешить неограниченный доступ на производственный этаж или установить брандмауэр, ограниченный следующими портами:

• UDP порт 5436 (обнаружение прокси)

• UDP порт 5437 (обнаружение RIP)

• TCP порт 5438 (REST API RIP и Web UI RIP)

• TCP порт 5440 (REST API Workflow)

• TCP порт 5536 (конфигурация прокси)

• TCP порт 5470 (прокси Интернет)

• TCP порт 9100 (API PrintAgent)

Защищенная коммуникация и хранение
Все коммуникации по умолчанию зашифрованы между прокси и облаком. Соединение действует как VPN между вашей локальной установкой(ми) и защищенным облачным хранилищем.

Данные избыточно хранятся на нескольких устройствах в различных объектах в регионе Amazon S3, близком к вашему местоположению.

Глубокий анализ пакетов
Некоторые маршрутизаторы могут выполнять глубокий анализ пакетов для безопасности. Это может вызвать проблему, так как PrintFactory больше не может правильно установить защищенное соединение с облачными серверами. Для выполнения глубокого анализа SSL-соединений используется промежуточный сертификат (выданный маршрутизатором), который позволяет маршрутизатору перехватывать трафик между PrintFactory и облаком. Это также известно как "человек посередине", когда трафик расшифровывается, анализируется и снова шифруется. Это создает незащищенную цепочку, и PrintFactory отклоняет неправильную конфигурацию маршрутизатора. Для решения этой ситуации существует два возможных способа:

1. **Добавить в белый список .aurelon.com и .printfactory.cloud
   Это предпочтительный метод, так как трафик остается защищенным и неизмененным.

2. Установить сертификат маршрутизатора
   Установите промежуточный сертификат маршрутизатора на компьютер, на котором установлен LicenseServer/Proxy. Это позволит программному обеспечению PrintFactory принимать промежуточный сертификат маршрутизатора и маршрутизатору расшифровывать трафик PrintFactory. Убедитесь, что маршрутизатор не перезаписывает трафик, так как это может исказить его, и коммуникация все равно будет отклонена.

Настройка только для отчетности
Исключительный случай — это использование веб-прокси-сервера, который позволяет отправлять статусы и статистику в облако, но не получать автоматические инструкции от облака. Поэтому использование прокси-серверов не рекомендуется, так как LicenseServer уже действует как прокси-сервер и изолирует производственный процесс от прямого Интернета, если только у LicenseServer есть прямой доступ в Интернет.

По умолчанию приложение LicenseServer пытается подключиться к Интернету и также пытается автоматически настроить прокси-сервер.

В случае автоматического обнаружения настроек прокси, файл "C:\Users\Public\Hub\ComputerConfig.xml" будет прочитан. В этом файле можно задать настройки прокси, порт, имя пользователя и пароль вашей сети.

Пример для файла "ComputerConfig.xml" можно найти ниже:

<?xml version="1.0"?>
<ComputerConfig>
    <ProxySettings>
       <Proxy>www.google.com</Proxy>
       <Port>123</Port>
       <User>User</User>
       <Pass>Pass</Pass>
   </ProxySettings>
</ComputerConfig>