chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    NIEUWE DATUM - Migratie productieomgeving Toegangsbeheer (ACM): wijzigingen aan IP-adressen en reverse proxies

    vrijdag, 11 oktober 2019

    De nieuwe datum van de migratie is vastgelegd. Op zondag 20 oktober verhuizen de ACM componenten van het Toegangsbeheer en de reverse proxies van productieomgeving. Toepassingsverantwoordelijken van toepassingen die gebruik maken van de diensten van het Toegangsbeheer dienen na te gaan welke wijzigingen zij moeten uitvoeren.

    Wat verandert er?

    De componenten van het Toegangsbeheer (ACM) en de generieke reverse proxies verhuizen naar het datacenter NMC4. De nieuwe omgevingen beschikken over dezelfde functionaliteiten als de bestaande omgevingen.

    • Op zondag 20 oktober tussen 20u00 en 21u30 verhuizen het Toegangsbeheer en de reverse proxies van de productieomgeving
    • Tijdens deze bovenstaande uren kan de productieomgeving mogelijk niet beschikbaar zijn

    Wat is de impact op ontsloten toepassingen?

    De verhuis kan mogelijk impact hebben op je toepassing.

    Toepassingen die connecteren naar een URL die achter één van de reverse proxies staat, vereisen mogelijk een firewall-wijziging om deze connectiviteit te behouden:

    • alle datastromen vanop de reverse proxies naar de achterliggende toepassingen werden in kaart gebracht, open gezet en getest. Hiervoor is dus geen actie vereist.  
    • alle datastromen vanuit het interne netwerk (NMC4 of VPC overgangszone) naar de reverse proxies werden ook in kaart gebracht en aangevraagd, maar deze kunnen niet vanop de reverse proxy getest worden. Gelieve te valideren of de datastromen voor je toepassing opgenomen werden in de inventaris-excel (zie onderstaand voor meer uitleg). Test vervolgens de connectiviteit naar de nieuwe IP-adressen, zoals hieronder beschreven.
    • de datastromen vanuit een ander datacenter dan NMC4 of VPC overgangszone worden langs reverse proxy zijde toegelaten. Het is mogelijk dat er uitgaande datastromen aangepast moeten worden. Gelieve eveneens de connectiviteit te testen zoals hieronder beschreven.

    Wat wordt er verwacht van toepassingsverantwoordelijken vóór de migratie?

    Ga op basis van de bovenstaande impact-beschrijving na of deze verhuis impact heeft op jouw toepassing. Is dit het geval? Controleer via onderstaande test of de verbinding naar de nieuwe omgeving nog mogelijk is. Ontbrekende of niet-werkende (interne) datastromen mogen aan ons gerapporteerd worden, zodat we die kunnen bespreken met het netwerkteam.

    Ontbreekt er een datastroom of werkt de datastroom niet? Neem dan zo spoedig mogelijk contact met ons op!

    Toepassingsverantwoordelijken kunnen een inventaris-excel opvragen met bestaande en nieuwe IP-adressen door een mailtje te versturen met je naam en de naam van je toepassing naar ‘integraties.gebruikersbeheer@vlaanderen.be.

    Gebruik deze informatie voor aanpassingen aan documentatie en eventuele toekomstige aanvragen voor nieuwe datastromen.

    Hoe kan je testen?

    Indien je via de bovenstaande impact-beschrijving datastromen identificeerde die geïmpacteerd zijn, dan kan je de connectiviteit naar de omgeving testen aan de hand van één van de onderstaande voorbeelden.

    • Verifieer of je in al deze gevallen een status-code 200 ontvangt (HTTP/1.1 200 OK)

    Voorbeeld 1: Indien je toepassing in NMC4 of VPC overgangszone staat en connectie maakt naar de internet reverse proxy:

    Via OpenSSL:

    openssl s_client -connect 10.71.80.199:443

    GET /test.html HTTP/1.1

    Host: rp-test.vlaanderen.be

    Via Powershell:

    PS > [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    PS > $response = Invoke-WebRequest https://10.71.80.199/test.html -Headers @{"Host"="rp-test.vlaanderen.be"}

    PS > $response.Content

    Voorbeeld 2: Indien je toepassing in NMC4 of VPC overgangszone staat en connectie maakt naar de Vonet reverse proxy:

    Via OpenSSL:

    openssl s_client -connect 198.18.36.4:443

    GET /test.html HTTP/1.1

    Host: rp-test.vonet.be

    Via Powershell:

    PS > [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    PS > $response = Invoke-WebRequest https://198.18.36.4/test.html -Headers @{"Host"="rp-test.vonet.be"}

    PS > $response.Content

    Voorbeeld 3: Indien je toepassing in NMC4 of VPC overgangszone staat en connectie maakt naar authenticatie.vlaanderen.be:

    Via OpenSSL:

    openssl s_client -connect 10.64.8.49:443

    GET /oidc/test.html HTTP/1.1

    Host: authenticatie.vlaanderen.be

    Via Powershell:

    PS > [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    PS > $response = Invoke-WebRequest https://10.64.8.49/oidc/test.html -Headers @{"Host"="authenticatie.vlaanderen.be"}

    PS > $response.Content

    Voorbeeld 4: Indien je toepassing in NMC4 of VPC overgangszone staat en connectie maakt naar de GID reverse proxy:

    Via openssl:

    openssl s_client -connect 10.71.80.200:443

    GET /test.html HTTP/1.1

    Host: rp-test.vlaanderen.be

    Via Powershell:

    PS > [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    PS > $response = Invoke-WebRequest https://10.71.80.200/test.html -Headers @{"Host"="rp-test.vlaanderen.be"}

    PS > $response.Content

    Wanneer kan ik de nieuwe verbinding valideren na de migratie?

    Op zondag 20 oktober kan je vanaf 21u30 de correcte werking van je toepassing valideren. Om de impact op je toepassing tot een minimum te beperken tijdens kantooruren, vragen we je zo spoedig mogelijk deze nieuwe verbinding te valideren zodat we je feedback kunnen behandelen.

    Indien blijkt dat er wijzigingen nodig zijn aan datastromen zullen deze in de nieuwe omgeving pas ten vroegste op maandagavond 21 oktober aangepast kunnen worden.

    Contacteer ons

    Deze communicatie wordt ook verstuurd via het HBplus-wijzigingsbeheer, een rechtstreekse mail naar de lokale beheerders GID en via een rechtstreekse mail naar de toepassingsverantwoordelijken die gebruik maken van de OpenID Connect integratie.

    Ontbreekt er een interne datastroom, werkt een interne datastroom niet of zijn er onduidelijkheden?

    Contacteer ons via integraties.gebruikersbeheer@vlaanderen.be.