Diese Seite beschreibt die Basisarchitektur, die von den Standard-Editionen verwendet wird. Kunden der Edition TRANSFORM arbeiten auf der High-Availability-Architektur, die auf einer separaten Seite beschrieben wird.
Grundprinzipien
Jedes Lobster Cloud System basiert auf derselben standardisierten Architektur. Die wesentlichen Prinzipien sind:
Prinzip | Beschreibung |
|---|---|
Dedizierte Ressourcen | Ihr System läuft auf dedizierten virtuellen Maschinen und einer dedizierten Datenbank. Keine Ressourcen werden mit anderen Kunden geteilt. |
Netzwerkisolierung | Jedes System wird in einer eigenen AWS Virtual Private Cloud (VPC) mit einem privaten Netzwerkbereich bereitgestellt, der während des Onboardings ausgewählt wird. |
Datenbankschutz | Die Datenbank läuft in einem geschützten privaten Subnetz. Kein externer Zugriff möglich, weder über VPN noch über das Internet. Nur der zugehörige Lobster-Webserver hat Zugriff. |
Standardisiertes Design | Die Architektur kann nicht kundenindividuell angepasst werden. Dies gewährleistet einheitliche Sicherheit, Zuverlässigkeit und Betriebsqualität. |
Architekturvarianten
Die Standardarchitektur ist in drei Konfigurationen verfügbar, abhängig von Ihren Anforderungen. Siehe Architekturdiagramme unten.
Basissystem (ohne DMZ)
Dies ist die einfachste Konfiguration. Sie besteht aus einem einzelnen Lobster Data Platform Server und einer dedizierten Datenbank, die beide innerhalb derselben VPC laufen. Alle Informationen zur Größenauswahl finden Sie unter Edition und Sizing.
Komponente | Beschreibung |
|---|---|
Lobster DATA Platform Server | Verarbeitet alle Jobs, Profile und Datenintegrationen. Erreichbar über Port 443 (HTTPS) für die Weboberfläche und Port 9000 für die Admin Console. |
Datenbank (RDS) | PostgreSQL-Datenbank in einem privaten Subnetz. Speichert alle Konfigurationsdaten, Job-Historien und Plattform-Metadaten. |
Security Group | Fungiert als virtuelle Firewall zur Steuerung des gesamten ein- und ausgehenden Datenverkehrs. Nur IP-basierte Regeln werden unterstützt (keine DNS-Namen). |
Statische IP | Stellt eine statische öffentliche IP-Adresse für Ihr System bereit und gewährleistet die Erreichbarkeit auch bei Änderungen der zugrunde liegenden Infrastruktur. |
Der Datenverkehr aus dem Internet gelangt über das AWS Internet-Gateway in die VPC, passiert die Security-Group und erreicht den Lobster-Server. Port 80 wird ausschließlich für die Let's-Encrypt-Zertifikatsautomatisierung verwendet und leitet allen übrigen Datenverkehr auf Port 443 (HTTPS) um.
Basissystem mit DMZ
Das Hinzufügen eines DMZ-Servers platziert eine Sicherheitsschicht zwischen dem öffentlichen Internet und Ihrem internen Lobster-System. Dies ist die empfohlene Konfiguration für Kunden, die Daten mit externen Partnern austauschen. Alle Informationen zur Größenauswahl finden Sie unter Edition und Sizing.
Komponente | Beschreibung |
|---|---|
DMZ-Server | Öffentlich erreichbarer Endpunkt, der den gesamten eingehenden Datenverkehr empfängt. Fungiert als Reverse Proxy. |
Lobster Data Platform Server | Befindet sich hinter der DMZ in einem geschützten Netzwerksegment. Nicht direkt aus dem Internet erreichbar. |
Datenbank (RDS) | PostgreSQL-Datenbank in einem privaten Subnetz, nur durch den OIS-Server erreichbar. |
Security-Groups | Separate Security-Groups für die DMZ und den OIS-Server mit jeweils individuellen Firewall-Regeln. |
Eine detaillierte Beschreibung des DMZ-Servers und seiner Funktionen finden Sie auf der Seite DMZ-Architektur.
Basissystem mit DMZ und DEV-Umgebung
Diese Konfiguration ergänzt Ihr Produktionssystem um eine Entwicklungsumgebung. Das DEV-System ist eine separate, unabhängige Installation mit eigenem Server und eigener Datenbank. Alle Informationen zur Größenauswahl finden Sie unter Edition und Sizing.
Komponente | Beschreibung |
|---|---|
Produktions-DMZ | Öffentlich erreichbarer Endpunkt für Ihr Produktionssystem. |
Produktions-Lobster DATA Platform Server | Ihre Produktions-Lobster DATA Platform, hinter der DMZ gelegen. |
Produktionsdatenbank | Dedizierte Produktionsdatenbank in einem privaten Subnetz. |
DEV-Server | Separate Lobster Data Platform Instanz für Entwicklung und Tests. |
DEV-Datenbank | Dedizierte Datenbank für die DEV-Umgebung. |
Die DEV-Umgebung verfügt über eine eigene Security-Group und kann mit anderen Firewall-Regeln als Ihr Produktionssystem konfiguriert werden.
Wichtig
Backups für DEV-Umgebungen werden 7 Tage aufbewahrt.
Netzwerkkonfiguration
VPC und Subnetze
Jedes System wird in einer eigenen AWS-VPC bereitgestellt. Während des Onboardings wählen Sie einen von drei privaten Netzwerkbereichen für Ihre Umgebung. Alle erforderlichen Informationen finden Sie unter VPN-Verbindungen.
Wichtig
Der Netzwerkbereich kann nach der Bereitstellung Ihres Systems nicht mehr geändert werden. Dies ist besonders wichtig, wenn Sie eine VPN-Verbindung benötigen, da sich der gewählte Bereich nicht mit Ihrem On-Premise-Netzwerk überschneiden darf.
Internetkonnektivität
Ihr Lobster-System kommuniziert über ein öffentliches Subnetz mit einer statischen Elastic IP-Adresse mit dem Internet. Die Architektur nutzt folgenden Ablauf:
Richtung | Beschreibung |
|---|---|
Eingehender Datenverkehr | Internet-Datenverkehr gelangt über das AWS Internet-Gateway, passiert die Security-Group und erreicht Ihre DMZ (falls konfiguriert) oder den Lobster Data Platform Server. |
Ausgehender Datenverkehr | Ausgehende Verbindungen von Ihrem System sind standardmäßig geöffnet und ermöglichen die Kommunikation mit externen Partnersystemen, APIs und Diensten. |
Standard-Port-Konfiguration
Alle erforderlichen Informationen finden Sie unter Ports und Protokolle.
Security Groups (Firewall)
Security Groups fungieren als virtuelle Firewalls für Ihr System. Jede Systemkomponente (LDP, DMZ, DEV) verfügt über eine eigene dedizierte Security Group. Alle weiteren Informationen zu diesem Thema finden Sie unter Firewall-Regeln.
SSL/TLS-Zertifikate
Alle weiteren Informationen zu diesem Thema finden Sie unter SSL/TLS-Zertifikate.
DNS-Konfiguration
Alle Informationen zu diesem Thema finden Sie unter DNS-Konfiguration.
Architekturdiagramme
Basissystem
Die folgende Abbildung zeigt ein Standard-Set-up der Lobster Cloud-LDP-Umgebung ohne DMZ-Konfiguration.
.jpg)
Basissystem mit DMZ
Die folgende Abbildung zeigt ein Standard-Set-up der Lobster Cloud LDP-Umgebung mit DMZ-Server.
.jpg)
Basissystem mit DMZ und DEV-Umgebung
Die folgende Abbildung zeigt ein Standard-Set-up der Lobster Cloud-LDP-Umgebung mit DMZ-Server und DEV-Umgebung.
.jpg)