IBM Cloud Private (ICP) - Ready für die Multi-Cloud
Im digitalen Wandel stehen Sie unter der Herausforderung, konsequent und aktiv über Strategien, Wertschöpfungsketten und Geschäftsmodelle nachzudenken. tiri GmbH unterstützt Sie mit der Erfahrung aus aktuellen Projekten zur Cloud Transformation. Bestandsanwendungen machen wir mit Ihnen „Cloud ready“ durch unsere Architekturberatung und dem Refactoring vom Monolithen hin zu Microservices.
Mit dem Blick auf Qualität, Wirtschaftlichkeit und Risiken werden wir mit Ihnen eine praktikable Multi-Cloud-Lösung etablieren. Eine professionelle Erweiterung, Optimierung und Orchestrierung mit Wachstumspotential nach Ihren Anforderungen ist damit gegeben.
Architektur
High-Level Architektur für IBM Cloud Private
Open-Source Tools werden mit Enterprise Software effizient genutzt und eingebunden und bilden das Fundament für alle zukünftigen Geschäftsanforderungen in der Multi-Cloud.
A+ Zertifikatsbericht für IBM Cloud Private ICp
Als Frontend für die ICp wird nginx verwendet. Mit dieser Konfiguration, ist ein A+ Rating bei SSLlabs gegeben.
# HTTPS server
add_header Strict-Transport-Security max-age=31536000;
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name tiricloud.tiri.de;
ssl_certificate /etc/ssl/t.crt;
ssl_certificate_key /etc/ssl/t.key;
ssl_protocols TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!MD5:!RC4:!LOW:!MEDIUM:!CAMELLIA:!ECDSA:!DES:!DSS:!3DES:!NULL;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/dhparam4096.pem;
ssl_ecdh_curve secp384r1;
# openssl rsa -in /etc/ssl/tiricloud.tiri.de.unarmoured.key -outform der -pubout | openssl dgst -sha256 -binary | base64
# openssl x509 -in /etc/ssl/tiricloud.tiri.de.crt -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | base64
#add_header Public-Key-Pins 'pin-sha256="Ccew3sr+LEfMeNu9ZOhedy+MUAmIomF1YWkRuqjb38g="; pin-sha256="Ccew3sr+LEfMeNu9ZOhedy+MUAmIomF1YWkRuqjb38g="; max-age=31536000; includeSubDomains; preload';
ssl_stapling on;
ssl_trusted_certificate /etc/ssl/t.ca.crt;
ssl_stapling_verify on;
location / {
limit_req zone=webmail burst=5;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Host $host;
proxy_redirect off;
proxy_pass https://10.110.1.41:8443;
}
location /server-status {
stub_status on;
access_log off;
allow 127.0.0.1;
deny all;
}
}