Externe Diensten — Topologie & Toegang
Dit topic brengt in kaart welke externe diensten AutoMate gebruikt, hoe Productie en Development zich tot elkaar verhouden, en wie via welke toegangsroute (Cloudflare One) bij welke resources kan. Het dient als referentiepunt bij onboarding, incident-response en toegangsbeheer.
Overzicht externe diensten
Dienst | Rol | Omgeving |
|---|---|---|
Microsoft Azure | Primaire cloud — host voor App Services, KeyVault, SQL, Service Bus, Storage, Redis, Application Insights, Log Analytics | Productie & Development (gescheiden resources) |
Azure SQL | Relationele databases (per omgeving) | Productie & Development |
Azure Managed Redis (Enterprise) | Distributed cache voor API, achter Private Endpoint | Productie & Development |
Application Insights | Telemetrie en performance monitoring van API en Portal | Productie & Development |
Log Analytics Workspace | Centrale Azure-logs (gekoppeld aan App Insights en Container App Environment) | Productie & Development |
Microsoft Graph | M365-automatisering: gebruikers, groepen, Teams, Exchange | Productie & Development (via eigen app registrations) |
HR-bron (AFAS e.d.) | Ophalen van HR-records via externe connector | Productie & Development |
SendGrid | Uitgaande e-mail (transactioneel), inclusief webhook-verificatie | Productie & Development (eigen API keys per omgeving) |
Cloudflare One | Zero Trust toegangslaag: WAF + OWASP managed ruleset op alle | Alle omgevingen |
Cloudflare Tunnel B — Portal sidecar |
| Routeert per omgeving de Portal-domeinen (prod: |
Cloudflare Tunnel A — Container App |
| Dev en Prod (in Bicep via |
Railway | Hosting van de publieke Status Page (Docker container) | Omgeving-overstijgend (één instantie) |
TransIP | Hosting van applicatielogs via Seq | Omgeving-overstijgend |
Infrastructuurtopologie
Het diagram toont hoe de twee Azure-omgevingen (Productie en Development), de externe diensten en de Cloudflare-toegangslaag met elkaar samenhangen.
Toegangsmatrix per medewerker
De tabel hieronder geeft per medewerker aan welke resources bereikbaar zijn via Cloudflare One.
Resource | Matthijs van der Plas | Vincent Boots | Niels Lakeman | Daphne |
|---|---|---|---|---|
Productie — API | Ja (via PIM) | Ja (via PIM) | Ja (via PIM) | Nee |
Productie — Web Portal | Ja (via PIM) | Ja (via PIM) | Ja (via PIM) | Nee |
Productie — Key Vault | Ja (via PIM) | Ja (via PIM) | Ja (via PIM) | Nee |
Productie — Databases | Ja (via PIM) | Ja (via PIM) | Ja (via PIM) | Nee |
Development — API | Ja | Ja | Ja | Nee |
Development — Web Portal | Ja | Ja | Ja | Nee |
Development — Key Vault (Web API) | Ja | Ja | Ja | Ja |
Development — Databases | Ja | Ja | Ja | Ja |
Azure Portal — Productie subscription | Ja | Ja | Nee | Nee |
Azure Portal — Development subscription | Ja | Ja | Nee | Nee |
Microsoft Graph (Entra admin / app registrations) | Ja | Ja | Nee | Nee |
HR-bron (AFAS admin portal) | Ja | Ja | Nee | Nee |
SendGrid (dashboard) | Ja | Ja | Ja | Nee |
Railway (dashboard) | Ja | Ja | Nee | Nee |
TransIP (control panel) | Ja | Ja | Nee | Nee |
Cloudflare One (Zero Trust admin) | Ja | Ja | Nee | Nee |
Toegangsdiagrammen per medewerker
Tussen Cloudflare One en de resources zit een laag Firewall / Access Rules (Cloudflare Access policies). Deze regels bepalen per identiteit (medewerker) en device-posture welke applicaties en netwerk-resources daadwerkelijk doorgelaten worden. De diagrammen tonen alleen de doorgelaten paden — wat niet getekend is, wordt door de FW-regels geblokkeerd.
Matthijs van der Plas — volledige toegang
Vincent Boots — volledige toegang
Niels Lakeman — Productie + Development resources, plus SendGrid
Daphne — beperkt tot Development Key Vault Web API en Development Databases
Omdat Mermaid-renderers per platform licht kunnen afwijken, is de toegangsmatrix-tabel hierboven de gezaghebbende referentie voor toegangsrechten.
Omgevingsscheiding
Azure-resources zijn volledig gescheiden per omgeving via afzonderlijke Resource Groups en naamgevingsprefixen (zie Hosting — SaaS Applicatie):
Omgeving | Prefix | Doel |
|---|---|---|
Development | D | Ontwikkeling en testen |
Productie | P | Live omgeving |
Microsoft Graph en HR-bron-integraties gebruiken per omgeving eigen app registrations of API-keys, zodat Development-operaties nooit productiegegevens raken. SendGrid gebruikt afzonderlijke API-sleutels per omgeving (opgeslagen in de respectievelijke Key Vault).
Onderhoud van dit document
Dit topic moet worden bijgewerkt wanneer:
Een externe dienst wordt toegevoegd of verwijderd uit de AutoMate-infrastructuur
Toegangsrechten van een medewerker wijzigen (uitbreiding of intrekking)
Een nieuwe medewerker toegang krijgt via Cloudflare One
Er een omgeving wordt toegevoegd (bijv. een Test-omgeving)
De Cloudflare One-configuratie structureel wijzigt (bijv. nieuwe tunnels of access policies)
Verantwoordelijke voor onderhoud: de medewerker die de wijziging doorvoert past dit document aan als onderdeel van het change-proces.