AutoMate Technisch Help

Omgeving

Deze pagina toont de Azure-omgeving van AutoMate op drie abstractieniveaus: een Basis-overzicht voor stakeholders, een Technisch diagram met Private Endpoints en tunnelarchitectuur, en een C4 context-diagram. Alle diagrammen tonen de twee ingress-paden:

  • Klanten komen binnen via de publieke HTTPS-endpoint van de App Service.

  • Medewerkers gebruiken Cloudflare One Zero Trust (WAF + Access + twee tunnels per omgeving) voor beheerverkeer.

Beide App Services hebben publicNetworkAccess: Disabled. Data-resources (Azure SQL, Key Vault, Managed Redis) zijn alleen via Private Endpoint bereikbaar. Alle 11 subnets hebben NSG's — zie Cloudflare Tunnel Architectuur voor de volledige regels.

Voor SKU/scaling zie Asset Catalogus; voor diepere infrastructuur-details zie Infrastructuur.

Basis

publieke HTTPS

publieke HTTPS

Klant

Management Portal

AutoMate.API

Medewerker

Cloudflare One

Container App\ncloudflared tunnel

Azure SQL\nSignatures · UserTypes\nJobs · Emails

Managed Redis

Key Vault

Microsoft Graph

Technisch

Klanten bereiken de App Services via de publieke HTTPS-endpoint. Beheerverkeer van medewerkers loopt via Cloudflare Zero Trust (WAF + Access) naar twee tunnels per omgeving: Portal sidecar (Tunnel B) en Container App (*-Automate-Conn-CFTunnel-CA-Weu, 2 replicas, snet-cftunnel-out, Tunnel A). Data-resources zijn alleen via Private Endpoint bereikbaar. Alle 11 subnets hebben NSG's die de subnet-communicatie hardenen.

publieke HTTPS

publieke HTTPS

private endpoint

private endpoint

private endpoint

Azure SQL — actuele databases

Signatures

UserTypes

Jobs

Emails

Klant

Management Portal\nApp Service

AutoMate.API\nApp Service

Medewerker

Cloudflare One\nZero Trust

Container App\ncloudflared — 2 replicas\nsnet-cftunnel-out

Azure SQL\nElastic Pool

Key Vault

Managed Redis\nEnterprise

AuditLogs\nStorage Account

Application Insights

Log Analytics

Microsoft Graph

SendGrid

Seq @ TransIP\nvia Serilog

C4

<<person>>KlantBereikt portal en API via publieke HTTPS<<person>>MedewerkerBeheerverkeer via Cloudflare One<<external_system>>Cloudflare OneZero Trust toegangslaag — alleen beheerverkeer<<external_system>>Microsoft GraphM365 services<<external_system>>SendGridTransactionele e-mail<<external_system>>Seq @ TransIPStructured logging (Serilog)<<container>>Container App cloudflared[Azure Container App, 2 replicas]Termineert Cloudflare tunnel, routes naar Portal + API via VNetIngress — Cloudflare Tunnel[CONTAINER]<<container>>Management Portal[Blazor Server, .NET 10]BeheerinterfaceFrontend Layer[CONTAINER]<<container>>AutoMate.API[FastEndpoints, .NET 10]Business logic + HangfireAPI Layer[CONTAINER]<<container_db>>Signatures DB[Azure SQL]Handtekening-data<<container_db>>UserTypes DB[Azure SQL]UserType definities + forms<<container_db>>Jobs DB[Azure SQL]Hangfire job storage<<container_db>>Emails DB[Azure SQL]E-mail logs<<container_db>>Managed Redis[Redis Enterprise]Distributed cache<<container>>AuditLogs Storage[Standard_LRS Blob]Audit-trail per tenantData Layer (Private Endpoints)[CONTAINER]<<container>>Key Vault[standard, private endpoint]Secrets + tunnel-tokens<<container>>Application Insights[Workspace-based]APM + telemetry<<container>>Log Analytics[PerGB2018]Centrale logsSecurity & Observability[CONTAINER]AutoMate Azure Environment[ENTERPRISE]Publieke HTTPS[TLS]Publieke HTTPS[TLS]HTTPSCloudflare tunnelHTTPS via VNet (snet-cftunnel-out → snet-portal-in)HTTPS via VNet (snet-cftunnel-out → snet-webapi-in)HTTPS (intern)Reads/Writes[Private Endpoint]Reads/Writes[Private Endpoint]Reads/Writes[Private Endpoint]Reads/Writes[Private Endpoint]Cache[Private Endpoint]Audit-trail[Blob write]Secrets[Private Endpoint]M365 ops[REST]Verstuurt e-mail[REST]Logs[Serilog]Logs[Serilog]LogsTelemetryTelemetryAutoMate365 — Container view (huidige situatie)

Referentie-overzicht actuele stand

  • Databases: vier (Signatures, UserTypes, Jobs, Emails). Tenants, Users, Branding, Licenses en Devices zijn afgevoerd.

  • Ingress: klanten via publieke HTTPS op de App Service custom domain; medewerkers via Cloudflare Zero Trust (WAF + Access + twee tunnels per omgeving).

  • App Services: publicNetworkAccess: Disabled, bereikbaar via Private Endpoint. API-webapp heeft geen cloudflared sidecar. Portal-webapp heeft vier host-bindings en een actieve sidecar (Tunnel B).

  • NSG's: alle 11 subnets hebben een NSG gedefinieerd in SubnetHardening.bicep, aangeroepen vanuit main.bicep.

  • Private Endpoints: Azure SQL, Key Vault, Managed Redis, Web API (prod + staging), Portal (prod + staging); bijbehorende Private DNS Zones in de VNet.

  • Afgevoerd: Azure Service Bus, Azure Communication Service en APIM — Bicep verwijderd uit repo (zie Infrastructuur).

Last modified: 11 June 2026