Просмотров: 53289
Дата последнего изменения: 21.12.2023
Сложность урока:
3 уровень - средняя сложность. Необходимо внимание и немного подумать.
4
5
В случае использования коробочного Битрикс24, администратор сети компании должен учитывать в политике безопасности необходимость открытия доступа для входящих/исходящих запросов rest-приложений.
Для Битрикс24 необходимо открыть:
- Исходящие запросы на oauth.bitrix.info (для механизма приложений) и http://www.1c-bitrix.ru/buy_tmp/b24_app.php (для работы витрины приложений).
- *.bitrixsoft.com. Без доступа к данному ресурсу не работает раздел "Разработчики" для создания интеграций и вебхуков.
- Входящие запросы от серверов приложения (адреса зависят от конкретных приложений).
Если разработка приложения ведётся на своем сервере, необходимо открыть:
- Исходящие https запросы на oauth.bitrix.info.
- Исходящие https запросы на конкретный сервер коробочного Битрикс24.
- Входящие http/s запросы от группы серверов mp_actions-*, если приложение использует механизмы событий, роботов или кастомные действия бизнес-процессов.
Входящие http/s запросы могут приходить с динамической (scale-based) группы серверов с разными IP-адресами. Список таких IP-адресов можно заранее получить запросом на адрес
https://dl.bitrix24.com/webhook/app.json.
Пример запроса через curl:
$ curl https://dl.bitrix24.com/webhook/app.json
{
"nodes": ["195.208.184.200", "89.208.230.2"]
}
Полученный в ответе список IP-адресов в массиве nodes надо использовать для изменения правил фаервола для входящих коннектов в корпоративной сети или на коробочной ВМ.
Частота опроса вышеуказанного URI - максимум 1 раз в минуту, а лучше сделать раз в 5-10 минут. В механизме масштабирования пула ВМ будет предусмотрено, что за 5-10 минут до того, как с нового адреса начнут приходить веб-хуки, она уже будет присутствовать в списке nodes.
Примечание: Ранее компания "1С-Битрикс" указывала конкретные IP, которые нужно было открывать для запросов. Но поскольку эти адреса меняются, то лучше ориентироваться на IP адреса, в которые резолвятся указанные доменные имена.