Platform DNS & URL-structuur¶
Warning
Niet publiek toegankelijk. Alle endpoints vereisen Scaleway IAM authenticatie (BIO BBN3 compliant). Geen enkel domein is openbaar bereikbaar — toegang verloopt via IAM-sessie of API-token. De wiki's zijn geïntegreerd als tab in het desk canvas en daarnaast direct bereikbaar via eigen subdomeinen.
Platform URL-structuur — 4 DNS-zones: .bohe.cloud (desk) • .bohe.wiki (kennis) • .bohe.dev (GitOps/staging) • git.bohe.dev (Forgejo)
| URL | Type | Domein | Functie | Toegang |
|---|---|---|---|---|
| Productie Desk (.bohe.cloud) | ||||
desk.bohe.cloud |
Desk | Alle | Productie werkplek canvas met alle tabs | IAM Auth |
bni.dev.bohe.cloud |
Dev Desk | BNI | Persoonlijk dev/test canvas (strikt privé) | IAM Auth + IP |
bnp.dev.bohe.cloud |
Dev Desk | BNP | Professioneel dev/test canvas | IAM Auth + IP |
dc.dev.bohe.cloud |
Dev Desk | DC | Organisatie dev/test canvas | IAM Auth + IP |
| Kennisplatform (.bohe.wiki) | ||||
bohe.wiki |
Wiki Hub | Alle | Federatieve wiki-index, tab in desk canvas | IAM Auth |
kb.bohe.wiki |
Kennisplatform | Alle | Eindgebruikers wiki (werkplek, domeinen, diensten) | Edge Services |
atlas.bohe.wiki |
Architecture Atlas | Alle | Dev wiki (MIA, PSA, federation, EPICs, ADRs) | Edge Services |
bni.bohe.wiki |
Wiki | BNI | Persoonlijke kennisbank (strikt privé) | IAM Auth + BNI scope |
bnp.bohe.wiki |
Wiki | BNP | Professionele kennisbank | IAM Auth + BNP scope |
dc.bohe.wiki |
Wiki | DC | Organisatie kennisbank | IAM Auth + DC scope |
iv.bohe.wiki |
Wiki | IV | Intelliversum platform documentatie | IAM Auth |
| GitOps (.bohe.dev) | ||||
git.bohe.dev |
Forgejo | Alle | Self-hosted git forge (EU-soeverein) | Edge Services |
desk.bohe.dev |
Staging Desk | Alle | Staging/acceptatie werkplek | IAM Auth |
Edge Services Architectuur¶
Alle publieke endpoints verlopen via Scaleway Edge Services — een 6-stage pipeline die DDoS-bescherming, WAF, TLS-terminatie en caching biedt. Er is geen directe toegang tot S3-buckets of backend-services vanaf het internet.
Eindgebruiker (HTTPS)
→ DNS (OVH CNAME → *.svc.edge.scw.cloud)
→ TLS (Let's Encrypt managed cert, auto-renewed)
→ Cache (1h TTL, geen cookies)
→ Route (WAF-bypass regels voor Git protocol)
→ WAF (OWASP CRS paranoia level 1)
→ Backend (S3 bucket of Load Balancer)
Edge Services Pipelines¶
| Pipeline | Project | Backend | FQDN | Functie |
|---|---|---|---|---|
dc-wiki-atlas |
bohe-frontend | S3: dc-wiki |
atlas.bohe.wiki |
Architecture Atlas (83 pagina's MkDocs) |
bohe-kb-wiki |
bohe-frontend | S3: bohe-wiki |
kb.bohe.wiki |
Kennisplatform (9 pagina's MkDocs) |
dc-gitops |
dev-factory | LB → Forgejo | git.bohe.dev |
Forgejo git forge + Actions CI/CD |
bohe-werkplek-production |
dc-frontend | LB → Functions | desk.bohe.cloud |
Productie werkplek |
bohe-werkplek-staging |
dc-frontend | LB → Functions | desk.bohe.dev |
Staging werkplek |
Beveiligingsmodel¶
| Laag | Functie |
|---|---|
| DNS | OVH-beheerd, CNAME naar Edge Services FQDN — geen directe IP-toegang |
| TLS | Let's Encrypt managed certificaten, auto-renewed door Scaleway |
| Cache | 1 uur fallback TTL, cookies uitgesloten (geen caching van authenticated sessies) |
| Route | Git Smart HTTP bypass voor WAF (binary payloads), overig verkeer → WAF |
| WAF | OWASP Core Rule Set paranoia level 1, actieve blokkering |
| Backend | S3 (wiki's) of Load Balancer (Forgejo, werkplek) — niet direct bereikbaar |
Warning
S3-buckets zijn niet publiek toegankelijk. Object-listing is geblokkeerd (HTTP 403). Alleen GetObject is toegestaan voor Edge Services content delivery. De bucket-URL's zijn niet via DNS ontsloten — alleen de Edge Services pipeline-FQDN's zijn bereikbaar.
Info
Wiki als desk-tab: De bohe.wiki hub is beschikbaar als Wiki-tab in het desk canvas (desk.bohe.cloud). Binnen de tab navigeert de eindgebruiker naar kb.bohe.wiki (kennisplatform). Ontwikkelaars en architecten gebruiken atlas.bohe.wiki (Architecture Atlas) — direct bereikbaar via Edge Services. Domeinspecifieke wiki's (bni.bohe.wiki, bnp.bohe.wiki, etc.) zijn bereikbaar op basis van IAM-scope. Alle routes verlopen via Edge Services (WAF + TLS + cache) → Backend.
Dev desk per domein: Elk business/persoonlijk domein heeft een eigen dev desk ({domain}.dev.bohe.cloud) voor ontwikkeling en testen. Deze zijn extra beveiligd met IP-whitelisting naast IAM-authenticatie. Core platform domeinen (PIPE, IV, AXIS) hebben geen eigen dev desk — hun ontwikkeling verloopt via OpenCode in de staging desk.
Verdieping¶
- DNS Zones — De vier DNS-zones en wanneer u welke URL gebruikt
- Edge Services — Beveiliging, WAF, TLS en caching
Changelog¶
| Versie | Datum | Wijziging |
|---|---|---|
| 0.1.0 | 2026-02-24 | Initiële versie — DNS-zones, URL-tabel, Edge Services architectuur, beveiligingsmodel |