> ## Documentation Index
> Fetch the complete documentation index at: https://docs.abbyy.com/llms.txt
> Use this file to discover all available pages before exploring further.

# FIPS-Konformität

> Konfigurieren Sie die FIPS-140-2-Konformität für ABBYY Vantage Self-Hosted auf Azure AKS: Redis-Versionen, NFS-Dateifreigaben, FIPS-aktivierte Knotenpools und Speicherregeln.

<Note>
  Diese Seite gilt nur für **Azure AKS**-Bereitstellungen. Die Konfiguration der FIPS-Konformität gilt nicht für Bereitstellungen auf virtuellen Maschinen.
</Note>

<div id="overview">
  ## Überblick
</div>

Die FIPS-Konformität gemäß dem Federal Information Processing Standard (FIPS) 140-2 ist für bestimmte Deployments in US-Behörden und regulierten Branchen erforderlich. Zum Aktivieren der FIPS-Konformität in Ihrem Vantage-Deployment sind bei der Erstellung der Infrastruktur und während der Installation bestimmte Konfigurationsänderungen erforderlich.

<div id="key-differences-from-standard-deployment">
  ## Wichtige Unterschiede gegenüber der Standardbereitstellung
</div>

| Komponente       | Standardbereitstellung | FIPS-aktivierte Bereitstellung             |
| ---------------- | ---------------------- | ------------------------------------------ |
| Redis-Version    | 6.2 oder höher         | ausschließlich 6.2 bis 7.0.7               |
| Dateifreigabetyp | SMB                    | NFS                                        |
| AKS-Knotenpools  | Standard               | FIPS-aktiviert                             |
| Speicherzugriff  | Öffentlich oder privat | Nur über ein virtuelles Netzwerk (für NFS) |

<div id="requirements">
  ## Voraussetzungen
</div>

<div id="redis-version-restriction">
  ### Redis-Versionseinschränkung
</div>

<Warning>
  Für die FIPS-Konformität muss Redis in Version **6.2 bis 7.0.7** verwendet werden (keine neuere). Versionen ab 7.0.8 werden für FIPS-Deployments nicht unterstützt.
</Warning>

<div id="nfs-share-considerations">
  ### Hinweise zu NFS-Freigaben
</div>

Wenn FIPS aktiviert ist, werden Network File System (NFS)-Freigaben anstelle von SMB-Freigaben verwendet:

* Die Konfiguration des Speicherkontos für NFS-Freigaben kann den Zugriff über öffentliche IP-Adressen zulassen
* NFS-Freigaben können jedoch **nicht** über eine öffentliche IP-Adresse **gemountet werden**
* Sie können nur von einem Computer in einem virtuellen Netzwerk aus eine Verbindung mit NFS-Freigaben herstellen, dem das Speicherkonto vertraut

<div id="infrastructure-creation-with-fips">
  ## Erstellen der Infrastruktur mit FIPS
</div>

Wenn Sie Azure-Infrastruktur für eine FIPS-konforme Bereitstellung erstellen, fügen Sie den ARM-Template-Bereitstellungen den Parameter `enableFIPS=true` hinzu.

<div id="create-aks-cluster-with-fips">
  ### AKS-Cluster mit FIPS erstellen
</div>

```bash theme={null}
az deployment group create --name aks-cluster \
  --resource-group <resource_group_name> \
  --template-file files/infrastructure/azure/arms/Cluster.Manual.json \
  --parameters kubernetesClusterName=<cluster_name> \
  --parameters enableFIPS=true
```

<div id="configure-nfs-share-access">
  ### Zugriff auf die NFS-Freigabe konfigurieren
</div>

Führen Sie nach dem Erstellen des FIPS-aktivierten Clusters die folgenden Befehle aus, um das freigegebene Speicherkonto mit der NFS-Freigabe zu verbinden:

```bash theme={null}
# Die Principal-ID des AKS-Clusters abrufen
export principalId=$(az aks show --name <cluster_name> -g <resource_group_name> \
  -o tsv --query identity.principalId)

# Den Subnetz-Bereich abrufen
export scope=$(az aks show --name <cluster_name> -g <resource_group_name> \
  -o tsv --query agentPoolProfiles[*].vnetSubnetId | uniq)

# Rollenzuweisung erstellen, damit der Cluster auf den Speicher zugreifen kann
az role assignment create --role "Contributor" \
  --assignee-principal-type ServicePrincipal \
  --assignee-object-id $principalId \
  --scope $scope
```

<div id="create-storage-accounts-with-fips">
  ### Speicherkonten mit FIPS erstellen
</div>

```bash theme={null}
az deployment group create --name storage \
  --resource-group <resource_group_name> \
  --template-file files/infrastructure/azure/arms/StorageAccounts.Template.json \
  --parameters kubernetesClusterName=<cluster_name> \
  --parameters enableFIPS=true
```

<div id="configuration-parameters">
  ## Konfigurationsparameter
</div>

<div id="env_specificyml">
  ### env\_specific.yml
</div>

Aktivieren Sie die FIPS-Unterstützung, indem Sie den folgenden Parameter setzen:

```yaml theme={null}
k8s_fips_enabled: true
```

<div id="azure-government-cloud">
  ### Azure Government Cloud
</div>

Wenn Sie in Azure Government Cloud bereitstellen, fügen Sie den Parameter `s3endpointSuffix` direkt nach `k8s_fips_enabled` hinzu:

```yaml theme={null}
k8s_fips_enabled: true
s3endpointSuffix: core.usgovcloudapi.net
```

<Note>
  Fügen Sie `s3endpointSuffix` nur hinzu, wenn Sie für Azure Government Cloud bereitstellen. Geben Sie diesen Parameter nicht für standardmäßige Bereitstellungen in der kommerziellen Azure-Cloud an.
</Note>

<div id="complete-fips-configuration-example">
  ## Vollständiges Beispiel für die FIPS-Konfiguration
</div>

```yaml theme={null}
env: vantage
poc: false

domain: yourdomain.gov
product_host: "vantage.{{ domain }}"

loadbalancer:
  external_ip: X.X.X.X

container_registry_host: "registry.yourdomain.gov"
container_registry_user: "service"
container_registry_password: "password"
container_registry_name: "{{ container_registry_host }}/vantage"

techcore:
  use_gpu_workers: false
  use_nn_extraction_training_workers: false

logging:
  enabled: true
  elasticsearch:
    enabled: false
  file:
    enabled: true

platform_admin_email: admin@yourdomain.gov

smtp:
  host: X.X.X.X
  login: null
  password: ""
  port: 587
  useSSL: false

mailFrom: noreply@yourdomain.gov

database:
  type: sqlserver
  host: X.X.X.X
  username: login
  password: password
  encrypt: true  # Empfohlen für FIPS

s3storage:
  skills:
    accessKey: skills_storage_account_name
    secretKey: skills_storage_account_key
  processing:
    accessKey: processing_storage_account_name
    secretKey: processing_storage_account_key
  temporary:
    accessKey: temporary_storage_account_name
    secretKey: temporary_storage_account_key
  sharedfolder:
    accessKey: sharedfolder_storage_account_name
    secretKey: sharedfolder_storage_account_key
    resourcegroup: your_resource_group
  archive:
    accessKey: archive_storage_account_name
    secretKey: archive_storage_account_key

# Redis-Cluster – muss Version 6.2 bis 7.0.7 für FIPS sein
redis:
  ips: ['172.16.10.101', '172.16.10.102', '172.16.10.103', '172.16.10.104', '172.16.10.105', '172.16.10.106']
  port: 6379
  password: redispassword
  ssl: true  # Empfohlen für FIPS

reporting:
  enabled: false

id_reading:
  enabled: false

# FIPS-Konfiguration
k8s_fips_enabled: true

# Nur für Azure Government Cloud auskommentieren:
# s3endpointSuffix: core.usgovcloudapi.net
```

<div id="verification">
  ## Verifizierung
</div>

Überprüfen Sie nach der Bereitstellung, ob FIPS auf Ihren AKS-Knoten aktiviert ist:

```bash theme={null}
# Knoteninformationen abrufen
kubectl get nodes -o wide

# FIPS-Status auf einem Knoten prüfen (zuerst mit dem Knoten verbinden)
cat /proc/sys/crypto/fips_enabled
# Ausgabe: 1 (FIPS aktiviert) oder 0 (FIPS deaktiviert)
```

<div id="related-documentation">
  ## Weiterführende Dokumentation
</div>

* [Systemanforderungen](/de/vantage/self-hosted/v2.7/system-requirements) - Vollständige Anforderungen einschließlich der Redis-Cluster-Konfiguration
* [Erstellen der Azure-Infrastruktur](/de/vantage/self-hosted/v2.7/azure-infrastructure) - Schrittweise Erstellung von Azure-Ressourcen
* [Installation](/de/vantage/self-hosted/v2.7/installation) - Vollständige Installationsanleitung
